- СЗ — Система Защиты.
- АС — Автоматизированная Система
- ПАС — Программно-Аппаратные Средства
- ИС — Информационная Система
- АСДЗ — Аппаратное Средство Доверенной Загрузки
- ПЭМИН. Побочное Электро-Магнитное Излучение и Наводка
- РДАС — одно из творений ФСТЭК
- СРД — Средство Разграничения Доступа
- однопользовательские
- 3 Б
- 3 А (С, СС, ОВ)
- многопользовательские с одинаковыми правами доступа
- 2 Б
- 2 А (С, СС, ОВ)
- многопользовательские с разными правами доступа
- 1 Д
- 1 Г
- 1 В (Cекретная)
- 1 Б (Соквершенно Секретная)
- 1 А (Особой Важности)
- гос. тайна
- конфиденциальная
- персональные данные
Автоматизированная система — конечное множество элементов, включающее объекты, субъекты и связи между ними, функционирующие в определенной среде.
Автоматизированная система является организационно технической системой, предоставляющей собою совокупность следующих элементов:
- Технические средства обработки и передачи данных
- Методы и алгоритмы обработки в виде соответствующего ПО
- Информация на различных носителях
- Обслуживающий персонал и пользователи АС, объединенный между собой по информационо-структурному, техническому и др. признакам.
Субъект — то, или кто совершает действие. Например, программа и/или аппаратная реализация некоторого алгоритма обработки данных. В то же время обслуживающий персонал и пользователей часто относят к АС, относя их либо к среде, либо, что реже, к вторичным субъектам. Субъект — та или иная часть системы, формирующая те или иные воздействия, реализуемые по связям.
Объект — часть АС на которую направлены воздействия, формируемая по связям. При этом говорят, что субъект проявляет активность, а объект получает управление.
Наблюдатель — пассивный субъект АС.
Информация — изменения параметра наблюдателя в результате его взаимодействия с объектом АС.
Злоумышленник — активная часть среды или ОС, которая может отрицательно влиять на ОС или содержащуюся в ней информацию.
Поток данных — информация, передаваемая по связям АС.
Пример. Для проведения корректной ЗИ на предприятии, соответствующей рангу это информации необходимо:
- Определить ранг.
- Определить АС её элементы, которая будет обрабатывать защищаемую информацию.
- Провести формальные процедуры, сертификацию.
Носитель — физический объект, содержащий информацию в какой-либо форме.
Информация — сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, воспринимаемой субъектом.
Информационная безопасность АС — свойство АС сохранять возможность реализации функциональной полноты, заложенных в неё элементов обработки информации и с другой стороны противостоять дестабилизирующему воздействию внутренних и внешних повреждающих факторов.
Угроза ИБ — возможность реализации воздействия на информацию, находящуюся в АС, приводящего к блокированию, искажению, уничтожению и прочих негативных видах воздействия на неё.
Конфиденциальность информации — субъективно определяемая характеристика информации, указывающая на необходимость введения ограничения на круг лиц, имеющих доступ к данной информации и обеспечивается способностью системы сохранять защищаемую информацию в тайне от лиц, не имеющих доступа к ней.
Угроза нарушения конфиденциальности — возможность получения НСД к защищаемой инфо мации, находящейся в АС или передаваемой по связям от одной АС к другой.
Целостность информации — свойство информации, отражающее необходимость существования информации в неискаженном виде.
Угроза нарушения целостности — возможность несанкционированного нарушения целостности информации злоумышленником либо средой, а также ошибками в программных или аппаратных объектах АС.
Доступность информации — свойство АС, отражающее необходимость возможности работы по запросу, соответствующему рангу субъекта. Доступность предполагает наличие нескольких уровней доступа и правил переходов как для информации (уровень доступа) так и для субъектов (ранг субъекта).
Угроза нарушения доступности — как возможность блокирования доступа к информации, так и рассекречивание определенных атрибутов, соответствующих определенному уровню доступа.
-
По природе воздействия
- естественные — вызванные воздействием на АС объективных физических процессов или стихийных природных явлений.
- искуственные — вызванные деятельностью человека
-
По степени преднамеренности проявления
- Угрозы случайного действия, в том числе ошибки ПО и их проявления, сбои в силовой линии, повреждения каналов связи
- Угрозы, вызванные ошибками или халатностью персонала (как обслуживающего, так и пользователей). В том числе: некомпетентная настройка, использование АС или средств защиты, включая неправомерное отключение. Неправомерное изменение режима работы устройств или ПО, ввод ошибочных данных, в том числе пересылки данных по ошибочным адресам, непреднамеренная порча носителей и элементов АС, неумышленное повреждение каналов связи.
- Преднамеренные
-
По непосредственному источнику угроз
- Угрозы, непосредственным источником которых является окружающая среда
- ... человек
- ... функционально неполные программные средства. Технологические и программные средства, способные при некорректном использовании вызывать потерю работоспособности АС, либо вызывать потерю находящейся в АС информации. Средства защиты являются угрозой при некомпетентном использовании. Сложные программные объекты — неотказоустойчивые ОС.
- Несанкционированное ПО — нелегальное внедрение и использование несанкционированного ПО, как для выполнения служебных обязанностей, так и не для выполнения служебных обязанностей.
Примечание. пример говорит в частности о том, что должен быть регламент об установке ПО и технические средства его реализации и контроля. 1. Непреднамеренная установка ПО содержащего вирусы и другое злонамеренное ПО. 2. Установка ПО, захватывающего необоснованное кол-во ресурсов (ЦПУ, память и т. п.)
-
По положению источника угроз
- Угрозы, источники которых расположены вне контролируемой зоны АС.
- Дистанционная фото и видеосъемка.
- Перехват излучений устройств и линий связи.
- Перехват данных, передаваемых по каналам между АС с целью выяснения как протоколов обмена, так и самих данных, их анализ.
- Угрозы, источники которых расположены внутри контролируемой зоны.
- Хищение носителей данных, распечаток, анализ некорректно утилизированных производственных отходов.
- Вывод из строя подсистем обеспечения функционирования АС.
- Источник имеет непосредственный доступ к терминалу
- Угрозы, источником которых является элемент АС. Проектирование ПО, которое случайно или не случайно представляет опасность.
- Угрозы, источником которых являются элементы, внедрённые в АС
- Угрозы, источники которых расположены вне контролируемой зоны АС.
-
По активности АС
- Угрозы, проявляющиеся независимо от активности АС. Хищение носителей, анализ протоколов
- Угрозы, проявляющиеся только при активной АС
- копирование данных
- распространение вирусов
-
По степени воздействия на АС
- Пассивные — реализация которых не может влиять на АС Угроза нарушения конфиденциальности как данных, так и АС
- Активные — реализация которых меняет данные и/или структуру АС
-
По этапам доступа пользователя к ресурсам АС
- Угрозы проявляющиеся на этапах перехода на другой уровень доступа.
- Угрозы, возникающие внутри определённого этапа
-
По способам доступа к ресурсам АС
- Угрозы, направленные на использование прямого / стандартного доступа к ресурсам АС.
- Незаконное получение паролей и др. способов получения доступа
- использование некорректных регламентов и кривого ПО с целью подбора паролей
- Угрозы, направленные на использование / нестандартного доступа к АС
- Вход в систему в обход средств защиты путём загрузки со сменных носителей.
- Вход систему путём недокументированных возможностей АС
- Угрозы, направленные на использование прямого / стандартного доступа к ресурсам АС.
-
Угрозы, классифицирующиеся по текущему расположению информации хранимой и обрабатываемой АС
- Угрозы доступа к оперативной памяти, межпроцессное взаимодействие Для защиты используются sec-блоки (шифр + wipe)
- Угрозы доступа к информации на внешних запоминающих устройствах
- Угрозы доступа к информации, циркулирующей в сетях связи
- модификаций, искажение
- съём потока с целью анализа
- Угрозы доступа к информации обрабатываемой на терминале или печатаемой на принтере
Атака — комплекс действий по реализации угроз АС.
Разведка — определение параметров и характеристик АС. Способы:
- фото со спутника
- открытые данные и т. д.
Всё, что выходит за пределы такого перечня — шпионаж.
Информационная система — АС, осуществляющая получение входных данных и (или) изменение собственного состояния, выдачу результатов и (или) изменение своего внешнего состояния.
Язык — система кодов и операций, обозначающих факты, отношения, процессы, явления, позволяющие описать, запомнить, воспроизвести и подвергнуть обработке какие-либо из указанных категорий или их комплексов.
Закрытые ИС — ИС, обладающие некоторым видом защиты, нейтрализующей часть угроз.
Для открытых ИС угроза разведки считается реализованной.
Для ИС рассматривают дополнительные модели угроз:
- угроза отказа служб. Возникает в результате преднамеренных действий противника с целью блокирования доступа к узлу ИС
- угроза разведки параметров ИС.Ввозможность ИС организовать информационный канал с целью реализации угроз конфиденциальности и целостности
Конфиденциальность ИС — определяется как и для АС, только в контексте информационного канала.
Пример. Наиболее часто реализуемые угрозы безопасности ИС:
- Несанкционированное копирование носителей
- Действия, приводящие к нарушению конфиденциальности
- Игнорирование организационных ограничений
- Модификация информации в ИС
В соответствии с различными уровнями защиты систем, их приоритетами в различных государствах и их межгосударственными связями существуют государственные, коммерческие и общественные организации, предлагающие свои разработки, теоретические исследования в области компьютерной безопасности. Эти организации называются ЦКБ.
По направлениям деятельности они подразделяются на:
-
Научно-исследовательские, функционирующие на базе государственных организаций или крупных вузов. Сосредоточены на изучении и развитии теоретических основ ЗИ, проработке и исследовании математических аспектов ЗИ, исследовании и разработки моделей безопасности ИС, анализе и синтезе защитных методов и механизмов, совершенствовании юридической базы.
-
НИИ оперативного реагирования. Ориентированы в первую очередь на оказание первой/практической помощи для ликвидации последствий нарушения конфиденциальности (своих?) ИС в результате как направленных действий злоумышленников, так и стихийных бедствий.
-
Информационно-аналитические. Ориентированы в первую очередь на сбор и распространение информации по известным уязвимостям ИС и АС, различным видам атак, аппаратным и программным средствам защиты и противодействия. Эти центры публикуют периодическую информацию в библиотеках и т. п., имеют списки рассылки.
-
Консалтинговые организации (центы). Осуществляют деятельность по консультации производителей, продавцов и покупателей аппаратных и программных средств защиты.
-
Сертификационные центры. Занимаются подтверждением свойств средств защиты.
Свойства регулируются государственными документами, например:
- ГОСТ
- ОСТ — отраслевой стандарт
- ИСТП — индивидуальный стандарт предпр.
Сертификация, как правило, проводится непосредственно у изготовителя средства защиты на:
- модельную линейку продукта по ЗИ
- определённое количество экземпляров модельной линейки
Возможна также сертификация продукта, защищающего информацию по заказу потребителя на определённое количество экземпляров линейки. Сертификационные центры реализуют программу тестирования, сравнения и сертификации СЗИ, а также методик тестирования и сертификации.
-
Библиотечные центры. Собрание научных статей, материалов и публикаций по различным аспектам КБ.
При формировании модели угроз необходимо учитывать различные уровни доступа, имеющиеся в ИС. Один из самых распространённых уровней доступа:
- уровень носителей информации
- уровень средств взаимодействия с носителем
- уровень представления информации
- уровень содержания информации
Примечание. Детализация уровней определяется аккредитующим систему. Актуальность того или иного набора угроз я определяю сам. Как писать уровни об это нужно хорошо думать.
Декомпозиция угроз по уровням доступа является важной при построении модели угроз, т. к. позволяет выявить большее количество угроз в соответствии с представленными уровнями.
(здесь должна быть большая таблица, но она очень плохо получается в Markdown)
- Уровень носителей информации
- Угроза раскр-ия пар-ров: определение типа и пар-ов носителей
- Угроза нарушения конф-ти: хищение носителей
- Угроза нарушения целостности: повреждение носителей
- Угроза отказа служб: повреждение, н-р, контроллеров
- Уровень средств взаимодействия с носителем
- Угроза раскр-ия пар-ров: получение инф-ии о ПАС, о применяемых ср-вах ЗИ, функциях АС
- Угроза нарушения конф-ти: НСД, перехват сетевого трафика
- Угроза нарушения целостности: Установка нештатного ПО, непроверенных обновлений, заражение вирусами и прочее несанкционированное изменение программных материалов
- Угроза отказа служб: Проявление ошибок проектирования ПАС (Проявление ошибок ПО, аппаратных средств ? )
- Уровень представления
- Угроза раскр-ия пар-ров: получение инф-нии о форматах файлов, параметрах шифров
- Угроза нарушения конф-ти: дешифровка, подмена ключей. А подходит ли сюда "посмотреть из-за спины"? Это зависит о того, как мы определяем уровни.
- Угроза нарушения целостности: искажение данных (оператор положит ключ в похожий на закрытый контейнер ? )
- Угроза отказа служб:
- уровень содержания информации
- Угроза раскр-ия пар-ров: Содержание данных на качественном уровне (структура отделов по папкам)
- Угроза нарушения конф-ти:
- Угроза нарушения целостности: Внедрение дезинформации
- Угроза отказа служб: уничтожение данных
Информация о том, н-р, какие типы флешек используются может быть полезной.
Если украсть шифрованную флешку, то это всё равно нарушение конфиденциальности носителей.
Средства взаимодействия носителей: ОС, алгоритмы, сетевое оборудование и т. д.
Уровень носителей (???):
- уровень носителя
- АП ф-е взаимодействия с носителем
- программные средства
- ПК
- сегментов ИС
- ИС
- взаимодействия ИС
Для защиты АС могут быть сформулированы следующие положения (на основе документов ФСТЭК):
- ИБ АС основывается на положениях и требованиях законов, стандартов и нормативно-правовых документов
- ИБ обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер
- ИБ АС должна обеспечиваться на всех технических этапах обработки информации, во всех режимах функционирования, в том числе при проведении регламентных и ремонтных работ.
- Программно-технические средства не должны существенно ухудшать основную функцию АС
- Неотъемлемой частью работ по обеспечению ИБ является оценка эффективности средств защиты, осуществляющаяся по методике, которая оценивает всю совокупность технических характеристик оцениваемого объекта в том числе технические решения и практическая реализация средств защиты.
- Защита АС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периодическим, а может инициироваться по мере необходимости. И может проводиться как пользователями АС так и контролирующем органом.
(Можно скачать политику обеспечения ИБ ЮФУ, там точно должно быть.)
Принципы:
- Системности
- Комплексности
- Непрерывности защиты
- Разумной достаточности
- Гибкости управления и применения
- Открытости алгоритмов и механизмов защиты
- Простоты применения защитных мер и средств
- Принцип системности. Необходимость учёта всех взаимосвязанных на одном уровне и взаимодействующих на разных уровнях изменяющихся по времени элементов и условий их факторов во всех структурных элементах АС при всех видах информационной деятельности, при всех режимах функционирования и на всех этапах жизненного цикла АС.
- Принцип комплексности. Современные средства ВТ, ОС, инструментальные и прикладные ПС обладают некоторыми встроенными элементами защиты. Комплексное их использование означает согласование разнородных средств при построении целостной системы защиты. При этом согласованный комплекс по возможности должен не содержать слабых мест на стыках его компонентов и перекрывать максимум каналов реализации угроз.
- Принцип непрерывности защиты. Защита это не разовое мероприятие и не набор уже проведённых мероприятий, а непрерывный процесс, предполагающий принятие некоторых решения на всех этапах жизненного цикла АС. (Регламентные работы, контрольные работы, изменение структуры АС, устаревание аттестатов и сертификатов защиты). Разработка средств защиты АС предпочтительно должна вестись параллельно с разработкой самой АС. Необходимо помнить, что многим физическим и техническим средствам защиты необходима непрерывная орг. поддержка, а нормативно-организационные меры имеют свойство устаревания.
- Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно, т. е. имеет смысл вести речь о некотором приемлемом уровне безопасности. При этом высокоуровневые системы защиты стоят дорого и при работы используют существенную часть ресурсов АС. Т. о. важно корректно выбрать достаточный уровень защиты при котором затраты, потеря ресурсов, риск и размер возможного ущерба будут приемлемы.
- Принцип гибкости управления и применения. Часть СЗ создаётся в условиях неопределённости относительно внешней среды а также параметров самой АС. Поэтому применяемые меры и средства защиты могут обеспечивать как чрезмерный так и недостаточный уровень. Для обеспечения возможности варьирования средства должны обладать гибкостью. Этого принципа необходимо также придерживаться при установке СЗ на работающую АС в случае изменяющейся среды или требований пользователей защиты.
- Открытости алгоритмов и механизмов защиты. При необходимости должна быть возможность модифицировать защиту не раскрывая уже существующих и работающих алгоритмов и механизмов (это помимо открытости шифров).
- Простоты применения защитных мер и средств. Защитные меры и средства должны быть просты в использовании.
- Несоблюдение (как преднамеренное, так и нет) предопределенных норм, правил и требований к эксплуатации АС
- Ошибки в проектировании АС и в проектировании защиты АС (как преднамеренное так и нет)
- Ведение противостоящей стороной технической и агентурной разведок
- Разглашение. Процесс несанкционированного доведения злоумышленником информации до потребителей, не имеющих права доступа к ней.
- Несанкционированный доступ. Процесс получения информации заинтересованной стороной с нарушением прав доступа к информации. Заинтересованной стороной может быть государство, юр. лицо, группа или отдельное физическое лицо.
- Получение защищаемой информации разведками (как технической так и агентурной).
Под каналом понимается совокупность источника, материального носителя или среды распространения и средства выделения информации из среды или носителя. При этом местоположение средства выделения может быть как в пределах зоны АС так и вне её. Примеры технических средств защиты канала:
- громоотвод*
- шумелки на окна и батареи
- экранирование помещения
- криптотелефон с сертификатом
- криптошлюз (аппаратный или программный) с сертификатом
- Электромагнитный канал
- радиоканал (включая высокочастотное и низкочастотное излучения)
- сети питания
- линейный канал (включая информационную нагрузку и, иногда, наводки на линию связи)
- Акустический канал
- Визуальный
- Информационный канал как частный случай канала №1
- каналы технических и периферийных устройств
- каналы локальных сетей
- другие
В соответствии с классом (конф. гос. т.) и уровнем защищаемой информации применяются не только законы и постановления правительства, но и нормативно-технические документы, в том числе для конф. СТР-К
, а для гос. тайны СТР-ГТ
(СТР
). В этих документах имеются технические рекомендации в том числе тех. средств в пределах контролируемой зоны АС.
Пример (визуальный канал). ПК по СТР-К должны располагаться не ближе 1 м. от окон, на которых должны быть жалюзи определенного вида.
При защите МНИ руководствуются принципом: наиболее надежным методов защиты МНИ является физическая защита. Злоумышленник получает доступ к МНИ в двух случаях:
- доступ непосредственно к носителю
- доступ к ПО и АппС, работающих с носителем
- исключение прохождения носителей по технологическим участкам не обусловленным производственной необходимостью
- предупреждение непосредственного доступа к носителю персонала, не отвечающего за выполнение непосредственных операций с ним
Регламентация порядка обращения с МНИ предусматривает выполнение следующего комплекса мер:
- Запись информации (создание носителей) только на рабочих местах, обеспечивающих условия для предотвращения утечки и физическую сохранность носителей
- Постановка на учет МНИ с простановкой соответствующей маркировки на нем (гриф секретности или конфиденциальности)
- Передача между подразделениями под расписку
- Вынос за пределы за пределы организации только с разрешения уполномоченных лиц
- Хранение в условиях, исключающих НСД посторонних (запираемые и опечатываемые шкафы(сейфы))
- Уничтожение МНИ утративших эксплуатационные характеристики — согласно актам утверждаемым уполномоченными лицами. С протоколированием и физическим разрушением носителя.
- Передача в ремонт средств МТ без МНИ. При невозможности удаления информации (ПЗУ) решение принимается непосредственно руководителем, ремонт осуществляется непосредственно лицом, берущим ответственность за сохранность информации.
- Регулярный контроль соблюдения перечисленных правил
- сообщать любые сведения о характере работ, выполняемых с помощью АС, о порядке защиты, учета и хранения МНИ а также о системе охраны и пропускном режиме объекта
- использовать для работы с информацией незарегистрированные МНИ
- хранить на носителе информацию с более высоким уровнем секретности, чем та, что определена для этого носителя в момент регистрации
- работать с неучтенными экземплярами документов, и тем более передавать их другим сотрудникам
- выносить за пределы контролируемой зоны без разрешения ответственных лиц не только носители, но и отпечатанную документацию, а также блоки аппаратуры и другое оборудование. Аналогичный запрет распространяется на внос.
- принимать и передавать носители без соответствующей отметки в учетных документах. Знакомить с содержимым других сотрудников.
- делать на этикетках либо грифовых метках пометки, раскрывающие содержимое носителей
- уничтожать носители и документы без соответствующих указов и оформления в установленном порядке
Выделяют несколько обобщённых категорий методов: организационные, технологические и правовые
Иногда от флешек отказываются вообще. А можно использовать модифицированные считыватели флешек, и флешки с криптографическим ответом (от проноса), при этом от выноса орг. меры (учёт).
Шифруемые жёсткие диски в связке с АСДЗ (аппаратное средство доверенной загрузки (шифрование тем же аппаратном элементом)). Для каждого пользователя загрузка/шифрование может осуществляться отдельно своим ключом.
Идентификация — присвоение пользователю уникального идентификатор и его проверка по перечню.
Аутентификация — Иногда аутентификацией также называют проверку подлинности данных. Безопасность стойкость системы идентификации и аутентификации. Степень обеспечения гарантией того, что пользователь не сможет пройти аутентификацию от имени другого пользователя.
Разделяют 3 группы методов аутентификации (по наличию у каждого пользователя):
- Идентификационного объекта заданного типа (пропуск, электронный брелок с идентификатором RFID-метки, электронные брелки с криптографическими элементами)
- Знания известной только легальному пользователю и проверяющей стороне информации
- Индивидуальные биометрические характеристики (н-р по телефону по тембру голоса)
Характеристики методов
- Протокол??
- Надежность
- статистика на основе Гауссовых смесей
Пример 1. Система обучения для определения тембра голоса
- Гаус. смеси
- LVM (?): "метод опорных векторов"
- нейронные сети (глубокие нейронные сети)
Набор частот образует характеристический вектор. Они подаются на обучение. Обучение трудоёмкое (кластер, GPU, ...). Распознавание легко (принимает характеристический вектор).
Пример 2. Отпечатки, рисунок вен.
Протокол NFC (Near Field Communication). Можно рассматривать многофакторные биометрические системы. Если в процедуре аутентификации обе стороны, аутентифицируют друг друга, то такая аутентификация называется двусторонней или непосредственной. Если участвует третья сторона, то говорят об аутентификации с доверенным центром (доверенной третьей стороной). Используют одноразовые и многоразовые пароли.
Под парольной системой понимается ПАК, реализующий систему идентификации и аутентификации. Как правило такой комплекс функционирует совместно с подсистемами разграничения доступа и регистрации событий.
Основные компоненты парольной системы:
- Интерфейс пользователя
- Интерфейс администратора
- Модуль сопряжения с другими системами безопасности
- Модуль учета Про PAM можно рассмотреть во второй части наших семинарских занятий. И сделать доклад. И про модуль аутентификации в windows ms jina.
- Разглашение параметров учётных записей
- подбор в интерактивном режиме (придумал слабый пароль)
- подсматривание
- преднамеренная передача владельцем через третьих лиц
- захват базы данных
- перехват по сети информации о пароле
- хранение пароля в доступном виде
- Вмешательство в функционирование парольных систем через
- внедрение программных закладок
- использование ошибок и недоработок
- выведение из строя
На открытых WiFi точках делался редирект (dns-спуффинг); уязвимость браузера: иди на тот же сайт http
- Копание в сорцах
- fuzzing
- exe
- pis - ?
- fus-src
- ? (удалённо исполнение)
Наиболее распространенными требованиями к выбору пароля де-факто являются стандарты лаборатории RSA.
- Установка минимальной длины (сейчас примерно 9)
- Использование различных групп символов
- Проверка и отбраковка пароля по словарю
- Установка максимального срока действия паролей
- Ведение журнала историй
- Применение эвристических алгоритмов отбраковки на основе журнала и словаря
- Ограничение числа попыток ввода
- Поддержка режима принудительной смены пароля пользователя
- Запрет на выбор пароля самим пользователем и его автоматическая генерация
Особенности:
- СКЗИ является реализацией алгоритма криптографического преобразования информации
- Входные и выходные аргументы криптографических преобразований присутствуют в АС в некоторой материальной форме и являются объектом АС
- СКЗИ для работы использует некоторую конфиденциальную информацию
- Алгоритмы криптографических преобразований также реализованы в виде некоторых материальных объектов, являющихся объектами АС. Объекты этого типа являются составными частями субъектов АС.
Важно также учитывать следующее:
- СКЗИ осуществляет обмен информации с внешней средой: в него вводятся открытый текст и иногда ключи в открытом виде
- СКЗИ в случае аппаратной реализации использует элементную базу ограниченной надёжности
- СКЗИ в случае программной реализации выполняется на аппаратной базе ограниченных возможностей и во-вторых может содержать ошибки, закладки или иные элементы, которые могут негативно влиять на её работу
- СКЗИ хранится на материальном носителе и может быть при хранении намеренно или случайно искажено.
- СКЗИ взаимодействует с внешней средой не только прямым но и косвенным образом: питается от сети электропитания, излучает ПЭМИН (Побочное Электро-Магнитное Излучение и Наводку)
- СКЗИ изготавливает и использует человек, которые может допустить ошибки при разработке и эксплуатации
Стеганография — техника сокрытия факта связи.
- Потоковая
- Форматная (слабее потоковой). Шапки форматов файлов, шапки заголовков сетевых пакетов различных уровней.
- Непространственные методы. Н-р, временная — модификация статистики прохождения пакетов по сети с целью внедрения информации.
Можно ещё хитро широковещать для защиты личности приемника.
Методы стеганографии позволяют встраивать секретные сообщения в безопасные послания таким образом, чтобы нельзя было заподозрить факт наличия скрытой связи. При этом терминология такая:
- сообщения — скрываемые данные
- контейнеры — потоки данных, в которые осуществляется сокрытие
Пример 1. Будем прятать сообщение в малозначимые, в частности младшие, биты BMP. Можно подстроить распределение этих бит сообщения, под ожидаемое распределение этих малозначащих бит.
Пример 2. mp3, там стоит код Хаффмана. Раскодируем, добавляем в малозначащие биты сообщение, жмём опять.
Коды сжатия бывают с потерями и без потерь. Если код с потерями, то нужно думать, как встроить, чтобы после разжатия можно было что-то восстановить. Можно поставить в каскад помехоустойчивый код. В mp3 кодируется с потерями.
Внедряемая информация подвергается предварительному шифрованию, т. о. представленная в этом виде защищаемая информация внешне выглядит как равномерно распределенный случайный поток. Этот факт используется с целью обнаружения в контейнере скрытых стеганографических вложений. Для защиты сообщения можно попробовать промоделировать случайную величину согласно контейнеру.
Обнаружение сообщения в потенциальной стеганограмме:
- Анализ на наличие открытого текста.
- Статистический анализ — стегоанализ
Защищенную систему можно представить в виде набора некоторых её состояний, причем эти состояния являются желательными для этой системы.
Политика безопасности включает:
- Наличие в системе субъектов и объектов
- Множество возможных операций над объектом
- Для каждой пары "субъект-объект" множество разрешенных операций и являющееся подмножество всех возможных операций.
Аксиомы:
-
В защищенной АС всегда присутствует активный компонент - субъект, выполняющий контроль операций субъектов над объектами. Этот компонент отвечает за реализацию выбранной политики безопасности.
-
Для выполнения в защищенной АС операций над объектами необходима дополнительно информация о разрешенных и запрещенных операциях субъектов над объектами и наличие содержащей её объекта
-
Все вопросы безопасности информации в АС описываются доступами субъектов к объектам
-
Будем считать разделение АС на субъекты и объекты априорным
-
Будем считать, что существует безошибочный критерий разделения субъектов по их активности
-
Декомпозиция АС на субъекты и объекты является фиксированной
Подчеркнем отличие понятия субъекта АС от человека-пользователя: пользователь — физ. лицо, аутентифицируемое некоторой информацией посредством парольной системы, и управляющее субъектом АС через органы управления ПК. Пользователь является таким образом внешним фактором, т. е. фактором среды, управляющим состоянием субъектов. При этом изменение состояния не подразумевает возможности изменения свойств субъекта (в субъекты запись исключается). В свою очередь переход объектов в классы субъектов исключается пунктом №3.
Потоком информации между объектом О_i
и объектом O_j
называется произвольная операция над объектом O_j
, реализуемая в субъекте S_i
и зависящая от объекта O_i
.
- уничтожение
- перезапись
- копирование
- создание (субъектом
S_i
объектаO_j
)
Доступом субъекта S_i
к объекту O_j
будем называть порождение потока между некоторым объектом и объектом O_j
.
Пусть имеется фиксированная декомпозиция АС в виде субъектов и объектов во все моменты времени.
Все множество потоков P
разбивается на подмножества L
и N
.
N
— множество потоков, относящихся к НСДL
— множество потоков, относящихся к легальному доступу
Будем считать парные категории типа опасный
/безопасный
априорно заданными для АС и описываемыми политикой безопасности. Результатом применения политики безопасности АС является разделение всех потоков P
на подмножества опасных N
и безопасных L
.
-
Дискреционная (Discretionary Access control (DAC)) (ДПБ)
- Все субъекты и объекты должны быть идентифицированы
- Права доступа субъектов к объектам определяются на основании некоторого внешнего по отношению к АС правила
Основой ДПБ является дискреционное управление доступом, которое может быть описано следующими свойствами:
Большинство распространенных в быту АС обеспечивает выполнение положений именно этой ПБ Примерно таблица выглядит так:
Недостатком модели является её статичность, которая не учитывает динамику изменяющихся состояний АС
-
Мандатная (Mandatory AC (MAC)) (полномочная) (модель Белла-ла Педула)
- Все субъекты и объекты должны быть идентифицированы
- задан линейно упорядоченный набор меток секретности
- каждому объекту системы присваивается метка секретности, определяющая ценность содержащейся в ней информации, называемая также уровнем секретности
- каждому субъекту системы присваивается метка секретности, определяющая уровень доверия к нему в АС, это максимальное значение уровня секретности объекта, к которому субъект имеет доступ
Основная цель мандатной политики — предотвращение утечки информации от объектов с более высоким уровнем доступа к объектам с более низким уровнем доступа.
Замечание. Минусы в дискреционной таблице могут взаимно исключать возможность взаимного упорядочивания субъектов. С другой стороны в мандатной политике может быть ... мы разграничить не сможем.
В рамках данной системы доказывается утверждение: если начальное состояние системы безопасно и все переходы из состояния в состояние не нарушают сформулированных ограничений то все состояния системы безопасны.
Кто красиво все разложит по полочками — тому плюшка.
Кроме СТР-К есть аналогичный документ для гос. тайны: СТР (сленговое название СТР-ГТ).
СРД может ставиться поверх ОС (СРД должно быть сертифицировано).
Реализации и детализации гибридных политик будут рассмотрены далее в разделе Защита в ОС.
НИ (несанкционированному изменению) могут быть подвергнуты алгоритмическая, программная и техническая структура АС. Защита от НИ предусматривает использование универсальных методов, позволяющих на ряду с уменьшением воздействий НИ выявлять и блокировать непреднамеренные ошибки в том числе разработчиков и обслуживающего персонала. Основной угрозой РИ являются закладки: как программные так и аппаратные, получающие доступ к информации АС или ИС в целом. Для планирования ... на всех этапах ИС применяются разные методы.
Основная задача — обнаружение ошибок и закладок. Закладки, внедренные на данном этапе наиболее трудны к обнаружению.
Проверки на данном этапе осуществляются подконтрольными ФСТЭК институтами. Зачастую последние реализуют лишь функцию трансфера ответственности, не вмешиваясь в процесс разработки, нарушая тем самым принципиальную схему:
- Привлечение к разработке доверенных высокоспециализированных специалистов (в т. ч. разработка ТЗ)
- Использование блочных и иерархических структур
- Применение стандартных блоков
- Дублирование разработок (независимая разработка различных блоков программ; сравнение образов в целью выявления ошибок (разрабатываем одно и тоже несколькими людьми, с конкурсом))
- Контроль адекватности
- Многослойная фильтрация (выявление ошибок и закладок с использованием автоматизированных средств)
- Автоматизация разработки
- Контроль разработки
- Сертификация готового продукта (в конце с привлечение того же человека)
Основная задача — предотвращение НСД к программно-аппаратным средствам и контроль их целостности. НСД можно предотвратить или затруднить при наличии комплекса мероприятий, описанных в СТР-К и ..., включая:
- ОПС — охрана помещений с помощью технических средств
- физическое разграничение доступа к оборудованию
- противодействие несанкционированному подключению аппаратны средств
- защита от демонтажа защитных средств
- противодействие программ-шпионам
При организации доступа к оборудованию реализуется идентификация и аутентификация, ведение журнала действий субъекта. Контроль изменения установленного порядка загрузки ОС. Например с помощью средства доверенной загрузки: PCI-плата + специальный брелок + пароль. Эта плата потом производит расшифрование носителя на ключе брелка + пароль, а потом происходит автоматический доступ в ОС. Само собой, что на BIOS должен стоять пароль. Помимо этого в ОС присутствует драйвер носителя, который работает вот так: взаимодействие с жестким диском происходит через железку, которая перед записью / после чтения всё шифрует / расшифровывает.
Требования к парольной подсистеме были рассмотрены ранее. В качество дополнительной защиты используются флешки с аппаратным шифрованием. Такая штука должна уметь взаимодействовать с драйвером, чтобы избежать повторного шифрования (видимо, не обязательно).
100 брелков ГОСТ + RSA —> ФСТЭК —> Серт. институт
Наиболее часто для НСД к АС злоумышленники пользуются программными закладками. Программная закладка — это не всегда ручная разработка. Зачастую они компилируются попросту конструкторами закладок.
Методы внедрения скомпилированных закладок в различные форматы исполняемых файлов известны.
Структура PE (Portable Executable) унаследован от Coff:
[Head | параметры | секция кода | секция данных | секция ресурсов]
Секция данных — глобальные массивы, ... .
Среди параметров есть:
- число секций
- размер каждой секции
ОС называется защищённой если она имеет средства защиты от классов угроз (которые актуальны для ОС), перечисленных в первых главах. Обязательно имеет СРД, средство проверки подлинности пользователя и средство противодействия вывода ОС из строя.
Если ОС предусматривает защиту не от всех видом угроз, то она называется частично защищенной.
- Постоянный контроль корректности функционирования ОС и её защиты. Посредством, в частности, корректного аудита журналов событий
- Организация и поддержка адекватной политики безопасности, определенной заблаговременно
- Инструктирование пользователей об изменениях в системе защиты, о корректном выборе паролей
- Регулярное создание и обновление резервных копий субъектов и объектов ОС
- Контроль изменения конфигурационных данных и политики безопасности отдельных пользователей для выявления попыток взлома
Наиболее известные стандарты безопасности наследуются от документов министерства обороны США 1983 года, называемых "критериями безопасности КС".
Защита в них классифицируется по 7 классам:
- D1. Не предусматривает защиты.
- C1
- C2
- B1
- B2
- B3
- A1. Максимально защищенная ОС.
- Разграничение доступа
- Идентификация и аутентификация
- Аудит
- Управление политикой безопасности и поддержание адекватной политики безопасности
- Криптографическое шифрование (как для хранимой, так и для передаваемой информации) (не в России, у нас не допускают, чтобы ОС шифровала) (требование в России по шифрованию, не может перекрываться ОС) (шифр сертифицируется не ФСТЭК, а ФСБ) (поддержка защиты данных передаваемых по сети (и шифрование и протоколы)).
Первые 3 пункта собираются в блок СРД (то же самое, что СЗИ от НСД)
(определения объекта, субъекта, и т. д , см. 13 раздел)
Возможность доступа к объекту определяется политикой ОС и текущей политикой безопасности.
Владелец объекта — субъект, олицетворяющий человека в ОС, последний обладает объектом и несет ответственность за конфиденциальность содержащейся в объекте информации, а также за доступ к этому объекту.
Рассмотрим некоторые детализации политик разграничения доступа, приведенных в разделе 13.
- Для каждого объекта существует владелец
- Владелец произвольно ограничивает доступ субъектов к объекту
- Для каждой тройки (субъект, объект, метод доступа) возможность доступа определяется однозначно.
- Существует хотя бы один привелегированный пользователь, имеющий возможность обратиться к любому объекту по любому методу доступа
Для определения прав доступа в этой модели используется матрица дискреционной политики. В ячейках либо вектор доступа, либо список доступа.
Вектор доступа
- Достоинства: удобное представление в виде трехмерной матрицы.
- Недостатки: небольшая гибкость.
Список доступа. Определяет представление матрицы доступа при котором для каждого объекта определен список переменной длины, элементами которого являются пары (id субъекта, права доступа к данному объекту).
Модель избирательного разграничения доступа является распространенной из-за простоты реализации и простоты использования.
Представляет собой расширение предыдущей модели, в котором: пункты 1-4 такие же и:
- для каждого субъекта определен список программ, которые данный субъект может запускать
Изолированная программная среда повышает защищенность ОС от различных программных воздействий, закладок и вирусов. Т. к., во-первых, ограничивает права доступа олицетворяющих субъектов к другим субъектам ОС, а, во-вторых, ограничивает доступ не олицетворяющих субъектов к не олицетворяющим субъектам
Пункты 1-4 остаются теми же и:
- среди множество объектов доступа выделяется подмножество объектов полномочного разграничения доступа. Каждый объект, входящий в это подмножество, имеет гриф секретности.
- каждый субъект имеет уровень допуска. Eсли объект относится к рассматриваемому подмножеству и имеет уровень секретности выше, чем уровень допуска открывающего его субъект, до доступ запрещается.
Пункты 1, 2, 4 из избирательного разграничения доступа и:
- для каждой четвёрки (субъект, объект, метод, процесс) возможность доступа определяется определяется в каждый момент времени
- плюс два пункта из предыдущего из предыдущей модели разграничения доступа
- каждый процесс имеет уровень конфиденциальности равный максимуму из грифов секретности объектов открытых процессов на протяжении своего существования
Процесс — это образ не олицетворяющего субъекта (образ в виртуальной памяти, характеризующий временем жизни и перечнем объектов, к которым процесс получил за время жизни доступ)
- если объект является элементом множества полномочного разграничения доступа и гриф его секретности ниже уровня конфиденциальности обратившегося к нему для записи процесса (а на чтение можно!), то доступ запрещается
- понижать гриф секретности объекта может только субъект, который имеет более высокий либо равный уровень доступа чем гриф секретности объекта, и обладает специальной привилегией на изменение грифа объекта
Эта модель значительно сокращает производительность, т. к. требует проверок не только при открытии объекта, но и при вызове каждого метода доступа.