Лекция 14. Безопасность информационной системы.

В модели FCAPS безопасность стоит на последнем месте. Эта проблема сильно преувеличена, это не та проблема, о которой заботятся, основная проблема – производительность. Проблема безопасности неправильно переводится, т.к. в англ. Языке есть 2 слова protection и security, которые путают. Protection –защита от несанкционированного доступа, это внутренняя часть системы, это решается средствами самой операционной системы. А Security – внешняя проблема, дополнительная задача (Пример: Я не могу гарантировать, что мой офисный стол не вскроют и не полезут считывать пароли из моих записных книжек, я не могу гарантировать, что не подкупят админа данных и он не передаст все данных.) Это проблема служб безопасности, а не наша с вами, поэтому мы не будем на ней детально останавливаться. От нее защищаются с помощью правильного строительства: экранирующие сетки в стенах, кабельная система в металлических коробах и т.д. Проблема в том, что эти вещи путают.

Protection – контроль доступа путем авторизации. Средства авторизации есть в составе всех частей операционной системы. Производится контроль доступа к ресурсам системы и прежде всего к файловой системе. Когда мы делаем доступ к файловой системы, то операционная система проводит авторизацию, это делает сервер ААА - Авторизация, Аутентификация, Аудит.

Аудит – проверка какие ресурсы доступны, в какое время, в каком объеме и разрешены ли эти ресурсы вам.

Операционная система, которая работает на всех устройствах контролирует ресурсы, передавая их каждому процессу согласно матрице доступа, и делает так. Что каждый процесс может осуществлять доступ к тем ресурсам, которые ему разрешены в эту единицу времени при это операционные системы пишутся так, что весь контроль доступа сделан на низком уровне и обращение к этим вещам это всегда системный вызов – system call. Для того, чтобы такой вызов осуществить требуется привилегия, а пользователи при этом имеют роли.

Защита файловой системы делается при помощи атрибутов (Hidden, system и т.д.). Файл – данные + атрибуты. И когда мы обращаемся к файлу мы имеем определенные атрибуты. Делается это при помощи системных вызовов и существует несколько способов организации этих атрибутов. Либо заданием пароля на файл, либо при помощи специального списка доступа, который называется acl – access control list. ACL ведут все операционные системы в частности системы роутеров и коммутаторов. Бывают также продвинутые средства, например виртуальные машины. Это пошло от IBM VM/SP.

Security – проблема внешняя, однако мы должны и средствами информационной системы защищаться, какими-то дополнительными средствами. При этом возникают 2 типа угроз:

1. Преднамеренная угроза. Всегда связана с отдельными пользователями или прикладными программистами. Мы можем использовать права доступа другого пользователя, Мы можем удалить данные, модифицировать программный продукт, раскодировать расшифрованные данные, создать электронные помехи, осуществить несанкционированный доступ к кабельной системе, консолям. (Именно поэтому консоли сервера располагаются в клозете, который заперт на ключ.) Если есть доступ к портам, то раскрытие информации — это вопрос времени, поэтому кабельную систему делают, например, за фальшь потолком, тогда доступ к ней представляет сложность, более того, сделать ее не в лотках, а в трубах.

2. Непреднамеренная угрозы. Это угрозы связаны со сбоями прикладных продуктов, системных продуктов, багами в драйверах, компиляторах (очень маловероятно), сбоями по питанию. Это недостаточный профессионализм тех служб, которые нашу систему поддерживают (это вторая проблема после питания). Разрушение кабельной системы и оборудования, пожары, все электротехнические и электростатические проблемы. Для этого требуется правильно делать электрику.

Для решения проблем и protection и security существуют средства, это средства аппаратные (электронные замки и т.д.), программные средства (ААА, файрволы и т.д.). Файрволы всегда ставятся между тем, кому доверяешь и тем, кому не доверяешь. (Trust – not trust). Есть законодательные и моральные нормы. Есть законодательные нормативы, например я не смогу сдать узел оператора связи и получить лицензию на его работу, если я не обеспечил средства оперативно розыскных мероприятий (СОРМ). Средства СОРМа диктуют ФСБ, с ними всегда проблема, они дорогостоящие, но главное их сложно исправлять, если что-то новое, типа базовые станции операторов связи, то это легко (Маньякам и террористам на заметку: если хотите что-то делать глубоко секретное, то нельзя пользоваться мобильным телефоном., т.к. все прозрачно). Если же работаем с фиксированной связью и со старыми АТС там такие средства поставить крайне трудно, т.к. это электромеханические средства и их чрезвычайно трудно контролировать, поэтому обычно пишется письмо в ФСБ с обещанием поставить рекомендуемые средства СОРМа в течении года, а ФСБ пишут, что понимают, что у тебя денег нет и разрешают, Обещая через год вернуться к этому вопросу, затем зацикливаемся. Поэтому рекомендация: для конфиденциальности лучше использовать обычный телефон, т.к. обычно там они не стоят.

Виды угроз безопасности, которые не относятся к строительно-партизанским угрозам:

Прежде всего это различные виды атак, которые могут быть совершены:

1. Вирусы. Это опасность для рабочих станция, но не для сетевых, т.к. сетевых вирусов не бывает и быть не может. Вирус – программный код, который записывается в программный продукт и как-то его изменяет. Тот кто продает продукт обязан это отслеживать. Но когда продается коробочный продукт, как Windows, то коробку продали, а support’а нет. И что там дальше случилось Microsoft не волнует. Это вопрос маркетинга. Когда продаются сетевые вещи, например ERP, это всегда support, всегда отслеживание кода на изменение и там таких вещей не бывает. Это проблема защиты рабочих станций. Для обеспечения защиты можно, например, не давать выход в Ethernet на серьезных предприятиях, заблокировать порты USB и т.д. Все сетевые драйвы отключены, для того, чтобы пронести вирус придется сперва разобрать рабочую станцию, а для этого есть камеры наблюдения и иже с ними. Корпоративная сеть своя, внешняя – своя. Порт станции нету, пришел на работу – из сейфа ноутбук, ушел с работы – сдал. Хотя если приходит профессионал – это другой разговор и другая задача. Получишь доступ к консоли – далее элементарно. Но получить этот доступ очень сложно.

2. Троянский конь – перехватывает логин и другие данные. При аккуратной работе их быть не может.

3. Черви – неприятная атака. Червь – программный продукт, который сам себя порождает, он может даже официально продаваться и активизироваться в определенный момент. Это представляет для нас угрозу, так как абсолютно легальный программный продукт ее можно снизить если качественный администратор. Устроив кучу рекурсий можно забить весь трафик сети. А ведь все система (даже дисковая) у нас сетевая. Первый worm был сделал в 88-м году противным Робертом Морисом.

4. Port scanning – сканирование порта. Большинство сетевых протоколов и информационных систем работает по socket’ам. Это по специальным пойнтерам, которые указывают на адрес процесса. И порт tcp это адрес процесса, по которому этот процесс вызывается.Можно абсолютно легальными средствами просканировать протоколы и посмотреть какие серверы и какие средства с какими портами работают. Получив номера процессов запускаем легальные программные продукты, которые это порты опрашивают и дают им какие-то параметры, и забивают их. Если Такую атаку сделать распределенной, то систему ждет коллапс/ Есть средства на сайте insecure.org, с помощью которых мы можем попытаться обнаружить сканирование портов, но защититься от этого не можем, т.к. это легальные средства. Для борьбы с worm’сами и port scanning эти утилиты требуются использовать с картой, смотреть кто и где работает, есть и программные и аппаратные продукты, которые позволяют это делать. (мониторить) и далее это просто анализировать, другого варианта нет.

5. DoS - Denial of Service, делается абсолютно легальными способами. Это атака которая вызывает отказ в обслуживании, т.к. мы легальными средствами с разных точек сети начинают делать download. Сделать Его в цикле и все. Зная формат протокола TCP можно написать запросы которые не ждут подтверждений, они работают по определенному протоколу (протокол тройного рукопожатия). Мы можем начать какие-то переговоры и не ждать подтверждения и начинать, начинать, начинать… не открыв не одного подтверждения имеем кучу открытых соединения. А это конец сети. Это самая поганая атака. Есть специальные средства анализа их довольно большое количество (всевозможные анализаторы протоколов), например средства компаний Procera Networks, Solarwind, Fluke и т.д., есть хардвеерные средства. Анализ более чем по 1000 протоколов. Но по идее мы эти средства должны предусмотреть в противном случае мы эти атаки не отловим.

С этой проблемой тесно связана проблема аутентификации. Пароли должны быть не просто заданы, а еще и закодированные encripted. Это кодирование пароля сделана во всех операционных системах и всегда по одному из двух алгоритмов либо симметричного ключа (кодирую и раскодирую одним и тем же ключам (печаль, т.к. тогда этот ключ знают все), он был сделан 100 лет назад). Основной алгоритм для кодирования был сделан компанией IBM он называется DES, он включен в состав практически всех операционных систем и всех программных продуктов. Все данные разбиваются на блоки. Есть 56-ти битный ключ, нолик становится единичкой и т.д.) Triple DES – современный стандарт, а в еще более современных системах AES – 128 бит. Сейчас практически весь DES заменен на AES. Алгоритм DES4 тоже включен в состав многих операционных систем, он используется на WEB серверах и WEB приложениях. Там специальный random ключ и с его помощью кодируется не блок, а весь поток. Это те стандарты, которые сейчас применяются. Пароли обычно кодируется des-ом в крайнем случае Triple DES’ом. Бывают также ассиметричные ключи, то есть кодирование и декодирование делается разными ключами, private key – продается вместе с продуктом (например браузером) и public key – выдается автором сервера. специальными сертифицирующими организациями. Стандарт x.500 регламентирует выполнение. Существует ряд специальных протоколов для работы в режиме удаленного доступа. Это серии достаточно старых протоколов. SSL – протоколы для распределенного доступа к частям информационной системы, например к web серверам. Они сертифицированы и реализованы в каких то программных продуктах. Для того чтобы внедрить свой протокол требуется за это биться, чтобы вендоры включили его в свои программные продукты или самому стать вендором. Когда браузер который продается вместе с паролем этот пароль сообщается серверу в виде специального random значения, которое вырабатывается браузером (28 байт). Сервер присылает свое значение и свой сертификат. По определенному алгоритму вычисляется значение (46 байт), которые называются premaster secret и одновременно сервер вырабатывает на основе premaster secret свое значение, которое называется master secret. И вот таким образом работает веб сервер с рабочей станцией. Операционные системы описаны с точки зрения безопасности в книжке. Которая называется Orange Book. Там есть классификация программных продуктов. Эту классификацию развело Department of Defense, но все производители операционных систем защищаются согласно этой классификации

В критериях впервые введены четыре уровня доверия — D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).

Данный уровень предназначен для систем, признанных неудовлетворительными.

Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:

1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

2. пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа;

3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий;

4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);

6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа.

2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования.

3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.

4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой.

5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Также именуется — принудительное управление доступом.

1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.

2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.

3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.

4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию.

5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам.

2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации.

3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью.

4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули.

5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала.

6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения.

7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс.

8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации.

9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов.

2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.

3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой.

4. процедура анализа должна быть выполнена для временных тайных каналов.

5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий.

6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.

7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Носит название — верифицируемая безопасность.

1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.

2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.

3. механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.

4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Помимо всего этого есть дополнительные продукты, например протоколы, которые ведутся операционной системами коммутаторов (см. 802.1х), контроль порта и т.д. Во всех программных продуктах есть аудит (имеются в виду системные продукты). Есть протокольные анализаторы – снифферы – средства анализа специалистами протоколов, но его так же используют хакеры для вскрытия системы безопасности. Надо защищаться сразу во многих местах, это значительно усложнит работу взломщиков, куда больше чем куча защит в одном месте.

Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом...

Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: