У найбільш небезпечній ситуації модель потенційного порушника може бути представлена наступним чином:
Порушник може з'явитися в будь-який час і в будь-якому місці периметра автоматизованої системи.
Кваліфікація і обізнаність порушника може бути на рівні розробника даної системи.
Порушнику відома постійно зберігається інформація про принципи роботи системи, включаючи секретну.
Для досягнення своїх цілей порушник вибирає найбільш слабка ланка в захисті.
Порушником може бути не тільки стороння особа, а й законний користувач системи.
На підставі даної моделі можуть бути сформульовані основні принципи побудови захисту ІС:
Необхідно побудувати навколо предмета захисту постійно діючий замкнутий контур захисту.
Властивості перепони, що становлять захист, повинні відповідати очікуваної кваліфікації та обізнаності порушника.
Для входу в систему законного користувача необхідна змінна секретна інформація, відома тільки йому.
Підсумкова міцність системи захисту визначається його слабкою ланкою.
Необхідно розмежовувати доступ користувачів до інформації відповідно до їх повноважень і виконуваними функціями.
Модель потенційного порушника може змінюватися в залежності від конкретної ситуації, особливостей інформаційної системи, потенційних загроз безпеки і т.п. Відповідним чином повинні формулюватися і вимоги до ІС. Взагалі, вимоги до захисту ІС повинні будується на основі розумного компромісу між:
Цінністю захищається і вартістю системи захисту - з точки зору розробників, замовників і користувачів системи;
Цінністю цікавить і вартістю подолання системи захисту - з точки зору порушника.
Концепція захищеної ис
Спробуємо відповісти на наступне питання: що таке захищена ІС. В якості першого наближеного відповіді можна прийняти наступне твердження: ІС захищена, якщо всі операції виконуються відповідно до строго визначеними правилами, які забезпечують безпосередню захист об'єктів мережі, її ресурсів і операцій.
Основним поняттям ІС є поняття об'єкта, який включає ресурси і користувачів. До складу ресурсів входять всі компоненти ІС, її апаратне і програмне забезпечення. Поняття ресурсу може бути поширене і на інші компоненти ІС - процедури, протоколи, керуючі структури і т. П.
Функції, процедури та засоби захисту ис
Визначивши поняття об'єктів і ресурсів, встановимо безліч операцій і функцій, які можуть бути виконані над ними.
Перша група операцій - це операції ініціалізації об'єктів при вході в ІС. До них відносяться: ідентифікація, підтвердження автентичності (аутентифікація) та встановлення сфери дії об'єкта. Після цього об'єкту дозволяється виконання інших операцій з включенням інших об'єктів: обмін повідомленнями, використання послуг електронної пошти, проведення телеконференцій і т. П. При реалізації цих операцій і функцій виявляються різні аспекти проблем захисту і забезпечення цілісності даних. Функції та засоби захисту, які стосуються активних елементів ИС, доцільно визначити як функції і засоби захисту об'єктів.
Друга група операцій - це операції передачі даних і керуючих повідомлень по лініях зв'язку. Вони також вимагають захисту, оскільки лінії зв'язку - уразливий компонент ІС. Відповідні функції і засоби захисту доцільно визначити як функції і засоби захисту каналів передачі даних (ліній зв'язку).
Четверта група операцій - це операції управління процесами, виконуваними в ІС. Відповідні засоби захисту здійснюють координацію, синхронізацію, забезпечують цілісність і захист процесів в ІС. Вони можуть бути об'єднані в підсистему управління ІС.
Таким чином, всі операції: вимоги до захисту, функції, засоби та механізми захисту - можуть бути віднесені до однієї з наступних чотирьох груп:
- захист об'єктів ІВ;
- захист ліній зв'язку;
- захист баз даних;
- захист підсистеми управління ІС.
Така структура операцій, функцій, процедур, засобів і підсистем захисту увійшла в міжнародний стандарт ІСО.
Захист об'єктів ІВ
З кожним об'єктом ІС пов'язана деяка інформація, однозначно ідентифікує його. Це можуть бути число, рядок символів, алгоритм, що підтверджують справжність об'єкта. Визначимо таку інформацію як ідентифікатор об'єкта. Процес перевірки цього ідентифікатора назвемо ідентифікацією об'єкта. Якщо об'єкт має певний ідентифікатор, зареєстрований в мережі, він називається легальним об'єктом; інші об'єкти відносяться до нелегальних.
Перераховані три процедури ініціалізації відносяться до єдиного об'єкту ІВ, і тому їх слід віднести до засобів захисту самого об'єкта.
У контексті захисту каналів передачі даних (лінії зв'язку) підтвердження достовірності означає встановлення автентичності об'єктів, що зв'язуються між собою по лініях зв'язку, що реалізовуються за допомогою мережевих механізмів захисту. Таким чином, наступна сукупність функцій захисту - підтвердження автентичності з'єднання абонентів по лініях зв'язку. Ці функції називаються взаємним підтвердженням справжності (peer-to-peerauthentication) з'єднань об'єктів. Термін з'єднання використовується для того, щоб визначити логічний зв'язок (потенційно двосторонню) між двома взаємопов'язаними об'єктами мережі. Процедура підтвердження справжності виконується зазвичай на самому початку сеансу в процесі встановлення з'єднання. Мета - забезпечити високу ступінь впевненості, що з'єднання встановлено з рівноправним об'єктом і вся інформація, призначена для обміну, верифицирована і підтверджена.
Після того як з'єднання встановлено, необхідні наступні чотири процедури, щоб забезпечити захист при обміні повідомленнями:
а) одержувач повинен бути впевнений в істинності джерела даних;
б) отримувач повинен бути впевнений в істинності переданих даних;
в) відправник повинен бути впевнений в доставці даних одержувачу;
г) вантажовідправник повинен бути впевнений в істинності доставлених даних.
Якщо всі чотири процедури реалізовані в ІС, вони гарантують захищеність даних при їх передачі по лінії зв'язку і визначають функцію захисту, яку можна було б назвати функцією підтвердження передачі (non-repudiationservice). У цьому випадку відправник не може заперечувати ні факту посилки повідомлення, ні його змісту, а одержувач не може заперечувати ні факту отримання повідомлення, ні істинності його змісту.
Особливе місце в підтвердженні справжності передачі повідомлення займає проблема захисту відправлень по каналах електронної пошти, коли відправник посилає повідомлення одержувачу, який не є активним в момент передачі повідомлення.
Для всіх перерахованих процедур, функцій і засобів за-щити неявно передбачалося, що два взаімодоверяющіх один одному об'єкту взаємодіють в недружньому сеті-вом оточенні. Це означало б, що джерело загроз по від-носіння до з'єднання, перебував поза цієї сполуки. Бо-леї складно гарантувати захист при передачі повідомлень між недружніми об'єктами, коли ніхто нікому не довіряє. В цьому випадку слід простежити, щоб передава-ється об'єктами інформація була рівнозначною за своєю важливістю. Використовувана в цих цілях процедура захисту в разі двох учасників називається підписанням контракту і може бути поширена на випадок багатостороннього з'єднання декількох об'єктів. Тоді такі функції захисту можуть бути визначені як підписання двостороннього або многосто-роннего контракту відповідно.
Захист ліній зв'язку ІС
Лінії зв'язку - один з найбільш вразливих компонентів ІС. У їх складі можна вказати велику кількість потенційно небезпечних місць, через які зловмисники можуть проник-нути в ІС. У разі пасивного вторгнення зловмисник тільки спостерігає за повідомленнями, переданими по лінії зв'язку, не порушуючи їх передачу. Таке вторгнення називають наглядом за повідомленнями. Навіть якщо незрозумілі самі дані, зловмисник може спостеріга-дати за керуючою інформацією, яка супроводжує спів-спілкування, і таким чином виявити розміщення і Ідентифіка-катор об'єктів ІВ. Нарешті, він може перевірити довжину з-спілкувань, час відправлення, частоту сеансів зв'язку.
Інше, більш жорстку вимогу, що використовується для за-щити переданих повідомлень, полягає в тому, що справжні ідентифікатори об'єктів мережі (зареєстровані та викорис-зуемое в процесі верифікації захищених об'єктів) дол-жни бути приховані не тільки від пасивних вторгнень з сто-ку незареєстрованих користувачів, але також і один від одного. Такий засіб захисту називається цифровим псевдонімом. У цьому випадку користувач отримує різні ідентифікатори для різних з'єднань, тим самим, приховуючи справжні ідентифікатори не тільки від злоумишлен-ників, але також і від рівноправних партнерів.
Зловмисник може організувати активні вторгнення. здійснюючи різні маніпуляції над повідомленнями під час з'єднання. Повідомлення можуть бути неявно модиф-товки, знищені, затримані, скопійовані, змінено порядок їх слідування, введені в мережу через лінію зв'язку в більш пізній час. Можуть бути також синтезовані лож-ні повідомлення і введені в мережу через канал передачі дан-них.
Механізми захисту від активних вторгнень істотно залежать від способу вторгнення. Тому доцільно виділити наступні кате-горії активних вторгнень:
- вплив на потік повідомлень: модифікація, видалити-ня, затримка, переупорядочение, дублювання регулярних і посилка помилкових повідомлень;
- перешкоджання передачі повідомлень;
- здійснення помилкових з'єднань.
Вплив на потік повідомлень включає загрози проце-дурам підтвердження справжності, цілісності і порядку проходження повідомлень під час з'єднання. В контексті когось мунікаціонних функцій ІС підтвердження автентичності повідомлення означає, що джерело повідомлення можна надійно визначити, т. Е. Вказати, що отримане повідомлення переду-но даному об'єкту деяким іншим об'єктом протягом часу з'єднання. Цілісність повідомлення означає, що со-спілкування не модифікувався в процесі передачі, а поня-тя "порядок проходження" означає, що місце розташування повідомлення в потоці повідомлень може бути перевірено.
Захист баз даних ІС
Захист БД означає захист самих даних і їх контрольоване використання на робочих ЕОМ мережі, а так-же захист будь-якої супутньої інформації, яка мо-же бути залучена або згенерована з цих даних. Управління даними при організації захисту информацион-них баз, що застосовує різні механізми захисту і криптографічні ключі в якості даних, які не вхо-дит в розглянуту групу засобів захисту. Такі процедури неявно увійшли в процедури захисту об'єктів ІВ. Зах-ту даних в процесі передачі між вузлами мережі поддержа-на процедурами захисту ліній зв'язку.
Функції, процедури та засоби захисту, які забезпечують захист даних на робочих ЕОМ, можуть бути описані в такий спосіб:
1. Захист змісту даних об'єднує функції, процедури і засоби захисту, які попереджають несанкціоноване розкриття КОНФІДЕНЦ-альних даних і інформації з БД.
2. Засоби контролю доступу дозволяють доступ до даних тільки повноважних об'єктів відповідно до строго визначеними правилами і умовами.
3. Управління потоком захищених даних при передачі з одного сегмента БДВ інший забезпечує переміщення даних разом з хутра-нізм захисту, властивими вихідними даними.
4. Запобігання можливості виявлення конфіденційних значень з даних в результаті виявлення статистично достовірної інформації.
5. Контроль узгодженості при ис-користуванні БД передбачає процедури захисту, які забезпечують захист і цілісність окремих елементів даних, зокрема їх значень (залежність від значень). Успішна реалізація таких процедур в ІС означає, що дані в БД завжди логічно пов'язані і значення критичний-ських даних передаються від вузла до вузла тільки при наявності спеціальних повноважень.
6. Контекстна захист даних, харак-терни для схем захисту динамічних БД. У цьому випадку захист окремого елемента БД в кожен даний момент часу залежить від поведінки всієї системи захисту, а також попередніх операцій, виконаних над цим елементом (залежність від передісторії).
7. Запобігання створення несанкціонованої ін-формації передбачає наявність коштів, які попереджають, що об'єкт отримує (генерує) інформацію, що перевищує рівень прав доступу, і здійснює це, використовуючи логічні-ську зв'язок між даними в БД.
Захист підсистеми управління ІС
Четверта група засобів захисту - захист процесів, цирку-чих в ІС. Тут використовуються два поняття - об'єкт і середовище. Об'єкт - будь-який активний компонент ІС, а середовище - операційне оточення цього об'єкта в той інтервал часу, коли об'єкт активний.
Серед великої кількості різних процедур управління процесами слід виділити наступні шість:
забезпечення захисту ресурсів мережі від впливу недозволених процесів і несанкціонованих запитів від дозволених процесів;
забезпечення цілісності ресурсів при порушенні распи-сания і синхронізації процесів в мережі, помилкових операцій;
забезпечення захисту ресурсів мережі від несанкціонований-ного контролю, копіювання або використання (захист програмного забезпечення);
забезпечення захисту при взаємодії надр-жественних програмних систем (процесів);
реалізація програмних систем, що не володіють па-мятью;
захист розподілених обчислень.
Перші три процедури пов'язані із захистом і забезпеченням цілісності ресурсів ІС (включаючи процеси), в той час як останні три відносяться до організації обчислювальних процесів в мережі і реалізації мережевого оточення.
Механізми захисту ресурсів ІС повинні контролювати доступ до об'єктів ІВ, особливо інформаційним. Діапазон вимог до цих механізмів захисту включає, з одного боку, повну ізоляцію виконуваної програми від інших програм, а з іншого - дозвіл їх взаємодії і спільного використання.
Цілісність ресурсів ІС може бути зруйнована, хоча кожен з взаємодіючих процесів функціонує пра-вильно. Несумісність деякого ресурсу може проявити-ся через можливе порушення розкладу подій в мережі, т. Е. При порушенні послідовності виконуваних процесів.
Інша процедура, пов'язана із захистом процесів в ІС, - взаємодія недружніх підсистем. Цей захист має забезпечити процеси користуватися деякими ресурсами з гарантією, що їх активність санкціонована. Одна з добре відомих загроз такому захисті - так звана ата-ка троянського коня.