Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 765
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
§ £ I
С
%
о
X
Й. 05
? 3
Н PQ
S I
Л 2
w cd
(L) >>
s 5
x о
cd С c q
^
5 X
g o ^
t=: о S
S & £
I I *
С S о
4 2
§ §
f 3
П
с
X
0 f
1
X
о
• e
e
s
«=3
i £
s
T
Й
c=[
5S
X
s
о
о
sr
s
X
X
(D
H
о
s
3
o .
2
X Cd j a c q
§ Й
s 35
=* s
ё
H
и £
я
*
s
X
s
s
CL
с
о
X
з
X
cd
CQ
о
Q .
О
*
r,
£ s
X Cd
CQ
f c
°
5 &
& • &
cd
£ e
Си О
^ - e
X
0)
£-
sr
о
о .
с
cd
*
cd
O -
§ S
S g
CO
cr O-
i s
^
s
3S
s
о
a>
T
s
H
о
о
с
s
Ь
о
Э*
s
ь
о
>>
X
о
• е
(D
е=:
а ,
о
0Q
2
го
cd
CL
U
§
CQ
cd
л
CQ
> .
S
О
X
§
CQ
О
о.
с
X
о
-ѳ*
g н
о
S
э
X
CQ
Е-
О
^ н
*г
О . J
О
S
с
^
I С5
cd
%
>л
Ю
(D Cd
S 2
X >>
cd Ю са
ч ч
CQ ^
cd ►-
t=S -Q
Q . =
с §
c[ I
X
X
(L>
О
H
о
и.
n
5
л
§
с
о
>>
Э
СО
оз
н
о
э5
О
сх
н
о
>>
<и
S
X
со
03
О
О.
S
X
СО
о,
(Т)
А
§
S
2
X
X
с
и
05
со
м
а
а)
т
X
го
х 2
■Ѳ* я
§ *
I I
° с
0 я
* S.
1 *
I S
ь s
X S
о 3
* S
се
;
со
*
о
<и
у
X
го ^
х g
■ѳ* £
э
С
О
СО
X
н
£
о §
3 а
-л ^
1 «
в- *-
ь s
х &
О я
^ я
2
s S
Е?
СО
СО
CQ
п
о
S °
-
Ё I
5 5
сх Й
ч> СХ
* *
«Г «
I s
§
А
§
6
з
э
СО
го
О
н
с
X
о.
го
X
■ѳ
S
н
05
X
о.
х
о
сх
D
* 2
ь і
О го
о
>.
CL
X и С
О
<и
J3
§
х Т
я
>
<и х
с о
о
СО О
t
Е -
X
СО
of
X
н
05
X
О.
с
о g
а. [-
<и
х
s
В
Я л и£ ГО
U
05
О. со
О “
о
*
о
>
т
X
н
о
>>
*
СО
СО
о,
II
5 ь
Е= 1 5 °
<
X
<и
X
*
о
>
гг
S
X
X
а>
н
о
S
п
СО
о.
0J
3
X
СО
J3
03
5 Й
s !5 3 Я
ё ь
о £
>
s
X
р
sr
о
о.
с
СО
*
СО
сх
о
сх
S
с
о
^ (U
,
X
> X
S СО
X ®
<и 3
a &
II
- о
3S СХ
3 s
х -Ѳ-
J3 со s &
X о
CQ *Ѳ"
а
3
X
J3
5
СО
C
Q
н
—
<-> s 35
я 2
(D сх
а>
3
X
S3
СХ
СО
е
с
<
3
S
СО
го
3
X
S
S
СО
СХ
U
о
СХ
с
о
С Х
S
Си
н
о
S
и
05
С Х с -
С0
ГО
Н
о; 2 5 о
Г ? ГО
со i-Q
н с=:
S о
S X
S о
г, [—
а) О
S X
X X
<и со
Т C
Q
о
и
о
X
т
X
S
СО
а.
СО
а.
СО
СХ
СО
с
с
СО
X
<и
X
и
X
SS ю
03
- г
о ^
сх 9Е
о
S
X
X
СО
о
(D
X
.
>>
§:5
JQ
о
>»
_ СХ
A
S
ГО
X
03
>»
э
5S
S
о
О
СО
Э* СХ
е
I
О X
S
< х
СО
X
и
X
о
<и
X
2
X
5
ь
о
X 03
ГО
со
СО
X
а.
СО
С
Л
Ы
о
X
X
ч>
03
н
и
S Ё
& 8
х Ѵ
>
■г о
д- ч
J3
р
X
о
о
X
<и
S
X «
>
^ 5
со С
СХ О
ю S
О С(
J2
со
СО
X
и
X
о
<и S
2 £
х g
н о
5 в
ГО
2
СО
X
СХ р2 з
С е;
X
0
X
СХ с-
Й І
1 І
CD о
ЗХ
2
X
я
$
£• >>
1
*
С х
<и
^
X
а 5
т
S
X §>
СХ і
Е- Г
^ X
ё
і
>,
5
-Q
§ С
н Н
О s
X
§
03
СО
X
J3
5
X
и
X
и
<и
X
X
(D
5
СО
о.
X
н
о
<и
о
03
о
н
'Т
о
X
СО
>»
ю
<и
X
. •
2 ^
X <и
S i
I s
Й s
Л °
CJ X
СО
н
s X
о п
5
05
>ч C
Q
* о
о
=* со
ST
СО
С Х
(D
X
S
СО
X
СО
о
X
эх
А
X
X
QQ
&
§
CQ
го
X
о
С Х
с
X
S
2
X
5 ^
I * a s о С
5 со X
'І ”
СО
СО
0« ю
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оцен
ки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут прово
диться работы по обнаружению и изъятию «закладок», предназ
наченных для скрытого перехвата защищаемой информации. Та
кие работы могут проводиться организациями, имеющими соот
ветствующие лицензии ФСБ России на данный вид деятельности.
При выборе средств защиты информации можно руководство
ваться табл. 7.2 [3].
7.3. Особенности защиты речевой
информации
Несмотря на уникальность каждого отдельного объекта защи
ты, можно выделить типовые сценарии защиты информации.
К наиболее типичным задачам можно отнести защиту речевой информации:
• в выделенном помещении, предназначенном для проведения конфиденциальных переговоров, в кабинетах руководства пред
приятия (защищаемые помещения — ЗП);
• на абонентском участке телефонной линии;
• на всем протяжении телефонной линии (от одного аппарата до другого, включая АТС и магистральный участок).
Рекомендации нормативного документа [40] по защите рече
вой информации следующие.
В учреждении должен быть документально определен перечень
ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ.
При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту. Ограждающие конструк
ции (стены, полы, потолки) не должны являться смежными с по
мещениями других учреждений (предприятий). Не рекомендует
ся располагать ЗП на первых этажах зданий.
Для исключения просмотра текстовой и графической конфи
денциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифици
рованными по требованиям безопасности информации OTCC и
ВТСС либо средствами, прошедшими специальные исследования
При эксплуатации ЗП необходимо предусматривать организа
ционно-режимные меры, направленные на исключение несанк
ционированного доступа в помещение:
• двери ЗП в период между мероприятиями, а также в нерабо
чее время необходимо запирать на ключ;
• выдача ключей от ЗП должна производиться лицам, работаю
щим в нем или ответственным за это помещение;
• установка и замена оборудования, мебели, ремонт ЗП долж
ны производиться только по согласованию и под контролем под
разделения (специалиста) по защите информации учреждения
(предприятия).
7 .4 . Особенности защиты компьютерной
информации от утечки по каналам ГІЭМИН
Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, програм
мных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи. СЗИ
АС можно разделить на две составляющие: подсистема ЗИ от НСД
(рассмотрена в гл. 8) и подсистема ЗИ от утечки по каналам по
бочных электромагнитных излучений и наводок (ПЭМИН). Имен
но эта подсистема и рассматривается в данном пункте.
Важность защиты от утечки по каналам ПЭМИН обусловлена тем, что все средства вычислительной техники в процессе работы излучают энергию в широком частотном диапазоне. Эта энергия может выступать в качестве несущего колебания и быть промоду- лирована информационной составляющей. Известны опыты по перехвату ЭМИ монитора компьютера на расстоянии нескольких сотен метров.
Естественно, что кроме побочных имеются и «основные» ко
лебания, например создаваемые вокруг кабеля связи при переда
че по нему информации. Необходимо реализовать защиту от утечки информации по этим каналам.
Кроме того, работающее СВТ создает наводки в цепях элект
ропитания, заземления, находящихся рядом ВТСС, выступающих в качестве случайных антенн. Так, одним из методов криптоана
лиза является измерение потребляемого шифровальной аппарату
рой тока. Если не принять специальных мер, то по изменению величины этого тока можно судить о битах вводимых ключей, особенностях неизвестного нарушителю криптоалгоритма.
В это же направление деятельности по ЗИ попадает и защита от утечки информации за счет специальных воздействий.
В качестве основных технических мер защиты информации в
АС (кроме ЗИ от НСД) рекомендуются [40]:
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, пере
дачи и хранения информации;
• использование технических средств, удовлетворяющих тре
бованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты инфор
мации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в преде
лах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информатив
ный сигнал;
• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационны
ми цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи (защищенных
ВОЛС) и криптографических средств ЗИ;
• размещение дисплеев и других средств отображения инфор
мации, исключающее ее несанкционированный просмотр;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникнове
ние в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны техни
ческих средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабаты
ваемой и передаваемой средствами вычислительной техники и связи (при необходимости определяемой особенностями функци
онирования конкретных АС и систем связи);
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Так, в США активно разрабатывалась технология Tempest, за
ключающаяся в перехвате информации, излучаемой мониторами.
В программное обеспечение СВТ может быть внедрена закладка, осуществляющая незаметное для пользователя модуляцию излу
чения монитора важной информацией, и эта информация станет доступной нарушителю.
Для обработки информации, составляющей служебную и ком
мерческую тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стан
Гл а в а 8
8.3.2. Разграничение доступа
После выполнения идентификации и аутентификации необхо
димо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вы
числительных ресурсов, доступных в АС. Такой процесс называ
ется авторизацией, или разграничением доступа.
Обычно полномочия субъекта представляются списком ресур
сов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. Альтернативой является присвоение пользова
телю и ресурсам определенных уровней конфиденциальности и построение системы разграничения доступа на этой основе. Пер
вый метод называется дискреционным, а метод, основанный на метках конфиденциальности, — мандатным.
При дискреционном методе разграничения доступа составля
ется таблица, строками которой являются пользователи системы, а столбцами — ресурсы. В ячейках таблицы указываются права доступа (чтение, запись и др.), как это показано в табл. 8.2.
При мандатном принципе разграничения доступа выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользова
теля задаются в соответствии с максимальным уровнем секретно-
Т а б л и ц а 8.2. Фрагмент таблицы установления полномочий
Субъект
Каталог c:\wavelet
Программа jpegtran
Принтер
Пользователь 1
cdrw
е
W
Пользователь 2
г
w с 9:00 до 17:00
Обозначения, с выполнение.
— создание, d -— удаление, г -— чтение, w — запись, е —
• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу
(процесс, задание);
• результат запуска (успешный, неуспешный — несанкциони
рованный).
Должна осуществляться регистрация попыток доступа про
граммных средств (программ, процессов, задач, заданий) к за
щищаемым файлам. В параметрах регистрации указываются:
• дата и время попытки доступа к защищаемому файлу с указа
нием ее результата: успешная, неуспешная — несанкционирован
ная;
• идентификатор субъекта доступа;
• спецификация защищаемого файла.
Должна осуществляться регистрация попыток доступа про
граммных средств к дополнительным защищаемым объектам
доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, катало
гам, файлам, записям, полям записей. В параметрах регистрации указываются:
• дата и время попытки доступа к защищаемому объекту с ука
занием ее результата: успешная, неуспешная — несанкциониро
ванная;
• идентификатор субъекта доступа;
• спецификация защищаемого объекта [логическое имя (но
мер)].
Должен проводиться учет всех защищаемых носителей ин
формации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Учет защищаемых носителей проводится в журнале (картоте
ке) с регистрацией их выдачи (приема).
Должна осуществляться очистка (обнуление, обезличивание)
освобождаемых областей оперативной памяти ЭВМ и внешних
накопителей. Очистка осуществляется однократной произволь
ной записью в освобождаемую область памяти, ранее использо
ванную для хранения защищаемых данных (файлов).
Эффективность системы безопасности принципиально повы
шается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, опреде
лять слабые места в системе защиты, анализировать закономер
ности системы, оценивать работу пользователей и т.д.
Аудит — это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, один раз в день) [43]. Оперативный аудит с автоматическим ре
агированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет ре
шать следующие задачи обеспечения информационной безопас
ности:
• обеспечение подотчетности пользователей и администрато
ров;
• обеспечение возможности реконструкции последовательно
сти событий;
• обнаружение попыток нарушений информационной безопас
ности;
• предоставление информации для выявления и анализа про
блем.
Практическими средствами регистрации и аудита являются: различные системные утилиты и прикладные программы; регист
рационный (системный или контрольный) журнал.
Первое средство обычно дополняет мониторинг, осуществляе
мый администратором системы. Комплексный подход к протоко
лированию и аудиту обеспечивается при использовании регистра
ционного журнала.
Регистрационный журнал — это хронологически упорядочен
ная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, сопровождающих операции и про
цедуры, или приводящих к их выполнению, либо к совершению событий при транзакции с целью контроля конечного результата.
Обнаружение попыток нарушений информационной безопас
ности входит в функции активного аудита, задачами которого яв
ляется оперативное выявление подозрительной активности и пре
доставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользо
вателя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной полити
кой безопасности) или нетипичным (согласно принятым крите
риям). Например, подсистема аудита, отслеживая процедуру вхо
да (регистрации) пользователя в систему, подсчитывает количе
ство неудачных попыток входа. В случае превышения установ
ленного порога таких попыток подсистема аудита формирует сиг
нал о блокировке учетной записи данного пользователя.
8.3.4. Криптографическая подсистема
Криптографические методы защиты данных считаются наибо
лее надежными. Необходимо отметить, что все основные задачи защиты информации от НСД решаются с применением крипто
графии. В некоторых случаях они могут быть решены и другими путями, но, как правило, использование криптографии повышает
С
%
о
X
Й. 05
? 3
Н PQ
S I
Л 2
w cd
(L) >>
s 5
x о
cd С c q
^
5 X
g o ^
t=: о S
S & £
I I *
С S о
4 2
§ §
f 3
П
с
X
0 f
1
X
о
• e
e
s
«=3
i £
s
T
Й
c=[
5S
X
s
о
о
sr
s
X
X
(D
H
о
s
3
o .
2
X Cd j a c q
§ Й
s 35
=* s
ё
H
и £
я
*
s
X
s
s
CL
с
о
X
з
X
cd
CQ
о
Q .
О
*
r,
£ s
X Cd
f c
°
5 &
& • &
cd
£ e
Си О
^ - e
X
0)
£-
sr
о
о .
с
cd
*
cd
O -
§ S
S g
CO
cr O-
i s
^
s
3S
s
о
a>
T
s
H
о
о
с
s
Ь
о
Э*
s
ь
о
>>
X
о
• е
(D
е=:
а ,
о
0Q
2
го
cd
CL
U
§
CQ
cd
л
CQ
> .
S
О
X
§
CQ
О
о.
с
X
о
-ѳ*
g н
о
S
э
X
CQ
Е-
О
^ н
*г
О . J
О
S
с
^
I С5
cd
%
>л
Ю
(D Cd
S 2
X >>
cd Ю са
ч ч
CQ ^
cd ►-
t=S -Q
Q . =
с §
c[ I
X
X
(L>
О
H
о
и.
n
5
л
§
с
о
>>
Э
СО
оз
н
о
э5
О
сх
н
о
>>
<и
S
X
со
03
О
О.
S
X
СО
о,
(Т)
А
§
S
2
X
X
с
и
05
со
м
а
а)
т
X
го
х 2
■Ѳ* я
§ *
I I
° с
0 я
* S.
1 *
I S
ь s
X S
о 3
* S
се
;
со
*
о
<и
у
X
го ^
х g
■ѳ* £
э
С
О
СО
X
н
£
о §
3 а
-л ^
1 «
в- *-
ь s
х &
О я
^ я
2
s S
Е?
СО
СО
CQ
п
о
S °
-
Ё I
5 5
сх Й
ч> СХ
* *
«Г «
I s
§
А
§
6
з
э
СО
го
О
н
с
X
о.
го
X
■ѳ
S
н
05
X
о.
х
о
сх
D
* 2
ь і
О го
о
>.
CL
X и С
О
<и
J3
§
х Т
я
>
<и х
с о
о
СО О
t
Е -
X
СО
of
X
н
05
X
О.
с
о g
а. [-
<и
х
s
В
Я л и£ ГО
U
05
О. со
О “
о
*
о
>
т
X
н
о
>>
*
СО
СО
о,
II
5 ь
Е= 1 5 °
<
X
<и
X
*
о
>
гг
S
X
X
а>
н
о
S
п
СО
о.
0J
3
X
СО
J3
03
5 Й
s !5 3 Я
ё ь
о £
>
s
X
р
sr
о
о.
с
СО
*
СО
сх
о
сх
S
с
о
^ (U
,
X
> X
S СО
X ®
<и 3
a &
II
- о
3S СХ
3 s
х -Ѳ-
J3 со s &
X о
CQ *Ѳ"
а
3
X
J3
5
СО
C
Q
н
—
<-> s 35
я 2
(D сх
а>
3
X
S3
СХ
СО
е
с
<
3
S
СО
го
3
X
S
S
СО
СХ
U
о
СХ
с
о
С Х
S
Си
н
о
S
и
05
С Х с -
С0
ГО
Н
о; 2 5 о
Г ? ГО
со i-Q
н с=:
S о
S X
S о
г, [—
а) О
S X
X X
<и со
Т C
Q
о
и
о
X
т
X
S
СО
а.
СО
а.
СО
СХ
СО
с
с
СО
X
<и
X
и
X
SS ю
03
- г
о ^
сх 9Е
о
S
X
X
СО
о
(D
X
.
>>
§:5
JQ
о
>»
_ СХ
A
S
ГО
X
03
>»
э
5S
S
о
О
СО
Э* СХ
е
I
О X
S
< х
СО
X
и
X
о
<и
X
2
X
5
ь
о
X 03
ГО
со
СО
X
а.
СО
С
Л
Ы
о
X
X
ч>
03
н
и
S Ё
& 8
х Ѵ
>
■г о
д- ч
J3
р
X
о
о
X
<и
S
X «
>
^ 5
со С
СХ О
ю S
О С(
J2
со
СО
X
и
X
о
<и S
2 £
х g
н о
5 в
ГО
2
СО
X
СХ р2 з
С е;
X
0
X
СХ с-
Й І
1 І
CD о
ЗХ
2
X
я
$
£• >>
1
*
С х
<и
^
X
а 5
т
S
X §>
СХ і
Е- Г
^ X
ё
і
>,
5
-Q
§ С
н Н
О s
X
§
03
СО
X
J3
5
X
и
X
и
<и
X
X
(D
5
СО
о.
X
н
о
<и
о
03
о
н
'Т
о
X
СО
>»
ю
<и
X
. •
2 ^
X <и
S i
I s
Й s
Л °
CJ X
СО
н
s X
о п
5
05
>ч C
Q
* о
о
=* со
ST
СО
С Х
(D
X
S
СО
X
СО
о
X
эх
А
X
X
&
§
CQ
го
X
о
С Х
с
X
S
2
X
5 ^
I * a s о С
5 со X
'І ”
СО
СО
0« ю
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оцен
ки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут прово
диться работы по обнаружению и изъятию «закладок», предназ
наченных для скрытого перехвата защищаемой информации. Та
кие работы могут проводиться организациями, имеющими соот
ветствующие лицензии ФСБ России на данный вид деятельности.
При выборе средств защиты информации можно руководство
ваться табл. 7.2 [3].
7.3. Особенности защиты речевой
информации
Несмотря на уникальность каждого отдельного объекта защи
ты, можно выделить типовые сценарии защиты информации.
К наиболее типичным задачам можно отнести защиту речевой информации:
• в выделенном помещении, предназначенном для проведения конфиденциальных переговоров, в кабинетах руководства пред
приятия (защищаемые помещения — ЗП);
• на абонентском участке телефонной линии;
• на всем протяжении телефонной линии (от одного аппарата до другого, включая АТС и магистральный участок).
Рекомендации нормативного документа [40] по защите рече
вой информации следующие.
В учреждении должен быть документально определен перечень
ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ.
При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту. Ограждающие конструк
ции (стены, полы, потолки) не должны являться смежными с по
мещениями других учреждений (предприятий). Не рекомендует
ся располагать ЗП на первых этажах зданий.
Для исключения просмотра текстовой и графической конфи
денциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифици
рованными по требованиям безопасности информации OTCC и
ВТСС либо средствами, прошедшими специальные исследования
и имеющими предписание на эксплуатацию. Эксплуатация ОТСС,
ВТСС должна осуществляться в строгом соответствии с предпи
саниями и эксплутационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудова
ния с целью выявления возможно внедренных в них электронных устройств перехвата информации «закладок» проводится, при не
обходимости, по решению руководителя предприятия.
Во время проведения конфиденциальных мероприятий запре
щается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных маг
нитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим опреде
лителем номера следует отключать их от сети на время проведе
ния этих мероприятий.
Для исключения возможности утечки информации за счет элек
троакустического преобразования рекомендуется использовать в
ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), про
шедшие специальные исследования, либо оборудовать их серти
фицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется уста
навливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являю
щиеся сотрудниками учреждения (предприятия).
В случае необходимости рекомендуется использовать сертифи
цированные по требованиям безопасности информации цифро
вые АТС либо устанавливать в эти помещения аналоговые аппа
раты.
Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществ
лять через радиотрансляционный узел (буферный усилитель), раз
мещаемый в пределах контролируемой зоны.
При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговори
тели в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме при
ема второй и третьей программ (с усилителем). В случае исполь
зования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без уси
ления) необходимо их отключать на период проведения конфи
денциальных мероприятий.
При размещении внутри КЗ электрочасовой станции исполь
зование в ЗП электровторичных часов (ЭВЧ) возможно без средств
6 Грибунин
161
ВТСС должна осуществляться в строгом соответствии с предпи
саниями и эксплутационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудова
ния с целью выявления возможно внедренных в них электронных устройств перехвата информации «закладок» проводится, при не
обходимости, по решению руководителя предприятия.
Во время проведения конфиденциальных мероприятий запре
щается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных маг
нитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим опреде
лителем номера следует отключать их от сети на время проведе
ния этих мероприятий.
Для исключения возможности утечки информации за счет элек
троакустического преобразования рекомендуется использовать в
ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), про
шедшие специальные исследования, либо оборудовать их серти
фицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется уста
навливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являю
щиеся сотрудниками учреждения (предприятия).
В случае необходимости рекомендуется использовать сертифи
цированные по требованиям безопасности информации цифро
вые АТС либо устанавливать в эти помещения аналоговые аппа
раты.
Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществ
лять через радиотрансляционный узел (буферный усилитель), раз
мещаемый в пределах контролируемой зоны.
При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговори
тели в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме при
ема второй и третьей программ (с усилителем). В случае исполь
зования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без уси
ления) необходимо их отключать на период проведения конфи
денциальных мероприятий.
При размещении внутри КЗ электрочасовой станции исполь
зование в ЗП электровторичных часов (ЭВЧ) возможно без средств
6 Грибунин
161
защиты информации. При установке электрочасовой станции вне
КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
Системы пожарной и охранной сигнализации ЗП должны стро
иться только по проводной схеме сбора информации (связи с пуль
том) и, как правило, размещаться в пределах одной с ЗП контро
лируемой зоне. В качестве оконечных устройств пожарной и охран
ной сигнализации в ЗП рекомендуется использовать изделия, сер
тифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имею
щие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ЗП, их систем вен
тиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществ
ляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала не может быть ниже используемого во время штатного режима эксплуатации помещения.
Для обеспечения необходимого уровня звукоизоляции поме
щений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных при
творах и применение шумопоглотителей на выходах вентиляци
онных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организа
ционно-режимные меры, ограничивая на период проведения кон
фиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
Для снижения вероятности перехвата информации по вибро- акустическому каналу следует организационно-режимными ме
рами исключить возможность установки посторонних (нештат
ных) предметов на внешней стороне ограждающих конструкций
ЗП и выходящих из них инженерных коммуникаций (систем ото
пления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления и вентиля
ции оборудовать звукоизолирующими экранами.
Если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного аку
стического или виброакустического маскирующего зашумления.
Для этой цели должны применяться сертифицированные сред
ства активной защиты.
КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
Системы пожарной и охранной сигнализации ЗП должны стро
иться только по проводной схеме сбора информации (связи с пуль
том) и, как правило, размещаться в пределах одной с ЗП контро
лируемой зоне. В качестве оконечных устройств пожарной и охран
ной сигнализации в ЗП рекомендуется использовать изделия, сер
тифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имею
щие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ЗП, их систем вен
тиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществ
ляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала не может быть ниже используемого во время штатного режима эксплуатации помещения.
Для обеспечения необходимого уровня звукоизоляции поме
щений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных при
творах и применение шумопоглотителей на выходах вентиляци
онных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организа
ционно-режимные меры, ограничивая на период проведения кон
фиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
Для снижения вероятности перехвата информации по вибро- акустическому каналу следует организационно-режимными ме
рами исключить возможность установки посторонних (нештат
ных) предметов на внешней стороне ограждающих конструкций
ЗП и выходящих из них инженерных коммуникаций (систем ото
пления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления и вентиля
ции оборудовать звукоизолирующими экранами.
Если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного аку
стического или виброакустического маскирующего зашумления.
Для этой цели должны применяться сертифицированные сред
ства активной защиты.
При эксплуатации ЗП необходимо предусматривать организа
ционно-режимные меры, направленные на исключение несанк
ционированного доступа в помещение:
• двери ЗП в период между мероприятиями, а также в нерабо
чее время необходимо запирать на ключ;
• выдача ключей от ЗП должна производиться лицам, работаю
щим в нем или ответственным за это помещение;
• установка и замена оборудования, мебели, ремонт ЗП долж
ны производиться только по согласованию и под контролем под
разделения (специалиста) по защите информации учреждения
(предприятия).
7 .4 . Особенности защиты компьютерной
информации от утечки по каналам ГІЭМИН
Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, програм
мных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи. СЗИ
АС можно разделить на две составляющие: подсистема ЗИ от НСД
(рассмотрена в гл. 8) и подсистема ЗИ от утечки по каналам по
бочных электромагнитных излучений и наводок (ПЭМИН). Имен
но эта подсистема и рассматривается в данном пункте.
Важность защиты от утечки по каналам ПЭМИН обусловлена тем, что все средства вычислительной техники в процессе работы излучают энергию в широком частотном диапазоне. Эта энергия может выступать в качестве несущего колебания и быть промоду- лирована информационной составляющей. Известны опыты по перехвату ЭМИ монитора компьютера на расстоянии нескольких сотен метров.
Естественно, что кроме побочных имеются и «основные» ко
лебания, например создаваемые вокруг кабеля связи при переда
че по нему информации. Необходимо реализовать защиту от утечки информации по этим каналам.
Кроме того, работающее СВТ создает наводки в цепях элект
ропитания, заземления, находящихся рядом ВТСС, выступающих в качестве случайных антенн. Так, одним из методов криптоана
лиза является измерение потребляемого шифровальной аппарату
рой тока. Если не принять специальных мер, то по изменению величины этого тока можно судить о битах вводимых ключей, особенностях неизвестного нарушителю криптоалгоритма.
В это же направление деятельности по ЗИ попадает и защита от утечки информации за счет специальных воздействий.
В качестве основных технических мер защиты информации в
АС (кроме ЗИ от НСД) рекомендуются [40]:
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, пере
дачи и хранения информации;
• использование технических средств, удовлетворяющих тре
бованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты инфор
мации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в преде
лах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информатив
ный сигнал;
• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационны
ми цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи (защищенных
ВОЛС) и криптографических средств ЗИ;
• размещение дисплеев и других средств отображения инфор
мации, исключающее ее несанкционированный просмотр;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникнове
ние в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны техни
ческих средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабаты
ваемой и передаваемой средствами вычислительной техники и связи (при необходимости определяемой особенностями функци
онирования конкретных АС и систем связи);
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Так, в США активно разрабатывалась технология Tempest, за
ключающаяся в перехвате информации, излучаемой мониторами.
В программное обеспечение СВТ может быть внедрена закладка, осуществляющая незаметное для пользователя модуляцию излу
чения монитора важной информацией, и эта информация станет доступной нарушителю.
Для обработки информации, составляющей служебную и ком
мерческую тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стан
дартов Российской Федерации по электромагнитной совместимо
сти, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляе
мым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216 — 91;
ГОСТ Р 50948-96; ГОСТ Р 50949-96; ГОСТ Р 50923-96; Сан-
ПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомен
дуется использовать сертифицированные по требованиям без
опасности информации СВТ.
Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы свя
зи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства за
шиты информации. Применяемые средства защиты информации должны быть сертифицированы.
сти, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляе
мым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216 — 91;
ГОСТ Р 50948-96; ГОСТ Р 50949-96; ГОСТ Р 50923-96; Сан-
ПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомен
дуется использовать сертифицированные по требованиям без
опасности информации СВТ.
Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы свя
зи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства за
шиты информации. Применяемые средства защиты информации должны быть сертифицированы.
1 ... 12 13 14 15 16 17 18 19 ... 41
Гл а в а 8
Определение возможностей
несанкционированного доступа
к защищаемой информации
8 .1 . Методы и способы защиты информации
Средства защиты информации могут быть программными, про
граммно-аппаратными, аппаратно-программными и аппаратны
ми. В каждом случае СЗИ выбираются исходя из множества кри
териев, и каждому типу находится свое место. Классификация методов и средств защиты данных представлена на рис. 8.1 [28].
Рассмотрим кратко основные методы защиты данных. Управле
ние представляет собой целенаправленное воздействие на систему защиты информации с целью обеспечения выполнения ею своих функций. В настоящее время практически все средства защиты информации имеют канал управления. Это позволяет организовать централизованное управление, когда настройки множества средств выполняет из одной точки доступа администратор безопасности.
Препятствия преграждают нарушителю путь к защищаемой информации. Физическими препятствиями являются дверные зам
ки, решетки на окнах и т. п. Логическими препятствиями служат подсистемы разграничения доступа в компьютерных системах, шифрование данных.
Маскировка данных представляет собой метод их защиты пу
тем стеганографического преобразования. При этом важная ин
формация встраивается в непривлекающий внимания контейнер.
Например, в обычное фотоизображение можно незаметно встро
ить порядка 10 Кбайт информации.
Регламентация как метод защиты заключается в разработке порядка и правил поведения пользователей, эксплуатации средств вычислительной техники, технологий обработки данных, при ко
торых минимизируется риск НСД.
Побуждение состоит в создании у законных пользователей ло
яльности к целям и задачам фирмы, создании на предприятии атмосферы нетерпимости к фактам небрежности и расхлябанно
сти, которые могут повлечь за собой утерю данных.
Принуждение включает создание системы различных наказа
ний за нарушения ИБ вплоть до уголовной ответственности.
Рис. 8.1. Классификация методов и средств защиты данных
Технические средства защиты строятся на основе методов уп
равления, препятствия и маскировки. Их можно разделить, как уже отмечалось, на физические и логические.
Физические средства защиты создают препятствия для наруши
телей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты АС, в помещение с аппарату
рой и носителями данных и т.д. Они выполняют следующие ос
новные функции: охрана территории и зданий, охрана внутренних помещений, охрана оборудования и наблюдение за ним, контроль доступа в защищаемые зоны, нейтрализация излучений и наводок, создание препятствий визуальному наблюдению и подслушиванию, противопожарная защита, блокировка действий нарушителя и т.п.
Для предотвращения проникновения нарушителей на охраняе
мые объекты применяются следующие основные технические ус
тройства [28]:
• сверхвысокочастотные, ультразвуковые и инфракрасные си
стемы, основанные на изменении частоты отражения от движу
щегося объекта сигнала и предназначенные для обнаружения дви
жущихся объектов, определения их размеров, скорости и направ
ления перемещения, применяются главным образом внутри по
мещений, СВЧ системы могут применяться и для охраны зданий и территорий;
• лазерные и оптические системы реагируют на пересечение нарушителями светового луча и применяются, в основном, внут
ри помещений;
• телевизионные системы широко применяются для наблюде
ния как за территорией охраняемого объекта, так и за обстанов
кой внутри помещений;
• кабельные системы используются для охраны небольших объектов и оборудования внутри помещений и состоят из заглуб
ленного кабеля, окружающего защищаемый объект и излучающе
го радиоволны; приемник излучения реагирует на изменение поля, создаваемое нарушителем;
• системы защиты окон и дверей предназначены не только для препятствия механическому проникновению, а, главным образом, для защиты от наблюдения и подслушивания.
Регулирование доступа на территорию и в помещения может осуществляться и с помощью специальных замков и датчиков, а также идентифицирующих устройств. Для защиты от перехвата электромагнитного излучения применяются экранирование и за
шумляющие генераторы излучений.
8.2. Классификация СЗИ НСД
В этой главе рассматриваются только логические средства — средства защиты информации от НСД в АС. В настоящее время на рынке представлено большое количество разнообразных про
граммных, программно-аппаратных, аппаратно-программных СЗИ
НСД. Приведем их возможную классификацию.
СЗИ от НСД в общем случае можно разделить на универсаль
ные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные в системные средства и добавочные (по способу реа
лизации). Подобная классификация крайне важна ввиду того, что при построении СЗИ от НСД каждого типа разработчиками фор
мулируются и решаются совершенно различные задачи, что в боль
шой мере определяет область эффективного использования СЗИ от НСД. Например, большинство современных ОС можно отнес
ти к универсальным, используемым и в личных целях, и в корпо
ративных приложениях, а эти области приложений выдвигают совершенно различные (и во многом противоречащие друг другу) требования к механизмам защиты. Естественно, что при построе
нии защиты универсального системного средства должно учиты
ваться, какая область его практического использования домини
рует. Как следствие, во многом зашита в современных универ
сальных ОС реализуется исходя из концепции полного доверия к пользователю и становится во многом бесполезной в корпоратив
ных приложениях, например при решении задач противодействия внутренним ИТ-угрозам (хищение конфиденциальных данных санкционированными пользователями — инсайдерами).
По месту применения СЗИ НСД делятся:
• на СЗИ защиты отдельного компьютера (КПК, сотового те
лефона);
• СЗИ защиты информации в локальных сетях;
• СЗИ защиты информации в глобальных сетях.
По объектам защиты отдельного компьютера СЗИ НСД де
лятся:
• на СЗИ защиты доступа к компьютеру (аппаратно-программ
ные модули доверенной загрузки);
• СЗИ для операционной системы;
. СЗИ для СУБД;
• СЗИ для отдельных приложений.
По функциональному назначению СЗИ делятся:
• на аппаратно-программные комплексы СЗИ от НСД на АРМ пользователей и в ЛВС;
• средства управления обновлениями программных компонент АС;
• межсетевые экраны;
• средства построения VPN;
• средства контроля доступа;
• средства обнаружения вторжений и аномалий;
• средства резервного копирования и архивирования;
• средства централизованного управления безопасностью;
• средства предотвращения вторжений на уровне серверов;
• средства аудита и мониторинга средств безопасности;
• средства контроля деятельности сотрудников в сети Интернет;
• средства анализа содержимого почтовых сообщений;
• средства анализа защищенности информационных систем;
• антивирусные программные средства;
• средства защиты от спама;
• средства защиты от атак класса «Отказ в обслуживании»;
• средства контроля целостности;
• удостоверяющие центры и средства электронной цифровой подписи;
• средства криптографической защиты информации;
• средства усиленной аутентификации и пр.
8.3. Механизмы обеспечения безопасности
информации
8.3.1. Идентификация и аутентификация
Рассмотрим основные механизмы зашиты информации и обо
значим некоторые средства их реализации.
Основой любых систем ЗИ являются идентификация и аутен
тификация, так как все механизмы зашиты информации рассчи
таны на работу с поименованными субъектами и объектами АС
[28]. Напомним, что в качестве субъектов АС могут выступать как пользователи, так и процессы, а в качестве объектов АС — ин
формация и другие информационные ресурсы системы.
С древних времен люди использовали различные средства, чтобы доказать другим, что они те, за кого себя выдают. Для этих целей использовались устные пароли («то, что знаю»), различные удо
стоверения личности с трудно подделываемыми элементами («то, что имею»), в удостоверениях личности могли быть описаны осо
бые приметы человека («то, чем являюсь»). Характерной чертой этих, докомпьютерных, методов установления подлинности лич
ности было то, что в качестве проверяющего лица обычно высту
пал человек, а также то, что такая проверка происходила при не
посредственном контакте.
В современных вычислительных сетях решение о подлинности предъявленного удостоверения выносит компьютер, а непосред
ственный контакт предъявителя и проверяющего становится все большей редкостью. Рассмотрим и еще одно существенное отли
чие сегодняшней ситуации от исторических времен. Если в ту эпоху лицу, не прошедшему проверку подлинности, грозило усек
новение головы, то сейчас любой может попробовать себя в каче
стве «взломщика» информационной системы практически без вся
ких для себя последствий.
Согласно ГОСТ Р ИСО 7498-2—99 [14], процедура проверки подлинности предъявленного субъектом доступа идентификатора называется аутентификацией. Как указано в этом стандарте, раз
личается аутентификация отправителя данных — «подтверждение того, что отправитель полученных данных соответствует заявлен
ному», и аутентификация равноправного логического объекта —
«подтверждение того, что равноправный логический объект в ка
кой-либо ассоциации является заявленным логическим объектом».
Задача аутентификации отправителя данных успешно решает
ся при помощи технологии ЭЦП. Далее речь пойдет об аутенти
фикации во втором смысле этого слова, при этом в качестве субъек
та доступа может выступать как человек, так и программа.
Системы электронной торговли, Интернет-банкинга, платеж
ные системы, в том числе мобильные, сайты с платным контен
том — вот далеко неполный перечень областей, где от надежной аутентификации субъектов зависит судьба финансов. А что уж говорить об информационных системах, в которых обрабатывает
ся информация, составляющая государственную тайну, и о воен
ных системах!
Без всякого преувеличения можно сказать, что аутентифика
ция является самым важным механизмом безопасности. И надеж
ная аутентификация невозможна без привлечения криптографи
ческих методов.
Рассмотрим элементы системы аутентификации. В любой та
кой системе, во-первых, присутствует субъект доступа — человек или программный процесс. Во-вторых, должен быть идентифика
тор, т.е. какая-то характеристика, отличающая этого субъекта от других. В-третьих, есть владелец информационной системы, не
сущий ответственность за ее эксплуатацию и полагающийся в раз
граничении пользователей на механизм аутентификации. От его имени обычно действует администратор. Следовательно, в-чет- вертых, необходимо наличие механизма аутентификации для про
верки предъявленного идентификатора. И наконец, при успеш
ном прохождении аутентификации субъект доступа наделяется определенными правами и полномочиями, т.е. происходит про
цесс его авторизации.
В табл. 8.1 приведены элементы аутентификации для различ
ных информационных систем.
В компьютерных системах механизмы аутентификации и авто
ризации обычно реализуются раздельно.
Механизмы аутентификации в современных информационных системах основаны на тех же факторах, что и в далеком прошлом:
• «то, что знаю» — пароли;
• «то, что имею» — смарт-карты, токены и т.п.;
• «то, чем являюсь» — биометрические технологии аутентифи
кации.
Т а б л и ц а 8.1. Элементы системы аутентификации
Элемент аутентификации
Процедура регистрации в системе
Банкомат
Web-cepeep по отношению к клиенту
Субъект доступа
Авторизованный пользователь
Владелец банков
ского счета
Владелец
Web-cepeepa
Идентификатор
Секретный пароль
Банковская карточка и PIN
Открытый ключ в сертификате
Владелец системы,
администратор
Предприятие,
фирма
Банк
Удостоверяю
щий центр, выдающий сертификаты
Механизм аутентификации
Программное обеспечение,
проверяющее пароль
Программное обеспечение,
проверяющее карточку
Программное обеспечение,
проверяющее сертификат
Механизм авторизации
Процесс регистрации,
управление доступом
Разрешение на выполнение банковской транзакции
Метки браузе
ра, говорящие о «защищен
ном» статусе страницы
Аутентификация может быть однофакторной (как правило, основанной на паролях) и многофакторной (сочетание вышепри
веденных факторов).
В настоящее время считается, что парольная зашита не обеспе
чивает безопасности распределенных систем, поэтому применя
ются многофакторные механизмы аутентификации. Кроме того, реализуются усиленные (криптографические) протоколы аутен
тификации, используемые в распределенных системах.
Рассмотрим основные типы механизмов аутентификации. К ним относятся: локальная аутентификация; прямая аутентификация; непрямая аутентификация; автономная аутентификация.
Локальная аутентификация характерна для автономных ком
пьютеров. Здесь вся система, включая механизмы аутентифика
ции и авторизации, находится в пределах защищаемого организа
ционными и техническими мерами периметра безопасности.
Пользователь находится вне этого периметра. Если к надежности периметра безопасности имеется высокое доверие, то в качестве паролей могут использоваться запоминающиеся слова, PIN-коды.
Пароли могут храниться в системе в открытом виде. Ведь все, что может сделать нарушитель — это подбирать пароль в интерактив
ном режиме. Конечно, если периметр безопасности «взломан», то нарушитель сможет внедрить закладку, например записывающую последовательность нажатий клавиш.
Общим недостатком локальных механизмов аутентификации являются трудности администрирования систем, где они реализо
ваны, которые возрастают при увеличении рабочих мест.
При прямой аутентификации имеется сервер, на котором раз
мещены и механизмы аутентификации, и объекты доступа, т.е. данные. К этому серверу имеют удаленный доступ несколько пользователей. Как и при локальной аутентификации, механиз
мы аутентификации и управления доступом находятся внутри одного физического периметра безопасности.
Аутентификация называется прямой, так как решение о досту
пе принимается в той же точке, к которой и осуществляется до
ступ. Такая система хорошо работает при небольшом количестве пользователей: администратор знает своих пользователей, поддер
живает базу данных аутентификации. В случае надобности вопро
сы исключения/добавления в эту базу пользователей решаются максимально оперативно и просто.
Как и обычно, за преимущества и удобства централизации надо платить, так как при этом снижается устойчивость к сбоям: до
статочно нарушить работу одного сервера. Ввиду того, что пользо
вательские станции находятся вне пределов периметра безопас
ности, к каналу связи между ними и сервером безопасности воз
можен несанкционированный доступ. Поэтому становится невоз
можным использование «обычных», многоразовых паролей, а также
биометрических средств аутентификации: противник всегда мо
жет перехватить информацию и использовать ее впоследствии.
В системах прямой аутентификации используются зашифрованные пароли либо одноразовые пароли, а также схемы «запрос-ответ».
В современных протоколах аутентификации типа RADIUS,
Kerberos, а также протоколов, реализованных в домене Windows, используется непрямая аутентификация, при которой имеется несколько точек обслуживания, требующих управления доступом.
База данных аутентификации — единая, что облегчает админист
рирование. В системе непрямой аутентификации имеется отдель
ный сервер аутентификации, услугами которого пользуются все точки управления доступом. Отсюда и название «непрямая», так как точки доступа не принимают решения самостоятельно, но целиком полагаются на сервер аутентификации. В системах с не
прямой аутентификацией не обойтись без применения протоко
лов аутентификации.
Опишем наиболее общий протокол непрямой аутентифика
ции.
1. Субъект доступа обращается к точке доступа, передавая ей свой идентификатор и пароль.
2. Точка доступа передает эти данные серверу аутентифика
ции.
3. Сервер аутентификации принимает решение о разрешении/ запрете доступа и сообщает его точке доступа.
4. Точка доступа доводит решение до субъекта доступа.
У нарушителя в данном протоколе имеется возможность не только повторно использовать перехваченный пароль пользовате
ля, но и подделать ответ сервера аутентификации, вследствие чего в этом канале связи также должно применяться шифрование.
Системы непрямой аутентификации хорошо масштабируемы, кроме того, могут обладать высокой устойчивостью к сбоям. Для достижения этого свойства применяются механизмы репликации баз данных аутентификации на различные территориально разне
сенные серверы.
В системах с открытым ключом применяется автономная
аутентификация. В подобных системах аутентификация выпол
няется максимально распределенным образом, так как считается, что субъекты доступа не имеют связи в реальном времени с серве
ром аутентификации. Этот тип аутентификации объединяет осо
бенности первых трех типов. Как и в случае локальной аутенти
фикации, автономная аутентификация может выполняться на не подключенном к сети устройстве. Как и в случае локальной и прямой аутентификации механизм аутентификации расположен там же, где и механизм управления доступом. Как и при непря
мой аутентификации, владелец поддерживает централизованный список авторизованных пользователей.
Такие системы характерны для электронной коммерции, когда клиенты (точки обслуживания) пытаются аутентифицировать сер
вер, а не наоборот. Владелец представляет собой независимую сторону (Удостоверяющий центр), который обеспечивает единую среду доверия для серверов и клиентов. Аутентификация осуще
ствляется в два этапа. На первом этапе Удостоверяющий центр передает клиенту подписанный им сертификат открытого ключа сервера. Клиент проверяет подлинность подписи и далее исполь
зует этот ключ в криптопротоколах типа SSL для безопасного со
единения с сервером.
Особенностью аутентификации автономного типа является то, что формирование и подпись сертификатов для участников ин
формационного обмена владелец осуществляет в изолированной системе, поэтому нарушитель не имеет доступа к механизму реги
страции пользователей.
Автономный тип аутентификации является отказоустойчивым, так как устройство может аутентифицировать любой объект, осу
ществляя поиск нужных сертификатов в своей базе данных или извлекая из того объекта, который аутентифицируется (именно так сделано в SSL). Каталоги открытых ключей могут также быть реплицированы на многие устройства системы.
Основным недостатком автономного типа аутентификации яв
ляется сложность лишения полномочий ранее авторизованного пользователя.
Как указано в ГОСТ Р ИСО 7498-2 — 99 [14], под паролем по
нимается «конфиденциальная информация аутентификации, обыч
но состоящая из строки знаков».
Пароли бывают одноразовые и многоразовые. Вначале будем считать (по умолчанию), что все пароли — многоразовые.
На безопасность применения паролей для аутентификации важ
ное влияние оказывают следующие моменты:
• генерация паролей;
• выдача паролей пользователям и их хранение ими;
• хранение паролей в системе;
• ввод пароля пользователем и его проверка;
• периодичность смены паролей;
• вывод паролей из действия.
Еще лет 20 назад вопросам генерации паролей не уделялось особого внимания. Так, в Руководстве Министерства обороны
США, изданном в 1985 г., единственными требованиями была хорошая запоминаемость и отличие текущего выбранного пароля от предыдущего. Кроме того, рекомендовалось проектировать си
стемы так, чтобы свести вероятность подбора пароля за 1 год его применения до величины 106. Для этого длина пароля должна была составлять 9 буквенных или 8 буквенно-цифровых симво
лов. Кстати, именно последнее требование к паролям встречается
в РД Гостехкомиссии для автоматизированных систем высоких классов защищенности.
Однако разрешать пользователям выбирать себе пароль само
стоятельно было не очень хорошей идеей, так как чаще всего они выбирали в качестве них какие-нибудь значимые слова. Посколь
ку средний размер активного словаря человека — порядка 5 тыс. слов, вероятность угадывания составляет всего лишь 5 • 10_3 с пер
вой попытки. Если же учесть возможность автоматизированных словарных атак с заранее подготовленными словарями, то подбор пароля может быть осуществлен моментально. Поэтому в руко
водствах по безопасности обычно указывается на необходимость выбора буквенно-цифрового пароля из символов верхнего и ниж
него регистров, что существенно увеличивает пространство атаки.
Как запомнить такой пароль? Ведь требование хорошей запо
минаемости паролей возникло не от хорошей жизни: оно необхо
димо для того, чтобы пользователи не записывали пароли, где попало. Хрестоматийным нарицательным примером является за
писанный на хранящейся под ковриком мышки или приклеенной с обратной стороны клавиатуры бумажке пароль. Это лишний раз показывает, что технические меры следует дополнять организа
ционными. В соответствии с современными воззрениями, гриф секретности паролей должен быть не ниже грифа секретности за
щищаемых данных. Значит, он должен быть либо записанным на учтенный лист бумаги (в рабочую тетрадь), либо на носитель со
ответствующего уровня конфиденциальности. В настоящее время на рынке имеются достаточно удобные (и, что немаловажно, сер
тифицированные для обработки информации с самыми высоки
ми грифами) устройства памяти для хранения паролей.
Итак, проблему надежного хранения паролей можно решить, затратив небольшие деньги, а то и вообще бесплатно. Но как осу
ществлять их автоматическую генерацию? Казалось бы, какая раз
ница? Используем вызовы функции rand(), приведем получивши
еся числа по нужному модулю — пароль готов. Однако во многих языках программирования встроенная функция генерации слу
чайных чисел порождает вполне детерминированную последова
тельность.
Кроме всего прочего, для встроенной функции типа rand() очень мало пространство атаки. Под пространством атаки понимает
ся среднее количество бит, которые должен «угадать» противник для подбора пароля. Например, чтобы подобрать пароль, состоя
щий из одного шестнадцатиричного символа, противнику нужно угадать 4 бита, значит, пространство атаки составляет 4 бита, т.е., по сути, пространство атаки есть не что иное, как энтропия паро
ля. В случае использования встроенной функции пространство атаки будет определяться не длиной и алфавитом сгенерирован
ных паролей, а энтропией начального заполнения линейного кон
груэнтного генератора, используемого для генерации. В качестве такового используются показания системного таймера, который имеет дискретность 1/12 с. Если противнику известно время ге
нерации пароля с точностью, например, до минуты, то неопреде
ленность составляет всего лишь log2(60 • 12) = 9,5 бит, что пример
но эквивалентно паролю из трех цифр. Таким образом, стойкость
«случайного» пароля, порожденного встроенной функцией гене
рации случайных чисел, не зависит от алфавита и размера пароля.
Для создания паролей в идеале следует использовать крипто
графически безопасные генераторы случайных чисел (ГСЧ) — ге
нераторы гаммы. Инициализация этих генераторов должна про
изводиться от различных источников случайности, а не только от системного времени.
1 ... 13 14 15 16 17 18 19 20 ... 41
Рис. 8.1. Классификация методов и средств защиты данных
Технические средства защиты строятся на основе методов уп
равления, препятствия и маскировки. Их можно разделить, как уже отмечалось, на физические и логические.
Физические средства защиты создают препятствия для наруши
телей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты АС, в помещение с аппарату
рой и носителями данных и т.д. Они выполняют следующие ос
новные функции: охрана территории и зданий, охрана внутренних помещений, охрана оборудования и наблюдение за ним, контроль доступа в защищаемые зоны, нейтрализация излучений и наводок, создание препятствий визуальному наблюдению и подслушиванию, противопожарная защита, блокировка действий нарушителя и т.п.
Для предотвращения проникновения нарушителей на охраняе
мые объекты применяются следующие основные технические ус
тройства [28]:
• сверхвысокочастотные, ультразвуковые и инфракрасные си
стемы, основанные на изменении частоты отражения от движу
щегося объекта сигнала и предназначенные для обнаружения дви
жущихся объектов, определения их размеров, скорости и направ
ления перемещения, применяются главным образом внутри по
мещений, СВЧ системы могут применяться и для охраны зданий и территорий;
• лазерные и оптические системы реагируют на пересечение нарушителями светового луча и применяются, в основном, внут
ри помещений;
• телевизионные системы широко применяются для наблюде
ния как за территорией охраняемого объекта, так и за обстанов
кой внутри помещений;
• кабельные системы используются для охраны небольших объектов и оборудования внутри помещений и состоят из заглуб
ленного кабеля, окружающего защищаемый объект и излучающе
го радиоволны; приемник излучения реагирует на изменение поля, создаваемое нарушителем;
• системы защиты окон и дверей предназначены не только для препятствия механическому проникновению, а, главным образом, для защиты от наблюдения и подслушивания.
Регулирование доступа на территорию и в помещения может осуществляться и с помощью специальных замков и датчиков, а также идентифицирующих устройств. Для защиты от перехвата электромагнитного излучения применяются экранирование и за
шумляющие генераторы излучений.
8.2. Классификация СЗИ НСД
В этой главе рассматриваются только логические средства — средства защиты информации от НСД в АС. В настоящее время на рынке представлено большое количество разнообразных про
граммных, программно-аппаратных, аппаратно-программных СЗИ
НСД. Приведем их возможную классификацию.
СЗИ от НСД в общем случае можно разделить на универсаль
ные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные в системные средства и добавочные (по способу реа
лизации). Подобная классификация крайне важна ввиду того, что при построении СЗИ от НСД каждого типа разработчиками фор
мулируются и решаются совершенно различные задачи, что в боль
шой мере определяет область эффективного использования СЗИ от НСД. Например, большинство современных ОС можно отнес
ти к универсальным, используемым и в личных целях, и в корпо
ративных приложениях, а эти области приложений выдвигают совершенно различные (и во многом противоречащие друг другу) требования к механизмам защиты. Естественно, что при построе
нии защиты универсального системного средства должно учиты
ваться, какая область его практического использования домини
рует. Как следствие, во многом зашита в современных универ
сальных ОС реализуется исходя из концепции полного доверия к пользователю и становится во многом бесполезной в корпоратив
ных приложениях, например при решении задач противодействия внутренним ИТ-угрозам (хищение конфиденциальных данных санкционированными пользователями — инсайдерами).
По месту применения СЗИ НСД делятся:
• на СЗИ защиты отдельного компьютера (КПК, сотового те
лефона);
• СЗИ защиты информации в локальных сетях;
• СЗИ защиты информации в глобальных сетях.
По объектам защиты отдельного компьютера СЗИ НСД де
лятся:
• на СЗИ защиты доступа к компьютеру (аппаратно-программ
ные модули доверенной загрузки);
• СЗИ для операционной системы;
. СЗИ для СУБД;
• СЗИ для отдельных приложений.
По функциональному назначению СЗИ делятся:
• на аппаратно-программные комплексы СЗИ от НСД на АРМ пользователей и в ЛВС;
• средства управления обновлениями программных компонент АС;
• межсетевые экраны;
• средства построения VPN;
• средства контроля доступа;
• средства обнаружения вторжений и аномалий;
• средства резервного копирования и архивирования;
• средства централизованного управления безопасностью;
• средства предотвращения вторжений на уровне серверов;
• средства аудита и мониторинга средств безопасности;
• средства контроля деятельности сотрудников в сети Интернет;
• средства анализа содержимого почтовых сообщений;
• средства анализа защищенности информационных систем;
• антивирусные программные средства;
• средства защиты от спама;
• средства защиты от атак класса «Отказ в обслуживании»;
• средства контроля целостности;
• удостоверяющие центры и средства электронной цифровой подписи;
• средства криптографической защиты информации;
• средства усиленной аутентификации и пр.
8.3. Механизмы обеспечения безопасности
информации
8.3.1. Идентификация и аутентификация
Рассмотрим основные механизмы зашиты информации и обо
значим некоторые средства их реализации.
Основой любых систем ЗИ являются идентификация и аутен
тификация, так как все механизмы зашиты информации рассчи
[28]. Напомним, что в качестве субъектов АС могут выступать как пользователи, так и процессы, а в качестве объектов АС — ин
формация и другие информационные ресурсы системы.
С древних времен люди использовали различные средства, чтобы доказать другим, что они те, за кого себя выдают. Для этих целей использовались устные пароли («то, что знаю»), различные удо
стоверения личности с трудно подделываемыми элементами («то, что имею»), в удостоверениях личности могли быть описаны осо
бые приметы человека («то, чем являюсь»). Характерной чертой этих, докомпьютерных, методов установления подлинности лич
ности было то, что в качестве проверяющего лица обычно высту
пал человек, а также то, что такая проверка происходила при не
посредственном контакте.
В современных вычислительных сетях решение о подлинности предъявленного удостоверения выносит компьютер, а непосред
ственный контакт предъявителя и проверяющего становится все большей редкостью. Рассмотрим и еще одно существенное отли
чие сегодняшней ситуации от исторических времен. Если в ту эпоху лицу, не прошедшему проверку подлинности, грозило усек
новение головы, то сейчас любой может попробовать себя в каче
стве «взломщика» информационной системы практически без вся
ких для себя последствий.
Согласно ГОСТ Р ИСО 7498-2—99 [14], процедура проверки подлинности предъявленного субъектом доступа идентификатора называется аутентификацией. Как указано в этом стандарте, раз
личается аутентификация отправителя данных — «подтверждение того, что отправитель полученных данных соответствует заявлен
ному», и аутентификация равноправного логического объекта —
«подтверждение того, что равноправный логический объект в ка
кой-либо ассоциации является заявленным логическим объектом».
Задача аутентификации отправителя данных успешно решает
ся при помощи технологии ЭЦП. Далее речь пойдет об аутенти
фикации во втором смысле этого слова, при этом в качестве субъек
та доступа может выступать как человек, так и программа.
Системы электронной торговли, Интернет-банкинга, платеж
ные системы, в том числе мобильные, сайты с платным контен
том — вот далеко неполный перечень областей, где от надежной аутентификации субъектов зависит судьба финансов. А что уж говорить об информационных системах, в которых обрабатывает
ся информация, составляющая государственную тайну, и о воен
ных системах!
Без всякого преувеличения можно сказать, что аутентифика
ция является самым важным механизмом безопасности. И надеж
ная аутентификация невозможна без привлечения криптографи
ческих методов.
Рассмотрим элементы системы аутентификации. В любой та
кой системе, во-первых, присутствует субъект доступа — человек или программный процесс. Во-вторых, должен быть идентифика
тор, т.е. какая-то характеристика, отличающая этого субъекта от других. В-третьих, есть владелец информационной системы, не
сущий ответственность за ее эксплуатацию и полагающийся в раз
граничении пользователей на механизм аутентификации. От его имени обычно действует администратор. Следовательно, в-чет- вертых, необходимо наличие механизма аутентификации для про
верки предъявленного идентификатора. И наконец, при успеш
ном прохождении аутентификации субъект доступа наделяется определенными правами и полномочиями, т.е. происходит про
цесс его авторизации.
В табл. 8.1 приведены элементы аутентификации для различ
ных информационных систем.
В компьютерных системах механизмы аутентификации и авто
ризации обычно реализуются раздельно.
Механизмы аутентификации в современных информационных системах основаны на тех же факторах, что и в далеком прошлом:
• «то, что знаю» — пароли;
• «то, что имею» — смарт-карты, токены и т.п.;
• «то, чем являюсь» — биометрические технологии аутентифи
кации.
Т а б л и ц а 8.1. Элементы системы аутентификации
Элемент аутентификации
Процедура регистрации в системе
Банкомат
Web-cepeep по отношению к клиенту
Субъект доступа
Авторизованный пользователь
Владелец банков
ского счета
Владелец
Web-cepeepa
Идентификатор
Секретный пароль
Банковская карточка и PIN
Открытый ключ в сертификате
Владелец системы,
администратор
Предприятие,
фирма
Банк
Удостоверяю
щий центр, выдающий сертификаты
Механизм аутентификации
Программное обеспечение,
проверяющее пароль
Программное обеспечение,
проверяющее карточку
Программное обеспечение,
проверяющее сертификат
Механизм авторизации
Процесс регистрации,
управление доступом
Разрешение на выполнение банковской транзакции
Метки браузе
ра, говорящие о «защищен
ном» статусе страницы
Аутентификация может быть однофакторной (как правило, основанной на паролях) и многофакторной (сочетание вышепри
веденных факторов).
В настоящее время считается, что парольная зашита не обеспе
чивает безопасности распределенных систем, поэтому применя
ются многофакторные механизмы аутентификации. Кроме того, реализуются усиленные (криптографические) протоколы аутен
тификации, используемые в распределенных системах.
Рассмотрим основные типы механизмов аутентификации. К ним относятся: локальная аутентификация; прямая аутентификация; непрямая аутентификация; автономная аутентификация.
Локальная аутентификация характерна для автономных ком
пьютеров. Здесь вся система, включая механизмы аутентифика
ции и авторизации, находится в пределах защищаемого организа
ционными и техническими мерами периметра безопасности.
Пользователь находится вне этого периметра. Если к надежности периметра безопасности имеется высокое доверие, то в качестве паролей могут использоваться запоминающиеся слова, PIN-коды.
Пароли могут храниться в системе в открытом виде. Ведь все, что может сделать нарушитель — это подбирать пароль в интерактив
ном режиме. Конечно, если периметр безопасности «взломан», то нарушитель сможет внедрить закладку, например записывающую последовательность нажатий клавиш.
Общим недостатком локальных механизмов аутентификации являются трудности администрирования систем, где они реализо
ваны, которые возрастают при увеличении рабочих мест.
При прямой аутентификации имеется сервер, на котором раз
мещены и механизмы аутентификации, и объекты доступа, т.е. данные. К этому серверу имеют удаленный доступ несколько пользователей. Как и при локальной аутентификации, механиз
мы аутентификации и управления доступом находятся внутри одного физического периметра безопасности.
Аутентификация называется прямой, так как решение о досту
пе принимается в той же точке, к которой и осуществляется до
ступ. Такая система хорошо работает при небольшом количестве пользователей: администратор знает своих пользователей, поддер
живает базу данных аутентификации. В случае надобности вопро
сы исключения/добавления в эту базу пользователей решаются максимально оперативно и просто.
Как и обычно, за преимущества и удобства централизации надо платить, так как при этом снижается устойчивость к сбоям: до
статочно нарушить работу одного сервера. Ввиду того, что пользо
вательские станции находятся вне пределов периметра безопас
ности, к каналу связи между ними и сервером безопасности воз
можен несанкционированный доступ. Поэтому становится невоз
можным использование «обычных», многоразовых паролей, а также
жет перехватить информацию и использовать ее впоследствии.
В системах прямой аутентификации используются зашифрованные пароли либо одноразовые пароли, а также схемы «запрос-ответ».
В современных протоколах аутентификации типа RADIUS,
Kerberos, а также протоколов, реализованных в домене Windows, используется непрямая аутентификация, при которой имеется несколько точек обслуживания, требующих управления доступом.
База данных аутентификации — единая, что облегчает админист
рирование. В системе непрямой аутентификации имеется отдель
ный сервер аутентификации, услугами которого пользуются все точки управления доступом. Отсюда и название «непрямая», так как точки доступа не принимают решения самостоятельно, но целиком полагаются на сервер аутентификации. В системах с не
прямой аутентификацией не обойтись без применения протоко
лов аутентификации.
Опишем наиболее общий протокол непрямой аутентифика
ции.
1. Субъект доступа обращается к точке доступа, передавая ей свой идентификатор и пароль.
2. Точка доступа передает эти данные серверу аутентифика
ции.
3. Сервер аутентификации принимает решение о разрешении/ запрете доступа и сообщает его точке доступа.
4. Точка доступа доводит решение до субъекта доступа.
У нарушителя в данном протоколе имеется возможность не только повторно использовать перехваченный пароль пользовате
ля, но и подделать ответ сервера аутентификации, вследствие чего в этом канале связи также должно применяться шифрование.
Системы непрямой аутентификации хорошо масштабируемы, кроме того, могут обладать высокой устойчивостью к сбоям. Для достижения этого свойства применяются механизмы репликации баз данных аутентификации на различные территориально разне
сенные серверы.
В системах с открытым ключом применяется автономная
аутентификация. В подобных системах аутентификация выпол
няется максимально распределенным образом, так как считается, что субъекты доступа не имеют связи в реальном времени с серве
ром аутентификации. Этот тип аутентификации объединяет осо
бенности первых трех типов. Как и в случае локальной аутенти
фикации, автономная аутентификация может выполняться на не подключенном к сети устройстве. Как и в случае локальной и прямой аутентификации механизм аутентификации расположен там же, где и механизм управления доступом. Как и при непря
мой аутентификации, владелец поддерживает централизованный список авторизованных пользователей.
Такие системы характерны для электронной коммерции, когда клиенты (точки обслуживания) пытаются аутентифицировать сер
вер, а не наоборот. Владелец представляет собой независимую сторону (Удостоверяющий центр), который обеспечивает единую среду доверия для серверов и клиентов. Аутентификация осуще
ствляется в два этапа. На первом этапе Удостоверяющий центр передает клиенту подписанный им сертификат открытого ключа сервера. Клиент проверяет подлинность подписи и далее исполь
зует этот ключ в криптопротоколах типа SSL для безопасного со
единения с сервером.
Особенностью аутентификации автономного типа является то, что формирование и подпись сертификатов для участников ин
формационного обмена владелец осуществляет в изолированной системе, поэтому нарушитель не имеет доступа к механизму реги
страции пользователей.
Автономный тип аутентификации является отказоустойчивым, так как устройство может аутентифицировать любой объект, осу
ществляя поиск нужных сертификатов в своей базе данных или извлекая из того объекта, который аутентифицируется (именно так сделано в SSL). Каталоги открытых ключей могут также быть реплицированы на многие устройства системы.
Основным недостатком автономного типа аутентификации яв
ляется сложность лишения полномочий ранее авторизованного пользователя.
Как указано в ГОСТ Р ИСО 7498-2 — 99 [14], под паролем по
нимается «конфиденциальная информация аутентификации, обыч
но состоящая из строки знаков».
Пароли бывают одноразовые и многоразовые. Вначале будем считать (по умолчанию), что все пароли — многоразовые.
На безопасность применения паролей для аутентификации важ
ное влияние оказывают следующие моменты:
• генерация паролей;
• выдача паролей пользователям и их хранение ими;
• хранение паролей в системе;
• ввод пароля пользователем и его проверка;
• периодичность смены паролей;
• вывод паролей из действия.
Еще лет 20 назад вопросам генерации паролей не уделялось особого внимания. Так, в Руководстве Министерства обороны
США, изданном в 1985 г., единственными требованиями была хорошая запоминаемость и отличие текущего выбранного пароля от предыдущего. Кроме того, рекомендовалось проектировать си
стемы так, чтобы свести вероятность подбора пароля за 1 год его применения до величины 106. Для этого длина пароля должна была составлять 9 буквенных или 8 буквенно-цифровых симво
лов. Кстати, именно последнее требование к паролям встречается
Однако разрешать пользователям выбирать себе пароль само
стоятельно было не очень хорошей идеей, так как чаще всего они выбирали в качестве них какие-нибудь значимые слова. Посколь
ку средний размер активного словаря человека — порядка 5 тыс. слов, вероятность угадывания составляет всего лишь 5 • 10_3 с пер
вой попытки. Если же учесть возможность автоматизированных словарных атак с заранее подготовленными словарями, то подбор пароля может быть осуществлен моментально. Поэтому в руко
водствах по безопасности обычно указывается на необходимость выбора буквенно-цифрового пароля из символов верхнего и ниж
него регистров, что существенно увеличивает пространство атаки.
Как запомнить такой пароль? Ведь требование хорошей запо
минаемости паролей возникло не от хорошей жизни: оно необхо
димо для того, чтобы пользователи не записывали пароли, где попало. Хрестоматийным нарицательным примером является за
писанный на хранящейся под ковриком мышки или приклеенной с обратной стороны клавиатуры бумажке пароль. Это лишний раз показывает, что технические меры следует дополнять организа
ционными. В соответствии с современными воззрениями, гриф секретности паролей должен быть не ниже грифа секретности за
щищаемых данных. Значит, он должен быть либо записанным на учтенный лист бумаги (в рабочую тетрадь), либо на носитель со
ответствующего уровня конфиденциальности. В настоящее время на рынке имеются достаточно удобные (и, что немаловажно, сер
тифицированные для обработки информации с самыми высоки
ми грифами) устройства памяти для хранения паролей.
Итак, проблему надежного хранения паролей можно решить, затратив небольшие деньги, а то и вообще бесплатно. Но как осу
ществлять их автоматическую генерацию? Казалось бы, какая раз
ница? Используем вызовы функции rand(), приведем получивши
еся числа по нужному модулю — пароль готов. Однако во многих языках программирования встроенная функция генерации слу
чайных чисел порождает вполне детерминированную последова
тельность.
Кроме всего прочего, для встроенной функции типа rand() очень мало пространство атаки. Под пространством атаки понимает
ся среднее количество бит, которые должен «угадать» противник для подбора пароля. Например, чтобы подобрать пароль, состоя
щий из одного шестнадцатиричного символа, противнику нужно угадать 4 бита, значит, пространство атаки составляет 4 бита, т.е., по сути, пространство атаки есть не что иное, как энтропия паро
ля. В случае использования встроенной функции пространство атаки будет определяться не длиной и алфавитом сгенерирован
ных паролей, а энтропией начального заполнения линейного кон
нерации пароля с точностью, например, до минуты, то неопреде
ленность составляет всего лишь log2(60 • 12) = 9,5 бит, что пример
но эквивалентно паролю из трех цифр. Таким образом, стойкость
«случайного» пароля, порожденного встроенной функцией гене
рации случайных чисел, не зависит от алфавита и размера пароля.
Для создания паролей в идеале следует использовать крипто
графически безопасные генераторы случайных чисел (ГСЧ) — ге
нераторы гаммы. Инициализация этих генераторов должна про
изводиться от различных источников случайности, а не только от системного времени.
1 ... 13 14 15 16 17 18 19 20 ... 41
8.3.2. Разграничение доступа
После выполнения идентификации и аутентификации необхо
димо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вы
числительных ресурсов, доступных в АС. Такой процесс называ
ется авторизацией, или разграничением доступа.
Обычно полномочия субъекта представляются списком ресур
сов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. Альтернативой является присвоение пользова
телю и ресурсам определенных уровней конфиденциальности и построение системы разграничения доступа на этой основе. Пер
вый метод называется дискреционным, а метод, основанный на метках конфиденциальности, — мандатным.
При дискреционном методе разграничения доступа составля
ется таблица, строками которой являются пользователи системы, а столбцами — ресурсы. В ячейках таблицы указываются права доступа (чтение, запись и др.), как это показано в табл. 8.2.
При мандатном принципе разграничения доступа выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользова
теля задаются в соответствии с максимальным уровнем секретно-
Т а б л и ц а 8.2. Фрагмент таблицы установления полномочий
Субъект
Каталог c:\wavelet
Программа jpegtran
Принтер
Пользователь 1
cdrw
е
W
Пользователь 2
г
w с 9:00 до 17:00
Обозначения, с выполнение.
— создание, d -— удаление, г -— чтение, w — запись, е —
сти, к которому он допущен. Пользователь имеет доступ по чте
нию ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет. По записи он, наоборот, имеет доступ толь
ко к своему и более высоким грифам секретности.
Итак, разрешено чтение «вниз», запись «вверх». Отметим, что это справедливо для мандатной модели обеспечения конфиден
циальности. Для мандатной модели обеспечения целостности — все наоборот.
На практике обычно сочетают различные методы разграниче
ния доступа.
8.3.3. Регистрация и аудит
Подсистема регистрации должна обеспечить: подотчетность пользователей и администраторов; возможность реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем.
Так, согласно РД Гостехкомиссии, в АС класса 1Г (она пред
назначена для обработки служебной информации) должна быть реализована регистрация входа (выхода) субъектов доступа в си
стему (из системы) либо загрузки и инициализации операцион
ной системы и ее программной остановки (программного остано
ва). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
При этом в параметрах регистрации указываются:
• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
• результат попытки входа: успешная или неуспешная — не
санкционированная;
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.
Кроме того, должна осуществляться регистрация выдачи пе
чатных (графических) документов на «твердую» копию. В па
раметрах регистрации указываются:
• дата и время выдачи (обращения к подсистеме вывода);
• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
• краткое содержание (наименование, вид, шифр, код) и уро
вень конфиденциальности документа;
• идентификатор субъекта доступа, запросившего документ.
Должна осуществляться регистрация запуска (завершения)
программ и процессов (заданий, задач), предназначенных для
обработки защищаемых файлов. В параметрах регистрации ука
зываются:
нию ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет. По записи он, наоборот, имеет доступ толь
ко к своему и более высоким грифам секретности.
Итак, разрешено чтение «вниз», запись «вверх». Отметим, что это справедливо для мандатной модели обеспечения конфиден
циальности. Для мандатной модели обеспечения целостности — все наоборот.
На практике обычно сочетают различные методы разграниче
ния доступа.
8.3.3. Регистрация и аудит
Подсистема регистрации должна обеспечить: подотчетность пользователей и администраторов; возможность реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем.
Так, согласно РД Гостехкомиссии, в АС класса 1Г (она пред
назначена для обработки служебной информации) должна быть реализована регистрация входа (выхода) субъектов доступа в си
стему (из системы) либо загрузки и инициализации операцион
ной системы и ее программной остановки (программного остано
ва). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
При этом в параметрах регистрации указываются:
• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
• результат попытки входа: успешная или неуспешная — не
санкционированная;
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.
Кроме того, должна осуществляться регистрация выдачи пе
чатных (графических) документов на «твердую» копию. В па
раметрах регистрации указываются:
• дата и время выдачи (обращения к подсистеме вывода);
• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
• краткое содержание (наименование, вид, шифр, код) и уро
вень конфиденциальности документа;
• идентификатор субъекта доступа, запросившего документ.
Должна осуществляться регистрация запуска (завершения)
программ и процессов (заданий, задач), предназначенных для
обработки защищаемых файлов. В параметрах регистрации ука
зываются:
• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу
(процесс, задание);
• результат запуска (успешный, неуспешный — несанкциони
рованный).
Должна осуществляться регистрация попыток доступа про
граммных средств (программ, процессов, задач, заданий) к за
щищаемым файлам. В параметрах регистрации указываются:
• дата и время попытки доступа к защищаемому файлу с указа
нием ее результата: успешная, неуспешная — несанкционирован
ная;
• идентификатор субъекта доступа;
• спецификация защищаемого файла.
Должна осуществляться регистрация попыток доступа про
граммных средств к дополнительным защищаемым объектам
доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, катало
гам, файлам, записям, полям записей. В параметрах регистрации указываются:
• дата и время попытки доступа к защищаемому объекту с ука
занием ее результата: успешная, неуспешная — несанкциониро
ванная;
• идентификатор субъекта доступа;
• спецификация защищаемого объекта [логическое имя (но
мер)].
Должен проводиться учет всех защищаемых носителей ин
формации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Учет защищаемых носителей проводится в журнале (картоте
ке) с регистрацией их выдачи (приема).
Должна осуществляться очистка (обнуление, обезличивание)
освобождаемых областей оперативной памяти ЭВМ и внешних
накопителей. Очистка осуществляется однократной произволь
ной записью в освобождаемую область памяти, ранее использо
ванную для хранения защищаемых данных (файлов).
Эффективность системы безопасности принципиально повы
шается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, опреде
лять слабые места в системе защиты, анализировать закономер
ности системы, оценивать работу пользователей и т.д.
Аудит — это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, один раз в день) [43]. Оперативный аудит с автоматическим ре
агированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет ре
шать следующие задачи обеспечения информационной безопас
ности:
• обеспечение подотчетности пользователей и администрато
ров;
• обеспечение возможности реконструкции последовательно
сти событий;
• обнаружение попыток нарушений информационной безопас
ности;
• предоставление информации для выявления и анализа про
блем.
Практическими средствами регистрации и аудита являются: различные системные утилиты и прикладные программы; регист
рационный (системный или контрольный) журнал.
Первое средство обычно дополняет мониторинг, осуществляе
мый администратором системы. Комплексный подход к протоко
лированию и аудиту обеспечивается при использовании регистра
ционного журнала.
Регистрационный журнал — это хронологически упорядочен
ная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, сопровождающих операции и про
цедуры, или приводящих к их выполнению, либо к совершению событий при транзакции с целью контроля конечного результата.
Обнаружение попыток нарушений информационной безопас
ности входит в функции активного аудита, задачами которого яв
ляется оперативное выявление подозрительной активности и пре
доставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользо
вателя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной полити
кой безопасности) или нетипичным (согласно принятым крите
риям). Например, подсистема аудита, отслеживая процедуру вхо
да (регистрации) пользователя в систему, подсчитывает количе
ство неудачных попыток входа. В случае превышения установ
ленного порога таких попыток подсистема аудита формирует сиг
нал о блокировке учетной записи данного пользователя.
8.3.4. Криптографическая подсистема
Криптографические методы защиты данных считаются наибо
лее надежными. Необходимо отметить, что все основные задачи защиты информации от НСД решаются с применением крипто
графии. В некоторых случаях они могут быть решены и другими путями, но, как правило, использование криптографии повышает
качество их решения. В современном мире криптография приме
няется для обеспечения:
• конфиденциальности сообщений (алгоритмы шифрования);
• целостности данных (алгоритмы хэширования);
• доступности информации (защищенные протоколы);
• неотказуемости авторства (алгоритмы электронной цифро
вой подписи — ЭЦП);
• аутентификации — отправителя, получателя, сообщения, сер
вера, клиента и т. п. (здесь применяется совокупность алгоритмов и протоколов).
Криптография используется повсеместно — в государственных и коммерческих организациях, финансово-кредитных учреждениях, вузах и на предприятиях. Наконец, известную популярность по
лучили свободно распространяемые криптографические програм
мы, что сделало ее плоды доступными каждому.
Алгоритм зашифрования преобразует открытый текст в закры
тый, обратный процесс реализуется алгоритмом расшифрования.
При этом сам алгоритм считается обычно общеизвестным, а вся стойкость заключена только в незнании его текущего состояния при конкретной операции зашифрования. Это секретное состоя
ние называется ключом, который считается известным лишь за
конным корреспондентам. Если алгоритм работы может прини
мать п состояний, то для их описания требуется ключ длины log2(/i).
Следовательно, чем больше длина ключа, тем больше состояний может принимать алгоритм, и тем больше его стойкость (при про
чих равных условиях, разумеется).
К ключу криптоалгоритма помимо достаточной длины предъявляется еще одно важное требование: он должен быть неот
личим от отрезка случайной последовательности. Это означает, что при знании любой части ключа невозможно предсказать пре
дыдущие или последующие его биты. Для формирования слу
чайного ключа обычно используется какой-нибудь физический датчик (например, так называемый «шумящий» диод). В край
нем случае, можно воспользоваться программными генератора
ми псевдослучайных чисел. Обычно для зашифрования и рас
шифрования используется один и тот же ключ. Такие алгоритмы называются симметричными, в отличие от асимметричных, в которых ключи — разные.
Процесс криптографического закрытия данных может осуще
ствляться как программно, так и аппаратно. Аппаратная реализа
ция отличается существенно большей стоимостью, однако ей при
сущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.
Для современных криптографических систем защиты инфор
мации сформулированы следующие общепринятые требования:
няется для обеспечения:
• конфиденциальности сообщений (алгоритмы шифрования);
• целостности данных (алгоритмы хэширования);
• доступности информации (защищенные протоколы);
• неотказуемости авторства (алгоритмы электронной цифро
вой подписи — ЭЦП);
• аутентификации — отправителя, получателя, сообщения, сер
вера, клиента и т. п. (здесь применяется совокупность алгоритмов и протоколов).
Криптография используется повсеместно — в государственных и коммерческих организациях, финансово-кредитных учреждениях, вузах и на предприятиях. Наконец, известную популярность по
лучили свободно распространяемые криптографические програм
мы, что сделало ее плоды доступными каждому.
Алгоритм зашифрования преобразует открытый текст в закры
тый, обратный процесс реализуется алгоритмом расшифрования.
При этом сам алгоритм считается обычно общеизвестным, а вся стойкость заключена только в незнании его текущего состояния при конкретной операции зашифрования. Это секретное состоя
ние называется ключом, который считается известным лишь за
конным корреспондентам. Если алгоритм работы может прини
мать п состояний, то для их описания требуется ключ длины log2(/i).
Следовательно, чем больше длина ключа, тем больше состояний может принимать алгоритм, и тем больше его стойкость (при про
чих равных условиях, разумеется).
К ключу криптоалгоритма помимо достаточной длины предъявляется еще одно важное требование: он должен быть неот
личим от отрезка случайной последовательности. Это означает, что при знании любой части ключа невозможно предсказать пре
дыдущие или последующие его биты. Для формирования слу
чайного ключа обычно используется какой-нибудь физический датчик (например, так называемый «шумящий» диод). В край
нем случае, можно воспользоваться программными генератора
ми псевдослучайных чисел. Обычно для зашифрования и рас
шифрования используется один и тот же ключ. Такие алгоритмы называются симметричными, в отличие от асимметричных, в которых ключи — разные.
Процесс криптографического закрытия данных может осуще
ствляться как программно, так и аппаратно. Аппаратная реализа
ция отличается существенно большей стоимостью, однако ей при
сущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.
Для современных криптографических систем защиты инфор
мации сформулированы следующие общепринятые требования: