I. Концепция безопасности системы защиты

Концепция безопасности разрабатываемой системы - «это на­бор законов, правил и норм поведения, определяющих, как орга­низация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечи­вающие безопасность системы. Концепция безопасности - это активный компонент защиты, включающий в себя анализ возмож­ных угроз и выбор мер противодействия» [12].

Концепция безопасности разрабатываемой системы соглас­но «Оранжевой книге» должна включать в себя следующие эле­менты:

• произвольное управление доступом;

• безопасность повторного использования объектов;

• метки безопасности;

• принудительное управление доступом.
Рассмотрим содержание перечисленных элементов.

1.1. Произвольное управление доступом - это метод ограниче­ния доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управ­ления состоит в том, что некоторое лицо (обычно владелец объек­та) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

С концептуальной точки зрения текущее состояние прав дос­тупа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, за­писываются способы доступа, допустимые для субъекта по отно­шению к объекту (например, чтение, запись, выполнение, возмож­ность передачи прав другим субъектам и т.п.).

Очевидно, прямолинейное представление подобной матрицы невозможно, поскольку она очень велика и разрежена (т.е. боль­шинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владе­лец/группа/прочие), или на механизме списков управления дос­тупом, т.е. на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры спис­ков управления доступом в разумных рамках.

Большинство операционных систем и систем управления ба­зами данных реализуют именно произвольное управление досту­пом. Главное его достоинство - гибкость, главные недостатки -рассредоточенность управления и сложность централизованно­го контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

1.2. Безопасность повторного использования объектов - важ­ное на практике дополнение средств управления доступом, пре­дохраняющее от случайного или преднамеренного извлечения
секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оператив­ной памяти (в частности, для буферов с образами экрана, рас­шифрованными паролями и т.п.), для дисковых блоков и магнит­ных носителей в целом.

1.3. Метки безопасности ассоциируются с субъектами и объек­тами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге» метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядочен­ное множество, которое может выглядеть, например, так:

• совершенно секретно;

• секретно;

• конфиденциально;

• несекретно.

Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности.

Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной бе­зопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правиль­ными.

Одним из средств обеспечения целостности меток безопасно­сти является разделение устройств на многоуровневые и одно­уровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в оп­ределенном диапазоне уровней). Одноуровневое устройство мож­но рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уро­вень устройства, система может решить, допустимо ли записы­вать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на прин­тере общего пользования с уровнем «несекретно» потерпит не­удачу.

1.4. Принудительное управление доступом основано на сопос­тавлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта до­минирует над меткой объекта. Смысл сформулированного пра­вила понятен: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В част­ности, конфиденциальный субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

После того как зафиксированы метки безопасности субъек­тов и объектов, оказываются зафиксированными и права досту­па. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользова­теля У». Конечно, можно изменить метку безопасности пользо­вателя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во мно­гих вариантах операционных систем и СУБД, отличающихся по­вышенными мерами безопасности. Независимо от практическо­го использования принципы принудительного управления явля­ются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удоб­нее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На прак­тике произвольное и принудительное управление доступом соче­тается в рамках одной системы, что позволяет использовать силь­ные стороны обоих подходов.

Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является до­полнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

• идентификация и аутентификация;

• предоставление надежного пути;

• анализ регистрационной информации.
Рассмотрим эти категории подробнее.
Идентификация и аутентификация. Прежде чем получить

право совершать какие-либо действия в системе, каждый пользо­ватель должен идентифицировать себя. Обычный способ иден­тификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользо­вателя, т.е. что он является именно тем, за кого себя выдает. Стан­дартное средство проверки подлинности (аутентификации) - па­роль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование ро­говицы или отпечатков пальцев) или их комбинация.

Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной ба­зой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути - дать пользователю воз­можность убедиться в подлинности обслуживающей его системы. Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным тер­миналом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «троянским конем».

Анализ регистрационной информации - аудит имеет дело с дей­ствиями (событиями), затрагивающими безопасность системы. К таким событиям относятся:

• вход в систему (успешный или нет);

• выход из системы;

• обращение к удаленной системе;

• операции с файлами (открыть, закрыть, переименовать, уда­
лить);

• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Полный перечень событий, потенциально подлежащих реги­страции, зависит от избранной системы безопасности и от специ­фики ЭИС. Протоколирование помогает следить за пользователем и сконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая инфор­мация:

• дата и время события;

• уникальный идентификатор пользователя - инициатора дей­ствия;

• тип события;

• результат действия (успех или неудача);

• источник запроса (например, имя терминала);

• имена затронутых объектов (например, открываемых или уда­ляемых файлов);

• описание изменений, внесенных в базы данных защиты (на­пример, новая метка безопасности объекта);

• метки безопасности субъектов и объектов события.

Необходимо подчеркнуть важность не только сбора инфор­мации, но и ее регулярного и целенаправленного анализа. В пла­не анализа выгодное положение занимают средства аудита СУБД,
поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следователь­но, появляется возможность для выявления подозрительных дей­ствий применять сложные эвристики.

2. Гарантированность системы защиты

Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (фор­мальной или нет) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выб­ранной концепции безопасности. Гарантированность можно счи­тать пассивным компонентом защиты, надзирающим за самими защитниками» [12].

Гарантированность - это мера уверенности, с которой мож­но утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книге» рассматриваются два вида гаранти­рованности - операционная и технологическая. Операционная Гарантированность относится к архитектурным и реализацион­ным аспектам системы, в то время как технологическая - к мето­дам построения и сопровождения.

2.1. Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и вклю­чают в себя проверку следующих элементов:

• архитектуры системы;

• целостности системы;

• анализа тайных каналов передачи информации;

• надежного администрирования;

• надежного восстановления после сбоев.

Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подоб­ных архитектурных решений в рамках аппаратуры и операцион­ной системы - разделение команд по уровням привилегирован­ности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему - достаточно принци­пиальной возможности дополнительной установки защитных продуктов надежности компонентов.

Целостность системы в данном контексте означает, что ап­паратные и программные компоненты надежной вычислитель­ной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки цело­стности.

Анализ тайных каналов передачи информации - тема, специфич­ная для режимных систем, когда главное - обеспечить конфиден­циальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются не столько для передачи информации от одного злоумышленника к другому, сколько для получения злоумышленником сведений от внедренного в систе­му «троянского коня».

Надежное администрирование в трактовке «Оранжевой кни­ги» означает, что должны быть логически выделены три роли - системного администратора, системного оператора и админист­ратора безопасности. Физически эти обязанности может выпол­нять один человек, но в соответствии с принципом миними­зации привилегий в каждый момент времени он должен выпол­нять только одну из трех ролей. Конкретный набор обязаннос­тей администраторов и оператора зависит от специфики орга­низации.

Надежное восстановление после сбоев - метод обеспечения гарантированности, при котором должна быть сохранена це­лостность информации, в частности целостность меток безопас­ности. Надежное восстановление включает в себя два вида дея­тельности - подготовку к сбою (отказу) и собственно восста­новление. Подготовка к сбою - это и регулярное выполнение резервного копирования, и выработка планов действий в экст­ренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур.

2.2. Технологическая гарантированность охватывает весь жиз­ненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стан­дартами, чтобы обезопаситься от утечки информации и нелегаль­ных «закладок».

Критерии, изложенные в «Оранжевой книге», позволили спе­циалистам ранжировать информационные системы защиты инфор­мации по степени надежности. В этом документе определяются четыре уровня безопасности (надежности) - D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления дос­тупом. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В под­разделяются на классы (Cl, C2, Bl, B2, ВЗ) с постепенным возрас­танием надежности. Таким образом, всего имеется шесть классов безопасности - С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому клас­су, ее концепция безопасности и Гарантированность должны удов­летворять разработанной системе требований, соответствующей этому классу.

Гармонизированные критерии Европейских стран (ITSEC)

Следуя по пути интеграции, Европейские страны приняли со­гласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 г. от имени соответствующих органов четырех стран - Фран­ции, Германии, Нидерландов и Великобритании.

Принципиально важной чертой европейских критериев явля­ется отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запра­шивающая сертификационные услуги, формулирует цель оцен­ки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защит­ные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функци­ями, т.е. насколько корректны и эффективны архитектура и реа­лизация механизмов безопасности в описанных разработчиком условиях.

Таким образом, в терминологии «Оранжевой книги» европей­ские критерии относятся к оценке степени гарантированности безопасной работы спроектированной системы.

Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности:

• конфиденциальность, т.е. защиту от несанкционированного получения информации;

• целостность, т.е. защиту от несанкционированного изменения информации;

• доступность, т.е. защиту от несанкционированного удержа­ния информации и ресурсов.

В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд каса­ется лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т. е. здесь вы­является, какая функциональность на самом деле обеспечи­вается. На третьем уровне содержится информация о механиз­мах безопасности, показывающих, как реализуется указанная функция.

Критерии рекомендуют выделить в спецификациях реализуе­мых функций обеспечения безопаснос-ти более расширенный по сравнению с «Оранжевой книгой» состав разделов или классов функций.

- Идентификация и аутентификация.

- Управление доступом.

- Подотчетность.

- Аудит.

- Повторное использование объектов.

- Точность информации.

- Надежность обслуживания.

- Обмен данными.

Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти при­мерных классов функциональности, типичных для правитель­ственных и коммерческих систем. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».

Кроме того, в критериях определены три уровня мощности механизмов защиты - базовый, средний и высокий. Согласно кри­териям мощность можно считать базовой, если механизм спосо­бен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностя­ми. Наконец, мощность можно считать высокой, если есть уве­ренность, что механизм может быть побежден только злоумыш­ленником с высокой квалификацией, набор возможностей и ре­сурсов которого выходит за пределы практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, инфор­мирующие персонал о переходе объекта в небезопасное состоя­ние (что может случиться в результате сбоя, ошибок админист­ратора или пользователя).

Эффективность защиты признается неудовлетворительной, если выявляются слабые места, они не исправляются до оконча­ния процесса оценки. В таком случае объекту оценки присваива­ется уровень гарантированности Е0.

При проверке корректности объекта оценки - разработан­ной системы защиты применяются две группы критериев. Пер­вая группа относится к конструированию и разработке системы или продукта, вторая - к эксплуатации разработанной системы.