Защита в АС

Для обеспечения передачи блоков данных от передающей станции приемной кодограмма содержит признаки маршрута. Все эти и другие составляющие кодограммы формулируются на основе известной семиуровневой модели протокола взаимодействия открытых систем.

Анализ проведенных исследований в области безопасности информации в вычислительных сетях, позволяет  взять за основу следующие требования, которые должны быть конечной целью при создании средств ее защиты.

После того, как соединение между  абонентами вычислительной сети установлено, необходимо обеспечить четыре условия:

Получатель сообщения должен быть уверен в истинности источника данных.

Получатель сообщения должен быть уверен в истинности полученных данных.

Отправитель должен быть уверен в  доставке данных получателю

Отправитель должен быть уверен в  истинности доставленных получателю данных

 При этом предполагается, что выполнение этих условий включает защиту от следующих активных вторжений нарушителя:

Воздействие на поток сообщений (изменение, удаление, задержки, переупорядочивание, дублирование и посылка ложных сообщений)

Воспрепятствие передачи сообщений

Осуществление ложных соединений

 Однако, приведенные выше 4 условия  не включают защиту от пассивных  вторжений: 

Чтение содержания сообщения 

Анализ трафика и идентификаторов  абонентов сети.

 Отправитель и получатель  должны в данной сети иметь  полномочия на обмен друг с другом.

Для полноты постановки задачи к  указанным 4-м условиям нужно добавить еще 4:

Отправитель и получатель должны быть уверены, что никому, кроме них  и специального посредника факт передачи сообщения между ними не известен.

Отправитель и получатель должны быть уверены, что с доставленной информацией в сообщении никто кроме них не ознакомился.

Получатель должен быть уверен, что  отправитель - это то лицо, за которое  он себя выдает.

Отправитель должен быть уверен, что  получатель - то лицо, которое ему необходимо для передачи сообщения.

 Данные требования рассчитаны  на защиту от квалифицированного  нарушителя-профессионала. Защищать  будем кодограмму. Нарушителю доступна  вся кодограмма, включая служебные  признаки.

Единственный метод защиты - это криптографические преобразования.

Один из методов должен быть таким, чтобы в кодограмме сохранились  некоторые адреса и служебные  признаки в открытом виде, поскольку  всю кодограмму преобразовывать  нецелесообразно по причине невозможности  ее дальнейшей обработки.

Таким методом может быть использование  механизма формирования цифровой подписи  на базе несимметричных алгоритмов шифрования.

Для того, чтобы обеспечить возможность  контроля и разграничения доступа, необходимо для всех участников обмена информацией помимо условных номеров присвоить переменные идентификаторы в виде паролей, которые могут передаваться в открытом виде, и подлинность которых будет обеспечиваться механизмом цифровой подписи.

Тем абонентам, которым присвоены  соответствующие полномочия, должны быть предоставлены соответствующие значения паролей и закрытых ключей шифрования. Стойкость защитного механизма определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность этой преграды равна 1. При этом обратим внимание на существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости от назначения автоматизированных систем обработки данных может сохранять цену десятки лет, а его служебные части - не более 10 минут. Это позволяет существенно увеличить быстродействие шифрования и , может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнения у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако, даже если это и случится, повышение безопасности информации стоит того. При реализации системы контроля и разграничении доступа в АСУ, потребуется также организовать систему сбора в сети сигналов, несовпадение кодов паролей, систему управления и распределения ключей шифрования информации и организационные мероприятия по безопасности информации.

Раздел 3 Основные принципы проектирования защиты информации в АСОД.

3.1 В процессе подготовки к началу работ по проектированию АСОД при согласовании технического задания уже известны предварительное распределение, места сосредоточения, характер, степень важности и секретности информации, подлежащей обработке. Таким образом определяется необходимость в разработке системы защиты информации и соответствующих требований к ним, которые обязательно должны быть приведены в техническом задании на систему. Отсюда следует основное требование к порядку проведения проектирования заключающееся в необходимости параллельного проектирования системы защиты информации с проектированием системы управления и обработки данных, начиная с момента выработки общего замысла построения АСОД.

3 2Созданию системы защиты информации, встроенную в АС, свойственны все этапы:

разработка технических предложений;

разработка эскизного и технического проектов;

выпуск рабочей документации;

изготовление;

испытание и сдача системы заказчику.

 

 Невыполнение этого принципа, наложение или встраивание средств защиты в уже готовую систему может привести к низкой эффективности защиты, невозможности создания цельной системы защиты, снижению производительности и быстродействия вычислительных средств, а также большим затратам, чем если бы система защиты разрабатывалась и реализовывалась параллельно с основными задачами.

При параллельном проектировании, разработчиками системы защиты информации производится анализ циркуляции и мест сосредоточения информации в проекте АСОД, определяются наиболее уязвимые места для несанкционированного доступа и своевременно предлагаются взаимоприемлемые технические решения по сокращению их количества путем изменения принципиальной схемы АСОД, что позволит обеспечить простоту, надежность и экономическую реализацию защиты с достаточной эффективностью.

Кроме того параллельное проектирование необходимо в силу встроенного характера  большей части технических средств  защиты.

Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением процессов автоматизированной обработки информации, что важно для определения степени влияния средств защиты информации на основные вероятностно-временные характеристики АСОД, которые, как правило, изменяются в сторону ухудшения. Но это плата за приобретение нового и необходимого качества, которое иногда является причиной пренебрежительного отношения некоторых разработчиков и заказчиков к АСОД защите. Однако, за такую недальновидность им приходится расплачиваться более дорогой ценой. Не выполнив эту задачу они лишили владельца АСОД гарантии на собственность его информации, циркулирующей в ней. Техническое задание на проектируемую АСОД должно содержать перечень сведений и характеристик, подлежащих защите, возможные пути циркуляции и места их сосредоточения, а также специальные требования к системе защиты информации. Если это АСУ или вычислительная сеть, то должна соблюдаться иерархия

3.2требований средств защиты информации.

Они должны входить:

в общее техническое задание  на АСУ или сеть в целом 

в частные технические задания  на функциональные подсистемы управления, на отдельные автоматизированные звенья, объекты, комплексы, технические средства.

в технические задания сопряжение внешних систем.

в техническое задание на общее  ПО отдельных ЭВМ и вычислительных комплексов на специальное программное  обеспечение объектов элементов  вычислительной сети и АСУ.

 Решение вопросов создания  систем защиты должно поручаться лицам одного уровня с лицами, занимающимися вопросами функционирования АСУ.

Разработка средств защиты информации требует привлечения специалистов широкого профиля, знающих кроме  системных вопросов, вопросов программного обеспечения, разработки комплексов и отдельных технических средств, специальные вопросы защиты информации.

При проектировании защиты следует  внимательно провести исследования разрабатываемой АСОД на предмет  выявления всех возможных каналов несанкционированного доступа к информации, подлежащей защите, средствами ее ввода/вывода, хранения, и только после этого строить защиту.

Первое знакомство с разрабатываемой  АСОД должно закончиться рекомендациями по сокращению обнаруженных каналов  доступа путем ее принципиальных изменений без ущерба выполнения основных задач. Анализ важнейших задач организации и формирования функций, удовлетворяющих целям управления носит итеративный характер, обеспечивающий последовательное уточнение задач и функций, согласования их на всех уровнях и ступенях АСУ и сведения их в единую функциональную схему. Это означает, что проведенное на некотором этапе проектирование, технические решения, накладываемые системой защиты на основные задачи АСУ, должны проверяться по степени их влияния на решение основных процессов управления и наоборот, после принятия решения по изменению основных процессов управления и составу технических средств должно проверяться их соответствие решениям по защите информации, которые, при необходимости, должны корректироваться или сохраняться, если корректировка снижает прочность защиты.

 Важную роль играет простота системы защиты.

Она должна быть простой настолько, насколько позволяют требования по ее эффективности. Простота защиты повышает ее надежность, экономичность, уменьшает ее влияние на вероятностно-временные характеристики АСУ, создает удобство в обращении с ней. При неудобных средствах защиты, пользователь будет стараться найти пути ее обхода, отключить ее механизм, что сделает защиту бессмысленной и ненужной.

При проектировании защиты, как и в обычных разработках, вполне разумно применение унифицированных или стандартных средств защиты, однако желательно, чтобы указанные средства при применении проектируемой АСОД приобрело индивидуальные свойства защиты, которые бы потенциальному нарушителю не были известны.

Данные по защите информации в проектируемой  АСОД должны содержаться в отдельных  документах и засекречиваться, хотя некоторые зарубежные специалисты  говорят о принципах несекретности  проектирования защиты.

Ознакомление опытных и квалифицированных специалистов с уязвимыми точками проекта на предмет ее уязвимости можно осуществить путем организации контролируемого пропуска их к секретному проекту. В этом случае, по крайней мере будут известны лица, ознакомленные с проектом. Таким образом, сокращается число лиц потенциальных нарушителей, а лица, ознакомленные с проектом несут ответственность перед законом, что, как известно, является сдерживающим фактором для потенциального нарушителя.

В процессе проектирования и испытания рекомендуется по возможности использовать исходные данные, отличающиеся от действительных, но позволяющие при последующей загрузке системы действительными данными, не проводить доработки.

Загрузка действительных данных должна проводиться только после проверки функционирования системы защиты информации в данной АСУ.

Учитывая то, что система защиты в АСОД предусматривает кроме  аппаратно-программных средств применение в качестве преграды и организационные  мероприятия, выполняемые человеком (наиболее слабым звеном защиты), необходимо стремиться к максимальной автоматизации его функций и сокращению доли его участия в защите.

Для того, чтобы спроектированная система защиты приобрела жизнь, необходимо также, чтобы технические  средства защиты по возможности не ухудшали вероятностно-временные характеристики АСОД (быстродействие, производительность и т.д.).

 

Модуль 2. Идентификация и  аутентификация.

 

Идентификация - это присвоение субъектом  или объектом доступа идентификатора или сравнения предъявленного идентификатора с перечнем присвоенных идентификаторов.

Цель идентификации - отслеживание действий пользователя в системе.

Аутентификация - это проверка принадлежности субъекту доступа предъявленного им идентификатора.

Принципы аутентификации:

Пользователь знает.

Существует 3 метода аутентификации:

Метод пароля и его модификация. Пароль выбирается пользователем.

Ожидаемое безопасное время - это полупроизведение числа возможных паролей и  времени, необходимого для того, чтобы  попробовать все возможные пароли.

Модификация методов простых паролей:

пароль с выборкой символов. Система  просит ввести случайную цепочку  символов, составляющую пароль.

метод однократного пароля. Пользователь вводит в систему, или система  выдает пользователю значительное число  паролей, которые тот должен запомнить или хранить. Каждый раз пользователь входит под новым именем. Проблемы: в случае аварийного завершения сеанса работы пользователь может не знать, какой пароль вводить.

при завершении сеанса работы система  просит ввести пароль на следующий  сеанс.

 Правила обращения с паролями:

пароли нельзя хранить в системе  в явном виде

пароли нельзя отображать в явном  виде

пароли необходимо менять как можно  чаще

система не должна вырабатывать новый  пароль в конце сеанса работы

Метод вопрос-ответ. Пользователь при входе отвечает на m ориентированных и n стандартных вопросов. Стандартные вопросы не касаются пользователя и вводятся в систему заранее.

Метод секретного алгоритма. Система  выдает случайное число. Пользователь, зная секретный алгоритм, сообщает системе результаты вычислений по алгоритму.