02.09.2007

 омпьютерна€ безопасность. Ќ”∆Ќџ Ћ» ƒќЅј¬ќ„Ќџ≈ —–≈ƒ—“¬ј «јў»“џ »Ќ‘ќ–ћј÷»»

image

ѕопытаемс€ в этой работе пон€ть, а нужны же —«» от Ќ—ƒ сегодн€ в принципе, и если нужны, то каково их назначение

 

 омпьютерна€ безопасность.

Ќ”∆Ќџ Ћ» ƒќЅј¬ќ„Ќџ≈ —–≈ƒ—“¬ј «јў»“џ »Ќ‘ќ–ћј÷»»

(—«» ќ“ Ќ—ƒ)?

ƒ.т.н., проф. ј.ё.ўеглов

(«јќ «Ќѕѕ «»нформационные технологии в бизнесе»)

www.npp-itb.spb.ru

¬ насто€щее врем€ у многих потребителей средств защиты информации сложилось несколько странное отношение к добавочным средствам защиты информации.   сожалению, подчас, применение подобных средств рассматриваетс€ только в части необходимости выполнени€ неких формализованных условий, позвол€ющих обрабатывать категорированную информацию - в принципе не рассматриваютс€ вопросы повышени€ эффективности защиты, как следствие, выбор —«» от Ќ—ƒ потребителем осуществл€етс€, исход€ из ценовых показателей. ѕочему же такое отношение? Ќа самом деле, все очень просто. —уществуют требовани€ к —«» от Ќ—ƒ, которые €вл€ютс€ об€зательными дл€ выполнени€ разработчиком. Ёти требовани€ в виде соответствующих нормативных документов изданы еще в 1992 году (15 лет назад, при нынешних-то темпах развити€ »“-технологий, вспомните, какие тогда были компьютеры и системные средства, как они использовались), что уже ставит под сомнение их актуальность в современных услови€х. Ёти требовани€ не определ€ют назначение —«» от Ќ—ƒ (кроме, как защищать информацию) – содержат лишь требовани€ к набору механизмов защиты и к их реализации, не дава€ рекомендаций по практическому использованию данных механизмов защиты дл€ решени€ конкретных задач. ¬ника€ в эти требовани€, потребителю достаточно сложно пон€ть назначение создаваемых по ним —«» от Ќ—ƒ в современных услови€х, как следствие, и отношение к ним. ѕопытаемс€ же в этой работе пон€ть, а нужны же —«» от Ќ—ƒ сегодн€ в принципе, и если нужны, то каково их назначение

 ¬место введени€.

 ак известно, в декабре 2004 года был выдан сертификат по требовани€м безопасности на ќ— Windows XP Professional. —ертификаци€ данного системного средства позволила некоторым поставщикам услуг в области защиты информации декларировать следующее:

«ѕрименение сертифицированной ќ— Microsoft позвол€ет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством –оссийской ‘едерации.

ѕреимущества использовани€ сертифицированной ќ—:

  • эффективный механизм настройки параметров безопасности операционной системы;
  • отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
    • - повышение скорости, устойчивости обработки информации;
    • - снижение стоимости защищенного автоматизированного места;
    • - снижение требований к объему знаний администратора безопасности;
  •    периодическое обновление операционной системы вместе с дополнительными «опци€ми безопасности»;
  • выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».
  • ¬ пор€дке замечани€ отметим, что больше всего в подобных высказывани€х шокирует то, что использование сертифицированной ќ— снижает требовани€ к объему знаний администратора безопасности. Ќо ведь именно высока€ квалификаци€ лиц, отвечающих за безопасность обработки информации на предпри€тии, €вл€етс€ одним из необходимых условий эффективного решени€ задач защиты! »менно квалификаци€ администраторов €вл€етс€ на сегодн€шний день и одной из основных проблем защиты информации в корпоративных приложени€х. ћожет быть, правильнее, говорить о необходимости повышени€ квалификации, вне зависимости от того, какими средствами защиты они будут пользоватьс€?! ѕравда, чем выше квалификаци€, тем серьезней и требовани€ к средству защиты.

“акже, в пор€дке замечани€, отметим, что отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, ввиду выполнени€ требований нормативных документов, регламентирующих применение защищенных автоматизированных систем (т.е. по формальным признакам) – это мало обоснованна€ и  весьма спорна€ позици€. ѕриведем лишь один пример невыполнени€ формальных требований, дл€ чего обратимс€ к нормативному документу: «√остехкомисси€ –оссии. –уковод€щий документ. јвтоматизированные системы. «ащита от несанкционированного доступа к информации. ѕоказатели защищенности от Ќ—ƒ к информации» – это документ, используемый при аттестации объектов информатизации. –ассмотрим и проанализируем выполнимость лишь одного требовани€ к ј— класса защищенности 1√ (защита конфиденциальной информации):

  • должна осуществл€тьс€ очистка (обнуление, обезличивание) освобождаемых областей оперативной пам€ти Ё¬ћ и внешних накопителей. ќчистка осуществл€етс€ однократной произвольной записью в освобождаемую область пам€ти, ранее использованную дл€ хранени€ защищаемых данных (файлов).

ќ— Windows XP в принципе не осуществл€ет очистку освобождаемых областей внешних накопителей, в ней отсутствует подобный механизм защиты.  то хоть немного знаком с данной системой, знает, что системой осуществл€етс€ запись нулей в выдел€емую область пам€ти, перед записью в нее информации (т.е. не в освобождаемую при удалении и модификации, а в выдел€емую перед записью область пам€ти, а это с точки зрени€ безопасности «две большие разницы»). Ќо это вопросы повышени€ надежности работы системы, а уж никак не защиты, в части гарантированной очистки остаточной информации.  ак следствие, остаточна€ информаци€, как на жестком диске, так и на внешних накопител€х, здесь присутствует всегда. ј ведь это не единственное несоответствие механизмов защиты ќ— существующим требовани€м.

ќднако в данной работе нас будет интересовать иное. ¬идим, что здесь не то, чтобы ставитс€ под сомнение целесообразность применени€ в корпоративных приложени€х (при защите конфиденциальной информации) добавочных средств защиты информации, а данный подход рассматриваетс€, как вполне очевидный, более того, обосновываетс€, какие в этом случае потребитель получает весомые преимущества (правда, заметим, ни слова об эффективности защиты информации). ћожет быть, так оно и есть, никакой необходимости в добавочных средствах защиты информации не существует? ѕопытаемс€ ответить на этот вопрос, при этом все-таки «во главу угла» поставим вопросы эффективности защиты, все-таки, прежде всего, мы говорим о безопасности.

 Ќачнем сначала.

ѕрежде всего, необходимо определитьс€ с областью практического использовани€ любого системного средства, в том числе и средства защиты информации. »менно область практического использовани€ и диктует те требовани€ к системному средству, которые, в первую очередь, быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства.  ак увидим далее, на практике подобные требовани€ дл€ различных областей практического использовани€ могут очень сильно различатьс€, а подчас, и противоречить друг другу, что не позвол€ет создать единого средства «на все случаи жизни».

 огда речь заходит об информационных технологи€х, можно выделить два их основных приложени€ – это личное использование в домашних услови€х, либо корпоративное использование – на предпри€тии. ≈сли задуматьс€, то разница требований, в том числе, и к средствам защиты, в данных приложени€х огромна. ¬ чем же она состоит.

 огда речь идет о личном использовании компьютера в домашних услови€х, мы сразу же начинаем задумыватьс€ о предоставл€емых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывател€х, графике и т.д. и т.п.

¬ажнейшими же услови€ми использовани€ средств защиты в данных приложени€х €вл€етс€ следующее:

  • ѕо большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты. ќсновна€ задача защиты здесь сводитс€ к обеспечению работоспособности компьютера;
  • ќтсутствие критичности не только в части хищени€ обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожени€. Ќе так критичны в этих приложени€х и атаки на системные ресурсы, в большой мере, они св€заны лишь с неудобством дл€ пользовател€;
  • ќтсутствие квалификации пользовател€ в вопросах обеспечени€ информационной безопасности, да и естественное нежелание заниматьс€ этими вопросами (защищать-то нечего);
  • ќтсутствие какого-либо внешнего администрировани€ системного средства, в том числе, в части настройки механизмов защиты – все задачи администрировани€ решаютс€ непосредственно пользователем – собственно пользователь должен самосто€тельно решать все вопросы, св€занные с безопасностью. ƒругими словами, пользователь и есть администратор – сам себе и защитник, и безопасник;
  • ќтсутствие какого-либо недовери€ к пользователю – пользователь обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации);
  • ¬ большинстве своем, обработка информации пользовател€ осуществл€етс€ на одном компьютере, локально.

“еперь посмотрим, какие же подходы к построению средств защиты оказались на практике наиболее востребованными в данных приложени€х. ≈стественно, что подобными решени€ми стали не средства защиты, а средства контрол€, в первую очередь – это всевозможные антивирусные средства, основанные на сигнатурном анализе. ќчевидно, что средства защиты, требующие определенной квалификации дл€ настройки (а просто эффективную защиту не обеспечить), в данных приложени€х малопригодны.  онтроль же предполагает простейших действий от пользовател€ – «нажал кнопку, и готово». ¬се вопросы, требующие квалифицированного решени€, здесь «перекладываютс€ на плечи» разработчиков антивирусных средств, в частности, поддержание базы вирусов в максимально актуальном состо€нии. «аметим, что, так как никакого администрировани€ не предполагаетс€, весь диалог осуществл€етс€ с конечным пользователем, а не с администратором, что, кстати говор€, даже при использовании средств контрол€, подчас, ставит пользовател€ «в тупик». ƒаже подобна€ «мала€ автоматизаци€ прин€ти€ решений» - право прин€ти€ решени€ предоставл€етс€ пользователю (на экран выводитс€ соответствующий вопрос о необходимых действи€х), в большинстве своем, дл€ данных приложений €вл€етс€ неприемлемой, т.к. требует повышени€ квалификации пользовател€, а ему этого объективно не нужно.

Ќасколько эффективны такие средства? ≈стественно, что с точки зрени€ обеспечени€ какого-либо приемлемого уровн€ защиты информации, подобные средства неэффективны. Ёто утверждение очевидно – в любой момент времени база вы€вленных сигнатур не полна (полной она не может быть даже теоретически). ¬ пор€дке иллюстрации приведем лишь одно сообщение:

(Ќовость от 24.07.2006). √рэхем »нгрэм, главный управл€ющий австралийского подразделени€ √руппы оперативного реагировани€ на чрезвычайные ситуации в компьютерной области (AusCERT) утверждает, что распространЄнные антивирусные приложени€ блокируют лишь около 20 процентов недавно по€вившихс€ вредоносных программ. ѕри этом попул€рные антивирусы пропускают до 80 процентов новых тро€нов, шпионов и других вредоносных программ. Ёто означает, что в восьми из дес€ти случаев недавно по€вившийс€ вирус может проникнуть на компьютер пользовател€».

ќднако не стоит критически относитьс€ к подобным средствам. Ѕез вс€кого сомнени€, дл€ рассматриваемых приложений они необходимы, и единственно приемлемы дл€ практического использовани€. «десь ведь встает вопрос: либо простые средства, либо никакие – сложные средства в этих приложени€х никто использовать не станет? “ак уж лучше как-то, чем никак!

≈сли же мы начинаем говорить о корпоративных приложени€х, то в этих приложени€х, как услови€ использовани€ системные средств, так и требовани€ к средству защиты не то, чтобы были кардинально иные, они пр€мо противоположны. ¬ частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее €вл€ютс€ отвлекающим от служебной де€тельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

¬ажнейшими услови€ми использовани€ средств защиты в данных приложени€х €вл€етс€ следующее:

  • ¬ данных приложени€х априори присутствует конфиденциальна€ информаци€, требующа€ квалифицированной защиты;
  •  ритичным €вл€етс€ не только факт хищени€ обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожени€.  ритичным в этих приложени€х также становитс€ вывод из стро€ системных средств на продолжительное врем€, т.е. важнейшими объектами защиты станов€тс€ системные ресурсы;
  • ќтсутствие квалификации пользовател€ в вопросах обеспечени€ информационной безопасности, да и нежелание заниматьс€ этими вопросами (защищать требуетс€ не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной об€занностью которого €вл€етс€ защита информации – т.е. именно дл€ решени€ этой задачи он и прин€т на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите в современных услови€х говорить не приходитс€;
  • ¬се задачи администрировани€ средств защиты должны решатьс€ непосредственно администратором (кстати говор€, это одно из требований нормативных документов);
  • јприорное недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, котора€ потенциально €вл€етс€ «товаром», как следствие, пользователь должен рассматриватьс€ в качестве потенциального злоумышленника (в последнее врем€, даже по€вилось такое пон€тие, как инсайдер, а внутренн€€ »“-угроза – угроза хищени€ информации санкционированным пользователем, некоторыми потребител€ми и производител€ми средств защиты позиционируетс€, как одна из доминирующих угроз, что не лишено оснований);
  • ¬ большинстве своем, обработка конфиденциальной информации осуществл€етс€ в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решени€ задачи администрировани€ безопасности локально на каждом компьютере - без соответствующего инструментари€ (ј–ћа администратора в сети).

¬идим, что в этих приложени€х уже «во главу угла» ставитс€ задача эффективной защиты информации, котора€ должна решатьс€ профессионально. Ќе случайно, что защита информации в данных приложени€х регламентируетс€ соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированна€ система (ј—) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты. ќснову обеспечени€ информационной безопасности в данных приложени€х уже составл€ют именно механизмы защиты, реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контрол€! Ёто очень важно. —ейчас активно стали развиватьс€ именно механизмы контрол€ (основна€ причина того, относительна€ простота реализации – задача решаетс€, как правило, на прикладном уровне, а не на уровне €дра), но будем помнить, что механизмы, основанные на реализации функций контрол€, никогда эффективно не решат задачу защиты. ‘ункции контрол€ в данных приложени€х следует рассматривать как некую опцию, в дополнение к механизмам защиты, реализующим разграничительную политику доступа к ресурсам, которые сложны в разработке, требуют квалификации при настройке, но только с применением этих механизмов потенциально можно обеспечить эффективное решение задачи защиты информации!

 “ак зачем же нужны добавочные средства защиты информации?

ѕосмотрев, насколько сильны противоречи€ в требовани€х (насколько они исключают друг друга) в альтернативных приложени€х, можно сделать очень важный вывод, состо€щий в том, что как системные средства (например, ќ—), так и добавочные средства защиты, не могут одновременно их выполнить. ƒругими словами, как системное средство, так и добавочное средство защиты может быть ориентировано, либо на использование в домашних услови€х, либо на использование в корпоративных приложени€х! ѕричем подобными средствами решаютс€ совершенно различные задачи, принципиально различаютс€ основополагающие требовани€ к их построению. ѕри создании средства защиты, разработчик неминуемо будет вынужден сделать выбор в пользу той или иной области приложений, в пользу того или иного подхода к построению.

ќднако на практике, с целью расширени€ области приложений своей разработки, производитель подчас стремитс€ совместить несовместимое – «усидеть на двух стуль€х». ≈стественно, что это приводит, с одной стороны, к усложнению простых решений, с другой стороны – к снижению эффективности сложных решений. ѕолучаем некую иллюзию «серьезности» и профессиональности защиты, котора€ достаточно проста в управлении. ќднако подобна€ иллюзи€ пропадает уже в процессе непродолжительного использовани€ подобных средств. ярким примером, подтверждающим данный вывод, €вл€ютс€ современные универсальные ќ—, в том числе (а может быть, в первую очередь), и ќ— семейства Windows, которые €вно не ориентированы на корпоративное использование (вот Novell, наоборот, создавалась исключительно дл€ использовани€ в корпоративных приложени€х, возможно, именно поэтому она и не стала столь попул€рной в массах), кстати говор€, это видно из самого названи€ и первоначального позиционировани€ системы. «адача защиты информации дл€ подобных системных средств вторична, первично же удобство работы пользовател€, максимальна€ универсальность работы с приложени€ми и устройствами и т.д. ј основу защиты, как следствие, составл€ет реализаци€ решений, основанных на полном доверии к пользователю. ƒругими словами, в развитии подобных системных средств четко просматриваетс€ основное их приложение (соответственно, и основной их потенциальный потребитель) - личное использовании компьютера в домашних услови€х.

— учетом всего сказанного, может быть сформулирована основна€ задача добавочного средства защиты информации - это изменение области приложени€ (области эффективного практического использовани€) универсального системного средства – обеспечение его эффективного использовани€ в корпоративных приложени€х. ј это, ни больше, ни меньше – пересмотр самой концепции защиты современной универсальной ќ—.

Ќа наш взгл€д, четкое позиционирование задач, решаемых добавочным средством защиты – это залог успеха. ѕодобное позиционирование неминуемо приведет к пересмотру требований к их построению, как в части корректности реализации отдельных механизмов защиты, так и в части полноты их набора дл€ корпоративных приложений.

–ассмотрим, как сегодн€ формулируютс€ требовани€ к механизмам защиты – это требовани€ к некоторому их набору и требовани€ к их реализации. ¬се вроде бы верно, однако, исход€ из каких условий сформулированы эти требовани€, да и как они сформулированы. –ассмотрим пример, дл€ чего обратимс€ к соответствующему нормативному документу.

¬ части реализации разграничительной политики доступа к ресурсам дл€ средств, предназначенных дл€ защиты конфиденциальной информации (5 класс —¬“), данные требовани€ определ€ют, что должен быть реализован дискреционный принцип контрол€ доступа:

·                                              —« (комплекс средств защиты) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.);

·                                             ƒл€ каждой пары (субъект - объект) в —¬“ должно быть задано €вное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.). “о есть тех типов доступа, которые €вл€ютс€ санкционированными дл€ данного субъекта (индивида или группы индивидов) к данному ресурсу —¬“ (объекту);

  •    —« должен содержать механизм, претвор€ющий в жизнь дискреционные правила разграничени€ доступа;
  •  онтроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);
  • ћеханизм, реализующий дискреционный принцип контрол€ доступа, должен предусматривать возможности санкционированного изменени€ правил разграничени€ доступа (ѕ–ƒ), в том числе возможность санкционированного изменени€ списка пользователей —¬“ и списка защищаемых объектов;
  • ѕраво измен€ть ѕ–ƒ должно предоставл€тьс€ выделенным субъектам (администрации, службе безопасности и т.д.).

 ¬ части реализации разграничительной политики доступа к ресурсам в автоматизированной системе (класс 1√ ј—), данные требовани€ определ€ют, что соответствующий принцип контрол€ доступа должен быть реализован ко всем защищаемым ресурсам (другими словами, вводитс€ обобщение, применительно ко всем компьютерным ресурсам):

· ƒолжен осуществл€тьс€ контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

 ак видим из приведенных требований, ключевым элементом разграничительной политики доступа к ресурсам, а именно, объектом доступа, €вл€етс€ компьютерный ресурс – файловый объект, объект реестра ќ—, какое-либо устройство, сетевой ресурс и т.д.

¬ пор€дке замечани€ (это не €вл€етс€ целью насто€щей работы) обратим внимание читател€ на недостатки данных требований, сразу же «бросающиес€ в глаза».

ѕрежде всего, и это крайне важно, что же все-таки следует на основании данных требований отнести к «защищаемым ресурсам». ¬едь, наверное, при решении различных задач защиты и перечень ресурсов, которые, несомненно, нужно защищать различен. Ќапример, скажите, имеет ли «право на жизнь» средства защиты, не реализующие контроль доступа субъектов к таким ресурсам, как системный диск (прежде всего, на запись, с целью предотвращени€ возможности его несанкционированной модификации), объекты реестра ќ—, буфер обмена, сервисы олицетворени€, разделенные в сети и внешние сетевые ресурсы и т.д. и т.п. ѕолучаетс€, что, во-первых, отсутствует однозначность требовани€ того, какой набор механизмов должен присутствовать в средстве защиты дл€ достаточности использовани€ средства дл€ защиты конфиденциальной информации, во-вторых, что еще непри€тнее, получаетс€, что анализ достаточности набора механизмов защиты дл€ решени€ конкретных задач защиты конфиденциальной информации перекладываетс€ «на плечи» разработчика, а то и потребител€ – ведь набор защищаемых ресурсов однозначно не задан. ј как, использу€ данные требовани€, провести аттестацию ј—, в смысле получени€ объективной оценки ее защищенности?

ј когда речь заходит о том, что « —« (комплекс средств защиты) должен контролировать доступ наименованных субъектов (пользователей)…», оп€ть неоднозначность.   наименованным субъектам (пользовател€м) могут быть отнесены и системные пользователи, например System. “ребуетс€ ли контролировать их доступ к ресурсам? —уществует требование «ƒл€ каждой пары (субъект - объект) в —¬“ должно быть задано €вное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.)…». ќднако, что в этом требовании €вл€етс€ ключевыми словами «дл€ каждой пары» или «€вное….». ј что означает «и т.д.», когда речь заходит об объектах и типах доступа в требовани€х. ¬от как создать систему, удовлетвор€ющую данным требовани€м, в подобной их формулировке?

¬о-вторых, само определение принципа контрол€ доступа, при сформулированных требовани€х к его реализации, некорректно. ѕо€сним. ¬ этих требовани€х речь идет о, так называемом, дискреционном принципе контрол€ доступа. ѕротиворечие состоит в том, что само пон€тие дискреционный принцип контрол€ доступа основано на реализации схемы администрировани€, предполагающей назначением прав доступа пользователем к создаваемому им объекту (т.е. на использовании сущности «¬ладени€»). «аметим, что именно така€ схема контрол€ доступа реализуетс€ большинством универсальных ќ—, т.к. она регламентируетс€ стандартом Posix. ќднако в нормативном документе говоритс€ о том, что «ѕраво измен€ть ѕ–ƒ должно предоставл€тьс€ выделенным субъектам (администрации, службе безопасности и т.д.)», т.е. никак не пользователю. ƒл€ корпоративных приложений это требование всецело оправдано, а как в противном случае противодействовать инсайдерам, да и вообще, какой может быть ответственность администратора безопасности за хищение данных, если пользователь имеет возможность самосто€тельно назначать права доступа к создаваемым им данным, иным пользовател€м. Ќе смотр€ на то, что это очевидно, неоднозначность присутствует.

Ќами предлагаетс€ ина€ классификаци€ принципов контрол€ доступа, основу которой составл€ют пон€ти€ «избирательного» и «полномочного» контрол€ доступа.

ѕод избирательным контролем доступа понимаетс€ контроль, не предполагающий включени€ каких-либо формализованных отношений субъектов и объектов доступа.

ќснову полномочного контрол€ доступа составл€ет способ формализации пон€тий «группа» пользователей и «группа» объектов, на основании вводимой шкалы полномочий. »ерархическа€ шкала полномочий, как правило, вводитс€ на основе категорировани€ данных (открытые, конфиденциальные, строго конфиденциальные и т.д.) и прав допуска к данным пользователей (по аналогии с пон€тием «формы допуска»).

»збирательный же контроль, о котором мы здесь говорим, может быть реализован, как с принудительным, так и с произвольным управлением доступом к ресурсам. ѕринудительное управление предполагает исключение пользовател€ из схемы администрировани€ (пользователь обрабатывает информацию в рамках разграничительной политики доступа к ресурсам, заданной дл€ него администратором), произвольное – это дискреционный принцип контрол€ доступа, при котором пользователь, €вл€€сь «владельцем» созданного им объектам, сам определ€ет права доступа к этому объекту иным пользовател€м (т.е. пользователь €вл€етс€ одним из элементов схемы администрировани€).

«аметим, что, по сути, ничего не определ€етс€ и требованием «ƒолжен осуществл€тьс€ контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа», в части реализации контрол€ на основе матрицы доступа, т.к. подобный контроль может быть реализован при построении как избирательного, так и полномочного механизмов контрол€ доступа.

“аким образом, видим, что требовани€ к реализации средства защиты в нормативных документах сводитс€ к тому, как должен быть разграничен доступ субъекта к объекту, но ни слова, как (в частности, какие ресурсы при решении каких задач следует считать защищаемыми) и с какой целью это должно примен€тьс€ на практике, другими словами, с какой целью создаетс€ средство защиты!

ј теперь рассмотрим несколько иной подход к определению требований к средству защиты, в основе которого будет лежать четкое позиционирование назначени€ средства защиты. ѕопытаемс€ также сформулировать требовани€ к средству защиты при реализации подобного подхода.

ѕоскольку мы говорим о корпоративных приложени€х и о защите конфиденциальной информации, а основную задачу добавочного средства защиты позиционируем, как изменение области приложений (области эффективного практического использовани€) системного средства, прежде всего попытаемс€ определитьс€ с тем, в чем сегодн€ состо€т основные особенности использовани€ системных средств в корпоративных приложени€х.

¬ корпоративных же приложени€х задача реализации разграничительной политики доступа к ресурсам кардинально ина€, нежели задача, решаема€ механизмами защиты современных универсальных ќ—, в первую очередь, ориентированных на домашнее использование, причем собственно в своей постановке. ѕричиной этому служит то, что обрабатываемые данные в корпоративных приложени€х, как правило, могут быть категорированы по уровню конфиденциальности: открыта€ информаци€, конфиденциальна€ информаци€ и т.д. ѕри этом один и тот же пользователь в рамках выполнени€ своих служебных об€занностей должен обрабатывать, как открытые, так и конфиденциальные данные. ѕричем априори эти данные имеют совершенно различную ценность дл€ предпри€ти€, следовательно, режимы их обработки должны различатьс€ (например, только открытую информацию можно передавать во внешнюю сеть, сохран€ть на внешних накопител€х, конфиденциальные данные могут обрабатыватьс€ только неким корпоративным приложением и т.д.).

¬ывод. ќснову реализации разграничительной политики в корпоративных приложени€х уже должны составл€ть не какие-либо конкретные ресурсы, а режимы обработки категорированной информации, причем при задании правил обработки информации уже, в первую очередь, должен рассматриватьс€ не вопрос разграничени€ доступа к ресурсам между различными пользовател€ми, а вопрос реализации различных режимов обработки данных различной категории дл€ одного и того же пользовател€.

— учетом же противодействи€ хищению и несанкционированной модификации категорированной информации, данные режимы обработки должны быть полностью изолированными.

¬ этом случае «все встает на свои места», сразу становитс€ пон€тным, из каких соображений должны формулироватьс€ и требовани€ к корректности реализации механизмов защиты, и требовани€ к достаточности их набора, применительно к услови€м практического использовани€. √лавное, что в этом случае потребитель средств защиты информации не станет сомневатьс€ в необходимости добавочных средств, и не будет рассматривать эти средства лишь в части выполнени€ неких формальных требований.

Ќе будем в этой работе останавливатьс€ на формировании требований, обеспечивающих корректное решение задачи защищенной обработки категорированной информации (этим вопросам посв€щена отдельна€ работа автора), лишь отметим, что данные требовани€ серьезно будут отличатьс€ от требований, сформулированных в действующих сегодн€ нормативных документах. ћало общего с реализацией этих требований имеют и возможности защиты многих современных универсальных ќ—.

Ќе мало важным €вл€етс€ то, что пересматривать имеет смысл не только архитектурные решени€ механизмов защиты универсальных ќ—, но и интерфейсные решени€, которые также напр€мую св€заны с их областью приложений. ¬ пор€дке иллюстрации сказанного, рассмотрим, например, реализованные в  —«» «ѕанцирь- » дл€ ќ— Windows 2000/XP/2003 (разработка «јќ «Ќѕѕ «»нформационные технологии в бизнесе») интерфейсные решени€ по настройке механизмов контрол€ доступа к ресурсам (на примере механизма контрол€ доступа к файловым объектам - на жестком диске и на внешних накопител€х, локальных и разделенных в сети, дл€ разделенных – по исход€щему и вход€щему запросам доступа). »нтерфейс настройки механизма контрол€ доступа к файловым объектам представлен на рис.1 (здесь в качестве субъектов доступа выступает сущность «пользователь»).

 

–ис.1. »нтерфейс настройки разграничений прав доступа к объектам файловой системы дл€ субъекта “пользователь”

 ¬ чем же принципиальное отличие? –азграничительна€ политика формируетс€ не назначением атрибутов файловым объектам, а назначением прав доступа пользовател€м (учетным запис€м). ќснову составл€ет разрешительна€ разграничительна€ политика – «¬се, что не разрешено – €вно не указано, то запрещено» - это единственно корректна€ разграничительна€ политика дл€ корпоративных приложений. ѕри этом (см. рис.1) в одном окне интерфейса отображаетс€ вс€ разграничительна€ политика доступа ко всем объектам файловой системы (в том числе и к объектам, разделенным в сети, и к объектам на внешних накопител€х, включа€ мобильные), заданна€ дл€ пользовател€ (иных прав доступа он не имеет, т.к. они не разрешены по умолчанию, в том числе и дл€ вновь создаваемого объекта). «аметим, объект, к которому пользователю разрешаетс€ какое-либо право доступа, назначаетс€ (с использованием обзора) своим полнопутевым именем. «ахотите посмотреть разграничительную политику дл€ другого пользовател€, выберите его учетную запись, все разрешенные ему права доступа также будут отображены в одном окне интерфейса. Ќе требуетс€ перебирать объекты, смотреть на их атрибуты – все нагл€дно и информативно! ћинимизировано и число настраиваемых типов доступа (атрибутов) – исключено такое пон€тие, как «¬ладение» файловым объектом (что €вл€етс€ об€зательным условием дл€ корпоративных приложений, и, кстати говор€, требуетс€ соответствующим нормативным документом, см. выше) и все св€занные с этой сущностью типы прав доступа, р€д атрибутов устанавливаетс€ «по умолчанию» системой на основании задаваемых прав доступа. ¬се сведено к использованию только трех устанавливаемых администратором типов прав доступа: чтение, запись, выполнение, без какой-либо потери универсальности настройки разграничительной политики доступа в корпоративных приложени€х.

–азработчики универсальных средств вынуждены балансировать между эффективностью и простотой, очень часто, дела€ свой выбор в пользу простоты решений. ¬озможно, что это обусловливаетс€ пониманием того, что сложные механизмы защиты будут мало востребованы, а это €вл€етс€ одним из ключевых моментов, когда основным потенциальным потребителем €вл€етс€ индивидуальный пользователь, а средство предназначаетс€ дл€ применени€ в домашних услови€х.

— учетом этого, может быть сформулирована следующа€ важнейша€ задача добавочного средства защиты информации - это расширение функциональных возможностей механизмов защиты, обеспечивающее повышение их эффективности.

ѕроиллюстрируем данный вывод примером. ¬ современных универсальных ќ— в качестве субъекта доступа к ресурсам рассматриваетс€ сущность пользователь (учетна€ запись). –еализаци€ разграничительной политики доступа к ресурсам сводитс€ к заданию разграничени€ между пользовател€ми (учетными запис€ми). ¬месте с тем, не сложно показать, что большую угрозу несут в себе приложени€, в первую очередь, это касаетс€ внешних »“-угроз.

ѕроанализируем, почему именно процесс следует рассматривать в качестве источника возникновени€ внешней »“-угрозы. “ому может быть несколько причин, что следует из приведенной классификации известных типов атак, положим их в основу классификации процессов, котора€ нам далее понадобитс€ при изложении материала:

  • Ќесанкционированные (сторонние) процессы. Ёто процессы, которые не требуютс€ пользователю дл€ выполнени€ своих служебных об€занностей и могут несанкционированно устанавливатьс€ на компьютер (локально, либо удаленно) с различными цел€ми, в том числе, с целью осуществлени€ несанкционированного доступа (Ќ—ƒ) к информации (вредоносные, шпионские и т.д. программы);
  •  ритичные процессы.   ним мы отнесем две группы процессов: к процессам первой группы отнесем те, которые запускаютс€ в системе с привилегированными правами, например, под учетной записью System, дл€ которой механизмы защиты ќ— не реализуют разграничительную политику доступа к ресурсам в полном объеме, к процессам второй группы те, которые наиболее веро€тно могут быть подвержены атакам, например, это сетевые службы. јтаки на процессы первой группы наиболее критичны, что св€зано с возможностью расширени€ привилегий, в пределе – получени€ полного управлени€ системой, атаки на процессы второй группы наиболее веро€тны;
  • —компрометированные процессы – процессы, содержащие ошибки (у€звимости), ставшие известными, использование которых позвол€ет осуществить Ќ—ƒ к информации. ќтнесение данных процессов в отдельную группу обусловлено тем, что с момента обнаружени€ у€звимости и до момента устранени€ ее разработчиком системы или приложени€, может пройти несколько мес€цев. ¬ течение всего этого времени в системе находитс€ известна€ у€звимость, поэтому система не защищена;
  • ѕроцессы, априори обладающие недекларированными (документально не описанными) возможност€ми.   этой группе мы отнесем процессы, €вл€ющиес€ средой исполнени€ (прежде всего, это виртуальные машины, €вл€ющиес€ средой исполнени€ дл€ скриптов и апплетов, и офисные приложени€, €вл€ющиес€ средой исполнени€ дл€ макросов).

“еперь акцентируем внимание читател€ на известной укрупненной классификации известных типов компьютерных вирусов:

  1. "¬редоносные программы" (тро€ны и т.п.). ќтдельные программы, которые выполн€ют те или иные деструктивные/несанкционированные действи€.
  2. «¬ирусы». ѕрограммы, обычно не имеющие собственного исполн€емого модул€ и "живущие" (как правило, заражение осуществл€етс€ по средством их присоединени€ к исполн€емому файлу) внутри другого файлового объекта или части физического носител€.
  3. «„ерви». –азновидность 1,2,4, использующа€ сетевые возможности дл€ заражени€.
  4. «ћакро-вирусы» (скриптовые вирусы) - программы, дл€ исполнени€ которых требуетс€ определенна€ среда выполнени€ (командный интрепретатор, виртуальна€ машина и т.п.). ¬ эту же группу можем отнести и офисные приложени€, позвол€ющие создавать и подключать макросы.

¬идим, что и здесь угрозу в себе несет воздействие процесса на информационные и компьютерные ресурсы. ѕричем можем отметить, что задачи антивирусной защиты представл€ют подмножество (усеченное множество) задач защиты информации от Ќ—ƒ в части противодействи€ внешним »“-угрозам. ƒругими словами, можем сделать вывод о том, что антивирусна€ защита – это не самосто€тельна€ задача защиты информации – это лишь незначительна€ часть задач защиты информации от Ќ—ƒ.

Ќетрудно сделать вывод, что основу защиты от внешних »“-угроз составл€ет реализаци€ разграничительной политики доступа к ресурсам дл€ процессов (приложений), т.е. при решении этих задач защиты именно сущность «процесс» следует рассматривать в качестве субъекта доступа к ресурсам.

¬ общем случае следует различать два самосто€тельных субъекта доступа – «пользователь» и «процесс». ѕри этом целесообразно реализовать следующие схемы задани€ разграничительной политики доступа к ресурсам:

  • –азграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешаетс€, если он разрешен процессу);
  • –азграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешаетс€, если он разрешен пользователю);
  •  омбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешаетс€, если он разрешен и пользователю, и процессу).

“аким образом, в качестве субъекта доступа может рассматриватьс€ либо только пользователь, либо только процесс, либо «пара» – процесс и пользователь.

¬ пор€дке иллюстрации, рассмотрим пример разграничительной политики доступа к файловым объектам дл€ приложени€ Internet Explorer, представленный на рис.2 (разграничени€ заданы в интерфейсе механизма контрол€ доступа процессов к файловым объектам из состава  —«» «ѕанцирь- » дл€ ќ— Windows 2000/XP/2003изнехнологии в бизнесе»е субъекта доступа к ресурсам.составл€ет реализаци€ разграничительной политики доступа к ресурса).

 

–ис.2. ѕример разграничительной политики доступа к файловым объектам дл€ приложени€ Internet Explorer

 ѕосмотрите внимательно на эти разграничени€. „то сможет сделать злоумышленник, получив каким-либо образом возможность управлени€ данным процессом. Ёто очень серьезный инструмент защиты, предоставл€ющий принципиально новые функциональные возможности, что мы и требуем от добавочных средств защиты. «аметим, соответствующие разграничени€ прав доступа дл€ критичных процессов необходимо задавать и к объектам реестра ќ—.

ј посто€нно обнаруживаемые ошибки в офисных и иных приложени€х. ƒавайте минимизируем и угрозу, св€занную с ошибками программировани€.

Ќастроим наш механизм защиты и оценим сложность его администрировани€ в следующих предположени€х:

  1. ќперационна€ система - Microsoft Windows XP;
  2. –ассматриваемые офисные приложени€ – Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office Outlook 2003;
  3. ќперационна€ система установлена на диске C;
  4. ¬се приложени€ инсталлированы в каталог C:\Program files;
  5. ќбработка информации осуществл€етс€ под учетной записью User 1;
  6. ƒл€ хранени€ обрабатываемых данных пользователем используетс€ каталог —:\OOD1.

  защищаемым системным ресурсам отнесем каталоги C:\Windows и C:\Program files и объект реестра HKEY_LOCAL_MACHINE.

≈диные разграничени€ дл€ процессов рассматриваемых офисных приложений приведены в табл.1.

“аблица 1

≈диные разграничени€ дл€ анализируемых процессов

‘айловые ресурсы

–азрешенные дл€ чтени€

–азрешенные дл€ записи и чтени€

–азрешенные дл€ выполнени€

C:\DOCUMENTS AND SETTINGS\

ALL USERS\

APPLICATION DATA\

MICROSOFT\

OFFICE\

DATA\

OPA11.BAK

 

C:\WINDOWS

 

C:\PROGRAM FILES

 

—:\OOD1

 

C:\DOCUMENTS AND SETTINGS\USER1

 

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\OFFICE\

DATA\OPA11.DAT

 

 

C:\WINDOWS

 

C:\PROGRAM FILES

 

                                                –есурсы реестра

«апрещенные дл€ чтени€

–азрешенные дл€ записи и чтени€

-        

 

                HKCU\*

 






 ѕосмотрите на эти разграничени€, обеспечивающие корректность функционировани€ рассматриваемых приложений. Ќу, пусть наход€т ошибки программировани€ в приложени€х – мы готовы, мы можем, использу€ добавочное средство защиты, минимизировать их последстви€, повысив этим уровень компьютерной безопасности. ј разграничени€-то насколько просты – несколько записей в интерфейсе (если, конечно, интерфейс создан дл€ использовани€ механизма защиты в корпоративных приложени€х). ќ какой ошибке и в каком приложении мы можем узнать в ближайшее врем€? Ѕез добавочного средства мы окажемс€ просто беззащитны. ¬едь сначала ошибку найдет злоумышленник, затем о ней узнает разработчик, мы же, как правило, узнаем о подобных ошибках уже после их исправлени€, иногда на это уходит несколько мес€цев, а иногда и несколько лет.

«ащита многих современных универсальных ќ— имеет очень серьезные архитектурные недостатки. ќдин из наиболее €рких подобных недостатков – это невозможность запретить на запись системный диск пользователю System, при предоставлении возможности запуска приложений с системными правами. ѕолучаем, что ошибка в подобном приложении может привести к катастрофическим последстви€м. ћожно ли решить подобную задачу защиты (исправить данный архитектурный недостаток) добавочным средством?  онечно.

— учетом этого, может быть сформулирована следующа€ важнейша€ задача добавочного средства защиты информации - это исправление архитектурных недостатков защиты современных универсальных ќ—.

¬ пор€дке замечани€ отметим, что вы€вить архитектурные недостатки защиты современных универсальных ќ— не так уж и сложно, достаточно проанализировать причины успешных атак и вы€вить причины у€звимости ќ—.

ѕродолжим. ¬оспользуемс€ возможностью реализации разграничительной политики доступа к ресурсам дл€ субъекта процесс. ѕопутно попытаемс€ решить и другую св€занную с рассматриваемой задачу защиты – обеспечим замкнутую среду исполнени€. ѕример настройки механизма защиты приведен на рис.3.

 

 

–ис.3. ѕример настройки механизма защиты

 

–ассмотрим, что мы получаем при таких настройках – любому процессу (субъект доступа – процесс, задаетс€ маской «*») разрешаетс€ выполнение процессов только из соответствующих двух папок на системном диске, при этом запрещаетс€ люба€ возможность (оп€ть же, любым процессом, в том числе и системным) модификации данных папок. “.е. любой несанкционированный исполн€емый файл запустить становитс€ невозможно в принципе. Ёто ли не решение большинства актуальных сегодн€ задач защиты информации! ƒа пусть ваш компьютер «напичкан» вредоносным кодом – эксплойтами, деструктивными и шпионскими программами, тро€нами, вирусами (здесь рассматриваем именно вирусы – программы, призванные модифицировать исполн€емый код разрешенных к запуску программ), запустить-то его невозможно никаким образом!

ќднако, специалист, представл€ющий себе архитектуру современных ќ— семейства Windows, нам возразит – при подобных настройках система работать не будет, мы увидим «синий экран»!   сожалению, он окажетс€ прав. ѕри подобных настройках система работать не сможет, требуютс€ уточн€ющие настройки. ƒело в том, что некоторые системные процессы должны иметь право записи в соответствующие файловые объекты на системном диске. »х не так много.   таким процессам, например, могут быть отнесены: lsass.exe и svchost.exe.

»менно это и определ€ет невозможность запретить модификацию системного диска системным пользовател€м (в частности, System), как следствие, и всем системным процессам, а также иным процессам, запускаемым под этой учетной записью (иначе увидим синий экран – данным системным процессам необходим доступ на запись к системному диску). ¬от результат – невозможность какого-либо противодействи€ атакам, св€занным с у€звимост€ми, предоставл€ющими возможность получение злоумышленником системных прав – записывай на системный диск эксплойт и запускай!

ƒл€ обеспечени€ корректности функционировани€ системы и офисных приложений с заданными настройками (см. рис.3), необходимо ввести простейшие дополнительные разграничени€ всего дл€ двух системных процессов: процессу lsass.exe требуетс€ разрешить запись/чтение в папку F:\XP\System32\CONFIG, а процессу svchost.exe требуетс€ разрешить запись/чтение в папку F:\XP\System32\WBEM и в файл F:\XP\Windowsupdate.log. ¬от и все! «аметим, что это не приведет к снижению уровн€ безопасности, т.к. данные системные процессы не имеют пользовательского интерфейса, а модифицировать их невозможно. ѕосмотрите, всего несколькими запис€ми в интерфейсе добавочного средства защиты мы исправили один из серьезнейших архитектурных недостатков защиты ќ— и реализовали эффективное противодействие наиболее актуальным на сегодн€шний день угрозам, св€занным с возможностью запуска на защищаемом компьютере несанкционированной программы.

 
¬ заключение отметим, что в этой работе мы попытались определить задачи, которые должно решать добавочное средство защиты, определились и с его назначением. ј назначение – это, всего на всего, изменение собственно принципов защиты, заложенных в современных универсальных ќ—. ≈стественно, что дл€ корректного решени€ рассмотренных задач добавочного средства, должны быть четко сформулированы соответствующие требовани€ к реализации механизмов защиты и к их набору. ќднако – это самосто€тельный вопрос, выход€щий за рамки насто€щей работы. «аметим, что в работе мы привели лишь некоторые иллюстрации возможностей добавочных средств защиты. ≈сли же с позиций всего сказанного взгл€нуть на функциональные возможности некоторых представленных сегодн€ на рынке средств защиты - —«» от Ќ—ƒ, поневоле, задаешьс€ вопросом: каково их назначение, с какой целью они созданы? Ќаверное, в отношении подобных —«» от Ќ—ƒ с позицией: «отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации» отчасти можно и согласитьс€. Ќо ведь есть же и другие добавочные средства защиты информации, с иным функционалом, причем сертифицированные, которые призваны повысить эффективность защиты, уровень которой дл€ многих современных универсальных ќ— уж никак нельз€ признать приемлемым.

или введите им€

CAPTCHA
—траницы: 1  2  3  4  5  6  7  8  9  10  
1
02-09-2007 21:34:21
—«», Ќ—ƒ - за километр несет другими 3м€ буквами  √Ѕ
0 |
02-09-2007 21:37:08
да.. нельз€ такие длинные статьи в »нтернете размещать. отпишитесь те, кто осилил статью?
0 |
02-09-2007 21:47:08
долго пролистывал статью туда и сюда, но ответа на вопрос "Ќ”∆Ќџ Ћ» ƒќЅј¬ќ„Ќџ≈ —–≈ƒ—“¬ј «јў»“џ »Ќ‘ќ–ћј÷»»" так и не нашел. какой ответ то?
0 |
1
06-09-2007 08:54:05
ƒополнительные средства обеспечени€ информационной безопасности нужны! Ќо дискреционна€ политика доступа, а так же и другие виды (мандатна€, например) поддерживаютс€ не только в Windows, но и в бесплатных ќ—, например в FreeBSD. Ќо ни кто ведь не скинетс€ деньгами на процедуру сертификации этой ќ— в ‘—“≈ е.
0 |
1
03-09-2007 01:30:28
ƒл€ получени€ вс€ких бумажек от ‘—Ѕ и ‘—“Ё  нужны, а так, имхо, нет - нужен лишь хороший специалист.
0 |
1
05-09-2007 18:21:38
≈ще и честный к тому же, правда?
0 |
1
03-09-2007 09:11:39
эмм.. как говорит нынешн€€ молодежь - "асилил статью".. - да, безусловно помогает еще раз систематизировать свои скупые знани€, но и возникают вопросы - ".. записывай эксплоит на диск и запускай.." -- а к чему его (эксплоит) записывать? он и так уже запущен, речь идет только о доступе к диску. ƒругое дело, зна€ о том, кака€ —«» установлена на хосте жертвы .. (¬ы понимаете конечно, знающие подберут лазейку, и ..) ѕомните из старого-старого мульта (название не помню) "..вот щит, это защита от любого меча, а это меч, он сломает любой щит.." јвтор, приведите сравнение ¬ашего ѕќ еще с трем€ хот€-бы -- что могут, что не могут.
0 |
—траницы: 1  2  3  4  5  6  7  8  9  10