Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 767
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
агенты. Агенты составляются для конкретных служб Internet (HTTP,
FTP, telnet и т.д.) и служат для проверки сетевых пакетов на на
личие достоверных данных. Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в
Internet из-за узости каналов связи, но существенно при работе во внутренней сети — Intranet. К недостаткам можно добавить необ
ходимость (а значит и дополнительные временные и экономиче
ские затраты) в разработке новых программ-посредников при вне
дрении новой службы Internet.
Межсетевые экраны экспертного уровня (stateful inspection firewall) сочетают в себе элементы всех трех описанных выше ка
тегорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров пор
тов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли па
кеты к соответствующему сеансу. И наконец, брандмауэры экс
пертного уровня берут на себя функции шлюза прикладного уров
ня, оценивая содержимое каждого пакета в соответствии с поли
тикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каж
дый пакет на прикладном уровне модели OSI. Вместо примене
ния связанных с приложениями программ-посредников брандма
уэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений.
С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают пря
мое соединение между авторизованным клиентом и внешним хо
стом, они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остается вопрос: обес
печивают они меньшую безопасность АС по сравнению со шлю
зами прикладного уровня или нет.
8.4. Методика выявления нарушителей,
тактики их действий и состава интересующей
их информации
Одна из новейших технологий в области защиты информации — создание ложных объектов атаки — направлена на выявление на
рушителей и изучение их злоумышленных действий. Эта техноло
FTP, telnet и т.д.) и служат для проверки сетевых пакетов на на
личие достоверных данных. Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в
Internet из-за узости каналов связи, но существенно при работе во внутренней сети — Intranet. К недостаткам можно добавить необ
ходимость (а значит и дополнительные временные и экономиче
ские затраты) в разработке новых программ-посредников при вне
дрении новой службы Internet.
Межсетевые экраны экспертного уровня (stateful inspection firewall) сочетают в себе элементы всех трех описанных выше ка
тегорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров пор
тов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли па
кеты к соответствующему сеансу. И наконец, брандмауэры экс
пертного уровня берут на себя функции шлюза прикладного уров
ня, оценивая содержимое каждого пакета в соответствии с поли
тикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каж
дый пакет на прикладном уровне модели OSI. Вместо примене
ния связанных с приложениями программ-посредников брандма
уэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений.
С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают пря
мое соединение между авторизованным клиентом и внешним хо
стом, они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остается вопрос: обес
печивают они меньшую безопасность АС по сравнению со шлю
зами прикладного уровня или нет.
8.4. Методика выявления нарушителей,
тактики их действий и состава интересующей
их информации
Одна из новейших технологий в области защиты информации — создание ложных объектов атаки — направлена на выявление на
рушителей и изучение их злоумышленных действий. Эта техноло
гия получила название «honeypot», или «honeynet», что в переводе с английского означает «горшочек с медом» и «медовая сеть» со
ответственно. Здесь проводится аналогия нарушителей, стремя
щихся атаковать привлекательный компьютер или сеть с мухами, летящими на сладкое. И подобно мухам нарушители «застревают» в honeypot, их действия становятся предметом тщательного изу
чения, а иногда по ним наносится ответный удар.
Honeypot — это информационная система, специально пред
назначенная для неправомерного доступа [28]. Фактически это обманка, привлекательный объект для атаки, находящийся под полным контролем специалистов по безопасности. Информаци
онная система honeypot может представлять собой как отдельный хост в сети, так и сеть, наполненную разного рода объектами: маршрутизаторами, серверами, рабочими станциями, реальными или виртуальными.
Выделяют два основных типа реализаций, эмулирующие и ре
альные, иногда их определяют как слабо- и высокоинтерактив
ные. Первые способны эмулировать взаимодействие от лица опре
деленного сервиса, например принять соединение на tcp порт 22, принять от атакующего имя пользователя и пароль (и т.д.), при этом фиксируя все действия атакующего. Высокоинтерактивные honeypot, основанные на применении реальных ОС и реальных сервисов, несколько сложнее в применении. Фактически они пред
ставляют собой специально спроектированные сетевые сегменты, подключенные к сетям общего пользования. Сетевой трафик между honeypot и внешним миром контролируется и фиксируется, что
бы полностью сохранить все действия атакующих.
Применение honeypot-систем в реальной жизни позволяет опре
делять факт атаки, предотвращать атаки на реальные сервисы и обеспечивать службу безопасности материалами для анализа и ответной деятельности.
Определение факта атаки заложено в саму идею honeypot: к honeypot не могут обращаться за сервисом реальные клиенты. Если к нему обратились, это свидетельствует о том или ином наруше
нии. Определение факта атаки является важным моментом для администраторов, так как позволяет оперативно принять меры противодействия.
ответственно. Здесь проводится аналогия нарушителей, стремя
щихся атаковать привлекательный компьютер или сеть с мухами, летящими на сладкое. И подобно мухам нарушители «застревают» в honeypot, их действия становятся предметом тщательного изу
чения, а иногда по ним наносится ответный удар.
Honeypot — это информационная система, специально пред
назначенная для неправомерного доступа [28]. Фактически это обманка, привлекательный объект для атаки, находящийся под полным контролем специалистов по безопасности. Информаци
онная система honeypot может представлять собой как отдельный хост в сети, так и сеть, наполненную разного рода объектами: маршрутизаторами, серверами, рабочими станциями, реальными или виртуальными.
Выделяют два основных типа реализаций, эмулирующие и ре
альные, иногда их определяют как слабо- и высокоинтерактив
ные. Первые способны эмулировать взаимодействие от лица опре
деленного сервиса, например принять соединение на tcp порт 22, принять от атакующего имя пользователя и пароль (и т.д.), при этом фиксируя все действия атакующего. Высокоинтерактивные honeypot, основанные на применении реальных ОС и реальных сервисов, несколько сложнее в применении. Фактически они пред
ставляют собой специально спроектированные сетевые сегменты, подключенные к сетям общего пользования. Сетевой трафик между honeypot и внешним миром контролируется и фиксируется, что
бы полностью сохранить все действия атакующих.
Применение honeypot-систем в реальной жизни позволяет опре
делять факт атаки, предотвращать атаки на реальные сервисы и обеспечивать службу безопасности материалами для анализа и ответной деятельности.
Определение факта атаки заложено в саму идею honeypot: к honeypot не могут обращаться за сервисом реальные клиенты. Если к нему обратились, это свидетельствует о том или ином наруше
нии. Определение факта атаки является важным моментом для администраторов, так как позволяет оперативно принять меры противодействия.
Гл а в а 9
Определение компонентов КСЗИ
9.1. Особенности синтеза СЗИ АС от НСД
Для определения компонентов СЗИ необходимо решить зада
чу синтеза этой системы. С одной стороны, СЗИ является состав
ной частью АС, с другой стороны, сама по себе представляет слож
ную техническую систему. Решение задач анализа и синтеза СЗИ усложняется рядом их особенностей; основные из них [6]:
• сложная опосредованная взаимосвязь показателей качества
СЗИ с показателями качества информационной системы;
• необходимость учета большого числа показателей (требова
ний) СЗИ при оценке и выборе их рационального варианта;
• преимущественно качественный характер показателей (тре
бований), учитываемых при анализе и синтезе СЗИ;
• существенная взаимосвязь и взаимозависимость этих показа
телей (требований), имеющих противоречивый характер;
• трудность получения исходных данных, необходимых для ре
шения задач анализа и синтеза СЗИ, в особенности на ранних этапах их проектирования.
Указанные особенности делают затруднительным применение традиционных математических методов, в том числе методов ма
тематической статистики и теории вероятностей, а также класси
ческих методов оптимизации для решения прикладных задач ана
лиза и синтеза СЗИ [6].
Сложность процесса принятия решений, отсутствие математи
ческого аппарата приводят к тому, что при оценке и выборе аль
тернатив возможно (а зачастую просто необходимо) использова
ние и обработка качественной экспертной информации.
Поэтому в данной главе помимо описания применяемых мето
дов оптимизации определенное внимание уделяется методам экс
пертной оценки.
После разработки формальной модели (описана в гл. И) на этапе синтеза осуществляются:
• синтез альтернативных структур системы;
• синтез параметров системы;
• оценивание вариантов синтезированной системы.
Исходными положениями для методики синтеза является уже существующая или проектируемая АС; известны ее архитектура и методы взаимодействия между ее компонентами. Должна быть задана политика безопасности обработки информации в рассмат
риваемой АС. Также считается известным возможный набор средств и механизмов обеспечения информационной безопасно
сти и ограничения по основным внешним характеристикам, на
кладываемых на АС (стоимость, производительность и т.п.). Кро
ме того, важное значение имеет правильный выбор критерия оп
тимальности.
9 .2 . Методика синтеза СЗИ
9.2.1.
Общее описание архитектуры
АС,
системы
защиты информации и политики безопасности
Схематичное изображение методики построения системы за
щиты АС представлено на рис. 9.1. Во многом оно напоминает изображение методики, приведенной в работе [43].
Под оптимальной системой защиты будем понимать такую совокупность методов зашиты, которая обеспечивает экстремаль
ное значение некоторой характеристики системы при ограниче
ниях на ряд других характеристик. Рассмотрим более подробно каждый шаг методики.
На этапе, который рассмотрен в данном подразделе, осуществ
ляется анализ следующих аспектов АС:
• из каких сегментов и элементов состоит АС, где они разме
щены;
• как компоненты АС взаимодействуют между собой, какие сетевые протоколы используются и т.п.;
• какое общее, прикладное и специальное программное обес
печение используется;
• грифы секретности, режим обработки информации в АС.
Как правило, этот анализ должен выполняться на этапе пред- проектного обследования (в рамках проведения НИР или аван- проекта ОКР). При этом необходимо выполнить следующий пе
речень работ:
• определение целей и задач СЗИ;
• категорирование, оценка активов, сбор исходных данных для проектирования;
• анализ возможных угроз, уязвимостей, разработка модели на
рушителя;
• неформальное описание системы защиты информации, ее декомпозиция по отдельным СВТ и уровням ЭМВОС;
Рис. 9.1. Схема методики построения системы защиты АС
• разработка неформальных правил разграничения доступа.
На основе анализа структуры и особенностей АС на вербаль
ном уровне формулируется политика безопасности, задаются пра
вила разграничения доступа. Эти политика и правила задают ре
жим обработки информации, удовлетворяющий нуждам заказчи
ка. В гл. 11 приводится пример задания таких правил.
Политика безопасности и правила разграничения доступа опре
деляются на основе изучения дестабилизирующих факторов. Ана
лиз причин утечки информации в АС показывает, что с учетом архитектуры, технологии применения и условий функционирова
ния АС полное множество дестабилизирующих факторов может быть разделено на следующие типы:
• Количественная недостаточность системы защиты — со
вокупность факторов, не позволяющих перекрыть известное мно
жество каналов утечки информации путем применения существу
ющих средств защиты, которые по своим характеристикам могут полностью обеспечить безопасность информации в АС.
• Качественная недостаточность системы защиты — сово
купность факторов, не позволяющих перекрыть известное мно
жество каналов утечки информации путем применения существу
ющих средств защиты вследствие их несовершенства или несоот
ветствия современному уровню развития средств несанкциониро
ванного доступа к информации (средств технических разведок).
• Отказы — совокупность факторов, приводящих к потере си
стемой защиты или одним из средств защиты способности вы
полнять свои функции.
• Сбои — совокупность факторов, приводящих к кратковре
менному нарушению работы средств защиты или выходу характе
ристик их работы за допустимые интервалы значений.
• Ошибки операторов АС — совокупность факторов, приводя
щих к нарушению технологии автоматизированной обработки ин
формации в АС вследствие некорректных действий операторов.
• Стихийные бедствия — совокупность факторов, приводя
щих к утечке информации вследствие физического разрушения элементов АС при воздействии на них сил природы без участия человека.
• Злоумышленные действия — совокупность факторов, приво
дящих к изменению режимов функционирования АС, уничтоже
нию, искажению или раскрытию информации в результате не
посредственного целенаправленного воздействия нарушителя на компоненты АС.
• Побочные явления — совокупность факторов, позволяющих нарушителю получить доступ к информации без непосредствен
ного воздействия на компоненты АС.
При проектировании системы зашиты представляется целесо
образным такой подход. Обеспечение безопасности информации при отказах и стихийных действий должно достигаться за счет при
менения резервирования. ЗИ при сбоях, ошибках операторов до
стигается за счет постоянного мониторинга средств защиты. Основ
ное внимание должно быть уделено злоумышленным действиям со стороны нарушителей, для чего необходимо проанализировать воз
можные каналы утечки информации и меры по их закрытию, обес
печить количественное и качественное соответствие СЗИ.
9.2.2. Формализация описания архитектуры
исследуемой АС
Согласно требованиям РД Гостехкомиссии, начиная с третьего класса защищенности разрабатываемые СВТ должны иметь фор
мальную модель механизма управления доступом. Наличие ана
логичного требования для АС в целом в существующих норматив
ных документах авторам неизвестно. Вместе с тем в соответствии с международными стандартами (в первую очередь 17799) такая модель должна разрабатываться.
После неформального описания АС и правил политики без
опасности производится формализация этого описания и правил
ПБ в терминах формальной модели безопасности, приведенной в гл. 11.
Выявляются объекты и субъекты вычислительной сети, а также основные операции, применимые к ним. Применение формаль
ной модели позволяет обосновать практическую пригодность си
стемы безопасности, определяя ее базовую архитектуру и исполь
зуемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые усло
вия выполнения политики безопасности. В итоге формируются множества {A}, {S}, {О}, {Operate}: всех субъектов, объектов, воз
можных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопас
ной реализации субъекта, объекта и отдельной операции; их со
вокупность позволяет сформулировать требования ко всей систе
ме защиты.
На этапе подтверждения соответствия АС требованиям без
опасности информации (проведения ее аттестации) испытатель
ной лаборатории необходимо проанализировать модель СЗИ, стой
кость предлагаемых разработчиком протоколов, а также соответ
ствие модели реально разработанной СЗИ.
9.2.3. Формулирование требований к системе
защиты информации
Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информа
ционной безопасности и их соответствующей настройкой. Осно
вываясь на результатах предыдущего этапа, производится распреде
ление функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S} = {S1} u {S2} и ...и {Sn}, {О} = {01} и {02} и и {On}, {Operate} = {Operatel} и ...и {Operaten}. В итоге каж
дую подсистему системы защиты характеризует следующий со
став: {Si} u {Oi} u {Operatei}. Формулируется совокупность требо
ваний ко всей подсистеме на основе сочетания требований к мно
жествам {Si}, {Оі} и {Operatei}, составляющим данную подсистему.
Среди подсистем можно выделить специализированные механиз
мы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разгра
ничения доступом и т.п.
Требования, как правило, целесообразно предъявлять в виде:
«такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограни
чений выступают обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса.
Показатель качества целесообразно ввести следующим обра
зом. Пусть злоумышленник генерирует п угроз, каждая из кото
рой характеризуется вероятностью появления р] и появляющимся при ее реализации ущербом У,, в совокупности образующими риск
зуемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые усло
вия выполнения политики безопасности. В итоге формируются множества {A}, {S}, {О}, {Operate}: всех субъектов, объектов, воз
можных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопас
ной реализации субъекта, объекта и отдельной операции; их со
вокупность позволяет сформулировать требования ко всей систе
ме защиты.
На этапе подтверждения соответствия АС требованиям без
опасности информации (проведения ее аттестации) испытатель
ной лаборатории необходимо проанализировать модель СЗИ, стой
кость предлагаемых разработчиком протоколов, а также соответ
ствие модели реально разработанной СЗИ.
9.2.3. Формулирование требований к системе
защиты информации
Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информа
ционной безопасности и их соответствующей настройкой. Осно
вываясь на результатах предыдущего этапа, производится распреде
ление функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S} = {S1} u {S2} и ...и {Sn}, {О} = {01} и {02} и и {On}, {Operate} = {Operatel} и ...и {Operaten}. В итоге каж
дую подсистему системы защиты характеризует следующий со
став: {Si} u {Oi} u {Operatei}. Формулируется совокупность требо
ваний ко всей подсистеме на основе сочетания требований к мно
жествам {Si}, {Оі} и {Operatei}, составляющим данную подсистему.
Среди подсистем можно выделить специализированные механиз
мы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разгра
ничения доступом и т.п.
Требования, как правило, целесообразно предъявлять в виде:
«такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограни
чений выступают обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса.
Показатель качества целесообразно ввести следующим обра
зом. Пусть злоумышленник генерирует п угроз, каждая из кото
рой характеризуется вероятностью появления р] и появляющимся при ее реализации ущербом У,, в совокупности образующими риск
1 ... 15 16 17 18 19 20 21 22 ... 41