Карпов В.В. (karpov@cps.tver.ru) - НИИ «Центрпрограммсистем» (первый зам. генерального директора), Тверь, Россия, кандидат технических наук, Ершов Г.С. () - , Семихина Л.А. () - | |
Ключевое слово: |
|
Ключевое слово: |
|
|
Проникновение компьютерных технологий обработки информации в специальные области деятельности человека привело к тому, что показатель информационной безопасности стал одной из основных характеристик информационных систем, и в особенности систем военного назначения. Важность и актуальность проблемы информационной безопасности подчеркивается и тем фактом, что в большинстве стран деятельность в этой области лицензируется, разработанные изделия под- лежат сертификации, а на государственном уровне приняты документы, определяющие требования к подобным разработкам. Примерами таких документов являются стандарт министерства обороны США № 5200.28 (“Оранжевая книга”) и “Сборник руководящих документов по защите информации от несанкционированного доступа” Гостехкомиссии России. Опыт разработки защищенных информационных систем, претендующих на соответствие требованиям указанных документов, позволяет говорить о двух возможных технологиях их разработки. В первом случае разработка системы защиты информации ведется одновременно с разработкой защищенной информационной системы как таковой. Система разрабатывается как единое целое, включая аппаратную часть, операционную систему (ОС) и функциональное программное обеспечение. Особенности развития технологий разработки системного программного обеспечения в нашей стране привели к отсутствию сколь-либо распространенных ОС отечественного производства. В этих условиях разработка защищенных информационных систем в России выполняется преимущественно по второму методу, определяющей сущностью которого является переработка некоторой системы-прототипа с целью улучшения ее характеристик и доработки ее защиты до требуемого уровня. На первый взгляд этот путь представляется менее трудоемким, однако доработка уже существующей системы при отсутствии исходных текстов программ системы-прототипа на практике приводит зачастую не только к непроизводительным потерям рабочего времени, но и предопределяет большую вероятность неудачи. Двигаясь вторым путем, отечественные разработчики систем защиты информации (СЗИ) берут за основу, как правило, штатную систему защиты конкретной ОС и дорабатывают ее до требуемого уровня защищенности, используя декларированные функции и возможности. Для ряда приложений подобный подход вполне приемлем, он обеспечивает достижение заданного уровня информационной безопасности при небольших затратах на разработку. Однако он не выдерживает критики для случаев использования подобных систем в специальных областях, например, в изделиях, предназначенных для Министерства обороны (МО). В самом деле, при различных вариациях указанного подхода основой системы защиты информации все равно остается базовая система иностранного производства. При этом отсутствие исходных текстов и достоверных сведений о недекларированных функциях не позволяет гарантировать необходимую реакцию системы на угрожающее воздействие. Это справедливо и тогда, когда разработчики защищенной информационной системы обеспечивают частичное вскрытие и доработку базовой системы защиты с целью обеспечения требуемой реакции в соответствии с определенными правилами. Представляется, что принципиальным решением указанной проблемы могла бы быть разработка полнофункциональной СЗИ в максимальной степени независимой от ОС импортного производства и полностью независимой от базовой системы защиты этой ОС (при наличии таковой). При этом новая СЗИ должна выполняться с более высоким приоритетом, чем уже существующая базовая и обеспечивать выполнение функций защиты как при включенной, так и при выключенной базовой СЗИ. Указанным требованиям в полной мере соответствует семейство аппаратно-программных комплексов защиты информации (АПКЗИ) от несанкционированного доступа “Лабиринт”, включающее в себя: - АПКЗИ “Лабиринт 1.0” для ПЭВМ типа IBM PC под управлением MS-DOS 5.0-6.22, Windows-3.1, автономных или объединенных в локальную вычислительную сеть под управлением NetWare-3.11,3.12 (сертификат № 64 Гостехкомиссии России по 5 классу); - АПКЗИ “Лабиринт 1.1” для ПЭВМ типа IBM PC под управлением MS-DOS 5.0-6.22, Windows-3.1, автономных или объединенных в локальную вычислительную сеть под управлением NetWare-3.11,3.12 (сертификат № 192 Гостехкомиссии России по 3 классу); - АПКЗИ “Лабиринт – М” для ПЭВМ типа IBM PC под управлением Microsoft Windows-NT 4.0, автономных или объединенных в локальную сеть Microsoft (сертификат № 303 Гостехкомиссии России по 2 классу); - АПКЗИ “Лабиринт – 99” для ПЭВМ типа IBM PC под управлением Microsoft Windows-95,98, автономных или объединенных в локальную сеть Microsoft. В самом деле, несмотря на некоторое отличие в составе требований, предъявлявшихся к конкретным членам этого семейства в зависимости от заявленного класса защищенности, основным и общим требованием оставалась полная независимость от базовых средств защиты данной ОС импортного производства. С целью выполнения требований руководящих документов разработка АПКЗИ “Лабиринт” выполнялась с использованием системного подхода, включавшего в себя: - разработку концепции защищенной информационной системы специального назначения; - разработку технического задания для конкретной версии АПКЗИ; - анализ возможных точек вторжения и видов угроз; - исследование базовых средств защиты информации ОС импортного производства; - проработка механизмов встраивания средств защиты в конкретную ОС; - построение модели защиты информации; - разработку технического проекта АПКЗИ. Основные положения концепции защищенной информационной системы, сформулированные на первом этапе и содержавшие принципы архитектурного построения АПКЗИ, способы контроля и управления доступом, методику аудита и требования к аппаратной части, уточнялись и дорабатывались на последующих этапах. В качестве основы для построения СЗИ в семействе АПКЗИ “Лабиринт” применена микроядерная архитектура с исполь- зованием сервера безопасности. При этом на каж- дой рабочей станции защищаемой локальной вычислительной сети компоненты программного обеспечения системы защиты структурируются в виде ядра и сервисов. Ядро реализует наиболее важные и общие функции базиса для всех сер- висов защиты. Такой подход позволяет минимизировать размер ядра и реализовать взаимодействие компонентов с использованием модели клиент-сервер. Естественно, что степень соответствия этому принципу зависит от конкретной ОС, на базе которой строится АПКЗИ. Указанная зависимость определяется принципами построения и взаимодействия компонентов ОС, а также возможностью применения современных методов объектно-ориентированного проектирования и программирования. Именно поэтому в наибольшей степени перечисленным требованиям соответствует версия АПКЗИ “Лабиринт-М” для ОС Microsoft Windows-NT 4.0. Среди требований руководящих документов Гостехкомиссии России по защите информации от несанкционированного доступа одно из основных мест занимают требования управления доступом. Основной задачей контроля и управления доступом является определение множества данных и операций над ними, разрешенных для пользователей информационной системы. Известны два основных механизма управления доступом: дискреционный (произвольный) и мандатный (нормативный). Дискреционный метод доступа согласно требованиям руководящих документов Гостехкомиссии появляется с 6 класса защищенности. Основой его является матрица прав доступа, строки которой соответствуют субъектам (пользователи), а столбцы – объектам (файлы, каталоги и т.д.). В ячейках матрицы содержатся права доступа субъектов к объектам. На рисунке представлен пример матрицы описания прав доступа, реализованной в АПКЗИ “Лабиринт”.
Мандатный принцип разграничения доступа необходим для АПКЗИ с 4 класса защищенности. Он обеспечивает контроль доступа, следуя правилам используемой модели управления доступом на основе сопоставления классификационных меток субъектов и объектов защиты. Нормативное управление доступом в АПКЗИ “Лабиринт” основано на модели Белла-Лападула и включает реализацию двух основных свойств безопасности: запрет чтения с верхнего уровня и запрет записи на нижний уровень. Для реализации мандатных правил разграничения доступа система защиты информации содержит механизм описания классификаций и классификационных меток субъектов и объектов. При этом по умолчанию АПКЗИ содержит описание двух общепринятых классификаций пользователей по форме допуска и ресурсов по грифу секретности. Они представляют собой иерархические классификации, отображаемые одна на другую. Категория (классификационная метка) субъекта или объекта определяет их место в соответствующей иерархии. Правила отображения указывают на соответствие между категориями (уровнями) этих классификаций. В общем случае средства нормативного управления доступом АПКЗИ “Лабиринт” обеспечивают создание неиерархических отображаемых классификаций, для которых категория субъекта или объекта отражает их принадлежность соответствующей классификации, а также иерархических и неиерархических симметричных классификаций общих для пользователей и ресурсов. Решение о предоставлении доступа субъекта защиты к объекту принимается АПКЗИ на основе следующих правил: - при попытке чтения субъекту разрешается доступ, если его метка иерархической классификации не ниже соответствующей метки объекта и список меток неиерархических классификаций субъекта включает в себя весь список меток неиерархических классификаций объекта; - при попытке записи субъекту разрешается доступ, если метка иерархической классификации объекта равна соответствующей метке субъекта и список меток неиерархических классификаций объекта совпадает со списком меток неиерархических классификаций субъекта; - при операции создания объекту присваиваются метки иерархических классификаций, соответствующих меткам субъекта; - для остальных операций субъекту предоставляется право доступа, если его метка иерархической классификации не ниже соответствующей метки объекта; - при наличии у субъекта нескольких меток одной классификации (только для неиерархических классификаций) мандатные права являются ОБЪЕДИНЕНИЕМ прав для всех меток этой классификации; - при наличии у субъекта нескольких меток различных классификаций мандатные права являются ПЕРЕСЕЧЕНИЕМ прав доступа для каждой классификации. Правила предоставления доступа для симметричных классификаций соответствуют описанным выше с учетом того, что категории субъекта или объекта при этом идентичны. Пользователю предоставляются права доступа к ресурсу, если он имеет их при пересечении его мандатных и дискреционных прав. Право вводить (изменять) описание классификаций и настраивать (изменять) классификационные метки субъектов и объектов предоставляется только пользователю с категорией Администратор. Права доступа к файлам/каталогам определяются общими правилами разграничения мандатного метода доступа. Другой важной характеристикой АПКЗИ “Лабиринт” является метод реализации аудита в защищаемой системе. Принято считать, что аудит сам по себе не является средством защиты, поскольку непосредственно не противостоит угрозам безопасности. Однако анализ протокола аудита позволяет не только определять последствия попыток нарушения безопасности системы, но и предпринимать необходимые действия для предотвращения таких атак. Определяющим здесь является оперативность аудита, время обработки результатов и формирования ответной реакции на угрозу безопасности. С целью уменьшения времени реакции на угрожающее воздействие в АПКЗИ “Лабиринт” реализован режим оперативного отображения, суть которого заключается в следующем. Наряду с классическими решениями по организации аудита, основывающимися на регистрации и учете событий, происходящих в системе, АПКЗИ “Лабиринт” обеспечивает мониторинг событий в режиме реального времени на экране монитора рабочего места сотрудника службы безопасности информации. При этом если оперативная обработка собранной информации обеспечивает автоматическую реакцию на угрожающие события, предварительно классифицированные по степени опасности, то режим оперативного отображения позволяет использовать человеческий фактор для принятия решения в нештатных ситуациях. Например, если система защиты настроена так, что разрешает троекратную попытку регистрации, реакция на угрожающее воздействие, связанное с троекратным неправильным вводом идентификационных данных, появится только после последней третьей попытки. В то же время при использовании мониторинга сотрудник службы безопасности сможет наблюдать возникновение угрозы уже после первой попытки регистрации и предпринять необходимые защитные меры, в том числе и организационные. Очевидно, что система защиты информации будет выполнять свои задачи, если обеспечены необходимые условия ее правильного и надежного функционирования. В основе такой системы должен лежать некий базовый механизм контроля доступа, обойти который для заданных условий эксплуатации системы не представляется возможным. Это требование особенно актуально для АПКЗИ, предназначенных для работы в среде закрытых ОС, когда отсутствуют исходные тексты и нет гарантии полноты сведений о реализованных функциях и алгоритмах работы. В таких случаях проблемы формирования среды защиты начинаются уже с момента загрузки ОС. Например, если ОС предусматривает возможность пошаговой загрузки или приостановку загрузки в определенных точках, это свойство может быть использовано злоумышленником для вмешательства в процесс инициализации системы защиты. Наиболее эффективным решением здесь является аппаратная реализация процедур защиты инициализации и функционального контроля АПКЗИ, которая в рамках системы “Лабиринт” обеспечивается использованием контроллеров защиты “Тверца” и “Тверца-2” для ПЭВМ типа IBM PC. Контроллер “Тверца” представляет собой простое и надежное решение задачи запрета загрузки с дискеты и блокировки клавиатуры до завершения инициализации системы защиты. Контроллер “Тверца-2” обеспечивает дополнительно аутентификацию пользователей до загрузки ОС, защиту от несанкционированного доступа к CMOS-памяти и хранение данных системы защиты в изолированных областях памяти, недоступных ОС. При этом идентификация пользователей осуществляется по идентификатору и паролю длиной до 50-ти символов. При правильном вводе идентификатора и пароля контроллер проверяет срок действия пароля и разрешенный интервал рабочего времени для данного пользователя. При удовлетворении всех требований пользователь считается зарегистрированным. Все операции по работе с регистрационной информацией и данными таблиц разграничения доступа производятся в локальной памяти с помощью процессора, установленного на плате. Критичная информация системы защиты хранится в энергонезависимой памяти в преобразованном виде по ГОСТ 28147-89. Каждый контроллер имеет недоступный пользователю уникальный ключ шифрования, причем схемная реализация обеспечивает разрушение информации при попытке изъятия платы из ПЭВМ. Информация о случае неуспешной аутентификации заносится в журнал регистрации с указанием причины: - неверный идентификатор пользователя; - неверный пароль пользователя; - срок действия пароля истек; - неразрешенное время работы; - неразрешенный день недели. При троекратной неверной регистрации ПЭВМ блокируется до вмешательства администратора. Блокировка осуществляется как на программном, так и на аппаратном уровнях, что обеспечивает полную невозможность работы. Для использования современных методов идентификации и аутентификации различные модификации контроллера имеют интерфейсы для подключения элементов TOUCH-memory и инфракрасных декодеров. Специальной функцией контроллера “Тверца-2” в составе АПКЗИ “Лабиринт” является хранение критичных данных, например контрольных сумм программного обеспечения защиты, в локальных областях памяти, недоступных пользователю. Рассмотрение основных практических способов реализации положений концепции защищенной информационной системы на примере АПКЗИ “Лабиринт” приводит к выводу, что, несмотря на то что каждый элемент системы защиты представляет собой достаточно полно отработанный элемент, результирующий эффект их взаимодействия может быть оценен только при условии четкого определения граничных условий применения. Указанные условия зависят как от способа реализации конкретной функции защиты, так и от средств управления политикой безопасности, доступных администратору системы. Например, в системе “Лабиринт-М” разграничение доступа к информации на жестком магнитном диске реализовано только на уровне файлов и каталогов, поэтому при необходимости работы с базой данных защита информации на уровне таблиц или полей должна обеспечиваться собственной системой защиты СУБД. На защищенной ПЭВМ оказывается неработоспособным программное обеспечение, использующее стандартные средства настройки системы безопасности Windows-NT, поскольку права к ресурсам предоставляются только в том случае, если они назначены средствами АПКЗИ “Лабиринт”. С другой стороны, существует достаточно многочисленный класс программного обеспечения, потенциально весьма опасного для системы защиты. Это программные средства, которые могут быть использованы для несанкционированного доступа к защищаемым ресурсам в обход АПКЗИ или имеют свойства, вступающие в противоречие с принятыми соглашениями защиты информации на ПЭВМ пользователя. К таким программным средствам можно отнести средства отладки, анализаторы кода, средства разработки программного обеспечения и т.п. Определение соответствия полного перечня граничных условий и множества средств их поддержки в процессе управления политикой безопасности позволит администратору обеспечить защиту информации с максимальной эффективностью для заданных условий. |
http://swsys.ru/index.php?id=876&lang=.&page=article |
|