Часть 2. - Российский новый университет
advertisement
Информационная безопасность Обзорная лекция к междисциплинарному экзамену Меры законодательного уровня ИБ Меры законодательного уровня обеспечивают правовую поддержку мероприятий информационной безопасности. Выделяют две группы мер: Меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности; Направляющие и координирующие меры, способствующие повышению уровня знаний в области информационной безопасности, помогающие в разработке и распространении средств обеспечения безопасности; Правовые акты общего назначения Основной закон Российской Федерации – Конституция. Статьи Конституции закрепляют ряд прав граждан на защиту и получение информации: Ст. 24 – устанавливает право граждан на ознакомление с документами и нормативными актами, затрагивающими права и свободы; Ст. 41 – гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья граждан, ст. 42 – право на получение информации о состоянии окружающей среды Ст. 23 – гарантирует право на личную и семейную тайну Ст. 29 – право искать, получать, производить и распространять информацию любым законным способом Правовые акты общего назначения В Гражданском кодексе определяются понятия как банковская, коммерческая и служебная тайна: Ст. 139 определяет, что для защиты информации, имеющей коммерческую ценность, ее обладатель имеет законные права по охране ее конфиденциальности. Правовые акты общего назначения В Уголовном кодексе введен раздел, посвященный преступлениям в компьютерной сфере: Ст. 272 – неправомерный доступ Ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ Ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сетей Статья 138 УК РФ предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; Статья 183 УК РФ направлена на обеспечение защиты коммерческой и банковской тайны. Закон «Об информации, информатизации и защите информации» Закон №24-ФЗ (принят 20.02.1995) является одним из основополагающих законов в области информационной безопасности. В законе юридически определены важные понятия, такие как информация, документированная информация, информационная система, конфиденциальная информация, пользователь информации и т.д. В законе выделены следующие цели защиты информации: Предотвращение утечки, хищения, утраты, искажения информации Предотвращения угроз безопасности личности, общества, государства Предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем Закон «Об информации, информатизации и защите информации» В законе определены задачи защиты информации (прежде всего конфиденциальности данных): «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу» В качестве мер по обеспечению защиты информации в законе устанавливаются: лицензирование организаций, занимающихся проектированием, производством средств защиты информации; сертификация продуктов и услуг в области защиты информации. Закон «О лицензировании отдельных видов деятельности» Закон №128-ФЗ от 8.08.2001 устанавливает требование к обязательному лицензированию некоторых видов деятельности, в том числе, относящихся к информационной безопасности: Распространение шифровальных (криптографических) средств; Техническое обслуживание шифровальных средств; Предоставление услуг в области шифрования информации; Разработка и производство шифровальных средств, защищенных с их помощью информационных систем и телекоммуникационных систем Выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП Выявление электронных устройств, предназначенных для негласного получения информации Разработка и производство средств защиты конфиденциальной информации Техническая защита конфиденциальной информации Закон «О лицензировании отдельных видов деятельности» В соответствии со статьей 1, действие данного закона не распространяется на следующие виды деятельности: Деятельность, связанная с защитой государственной тайны; Деятельность в области связи; Образовательная деятельность. Основными лицензирующими органами в области защиты информации являются ФАПСИ (сейчас функции переданы ФСБ) и Гостехкомиссия РФ. Криптография и связанные с ней мероприятия лицензируются ФАПСИ. Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Ввоз и вывоз средств криптографической защиты и нормативно-технической документации к ней осуществляется исключительно на основании лицензии МЭРТ, выданной на основании решения ФАПСИ. Закон №1-ФЗ «Об электронной цифровой подписи» Закон «Об электронной цифровой подписи» обеспечивает правовые условия использования электронной цифровой подписи в электронных документах. Действие данного закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок. ЭЦП равнозначна собственноручной подписи при соблюдении следующих условий: Сертификат подписи, относящийся к ЭЦП, не утратил силы на момент подписания документа; Подтверждена подлинность ЭЦП в электронном документе; ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи. Оценочные стандарты в области информационной безопасности Оценочные стандарты направлены на классификацию информационных систем и средств защиты по требованиям безопасности. Первым оценочным стандартом, получившим широкое распространение, стал стандарт Министерство обороны США «Критерии оценки доверенных компьютерных систем» («Оранжевая книга») – 1983 г. В данном стандарте рассматриваются вопросы управления доступа к данным (т.е. обеспечение конфиденциальности и целостности информации). Степень доверия оценивается по двум критериям: Политика безопасности – набор правил, определяющих как обрабатывается, защищается и распространяется информация Уровень гарантированности – меры доверия, которая может быть оказана архитектуре и реализации ИС. Руководящие документы Гостехкомиссии РФ Показатели защищенности средств вычислительной техники (СВТ) от несанкционированного доступа (НСД): В руководящих документах ГТК устанавливается классификация СВТ по уровню защищенности от НСД. Показатели защищенности содержат требования защищенности СВТ от НСД к информации. Конкретные перечни показателей определяют классы защищенности и описываются совокупностью требований. Установлено семь классов защищенности СВТ от НСД. Самый низкий класс – седьмой, самый высокий – первый. Руководящие документы Гостехкомиссии РФ Классы защищенности автоматизированных систем: Установлено девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс отвечает совокупностью требований к средствам защиты. В пределах группы соблюдается иерархия классов защищенности АС. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС. В группе два класса – 3Б и 3А. Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях разного уровня конфиденциальности. В группе два класса – 2Б и 2А. Первая группа включает многопользовательские АС, где одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Различные пользователи имеют различные права. В группе пять классов – 1Д, 1Г, 1В, 1Б, 1А. При выполнении классификации рассматриваются подсистемы защиты и требования к ним: Подсистема управления доступом Подсистема регистрации и учета Криптографическая подсистема Подсистема обеспечения целостности Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» Стандарт ISO/IEC 15408 является международным оценочным стандартом в области информационной безопасности. Выпущен в 1999 г. Часто для его обозначения используется именование «Общие критерии». «Общие критерии» являются метастандартом, определяющим инструменты для оценки безопасности информационных систем и порядок их использования. В отличие от «Оранжевой книги» и других подобных стандартов, Общие критерии не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы. Виды требований информационной безопасности В данном стандарте введены два основных вида требований безопасности: Функциональные требования, соответствующие активному аспекту защиты и предъявляемые к функциям безопасности и реализующим их механизмам. Требования доверия, соответствующие пассивному аспекту защиты, предъявляемые к технологии и процессу разработки и эксплуатации ИС. Требования безопасности предъявляются для определенного программно-аппаратного продукта, а их выполнение проверяется с целью оценки уровня информационной безопасности. Угрозы информационной безопасности Общие критерии рассматривают объект оценки в контексте некоторой среды безопасности, характеризующейся определенными условиями и угрозами. Для характеристики угрозы информационной безопасности используются следующие параметры: Источник угрозы; Метод воздействия на объект оценки; Уязвимости, которые могут быть использованы; Ресурсы, которые могут пострадать от реализации. Профиль защиты Одним из основных нормативных документов, определяемых в Общих критериях является профиль защиты. Профиль защиты – документ, включающий в себя типовой набор требований, которым должны удовлетворять системы определенного класса. Задание по безопасности (проект защиты) – содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей. Функциональные требования Функциональные требования сгруппированы в Общих критериях на основе выполнения определенной роли. Всего в Общих критериях определено 11 функциональных классов, 66 семейств и 135 компонентов. Классы функциональных требований: Идентификация и аутентификация Защита данных пользователя Защита функций безопасности (относится к целостности и контролю сервисов и механизмов безопасности) Управление безопасностью (требования к управлению атрибутами и параметрами безопасности) Аудит безопасности Доступ к объекту оценки Приватность (защита пользователя от раскрытия и использования его идентификационных данных) Использование ресурсов (требование доступности информации) Криптографическая поддержка Связь (аутентификация сторон при обмене данными) Доверенный маршрут/канал (для связи с сервисами безопасности) Требования доверия безопасности Установление доверия безопасности основывается на исследовании объекта оценки. Всего определено 10 классов, 44 семейства и 93 компонента требований доверия. Классы требований доверия безопасности: Требования к разработке системы (поэтапная детализация функций безопасности) Поддержка жизненного цикла (требование к модели жизненного цикла) Тестирование Оценка уязвимостей (включая оценку стойкости функций безопасности) Поставка и эксплуатация Управление конфигурацией Руководства (требования к эксплуатационной документации) Поддержка доверия Оценка профиля защиты Оценка задания на безопасность Понятие атаки на информационную систему Атака – любое действие или последовательность действий, использующих уязвимости информационной системы и приводящих к нарушению политики безопасности. Механизм безопасности – программное и/или аппаратное средство, которое определяет и/или предотвращает атаку. Сервис безопасности - сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности. Классификация атак Классификация атак на информационную систему может быть выполнена по нескольким признакам: По месту возникновения: Локальные атаки (источником данного вида атак являются пользователи и/или программы локальной системы); Удаленные атаки (источником атаки выступают удаленные пользователи, сервисы или приложения); По воздействию на информационную систему Активные атаки (результатом воздействия которых является нарушение деятельности информационной системы); Пассивные атаки (ориентированные на получение информации из системы, не нарушая функционирование информационной системы); Классификация сетевых атак При описании сетевых атак в общем случае используется следующее представление: существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер): Сетевые атаки I. Пассивная атака Пассивной называется такая атака, при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика. Сетевые атаки Активной называется такая атака, при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак: Отказ в обслуживании - DoS-атака (Denial of Service) Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов. Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями. Сетевые атаки Модификация потока данных - атака "man in the middle" Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений. Сетевые атаки Создание ложного потока (фальсификация) Фальсификация (нарушение аутентичности) означает попытку одного субъекта выдать себя за другого Сетевые атаки Повторное использование Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа - это так называемая replay-атака. На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки. Программно-техническое средства защиты информационных систем Совокупность информационных систем и технологий направленных на обеспечение задач по защите информации. Данные средства позволяют автоматизировать многие задачи по обеспечению информационной безопасности Программно-технические меры При рассмотрении информационной системы на начальном уровне детализации она может быть рассмотрена как совокупность информационных сервисов. Сервисы безопасности: Идентификация и аутентификация Управление доступом Протоколирование и аудит Шифрование Контроль целостности Экранирование Анализ защищенности Обеспечение отказоустойчивости Обеспечение безопасного восстановления Программно-технические меры Классификация мер безопасности на основе сервисов безопасности и их места в общей архитектуре ИС: Превентивные Меры обнаружения нарушений Локализующие зону воздействия Меры по выявлению нарушений Меры восстановления режима безопасности Особенности современных информационных систем С точки зрения информационной безопасности наиболее существенными являются следующие аспекты: Корпоративная сеть является распределенной, связи между отдельными частями обеспечиваются внешними провайдерами Корпоративная сеть имеет одно или несколько подключений к Internet Критически важные серверы могут располагаться на различных площадках Для доступа пользователей используются как компьютеры так и другие мобильные устройства В течение одного сеанса работы пользователь обращается к нескольким информационным сервисам Требования доступности информационных сервисов выдвигаются достаточно жесткие Информационная система представляет собой сеть с активными агентами, в процессе работы программные модули передаются с сервера на компьютеры пользователя и т.п. Не все пользовательские системы контролируются администраторами ИС Программное обеспечение и модули полученные по сети не могут рассматриваться как надежные Конфигурация ИС постоянно изменяется на уровнях администрирования данных, программ, аппаратуры Аутентификация, авторизация и управление доступом Для выполнения идентификации сотрудников компании могут использоваться разные признаки. Самый простой из них - это PIN-код, то есть произвольный набор цифр. При выборе этого принципа защиты сотрудник, перед тем как пройти мимо пункта контроля или открыть электронный замок двери, должен ввести присвоенный ему PIN-код. Считывание производится при помощи специального устройства, которое подключается к обычному персональному компьютеру с помощью некоторого интерфейса (RS232, USB). Кроме того, могут использоваться и автономные приборы. Они должны периодически подключаться к ПК, чтобы обменяться данными с центральной базой данных. Аутентификация, авторизация и управление доступом В качестве такого отличительного признака пользователя могут быть использованы карточные системы основанные на использовании: штрих-код; магнитная карта; смарт-карта. Для реализации такого варианта защиты каждому зарегистрированному пользователю необходимо напечатать специальную карточку. На персональной карточке возможно размещение фотографии владельца. А это позволяет использовать карточки в качестве обычных пропусков на проходных пунктах, обслуживающихся живыми людьми. Аутентификация, авторизация и управление доступом Для выполнения идентификации, аутентификации пользователей часто используются биометрические данные: Отпечатки пальцев Сетчатка и роговица глаза Геометрия руки и лица Голос и распознавание речи Подпись и работа с клавиатурой Защита информации в корпоративных сетях Вариантов организации защиты корпоративных сетей существует много. Один из таких вариантов предлагает компания "Инфосистемы Джет". Компания предлагает три продукта, каждый из которых защищает одно из возможных направлений проникновения в корпоративную сеть. К числу решений компании отеосятся: межсетевой экран Z-2, средство построения защищенных виртуальных сетей "Тропа-Джет" система мониторинга и архивирования почтовых сообщений "Дозор-Джет". Межсетевые экраны Межсетевой экран (firewall) позволяет предотвратить несанкционированный доступ к информационным системам компании из открытых сетей и Интернета, а также разграничить доступ к различным локальным сетям компании. В первом случае он ставится на стыке локальной сети и Интернета, во втором - между различными участками внутренней сети компании. Контроль сетевой активности необходим в различных случаях: учет корпоративного подключения к Интернету настройка сетей и их сегментов при оптимизации внутрисетевого трафика для обеспечения информационной безопасности компьютерной сети организации. Межсетевые экраны Внутренние серверы Интернет Межсетевой экран Почтовый Веб-сервер сервер Функции межсетевых экранов В межсетевом экране может быть реализовано несколько видов защиты. К их числу относятся: фильтрация сетевых пакетов средства идентификации и аутентификации пользователей средства оповещения и сигнализации о выявленных нарушениях другие. Фильтрация сетевого трафика Фильтрация входящей и исходящей информации осуществляется на основе правил в нескольких уровнях. На основе транспортных адресов отправителя и получателя производится фильтрация соединений на сетевом и транспортном уровне. Одновременно осуществляется контроль доступа в соответствии с установленными правилами разграничения доступа к сетевым ресурсам и сервисам. На уровне приложений. Для этого создаются специальные фильтры прикладного уровня, каждый из которых отвечает за фильтрацию информационного обмена по одному отдельному протоколу и между одним определенным типом приложений. На этом уровне обрабатываются протоколы HTTP, FTP, SMTP, TELNET и SNMP. Виртуальные частные сети (VPN) Важной является задача защиты информации при передаче ее внутри корпоративной сети, особенно в том случае, когда корпоративная сеть является разнесенной территориально и для связи используются каналы общего доступа, в том числе Интернет. Одно из возможных решений – кодирование межсетевых потоков в сетях передачи данных протокола TCP/IP. Эта задача решается за счет создания виртуальных защищенных сетей (VPN). Структура VPN Функции VPN Задача программного комплекса обеспечить формирование контура безопасности для всех пользователей, имеющих доступ в такую сеть. В роли пользователей могут выступать как целые сети и подсети, так и отдельные рабочие станции, в том числе мобильные. Реализация защиты передаваемой информации основана на том, что внутри контура безопасности информация передается в открытом виде, при выходе за контур она кодируется и декодируется при входе в другую часть защищенного контура. Криптографические средства VPN Для кодирования информации в программе реализована несимметричная ключевая система, в которой используются пары, состоящие из открытого и секретного ключей. Эти ключи и их сертификаты формируются в центре генерации ключей, входящем в состав программного комплекса. Для мобильных клиентов в качестве электронных ключей возможно использование ключа eToken. Создание ключей и подпись их ключом администратора осуществляются центром генерации. Этот модуль программной системы, который не должен подключаться в общую сеть, а подготовленные ключи передаются в общую сеть с помощью сменных носителей. Защита систем электронной почты Защита систем приема-передачи почтовых сообщений решает следующие задачи: Предотвращение проникновения в корпоративную сеть вирусов, троянов или иных "вредителей". Защита от несанкционированного использования почты для личных целей. Пересылка конфиденциальной или иной информации пользователями, которые не имеют на это права Защита от спама. Пример организации защиты почтовых систем Системы мониторинга и архивирования почтовых сообщений Задача системы мониторинга – контроль за содержанием почтовых сообщений. Мониторингу подвергается внутренняя и внешняя корреспонденция, как входящая, так и исходящая. Во время проверки производится анализ сообщений, заголовков, вложений. Во время контроля производится анализ текста на наличие определенных последовательностей слов. Завершением проверки является выполнение определенных действий - отправка почты получателю, задержка отправки для обеспечения возможности дополнительного контроля сообщений администратором системы или иными системами безопасности, отказ от отправки или получения определенных сообщений. Архивирование почтовых сообщений Одной из проблем, возникающих при работе с электронной почтой, является вероятность утраты тех или иных сообщений. В полноценной версии архивирование ведется с помощью СУБД (таких как Oracle, PostgreSQL, MS SQL Server) . В процессе архивирования для каждого сообщения заводится специальная учетная карточка, в которую заносятся его основные данные и описание структуры сообщения. При экспорте из почтового архива набор писем выполняется запроса к архиву. Отобранные письма помещаются в файл в формате стандартного почтового ящика, пригодный для работы любого почтового клиента Использование криптозащиты в системах электронной почты Использование в составе системы электронной почты криптографического модуля позволяет обеспечивать использование электронноцифровой подписи. При необходимости с помощью интерфейса такой модуль может быть подключен к внешнему криптопровайдеру, обеспечивая использование различных систем шифрования почтовых сообщений. Действие программшпионов Вредоносные программы-шпионы (spyware) могут нанести пользователю серьезный ущерб: сбор секретных данных о человеке (вплоть до персональных паролей к различным сервисам и номеров кредитных карт); изменение различные настройки программ на компьютере пользователя; периодический показывать рекламы при работе с браузером; другие действия. Чаще всего программы-шпионы попадают на ПК вместе с бесплатными или shareware-утилитами, а также через некоторые интернет-сервисы. Кроме того, они могут быть специально установлены на компьютере жертвы злоумышленниками или проникнуть на него вместе с вирусами. Обеспечение конфиденциальности в глобальной сети Для обеспечения конфиденциальности работы пользователя за компьютером в сети функции, использующиеся для этого, могут быть поделены на две большие группы: К первой относятся те из них, которые предназначены для обеспечения приватности работы в Интернете Ко второй – предназначенные для обеспечения конфиденциальности работы непосредственно с системой. Основные функции системы обеспечения конфиденциальности Кеш Интернета. Удаление сохраненных на жестком диске компьютера браузером веб-страниц и отдельных их элементов. Файлы Coockie. Уничтожение информации, записанной на компьютере пользователя различными веб-серверами. Загруженные компоненты. Стирание программ, автоматически загруженных из Интернета и установленных на компьютере. Список посещенных страниц. Очистка списка (журнала) посещенных пользователем веб-страниц. Введенные веб-адреса. Очистка списка веб-адресов, вручную введенных пользователем в соответствующей строке браузера. Интернет-пароли. Уничтожение сохраненных пользователем и автоматически вводимых браузером паролей для доступа к различным онлайновым сервисам. Автозаполнение. Удаление данных, записанных на компьютере и используемых для автоматического заполнения форм. Сообщения электронной почты. Стирание всей корреспонденции из базы данных почтового клиента (поддерживаются программы MS Outlook и Outlook Express). Список контактов. Очистка адресной книги и списка контактов в почтовом клиенте. Основные функции системы обеспечения конфиденциальности Корзина Windows. Удаление всей информации из "Корзины". Временные файлы. Очистка временных файлов Windows. Свободное пространство на диске. Очистка свободного места на винчестере, которое может содержать остатки удаленной ранее информации. Пользовательские файлы и папки. Гарантированное уничтожение файлов и папок без возможности их восстановления. Строка поиска компьютеров. Удаляет всю историю использования стандартной функции поиска компьютеров. Строка поиска файлов. Удаляет всю историю использования стандартной функции поиска файлов. Список недавних документов. Очищает список недавно открытых документов. Список запускавшихся программ. Уничтожает историю по запускавшимся пользователем программам. Список открытых/сохраненных файлов. Очищает список названий, использовавшихся в стандартных диалогах открытия и сохранения файлов. Защита данных на носителях информации Для обеспечения конфиденциальности данных на уровне носителей информации используется подход основанный на использовании криптографических преобразованиях. Шифрованная файловая система (EFS) позволяет пользователям хранить данные на диске в зашифрованном формате. Шифрованная файловая система предоставляет следующие возможности: Пользователи могут зашифровывать свои файлы при сохранении их на диск. Доступ к зашифрованным файлам можно получить просто и быстро. При доступе пользователей к своим файлам с диска данные отображаются в виде обычного текста. Шифрование данных выполняется автоматически и является полностью прозрачным для пользователя. Администраторы могут восстанавливать данные, зашифрованные другим пользователем. Это позволяет получить доступ к данным, если пользователь, зашифровавший данные, в настоящее время не доступен или соответствующий закрытый ключ утерян. EFS позволяет зашифровывать данные только при сохранении их на диск. Для шифрования данных при их передаче по сети TCP/IP доступны две дополнительных возможности — безопасность протокола IP (IPSEC) и шифрование PPTP. Шифрованные файловые системы Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней используются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Сертификаты и закрытые ключи от всех назначенных агентов восстановления шифрованных данных нужно экспортировать на съемный диск или хранить в безопасности до тех пор, пока они не понадобятся. Поскольку в сертификатах могут также содержатся сведения о закрытом ключе, сертификаты требуют правильного управления. Проектирование и разработка программного обеспечения Цели. Создание архитектуры программного средства, которая отвечает заданным требованиям по безопасности ПС, рассмотрение и оценка требований, возлагаемых на ПС со стороны архитектуры аппаратуры системы безопасности, включая взаимодействие аппаратуры и программного средства для обеспечения безопасности объекта или системы. Выбор подходящего для требуемого уровня соответствия комплексу требований по безопасности, комплекта инструментальных средств (включая языки и компиляторы), который способствовал бы проведению верификации, аттестации, оценки и модификации на протяжении всего цикла обеспечения безопасности ПС. Проектирование и изготовление ПС, отвечающего заданным требованиям по безопасности в отношении требуемого уровня соответствия комплексу требований по безопасности системы, которое можно проанализировать и проверить и безопасно модифицировать. Проектирование и разработка программного обеспечения Общие требования. В соответствии с требуемым уровнем комплекса требований по безопасности, выбранный метод проектирования должен обладать свойствами, которые способствуют: абстрагированию, модулированию и другим методам, влияющим на сложность разработки. Выбранный метод проектирования должен обладать свойствами, облегчающими модификацию программного обеспечения. Такие свойства включают модульность, сокрытие информации и формирование пакетов данных. Конструкция должна включать функции программного средства по проведению контрольных испытаний и всех диагностических процедур с тем, чтобы выполнять требования по соответствию комплексу требований по безопасности системы. Конструкция ПС должна включать соответствующий уровню комплекса требований по безопасности, самоконтроль потока управления и потока данных. При выявлении неисправностей должны предприниматься соответствующие контрмеры. Проектирование и разработка программного обеспечения Требования к архитектуре программного средства. Архитектура ПС определяет основные компоненты и подсистемы комплекса программ, как они соединяются между собой, и как могут быть достигнуты требуемые свойства, в частности, соответствие комплексу требований по безопасности. Основные компоненты ПС включают: операционные системы, базы данных, внутренние подсистемы ввода/вывода, коммуникационные подсистемы, прикладные программы, инструментальные средства программирования и диагностики и т.п. С точки зрения безопасности создание архитектуры ПС является этапом, на котором разрабатывается стратегия основной безопасности комплекса программ и системы. Конструкция архитектуры программного средства должна устанавливаться поставщиком и/или разработчиком, при этом должно быть создано подробное описание конструкции. Проектирование и разработка программного обеспечения Требования к инструментальным средствам поддержки и языкам программирования. Выбор инструментальных средств разработки зависит от характера деятельности по разработке и от архитектуры ПС. Для требуемого уровня безопасности должен быть выбран соответствующий комплект технологических средств, включая языки, компиляторы, инструментальные средства управления конфигурацией, и при необходимости, автоматические испытательные средства. Нужно рассмотреть наличие подходящих инструментальных средств (не обязательно таких, какие применялись при первоначальной разработке системы) для обеспечения необходимых действий на протяжении всего срока службы системы безопасности. Проектирование и разработка программного обеспечения Требования к рабочему проекту и разработке ПС. Характер рабочего проекта и процесса разработки может изменяться в зависимости от архитектуры ПС. В случае прикладного программирования пользователем с использованием языка ограниченного применения, например, многоступенчатой логики и функциональных блоков, рабочий проект может рассматриваться скорее как конфигурирование, а не программирование. Однако считается хорошей практикой проектировать программы структурным методом, в том числе организация ПС в виде модульной структуры, которая подразделяется (насколько это возможно) на части, относящиеся к обеспечению безопасности, которые обеспечивают защиту от дефектов и ошибок при введении новых данных; использовании уже апробированных модулей, и выполнении конструкций, которые облегчают будущие модификации ПС. Проектирование и разработка программного обеспечения Требования к кодированию. Исходный код должен быть читаемым, понимаемым и поддающимся проверке; удовлетворять заданным требованиям для конструкции модулей ПС; удовлетворять заданным требованиям стандартов кодирования; удовлетворять всем требованиям, заданным при планировании безопасности. Проектирование и разработка программного обеспечения Требования к испытаниям модулей программного средства. Каждый модуль должен быть испытан, как это оговорено при проектировании конструкции ПС. Эти испытания должны показать, что каждый модуль выполняет предназначенную ему функцию и не выполняет не предназначенных функций. По результатам испытаний модуля ПС должна быть составлена документация. Должна быть оговорена процедура корректировки в случае не удачного прохождения испытаний. Требования к компоновочным испытаниям программного средства. Комплекс программ должен быть протестирован в соответствии со спецификацией квалификационных испытаний. Эти испытания должны подтвердить, что все модули и компоненты/подсистемы ПС взаимодействуют правильно и выполняют предназначенные им функции и не выполняют не предназначенных функций. Совокупность факторов и действий по обеспечению функциональной безопасности систем Средства криптографической защиты Механизмы безопасности Перечислим основные механизмы безопасности: Алгоритмы симметричного шифрования - алгоритмы шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования. Алгоритмы асимметричного шифрования - алгоритмы шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один из ключей, вычислить другой невозможно. Хэш-функции - функции, входным значением которых является сообщение произвольной длины, а выходным значением - сообщение фиксированной длины. Хэшфункции обладают рядом свойств, которые позволяют с высокой долей вероятности определять изменение входного сообщения. Модель сетевого взаимодействия Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом: Необходимость механизмов защиты Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP). Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника, который может представлять угрозу конфиденциальности, аутентификации, целостности и т.п. Все технологии повышения безопасности имеют два компонента: Относительно безопасная передача информации. Примером является вид шифрования, когда сообщение изменяется таким образом, что становится нечитаемым для противника, и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения. Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику. Примером является ключ шифрования. Кроме того, в некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (third trusted party - TTP). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику. Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения. Задачи при разработке сервиса безопасности Разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противник не мог расшифровать перехваченное сообщение, не зная секретную информацию. Создать секретную информацию, используемую алгоритмом шифрования. Разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику. Модель безопасности информационной системы Данная модель иллюстрирует концепцию безопасности информационной системы, с помощью которой предотвращается нежелательный доступ. Хакер, который пытается осуществить незаконное проникновение в системы, доступные по сети, может просто получать удовольствие от взлома, а может стараться повредить информационную систему и/или внедрить в нее что-нибудь для своих целей. Например, целью хакера может быть получение номеров кредитных карточек, хранящихся в системе. Основные принципы безопасности ИС В основу безопасности информационной системы должны быть положены следующие основные принципы: Безопасность информационной системы должна соответствовать роли и целям организации, в которой данная система установлена. Обеспечение информационной безопасности требует комплексного и целостного подхода. Информационная безопасность должна быть неотъемлемой частью системы управления в данной организации. Информационная безопасность должна быть экономически оправданной. Ответственность за обеспечение безопасности должна быть четко определена. Безопасность информационной системы должна периодически переоцениваться. Большое значение для обеспечения безопасности информационной системы имеют социальные факторы, а также меры административной, организационной и физической безопасности. Криптография При использовании криптографических преобразований выделяют несколько основных схем: Симметричное шифрование (классическая схема), основанное на использовании одинакового ключа как при шифровании, так и при дешифровании; Несимметричное шифрование, основанное на использовании пары ключей для шифрования и дешифрования. Симметричное шифрование Рассмотрим общую схему симметричной, или традиционной, криптографии. Надежность симметричной криптографии Безопасность, обеспечиваемая традиционной криптографией, зависит от нескольких факторов. Во-первых, криптографический алгоритм должен быть достаточно сильным, чтобы передаваемое зашифрованное сообщение невозможно было расшифровать без ключа, используя только различные статистические закономерности зашифрованного сообщения или какие-либо другие способы его анализа. Во-вторых, безопасность передаваемого сообщения должна зависеть от секретности ключа, но не от секретности алгоритма. Алгоритм должен быть проанализирован специалистами, чтобы исключить наличие слабых мест, при которых плохо скрыта взаимосвязь между незашифрованным и зашифрованным сообщениями. К тому же при выполнении этого условия производители могут создавать дешевые аппаратные чипы и свободно распространяемые программы, реализующие данный алгоритм шифрования. В-третьих, алгоритм должен быть таким, чтобы нельзя было узнать ключ, даже зная достаточно много пар (зашифрованное сообщение, незашифрованное сообщение), полученных при шифровании с использованием данного ключа. Криптография с открытым ключом Алгоритмы шифрования с открытым ключом разрабатывались для того, чтобы решить две наиболее трудные задачи, возникшие при использовании симметричного шифрования. Первой задачей является распределение ключа. При симметричном шифровании требуется, чтобы обе стороны уже имели общий ключ, который каким-то образом должен быть им заранее передан. Диффи, один из основоположников шифрования с открытым ключом, заметил, что это требование отрицает всю суть криптографии, а именно возможность поддерживать всеобщую секретность при коммуникациях. Второй задачей является необходимость создания таких механизмов, при использовании которых невозможно было бы подменить кого-либо из участников, т.е. нужна цифровая подпись. При использовании коммуникаций для решения широкого круга задач, например в коммерческих и частных целях, электронные сообщения и документы должны иметь эквивалент подписи, содержащейся в бумажных документах. Необходимо создать метод, при использовании которого все участники будут убеждены, что электронное сообщение было послано конкретным участником. Это более сильное требование, чем аутентификация. Шифрование с открытым ключом Шифрование с открытым ключом состоит из следующих шагов: Пользователь В создает пару ключей KUb и KRb, используемых для шифрования и дешифрования передаваемых сообщений. Пользователь В делает доступным некоторым надежным способом свой ключ шифрования, т.е. открытый ключ KUb. Составляющий пару закрытый ключ KRb держится в секрете. Если А хочет послать сообщение В, он шифрует сообщение, используя открытый ключ В KUb . Когда В получает сообщение, он дешифрует его, используя свой закрытый ключ KRb. Никто другой не сможет дешифровать сообщение, так как этот закрытый ключ знает только В. Схема шифрования с открытым ключом Хэш-функции Хэш-функцией называется односторонняя функция, предназначенная для получения дайджеста или "отпечатков пальцев" файла, сообщения или некоторого блока данных. Хэш-функция Н, которая используется для аутентификации сообщений, должна обладать следующими свойствами: Хэш-функция Н должна применяться к блоку данных любой длины. Хэш-функция Н создает выход фиксированной длины. Н (М) относительно легко (за полиномиальное время) вычисляется для любого значения М. Для любого данного значения хэш-кода h вычислительно невозможно найти M такое, что Н (M) = h. Для любого данного х вычислительно невозможно найти y ≠ x, что H (y) = H (x). Вычислительно невозможно найти произвольную пару (х, y) такую, что H (y) = H (x).
