|
Телефон: +7(495)933-00-06 / О компании / Наши координаты / Карта сайта /
Статьи по информационной безопасностиЮрий Пашков, Кузьма Пашков "Утрачиваемое искусство доказательства защищенности. Часть 2 из 2"Краеугольный камень доказательного подхода — понятия политики безопасности, модели защиты и доказательства защищенности. При этом особое внимание уделяется понятию безопасной политики. Свойство безопасности трактуется не как количественное, а как качественное — политика в терминах конкретной модели может быть либо безопасной, либо не являться таковой. На интуитивном уровне логика рассуждений следующая: если формальная политика для модели является безопасной, то адекватная ей реальная политика в условиях реальной автоматизированной обработки также будет безопасной. Последовательность действий при применении доказательного подхода следующая:
— эти условия выполнения политики интерпретируются для реальной автоматизированной системы и реализуются в виде настроек встроенных механизмов и средств защиты. 5. Интерпретация предположений и условии безопасностиФункциональным назначением большинства современных автоматизированных систем является многопользовательский доступ с рабочих мест к большим объемам информации (базам данных). Как правило, взаимодействие между компонентами в таких АС осуществляется по принципам архитектуры «клиент – сервер». Для АС типа «клиент – сервер» характерна следующая логическая структура:
В то же время для АС этого типа можно выделить следующие аппаратные компоненты:
Интерпретация предположений и условий безопасности предполагает подкрепление на практике с помощью организационных мер, оборудования и программных средств предположений 1-5 и условий 1-3, сделанных в предыдущем пункте. Однако прежде чем устанавливать оборудование и конфигурировать программные средства, необходимо уяснить, как соотносятся параметры модели и особенности системы автоматизированной обработки. Предположение 1. Предположение о том, что у каждого субъекта есть только один родитель, реализуется в большинстве операционных систем в виде механизма порождения процесса. При этом ОС должна поддерживать понятие субъекта как процесса. Предположение 2. Предположение о том, что возможно моделирование функционирования системы последовательностью доступов активизированных субъектов системы к объектам системы означает, что операционная система поддерживает, начиная с определенного уровня интерфейсов, понятия объектов, субъектов и доступов. Понятно, что эти интерфейсы возникают в процессе загрузки ОС и из рассмотрения выпадают процессы, происходящие в реальных системах в ходе начальной загрузки до запуска механизмов защиты. Предположение 3. Предположение о наличии единственного администратора и об отказе от передачи им прав другим пользователям может быть преобразовано в организационные меры, которые требуется включить в обязанности администратора. Предположение 4. Отсутствие канала утечки ценной информации посредством объектов общего доступа. Это предположение может быть реализовано средствами операционной системы под контролем администратора. Предположение 5. Предположение о порядке работы системы при попытке обращения субъекта, активизированного от имени некоторого пользователя, к объекту системы может быть реализовано оборудованием процессора и ядром безопасности операционной системы с помощью так называемого монитора ссылок. Итак, если предположения верны и соблюдается политика безопасности, то несанкционированный доступ невозможен. Рассмотрим, при каких условиях может быть соблюдена политика безопасности. Оказывается, она может быть выполнена при соблюдении следующих условий:
Интерпретируем теперь требования по защищенности, полученные нами при моделировании, применительно к автоматизированной системе, построенной по принципам архитектуры “клиент - сервер”.
При установлении сеанса пользователя с ОС рабочей станции должны запрашиваться идентификатор и пароль пользователя. При установлении сеанса пользователя с сервером АС должны запрашиваться идентификатор и пароль пользователя. При установлении сеанса пользователя с сервером баз данных должны запрашиваться идентификатор и пароль пользователя. Пароль пользователя не должен храниться в файле на рабочей станции. Он должен быть защищен от раскрытия при передаче по сети. Операционная система сервера АС должна осуществлять регистрацию установления и окончания сеанса пользователя с сервером АС. Серверная часть СУБД должна осуществлять регистрацию установления и окончания сеанса пользователя с базой данных в файлах, доступных только администратору сервера. В параметрах регистрации указываются: время и дата входа/выхода субъекта доступа в систему (из системы) или загрузки останова системы; результат попытки входа: успешный или неуспешный — несанкционированный; идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа. 6. Реализация политики безопасности средствами защиты информации ОСОднако наличие механизмов ОС, реализующих условия, способствующие выполнению политики безопасности, еще не гарантирует, что эти механизмы будут правильно настроены администратором. Поэтому важным является вопрос практической реализации интерпретации конкретной политики и правил разграничения доступа. Только после выполнения всех этапов конфигурирования реализуется основной замысел по построению защищенной автоматизированной системы. Таким образом, выполняется еще одна интерпретация установленных в организации правил разграничения доступа теперь уже средствами защиты, встроенными в ОС. 7. ВыводыВ последнее время много внимания уделяется проблемам построения автоматизированных систем в защищенном исполнении. Существует несколько концептуальных подходов к решению этих проблем. Первым был подход, основанный на анализе риска обработки ценных данных. Затем развитие получил нормативный подход к построению систем защиты информации. Доказательный подход является промежуточным между подходом, основанным на анализе риска, и нормативным. Настоящая статья продемонстрировала возможности доказательного подхода для создания защищенных автоматизированных систем. Недостатком доказательного подхода является необходимость моделирования конкретной АС и политики защиты информации, принятой в организации. Однако свойства модели таковы, что при более детальном, чем приведено выше, моделировании операционной системы окажется, что условия выполнимости политики безопасности для разных организаций будут одни и те же. Иначе говоря, условия теорем, доказывающих поддержку политики безопасности (включая соответствующую политику), можно формулировать без доказательства в виде стандарта. Такой подход впервые применили американцы в 1983 г., опубликовав проект стандарта по защите информации в ЭСОД (“Оранжевая книга”), где сформулированы требования гарантированной поддержки двух классов политик — дискреционной и политики MLS. Затем этот метод они применили в 1987 г. для описания гарантированно защищенных распределенных сетей, поддерживающих те же политики, и в 1991 г. для описания требований гарантированно защищенных баз данных. На основе этого метода был создан нормативный подход к построению систем защиты информации. Приведенная в статье модель носит учебный характер и может быть использована для объяснения особенностей построения современных систем защиты информации. Для полной информации о наших авторских программах, о программах обучения и сертификационных экзаменах по информационной безопасности, предлагаемых в России и Казахстане, обращайтесь в учебный центр «Микроинформ»: тел. +7(495)933-00-06, educ@microinform.ru |