Проектирование системы защиты хранения данных в ИБ

Специалисты считают, что  системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях информации. Существует еще одна область применения этого  алгоритма – цифровые подписи, подтверждающие подлинность передаваемых документов и сообщений.

Асимметричные криптосистемы  считаются перспективными, так как  в них не используется передача ключей другим пользователям и они легко  реализуются как аппаратным, так  и программным способами.

Однако системы типа RSA имеют свои недостатки:

- Они работают значительно  медленнее, чем классические, и  требуют длины ключа порядка  300 – 600 бит. Поэтому все их  достоинства могут быть сведены  на нет низкой скоростью их  работы.

- Кроме того, для ряда функций уже найдены алгоритмы инвертирования, т.е. доказано, что они не являются необратимыми. Для функций, используемых в системе RSA, такие алгоритмы не найдены, но нет и строгого доказательства необратимости используемых функций.

Проектируемая надежная криптографическая система должна удовлетворять таким требованиям:

- процедуры шифрования  и расшифровывания должны быть  «прозрачны» для пользователя;

- дешифрование закрытой  информации должно быть максимально  затруднено;

- содержание передаваемой  информации не должно сказываться на эффективности криптографического алгоритма;

- надежность криптозащиты  не должна зависеть от содержания  в секрете самого алгоритма  шифрования (примерами этого являются  как алгоритм DES, так и алгоритм  ГОСТ 28147-89).

Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом.

Механизм обеспечения  целостности данных применяются  как к отдельному блоку, так и  к потоку данных. Целостность блока  является необходимым, но недостаточным  условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.

Защита от не санкционированного копирования ценной компьютерной

информации является самостоятельным видом защиты имущественных  прав,

ориентированных на проблему защиты интеллектуальной собственности, воплощенной в виде ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, и т.д.), которая приводит исполняемый код защищаемой базы данных в состояние, препятствующее его выполнению на «чужих» машинах.

Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или системной шине ПЭВМ.

Необходимо иметь в  виду, что подлежащие защите сведения могут быть получены «противником»  не только за счет осуществления «проникновения»  к ЭВМ, которые с достаточной  степенью надежности могут быть предотвращены (например, все данные хранятся в зашифрованном виде), но и за счет побочных электромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также каналы связи.

Все без исключения электронные  устройства, блоки и узлы ЭВМ в  той или иной мере излучают, причем подобные побочные сигналы могут быть достаточно мощными и могут распространяться на расстояния от нескольких метров до нескольких километров. При этом наибольшую опасность представляет получение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по овладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем соответствующая открытая информация.

С этой точки зрения выгодно  отличаются аппаратные и программно-аппаратные средства защиты от не санкционированного доступа, для которых побочные сигналы о ключевой информации существенно ниже, чем для чисто программных реализаций.

 

 

3.2 Стандарты на создание систем защиты данных

 

При создании корпоративных  ЭИС возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализированными организациями на соответствие международным и национальным стандартам. В этом случае повышается эффективность и качество разрабатываемых систем защиты данных и возрастает степень доверия заказчиков к внедряемым ЭИС.

Основные понятия, требования, методы и средства проектирования и  оценки системы информационной безопасности для ЭИС, отражены в следующих  основополагающих документах:

- «Оранжевая книга»  Национального центра защиты  компьютеров США (TCSEC);

- «Гармонизированные  критерии Европейских стран (ITSEC)»;

- Рекомендации X.800;

- Концепция защиты  от НСД Госкомиссии при Президенте  РФ.

Знание критериев оценки информационной безопасности, изложенных в этих документах, способно помочь проектировщикам при выборе и комплектовании аппаратно-программной конфигурации ЭИС. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени будет претерпевать изменения и нужно, во-первых, оценивать целесообразность модификаций и их последствия, а, во-вторых, соответствующим образом корректировать технологию пользования и администрирования системой. При этом целесообразно знать, на что обращают внимание при сертификации, поскольку это позволяет сконцентрироваться на анализе критически важных аспектов, повышая качество защиты.

Остановимся на кратком  рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в ЭИС, изложенных в этих документах.

 

«Оранжевая  книга» Национального центра защиты

компьютеров США (TCSEC)

 

 «Оранжевая книга»  – это название документа,  который был впервые опубликован в августе 1983 года в Министерстве обороны США. В этом документе дается пояснение понятия «безопасной системы», которая «управляет, посредством соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

В «Оранжевой книге» надежная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность проектируемой или используемой системы защиты или ее компонент, оценивается по двум основным критериям:

1. концепция безопасносности;

2. гарантированность.

 

    1. Концепция безопасности системы защиты

 

Концепция безопасности разрабатываемой системы – «это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Концепция безопасности – это активный компонент защиты, вклю-чающий в себя анализ возможных угроз и выбор мер противодействия».

Концепция безопасности разрабатываемой системы согласно «Оранжевой книге» должна включать в  себя по крайней мере следующие элементы:

- Произвольное управление  доступом.

- Безопасность повторного использования объектов.

- Метки безопасности.

- Принудительное управление  доступом.

Рассмотрим содержание перечисленных элементов.

Произвольное  управление доступом – это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Безопасность  повторного использования объектов – важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта – степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге», метки безопасности состоят  из двух частей – уровня секретности  и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

- совершенно секретно;

- секретно;

- конфиденциально;

- не секретно.

Главная проблема, которую  необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть не помеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными.

Одним из средств обеспечения  целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. 

Принудительное  управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен: читать можно толькото, что положено. На практике произвольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

Если понимать систему  безопасности узко, то есть как правила  разграничения доступа, то механизм подотчетности является дополнением  подобной системы. Цель подотчетности  – в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

- Идентификация и аутентификация;

- Предоставление надежного  пути;

- Анализ регистрационной  информации.

Рассмотрим эти категории  подробнее.

Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации – ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользователя, то есть что он является именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) – пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование роговицы или отпечатков пальцев) или их комбинация.

Предоставление  надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной базой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути – дать пользователю возможность убедиться в подлинности обслуживающей его системы. Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным терминалом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «Троянским конем».

Анализ регистрационной  информации – аудит имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы. К числу таких событий относятся:

- Вход в систему  (успешный или нет);

- Выход из системы;

- Обращение к удаленной  системе;

- Операции с файлами  (открыть, закрыть, переименовать,  удалить);

- Смена привилегий  или иных атрибутов безопасности (режима доступа, уровня благонадежности  пользователя и т.п.).

Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной системы  безопасности и от специфики ЭИС. Протоколирование помогает следить  за пользователями и реконструировать прошедшие события. Реконструкция  событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем.