Безопасность автоматизированных систем
Уральский федеральный университет
Имени первого Президента России Б.Н.Ельцина
Безопасность автоматизированных систем
Методические указания
к лабораторному практикуму по дисциплине
«Методы и средства защиты информации»
Для студентов направления 230100
«Информатика и вычислительная техника»
Екатеринбург
УрФУ
УДК 004.065
Составитель: С. С. Ваулин
Научный редактор В.П.Кулюкин
| Безопасность автоматизированных систем:методические указания / сост. С.С.Ваулин. Екатеринбург: УрФУ, 2011. – 23 с. |
В методических указаниях рассматривают вопросы обеспечения информационной безопасности автоматизированных систем. Определяются основные понятия, составляются модели угроз безопасности, противодействия этим угрозам, строится многоуровневая иерархическая система обеспечения информационной безопасности.
Предназначено для студентов направления 230100 «Информатика и вычислительная техника».
Библиогр.: 4 назв. Лист. 23.
Подготовлено кафедрой
«Микропроцессорная техника»
факультета ускоренного обучения
| © УрФУ, 2011 |
СОДЕРЖАНИЕ
ВВЕДЕНИЕ....................................................................................................... 4
1. ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ....... 5
2. БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ..................... 10
3. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ.......................................................... 12
4. МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ БЕЗОПАСНОСТИ............ 16
5. ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗАПАСНОСТИ........................................................................................ 18
6. ПОСТРОЕНИЕ МНОГОУРОВНЕВОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗАПАСНОСТИ................................................ 20
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.............................................. 23
Введение
Обзорный курс «Методы и средства защиты информации» посвящен вопросам обеспечения информационной безопасности автоматизированных систем (АС) различного назначения. Как известно, АС в архитектуре «клиент-сервер» строятся на основе вычислительных сетей и предусматривают многоуровневый принцип построения сетевых коммуникаций. Соответственно, и средства обеспечения безопасности в АС также строятся на основе многоуровневой иерархической модели. В пособии рассматриваются основные понятия информационной безопасности, связанные с ними модели и принципы построения многоуровневой системы обеспечения информационной безопасности (СОИБ).
Основные понятия информационной безопасности
Под информационной безопасностью понимают состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, стихийные бедствия (землетрясение, ураган, по жар и т.п.). Основные угрозы безопасности в корпоративных автоматизированных системах подробнее анализируются ниже.
Информационная безопасность компьютерных систем и сетей достигается принятием комплекса мер по обеспечению конфиденциальности, целостности, достоверности, юридической значимости информации, оперативности доступа к ней, а также по обеспечению целостности и доступности информационных ресурсов и компонентов АС.
Перечисленные выше базовые свойства информации нуждаются в более полном толковании.
Конфиденциальность информации — это ее свойство быть доступной только ограниченному кругу пользователей информационной системы, в которой циркулирует данная информация. По существу, конфиденциальность информации — это ее свойство быть известной только допущенным и прошедшим проверку субъектам системы (пользователям и процессам, действующим от их имени). Для остальных субъектов системы информация должна быть неизвестной.
Под целостностью информации понимается ее свойство сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайного или преднамеренного искажения или разрушения.
Достоверность информации — свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.
Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.
Под доступом к информации понимается ознакомление с информацией и ее обработка, в частности копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации не нарушает установленные в АС правила разграничения доступа.
Несанкционированный доступ (НСД), соответственно, характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями таких правил разграничения доступа. Несанкционированный доступ — наиболее распространенный вид компьютерных нарушений.
Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Оперативность доступа к информации — это способность информации или некоторого информационного ресурса быть доступными конечному пользователю в соответствии с его оперативными потребностями.
Целостность ресурса или компонента системы — это его свойство быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.
Доступность ресурса или компонента системы — это его свойство быть доступным законным пользователям системы.
С допуском к информации и ресурсам системы связана группа таких понятий, как идентификация, аутентификация, авторизация.
С каждым субъектом АС связывают некоторую информацию — число, строку символов, идентифицирующую объект. Эта информация является идентификатором субъекта. Субъект, имеющий зарегистрированный идентификатор и прошедший процедуру проверки его подлинности, считается законным (легальным).
Идентификация субъекта — это процедура распознавания субъекта по его идентификатору. Выполняется при попытке субъекта войти в систему. Субъект объявляет системе свой идентификатор.
Следующий этап взаимодействия системы с субъектом — аутентификация.
Аутентификация объекта — это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.
После идентификации и аутентификации субъекта система выполняет его авторизацию.
Авторизация объекта — это процедура предоставления законному объекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов АС.
Под угрозой безопасности для системы понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в АС.
С понятием угрозы безопасности тесно связано понятие уязвимости автоматизированной системы.
Уязвимость системы — это любая характеристика автоматизированной системы, использование которой может привести к реализации угрозы.
Атака на систему — это действие, предпринимаемое злоумышленником, субъектом системы (нарушителем информационной безопасности) с целью поиска и использования той или иной уязвимости системы. Таким образом, атака — это реализация угрозы безопасности.
Противодействие угрозам безопасности — цель, которую призваны выполнить средства защиты АС.
Безопасная или защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты (КСЗ) представляет собой совокупность программных и технических средств АС. КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой обеспечения информационной безопасности системы.
Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АС от заданного множества угроз безопасности.
Автоматизированные системы корпоративного уровня относятся к распределенным системам, осуществляющим автоматизированную обработку информации в пределах некоторого крупного предприятия (корпорации). Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов АС — аппаратных средств, программного обеспечения, данных и персонала.
Существуют два подхода к проблеме обеспечения безопасности АС: фрагментарный и комплексный [23].
Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.
Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком его является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов АС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в АС, сводящей воедино разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности АС, что можно отнести к несомненным достоинствам комплексного подхода. К его недостаткам относятся ограничения на свободу действий пользователей АС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты АС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в АС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживается большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел своё отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной АС политике безопасности [40, 105, 106].
Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строятся управление, защита и распределение информации в АС. Политика безопасности регламентирует работу средств защиты АС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
Политика безопасности реализуется посредством комплексного применения административно-организационных мер, физических мер, программно-аппаратных средств и определяет архитектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.
Политика безопасности зависит от способа управления доступом, определяющего порядок доступа субъектов к объектам системы. Различают два основных вида политики безопасности: избирательную и полномочную.
Избирательная политика безопасности основана на избирательном способе управления доступом. Избирательное, или дискреционное,управление доступомхарактеризуется задаваемым администратором множеством разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа.
Матрица доступа представляет собой матрицу, в которой столбец соответствует объекту системы, а строка — субъекту. На пересечении столбца и строки указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т.п. Матрица доступа — самый простой подход к моделированию систем управления доступом, однако она является основой сложных моделей, более адекватно описывающих реальные АС.
Избирательная политика безопасности часто применяется в АС коммерческого сектора, так как ее реализация соответствует требованиям некоторых коммерческих организаций по разграничению доступа и подотчетности, а также приемлема по стоимости.
Полномочная политикабезопасности основана на полномочном (мандатном) способе управления доступом. Полномочное,или мандатное,управление доступомхарактеризуется совокупностью правил предоставления доступа, базирующихся на множестве атрибутов безопасности субъектов и объектов, например в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:
· все субъекты и объекты системы однозначно идентифицированы;
· каждому объекту системы присвоена метка конфиденциальности, определяющая ценность содержащейся в нем информации;
· каждому субъекту системы присвоен некий уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциальности. Поэтому самыми защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.
Основным назначением полномочной политики безопасности являются регулирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом полномочная политика может функционировать на фоне избирательной, придавая ее требованиям иерархически упорядоченный характер в соответствии с уровнями безопасности.
Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем необязательно искать пути несанкционированного доступа к нему. Необходимые сведения можно собрать, наблюдая за обработкой требуемого объекта, то есть используя каналы утечки информации. В системе всегда существуют информационные потоки. Поэтому администратору необходимо определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие - ведут. Как следствие, возникает необходимость разработки правил, регламентирующих управление информационными потоками в системе. Обычно оно применяется в рамках избирательной или полномочной политики, дополняя ее и способствуя повышению надежности системы защиты.
Комплексный подход к решению проблемы обеспечения безопасности при рациональном сочетании избирательного и полномочного управления доступом, а так же управления информационными потоками служит тем фундаментом, на котором строится вся система защиты.
Безопасность автоматизированных систем
Жизнь современной фирмы невозможно представить без хорошо развитой корпоративной сети, обеспечивающей постоянный обмен деловой информацией независимо от местонахождения пользователей. Обеспечение безопасности деятельности (в широком смысле) любой фирмы реализуется путем создания системы защиты — продуманного комплекса мер и средств, направленных на выявление, парирование и ликвидацию различных видов угроз. При этом каждый защищаемый объект имеет особую специфику, которая и должна найти свое отражение в общей системе безопасности. При этом надо помнить, что одни и те же методы могут быть использованы для парирования различных угроз.
Об актуальности решения проблемы защиты информации уже сказано достаточно много. Напомним только, что искажение информации, необходимой для принятия ответственных бизнес-решений, блокирование процесса ее получения от партнеров или сотрудников, внедрение в оборот ложной информации, разрушение имеющихся ресурсов, содержащих финансовую, маркетинговую или технологическую информацию, может нанести непоправимый урон деловой репутации фирмы, способствовать принятию ошибочных решений, приводящих к значительному материальному ущербу, а иногда несет и непосредственную угрозу жизни.
Информация, обрабатываемая в корпоративных сетях, особенно уязвима. Существенному повышению возможности несанкционированного использования или модификации данных, введению в оборот ложной информации в настоящее время способствуют:
o увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
o сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
o расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;
o увеличение числа удаленных рабочих мест;
o широкое использование для связи пользователей глобальной сети Internet и различных каналов связи;
o автоматизация обмена информацией между компьютерами пользователей.
Прежде всего попробуем определить, что защищать, от кого или от чего, и потом решить вопрос, как обеспечить защиту. Для этого необходимо построение моделей всех взаимодействующих в рамках АС объектов и субъектов — модели собственно АС и сети, на основе которой она строится, модели угроз информационной безопасности, модели противодействия этим угрозам. Затем на основе этих моделей строятся защищенные АС и входящие в их состав системы обеспечения информационной безопасности.
Модели АС и сетей уже рассматривались в рамках других дисциплин, поэтому перейдем непосредственно к модели угроз.
Модель угроз безопасности
В литературе, посвященной вопросам защиты информации, можно найти различные варианты моделей угроз ее безопасности. Это объясняется стремлением более точно описать многообразные ситуации воздействия на информацию и определить наиболее адекватные меры парирования. В принципе можно воспользоваться любой подходящей моделью необходимо только убедиться, что она учитывает максимальное число факторов, влияющих на безопасность информации.
Что же такое угроза безопасности информации? Это возможность осуществления действия, направленного против объекта защиты, проявляемая в опасности искажений и потерь информации. Речь идет прежде всего о той информации, которая имеет коммерческую ценность (информация как товар) или подлежит защите в силу закона (конфиденциальная информация).
Необходимо также учитывать, что источники угроз безопасности могут находиться как внутри АС — внутренние источники, так и вне ее — внешние источники. Такое деление оправдано потому, что для одной и той же угрозы (например, в случае кражи) методы парирования для внешних и внутренних источников будут разными.
Все источники угроз безопасности информации, циркулирующей в АС, можно разделить на три основные группы:
· угрозы, обусловленные действиями субъекта (антропогенные);
· угрозы, обусловленные техническими средствами (техногенные);
· угрозы, обусловленные стихийными источниками.
Первая группа, самая обширная, представляет наибольший интерес с точки зрения организации парирования угрозам данного типа, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и напрямую зависят от воли организаторов защиты информации.
Субъекты, действия которых могут привести к нарушению безопасности ин формации, могут быть как внешние:
· криминальные структуры;
· потенциальные преступники;
· недобросовестные партнеры;
· конкуренты;
· политические противники;
так и внутренние:
· персонал организации и ее филиалов;
· лица с нарушенной психикой;
· специально внедренные агенты.
Судя по результатам международного и российского опыта, действия субъектов могут привести к ряду нежелательных последствий, среди которых применительно к корпоративной сети можно выделить следующие:
1. Кража:
· технических средств (компьютеров, их компонентов, сетевого оборудования);
· носителей информации (бумажных, магнитных, оптических и пр.);
· информации (чтение и несанкционированное копирование);
· средств доступа (ключи, пароли, ключевая документация и пр.).
2. Подмена (модификация):
· системного программного обеспечения(ПО);
· прикладного ПО;
· информации (данных), отрицание факта отправки сообщений;
· паролей и правил доступа.
З. Уничтожение (разрушение):
· технических средств;
· носителей информации;
· программного обеспечения;
· информации (файлов, данных);
· паролей и ключевой информации.
4. Нарушение нормальной работы (прерывание):
· скорости обработки информации;
· пропускной способности каналов связи;
· объемов свободной оперативной памяти;
· объемов свободного дискового пространства;
· электропитания технических средств.
5. Ошибки:
· при написании системного и прикладного ПО;
· при инсталляции ПО
· при эксплуатации ПО;
· при эксплуатации технических средств.
6. Перехват информации(несанкционированный):
· за счет побочного электромагнитного излучения (ПЭМИ) от технических средств;
· за счет наводок по линиям электропитания и по посторонним проводникам;
· по акустическому каналу при обсуждении вопросов;
· при подключении к каналам передачи информации;
· за счет нарушения установленных правил доступа (взлом).
Вторая группа содержит угрозы, менее прогнозируемые, напрямую зависящие от свойств техники и поэтому требующие особого внимания. Технические средства, содержащие потенциальные угрозы безопасности информации, также могут быть внутренними:
· некачественные технические средства обработки информации;
· некачественные программные средства обработки информации;
· вспомогательные средства (охраны, сигнализации, телефонии);
· другие технические средства, применяемые в организации;
и внешними:
· средства связи;
· близко расположенные опасные производства;
· сети инженерных коммуникаций (энерго-, водоснабжения, канализации);
· транспорт.
Последствиями применения таких технических средств, напрямую влияющими на безопасность информации, могут быть:
1. Нарушение нормальной работы:
— нарушение работоспособности системы обработки информации;
— нарушение работоспособности связи и телекоммуникаций;
— старение носителей информации и средств ее обработки;
— нарушение установленных правил доступа;
— электромагнитное воздействие на технические средства.
2. Уничтожение (разрушение):
— программного обеспечения;
— средств обработки информации (броски напряжений, протечки);
— помещений;
— информации (размагничивание, воздействие радиации, протечки и пр.);
— персонала.
З. Модификация (изменение):
— программного обеспечения;
— информации при передаче по каналам связи и телекоммуникациям.
Третью группу составляют угрозы, которые совершенно не поддаются прогнозированию, и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к АС, и под ними понимаются, прежде всего, природные катаклизмы:
· пожары;
· землетрясения;
· наводнения;
· ураганы;
· другие форс-мажорные обстоятельства;
· различные непредвиденные обстоятельства;
· необъяснимые явления.
Эти природные и необъяснимые явления также влияют на информационную безопасность, опасны для всех элементов АС и могут привести к последствиям, перечисленным ниже:
1. Уничтожение (разрушение):
· технических средств обработки информации;
· носителей информации;
· программного обеспечения;
· информации (файлов, данных);
· помещений;
· персонала.
2. Исчезновение (пропажа):
· информации в средствах ее обработки;
· информации при передаче по телекоммуникационным каналам;
· носителей информации;
· персонала.
Даже первичный анализ приведенного перечня угроз безопасности информации показывает, что для обеспечения комплексной безопасности необходимо принятие как организационных, так и технических решений парирования. Такой подход позволяет дифференцировано подойти к распределению материальных ресурсов, выделенных на обеспечение информационной безопасности.
Необходимо отметить, что оценить весовые коэффициенты каждой угрозы достаточно трудно из-за высокой латентности их проявлений и отсутствия вразумительной статистики по этому вопросу. Поэтому в современной литературе приводятся различные шкалы оценок. Вместе с тем на основе анализа, проводимого различными специалистами в области компьютерных преступлений, можно расставить угрозы безопасности по частоте проявления следующим образом:
· кража (копирование) программного обеспечения;
· подмена (несанкционированный ввод) информации;
· уничтожение (разрушение) данных на носителях информации;
· нарушение нормальной работы (прерывание) в результате вирусных атак;
· модификация (изменение) данных на носителях информации;
· перехват (несанкционированный съем) информации;
· кража (несанкционированное копирование) ресурсов;
· нарушение нормальной работы (перегрузка) каналов связи;
Несмотря на предложенное ранжирование (примем его только к сведению) для простоты будем считать, что каждая угроза может себя рано или поздно проявить, и поэтому при построении модели примем, что весовые коэффициенты каждой угрозы равны 1.
Итак, теперь мы знаем, что и от кого (чего) надо защищать. Попробуем разобраться с тем, как организовать защиту.