Такое представление матрицы
доступа называется "профилем" (profile)
субъекта.
В системах с большим количеством
объектов профили могут иметь большие
размеры и, вследствие этого, ими трудно
управлять; изменение профилей нескольких
субъектов может потребовать большого
количества операций и привести к трудностям
в работе системы. Поэтому профили обычно
используются лишь администраторами безопасности
для контроля работы субъектов, и даже
такое их применение весьма ограничено.
Достоинства:
- экономия памяти, так как матрица доступа
обычно сильно разрежена;
- удобство получения сведений об объектах,
к которым имеет какой либо вид доступа
данный субъект;
Недостатки:
- неудобство отслеживания ограничений
и зависимостей по наследованию полномочий
доступа к объектам;
- неудобство получения сведений о субъектах,
имеющих какой либо вид доступа к заданному
объекту;
- так как списки управления доступом связаны
с субъектом, то при удалении объекта возможно
возникновение ситуации, при которой субъект
может иметь права на доступ к несуществующему
объекту.
Атрибутные
схемы
Так называемые атрибутные
способы задания матрицы доступа основаны
на присвоении субъектам и/или объектам
определенных меток, содержащих значения
атрибутов.
Наиболее известным примером
неявного задания матрицы доступа является
реализация атрибутной схемы в операционной
системе UNIX.
Основными достоинствами
этих схем являются:
- экономия памяти, так как элементы матрицы
не хранятся, а динамически вычисляются
при попытке доступа для конкретной пары
субъект-объект на основе их меток или
атрибутов;
- удобство корректировки базы данных
защиты, то есть модификации меток и атрибутов;
- удобство отслеживания ограничений и
зависимостей по наследованию полномочий
субъектов, так как они в явном виде не
хранятся, а формируются динамически;
- отсутствие потенциальной противоречивости.
Недостатки:
- затраты времени на динамическое вычисление
значений элементов матрицы при каждом
обращении любого субъекта к любому объекту;
- при атрибутной схеме затруднено задание
прав доступа конкретного субъекта к конкретному
объекту.
2.6 Криптографические методы защиты
Криптографические методы
защиты основаны на возможности осуществления
некоторой операции преобразования информации,
которая может выполняться одним или более
пользователем АС, обладающим некоторой
секретной частью дополнительной информации,
без знания которой с большой вероятностью,
невозможно осуществить эту операцию.
В классической криптографии
используется только одна единица конфиденциальной
и обязательно секретной информации -
ключ, знание которого позволяет отправителю
зашифровать информацию, а получателю
- расшифровать ее. Именно эта операция
зашифрования/расшифрования с большой
вероятностью невыполнима без знания
секретного ключа.
В криптографии с открытым
ключом имеется два ключа, по крайней мере
один из которых нельзя вычислить из другого.
Один ключ используется отправителем
для зашифрования информации, сохранность
которой должна быть обеспечена. Другой
ключ используется получателем для обработки
полученной информации. Бывают приложения,
в которых один ключ должен быть несекретным,
а другой - секретным.
Криптографические методы
защиты позволяют решать следующие задачи:
- закрытие данных, хранимых в АС или передаваемых
по каналам связи;
- контроль целостности и аутентичности
данных, передаваемых по каналам связи.
Основным достоинством криптографических
методов защиты информации является то,
что они обеспечивают гарантированную
стойкость защиты, которую можно рассчитать
и выразить в числовой форме (средним числом
операций или количеством времени, необходимого
для раскрытия зашифрованной информации
или вычисления ключей).
Однако, криптографические
методы обладают и существенными недостатками,
к числу которых можно отнести следующие:
- низкое быстродействие существующих
алгоритмов шифрования (ГОСТ 28147-89);
- трудности с совместным использованием
зашифрованной информации;
- высокие требования к сохранности секретного
ключа;
- трудности с применением в отсутствии
средств защиты от НСД.
Эти недостатки принципиально
преодолимы, однако их преодоление может
привести к полной неработоспособности
системы защиты.
Средства шифрования могут
быть реализованы как аппаратно, так и
чисто программно. В любом случае они должны
быть сертифицированными, то есть должны
соответствовать определенным требованиям
(стандартам). В противном случае, они не
могут гарантировать пользователям необходимую
стойкость шифрования.
Использование в системе
защиты для различных целей нескольких
однотипных алгоритмов шифрования нерационально.
Оптимальным вариантом можно считать
такую систему, в которой средства криптозащиты
являются общесистемными, то есть выступают
в качестве расширения функций операционной
системы и включают сертифицированные
алгоритмы шифрования всех типов (блочные
и потоковые, с закрытыми и открытыми ключами).
Прозрачное шифрование всей
информации на дисках, что широко рекомендуется
рядом разработчиков средств защиты, оправдано
лишь в том случае, когда компьютер используется
только одним пользователем и объемы дисков
невелики. Но на практике даже персональные
ЭВМ используются группами из нескольких
пользователей. И не только потому, что
ПЭВМ на всех не хватает, но и в силу специфики
работы защищенных систем. К примеру, автоматизированные
рабочие места операторов систем управления
используются двумя-четырьмя операторами,
работающими посменно, и считать их за
одного пользователя нельзя в силу требований
разделения ответственности. Очевидно,
что в такой ситуации приходится либо
отказаться от разделения ответственности
и разрешить пользоваться ключом шифра
нескольким операторам, либо создавать
отдельные закрытые диски для каждого
из них и запретить им тем самым обмен
закрытой информацией, либо часть информации
хранить и передавать в открытом виде,
что по сути равносильно отказу от концепции
прозрачного шифрования всей информации
на дисках.
Кроме того, прозрачное шифрование
дисков, требует значительных накладных
расходов ресурсов системы (времени и
производительности). И не только непосредственно
в процессе чтения-записи данных. Дело
в том, что надежное криптографическое
закрытие информации предполагает периодическую
смену ключей шифрования, а это приводит
к необходимости перешифрования всей
информации на диске с использованием
нового ключа (необходимо всю информацию
расшифровать с использованием старого
и зашифровать с использованием нового
ключа). Это занимает значительное время.
Кроме того, при работе в системе с шифрованными
дисками задержки возникают не только
при обращении к данным, но и при запуске
программ, что сильно замедляет работу
компьютера.
Поэтому, использовать криптографическую
защиту необходимо ограниченно, защищая
только ту информацию, которую действительно
надо закрыть от несанкционированного
доступа.
Целесообразно применение
криптографических методов защиты для
решения следующих задач :
- для аутентификации пользователей системы
(особенно удаленных);
- для закрытия и контроля целостности
информации, передаваемой по каналам связи;
- для закрытия конфиденциальной информации
в АС (на системном уровне для защиты критичной
информации операционной системы и самой
системы безопасности, на прикладном уровне
- для закрытия секретной и конфиденциальной
информации пользователей. ).
2.7
Управление механизмами защиты
Конкуренция
в области разработки средств защиты компьютерных
систем неизбежно приводит к унификации
перечня общих требований к таким средствам.
Одним из пунктов в таком унифицированном
списке практически всегда можно встретить
требование наличия средств управления
всеми имеющимися защитными механизмами.
К сожалению, кроме того, что средства
управления в системе должны быть, в лучшем
случае, для вычислительных сетей, можно
встретить лишь уточнение о необходимости
обеспечения централизованного удаленного
контроля и управления защитными механизмами.
Разработчики систем защиты основное
внимание уделяют реализации самих защитных
механизмов, а не средств управления ими.
Такое положение дел свидетельствует
о незнании или непонимании и недооценке
проектировщиками и разработчиками большого
числа психологических и технических
препятствий, возникающих при внедрении
разработанных систем защиты. Успешно
преодолеть эти препятствия можно только,
обеспечив необходимую гибкость управления
средствами защиты.
Недостаточное
внимание к проблемам и пожеланиям заказчиков,
к обеспечению удобства работы администраторов
безопасности по управлению средствами
защиты на всех этапах жизненного цикла
компьютерных систем часто является основной
причиной отказа от использования конкретных
средств защиты.
Опыт внедрения
и сопровождения систем разграничения
доступа в различных организациях позволяет
указать на ряд типовых проблем, возникающих
при установке, вводе в строй и эксплуатации
средств разграничения доступа к ресурсам
компьютерных систем, а также предложить
подходы к решению этих проблем.
В настоящее
время в большинстве случаев установка
средств защиты производится на уже реально
функционирующие АС заказчика. Защищаемая
АС используется для решения важных прикладных
задач, часто в непрерывном технологическом
цикле, и ее владельцы и пользователи крайне
негативно относятся к любому, даже кратковременному,
перерыву в ее функционировании для установки
и настройки средств защиты или частичной
потере работоспособности АС вследствие
некорректной работы средств защиты.
Внедрение средств
защиты осложняется еще и тем, что правильно
настроить данные средства с первого раза
обычно не представляется возможным. Это,
как правило, связано с отсутствием у заказчика
полного детального списка всех подлежащих
защите аппаратных, программных и информационных
ресурсов системы и готового непротиворечивого
перечня прав и полномочий каждого пользователя
АС по доступу к ресурсам системы.
Поэтому, этап
внедрения средств защиты информации
обязательно в той или иной мере включает
действия по первоначальному выявлению,
итеративному уточнению и соответствующему
изменению настроек средств защиты. Эти
действия должны проходить для владельцев
и пользователей системы как можно менее
болезненно.
Очевидно, что
те же самые действия неоднократно придется
повторять администратору безопасности
и на этапе эксплуатации системы каждый
раз при изменениях состава технических
средств, программного обеспечения, персонала
и пользователей и т.д. Такие изменения
происходят довольно часто, поэтому средства
управления системы защиты должны обеспечивать
удобство осуществления необходимых при
этом изменений настроек системы защиты.
Такова "диалектика" применения средств
защиты. Если система защиты не учитывает
этой диалектики, не обладает достаточной
гибкостью и не обеспечивает удобство
перенастройки, то такая система очень
быстро становится не помощником, а обузой
для всех, в том числе и для администраторов
безопасности, и обречена на отторжение.
Для поддержки
и упрощения действий по настройке средств
защиты в системе защиты необходимо предусмотреть
следующие возможности :
- выборочное подключение имеющихся защитных
механизмов, что обеспечивает возможность
реализации режима постепенного поэтапного
усиления степени защищенности АС.
- так называемый "мягкий" режим функционирования
средств защиты, при котором несанкционированные
действия пользователей (действия с превышением
полномочий) фиксируются в системном журнале
обычным порядком, но не пресекаются (то
есть не запрещаются системой защиты).
Этот режим позволяет выявлять некорректности
настроек средств защиты (и затем производить
соответствующие их корректировки) без
нарушения работоспособности АС и существующей
технологии обработки информации;
- возможности по автоматизированному
изменению полномочий пользователя с
учетом информации, накопленной в системных
журналах (при работе как в "мягком",
так и обычном режимах).
С увеличением
масштаба защищаемой АС усиливаются требования
к организации удаленного управления
средствами защиты. Поэтому те решения,
которые приемлемы для одного автономного
компьютера или небольшой сети из 10-15 рабочих
станций, совершенно не устраивают обслуживающий
персонал (в том числе и администраторов
безопасности) больших сетей, объединяющих
несколько сотен рабочих станций.
Для решения
проблем управления средствами защиты
в больших сетях в системе необходимо
предусмотреть следующие возможности
:
- должны поддерживаться возможности управления
механизмами защиты как централизованно
(удаленно, с рабочего места администратора
безопасности сети), так и децентрализовано
(непосредственно с конкретной рабочей
станции). Причем любые изменения настроек
защитных механизмов, произведенные централизованно,
должны автоматически распространяться
на все рабочие станции, которых они касаются
(независимо от состояния рабочей станции
на момент внесения изменений в центральную
базу данных). Аналогично, часть изменений,
произведенных децентрализовано, должна
быть автоматически отражена в центральной
базе данных защиты и при необходимости
также разослана на все другие станции,
которых они касаются. Например, при смене
своего пароля пользователем, осуществленной
на одной из рабочих станций, новое значение
пароля этого пользователя должно быть
отражено в центральной базе данных защиты
сети, а также разослано на все рабочие
станции, на которых данному пользователю
разрешено работать;
- управление механизмами защиты конкретной
станции должно осуществляться независимо
от активности данной станции, то есть
независимо от того, включена она в данный
момент времени и работает ли на ней какой-то
пользователь или нет. После включения
неактивной станции все изменения настроек,
касающиеся ее механизмов защиты, должны
быть автоматически перенесены на нее.
- в крупных АС процедура замены версий
программ средств защиты (равно как и любых
других программ) требует от обслуживающего
персонала больших трудозатрат и связана
с необходимостью обхода всех рабочих
станций для получения к ним непосредственного
доступа. Проведение таких замен может
быть вызвано как необходимостью устранения
обнаруженных ошибок в программах, так
и потребностью совершенствования и развития
системы (установкой новых улучшенных
версий программ);
- для больших АС особую важность приобретает
оперативный контроль за состоянием рабочих
станций и работой пользователей в сети.
Поэтому система защиты в свой состав
должна включать подсистему оперативного
контроля состояния рабочих станций сети
и слежения за работой пользователей.