Несанкционированный доступ (НД) - это преднамеренное противоправное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям. Наиболее распространенными путями НД к информации являются:

• применение подслушивающих устройств;
• дистанционное фотографирование;
• хищение носителей информации и документальных отходов;
• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
• злоумышленный вывод из строя механизмов защиты;
• копирование носителей информации с преодолением мер защиты;
• маскировка под зарегистрированного пользователя;
• расшифровка зашифрованной информации;
• информационные инфекции и др.

Некоторые из перечисленных способов НД требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок, другие - достаточно примитивны. Независимо от путей утечка информации может привести к значительному ущербу для организации и пользователей.

Большинство из перечисленных технических путей НД поддаются надежной блокировке при правильно разработанной и реализованной на практике системе обеспечения безопасности. Однако зачастую ущерб наносится не из-за «злого умысла», а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные.

Несмотря на существенное различие размеров наносимого материального ущерба, нельзя не отметить, что проблема защиты информации актуальна не только для юридических лиц. С ней может столкнуться любой пользователь как на работе, так и дома. В связи с этим всем пользователям необходимо осознавать меру ответственности и соблюдать элементарные правила обработки, передачи и использования информации.

К защитным механизмам, направленным на решение проблемы НД к информации, относятся:

• управление доступом - методы защиты информации регулированием использования всех ресурсов информационной системы;
• регистрация и учет - ведение журналов и статистики обращений к защищаемым ресурсам;
• использование различных механизмов шифрования (криптографическое закрытие информации) - эти методы защиты широко применяются при обработке и хранении информации на магнитных носителях, а также ее передаче по каналам связи большой протяженности;
• законодательные меры - определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил;
• физические меры - включают в себя различные инженерные устройства и сооружения, препятствующие физическому

проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств, информации от противоправных действий.

Управление доступом

Можно выделить три обобщенных механизма управления доступом к данным: идентификация пользователя, непосредственная (физическая) защита данных и поддержка прав доступа пользователя к данным с возможностью их передачи.

Идентификация пользователей определяет шкалу доступа к различным базам данных или частям баз данных (отношениям или атрибутам). Это, по существу, информационный табель о рангах. Физическая защита данных больше относится к организационным мероприятиям, хотя отдельные вопросы могут касаться непосредственно данных, например их кодирование. И, наконец, средства поддержки и передачи прав доступа должны строго задавать характер дифференцированного общения с данными.

Метод защиты при помощи программных паролей. Согласно этому методу, реализуемому программными средствами, процедура общения пользователя с ПК построена так, что запрещается доступ к операционной системе или определенным файлам до тех пор, пока не будет введен пароль. Пароль держится пользователем в тайне и периодически меняется, чтобы предотвратить несанкционированное его использование.

Метод паролей является самым простым и дешевым, однако не обеспечивает надежной защиты. Не секрет, что пароль можно подсмотреть или подобрать, используя метод проб и ошибок или специальные программы, и получить доступ к данным. Более того, основная уязвимость метода паролей заключается в том, что пользователи зачастую выбирают очень простые и легкие для запоминания (и тем самым для разгадывания) пароли, которые не меняются длительное время, а нередко остаются прежними и при смене пользователя. Несмотря на указанные недостатки, применение метода паролей во многих случаях следует считать рациональным даже при наличии других аппаратных и программных методов защиты. Обычно метод программных паролей сочетается с другими программными методами, определяющими ограничения по видам и объектам доступа.

Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем (ОС). Использование защищенных операционных систем является одним из важнейших условий построения современных информационных систем. Например, ОС UNIX позволяет владельцу файлов предоставлять права другим пользователям - только читать или записывать, для каждого из своих файлов. Наибольшее распространение в нашей стране получает ОС Windows NT, в которой появляется все больше возможностей для построения сети, действительно защищенной от НД к информации. ОС NetWare помимо стандартных средств ограничения доступа, таких как система паролей и разграничения полномочий, имеет ряд новых возможностей, обеспечивающих первый класс защиты данных, предусматривает возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход - пароль + идентификация пользователя по персональному «ключу». В качестве «ключа» может использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart-card) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и т. д.

Пластиковые карточки с магнитной полосой можно легко подделать. Более высокую степень надежности обеспечивают смарт-карты - так называемые микропроцессорные карточки (МП-кар-точки). Их надежность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. При выдаче карточки пользователю на нее наносится один или несколько паролей, известных только ее владельцу. Для некоторых видов МП-карточек попытка несанкционированного использования заканчивается ее автоматическим «закрытием». Чтобы восстановить работоспособность такой карточки, ее необходимо предъявить в соответствующую инстанцию. Кроме того, технология МП-карто-чек обеспечивает шифрование записанных на ней данных в соответствии со стандартом DES. Установка специального считывающего устройства МП - карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.

Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд DOS.

По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Чаще всего для организации удаленного доступа используются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.

В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного терминала.

Метод автоматического обратного вызова может обеспечивать более надежную защиту системы от несанкционированного доступа, чем простые программные пароли. В данном случае пользователю нет необходимости запоминать пароли и следить за соблюдением их секретности. Идея системы с обратным вызовом достаточно проста. Удаленные от центральной базы пользователи не могут непосредственно с ней обращаться. Вначале они получают доступ к специальной программе, которой сообщают соответствующие идентификационные коды. После этого разрывается связь и производится проверка идентификационных кодов. В случае если код, посланный по каналу связи, правильный, то производится обратный вызов пользователя с одновременной фиксацией даты, времени и номера телефона. К недостатку рассматриваемого метода следует отнести низкую скорость обмена - среднее время задержки может исчисляться десятками секунд.

Метод шифрования данных

В переводе с греческого языка слово криптография означает тайнопись. Это один из наиболее эффективных методов защиты. Он может быть особенно полезен для усложнения процедуры несанкционированного доступа, даже если обычные средства защиты удалось обойти. В отличие от рассмотренных выше методов криптография не прячет передаваемые сообщения, а преобразует их в форму, недоступную для понимания лицами, не имеющими прав доступа к ним, обеспечивает целостность и подлинность информации в процессе информационного взаимодействия.

Готовая к передаче информация зашифровывается при помощи некоторого алгоритма шифрования и ключа шифрования. В результате этих действий она преобразуется в шифрограмму, т. е. закрытый текст или графическое изображение, и в таком виде передается по каналу связи. Получаемые зашифрованные выходные данные не может понять никто, кроме владельца ключа.

Под шифром обычно понимается семейство обратимых преобразований, каждое из которых определяется некоторым параметром, называемым ключом, а также порядком применения данного преобразования, называемым режимом шифрования. Обычно ключ представляет собой некоторую буквенную или числовую последовательность.

Каждое преобразование однозначно определяется ключом и описывается некоторым алгоритмом шифрования. Например, алгоритм шифрования может предусмотреть замену каждой буквы алфавита числом, а ключом при этом может служить порядок номеров букв этого алфавита. Чтобы обмен зашифрованными данными проходил успешно, отправителю и получателю необходимо знать правильный ключ и хранить его в тайне.

Один и тот же алгоритм может применяться для шифрования в различных режимах. Каждый режим шифрования имеет как свои преимущества, так и недостатки. Поэтому выбор режима зависит от конкретной ситуации. При расшифровывании используется криптографический алгоритм, который в общем случае может отличаться от алгоритма, применяемого для шифрования, следовательно, могут различаться и соответствующие ключи. Пару алгоритмов шифрования и расшифрования называют криптосистемой (шифросистемой), а реализующие их устройства - шифротехникой.

Различают симметричные и асимметричные криптосистемы. В симметричных криптосистемах для шифрования и расшифрования используется одинаковый закрытый ключ. В асимметричных криптосистемах ключи для шифрования и расшифрования различны, причем один из них закрытый, а другой открытый (общедоступный).

Существует довольно много различных алгоритмов криптографической защиты информации, например DES, RSA, ГОСТ 28147-89 и др. Выбор способа шифрования зависит от особенностей передаваемой информации, ее объема и требуемой скорости передачи, а также возможностей владельцев (стоимость применяемых технических устройств, надежность функционирования и т. д.).

Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации. Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу, и часто специфические требования предъявляются к алгоритму, используемому в процессе шиф-

рования. Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 1970-х гг. и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией американских банкиров. Сложный алгоритм DES использует ключ длиной 56 битов и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную. В то же время рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy). Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном).

Алгоритм RSA был изобретен Р.Л. Райвестом, А. Шамиром и Л. Альдеманом в 1978 г. и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным бюро стандартов.

DES технически является симметричным алгоритмом, а RSA - асимметричным - это система коллективного пользования, в которой каждый пользователь имеет два ключа, причем только один секретный. Открытый ключ используется для шифрования сообщения пользователем, но только определенный получатель может расшифровать его своим секретным ключом; открытый ключ для этого бесполезен. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, a RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.

При обмене электронной документацией может возникнуть ситуация отказа одной из сторон от своих обязательств (отказ от авторства), а также фальсификация сообщений, полученных от отправителя (приписывание авторства). Основным механизмом решения этой проблемы становится создание аналога рукописной подписи - электронная цифровая подпись (ЦП). К ЦП предъявляют два основных требования: высокая сложность фальсификации и легкость проверки.

Для создания ЦП можно использовать как симметричные, так и асимметричные шифросистемы. В первом случае подписью может служить само зашифрованное на секретном ключе сообщение. Но после каждой проверки секретный ключ становится известным. Для выхода из этой ситуации необходимо введение третьей стороны - посредника, которому доверяют любые стороны, осуществляющего перешифрование сообщений с ключа одного из абонентов на ключ другого.

Асимметричные шифросистемы обладают всеми свойствами, необходимыми для ЦП. В них возможны два подхода к построению ЦП.

• 1. Преобразование сообщения в форму, по которой можно восстановить само сообщение и, тем самым, проверить правильность самой подписи.
• 2. Подпись вычисляется и передается вместе с исходным сообщением.

Таким образом, для разных шифров задача дешифрования - расшифровки сообщения, если ключ неизвестен, имеет различную сложность. Уровень сложности этой задачи и определяет главное свойство шифра - способность противостоять попыткам противника завладеть защищаемой информацией. В связи с этим говорят о криптографической стойкости шифра, различая более стойкие и менее стойкие шифры. Характеристики наиболее популярных методов шифрования приведены в табл. 10.1.

Таблица 10.1. Характеристики наиболее распространенных методов шифрования

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа . Перечислим основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование недостатков операционных систем и языков программирования;

· использование программных закладок и программных блоков типа "троянский конь";

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

Шифрование – это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних. Шифрование применяется в первую очередь для передачи секретной информации по незащищенным каналам связи. Шифровать можно любую информацию - тексты, рисунки, звук, базы данных и т.д. Человечество применяет шифрование с того момента, как появилась секретная информация, которую нужно было скрыть от врагов. Первое известное науке шифрованное сообщение - египетский текст, в котором вместо принятых тогда иероглифов были использованы другие знаки. Методы шифрования и расшифровывания сообщения изучает наука криптология , история которой насчитывает около четырех тысяч лет. Она состоит двух ветвей: криптографии и криптоанализа.

Криптография - это наука о способах шифрования информации. Криптоанализ - это наука о методах и способах вскрытия шифров.

Обычно предполагается, что сам алгоритм шифрования известен всем, но неизвестен его ключ, без которого сообщение невозможно расшифровать. В этом заключается отличие шифрования от простого кодирования, при котором для восстановления сообщения достаточно знать только алгоритм кодирования.

Ключ - это параметр алгоритма шифрования (шифра), позволяющий выбрать одно конкретное преобразование из всех вариантов, предусмотренных алгоритмом. Знание ключа позволяет свободно зашифровывать и расшифровывать сообщения.

Все шифры (системы шифрования) делятся на две группы - симметричные и несимметричные (с открытым ключом). Симметричный шифр означает, что и для шифрования, и для расшифровывания сообщений используется один и тот же ключ. В системах с открытым ключом используются два ключа - открытый и закрытый, которые связаны друг с другом с помощью некоторых математических зависимостей. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Криптостойкость шифра - это устойчивость шифра к расшифровке без знания ключа. Стойким считается алгоритм, который для успешного раскрытия требует от противника недостижимых вычислительных ресурсов, недостижимого объема перехваченных сообщений или такого времени, что по его истечении защищенная информация будет уже неактуальна.

Один из самых известных и самых древних шифров – шифр Цезаря . В этом шифре каждая буква заменяется на другую, расположенную в алфавите на заданное число позиций k вправо от нее. Алфавит замыкается в кольцо, так что последние символы заменяются на первые. Шифр Цезаря относится к шифрам простой подстановки , так как каждый символ исходного сообщения заменяется на другой символ из того же алфавита. Такие шифры легко раскрываются с помощью частотного анализа, потому что в каждом языке частоты встречаемости букв примерно постоянны для любого достаточно большого текста.

Значительно сложнее сломать шифр Виженера , который стал естественным развитием шифра Цезаря. Для использования шифра Виженера используется ключевое слово, которое задает переменную величину сдвига. Шифр Виженера обладает значительно более высокой криптостойкостью, чем шифр Цезаря. Это значит, что его труднее раскрыть - подобрать нужное ключевое слово. Теоретически, если длина ключа равна длине сообщения, и каждый ключ используется только один раз, шифр Виженера взломать невозможно.

Защита от несанкционированного доступа (защита от НСД) - это предотвращение или существенное затруднение несанкционированного доступа .

Средство защиты информации от несанкционированного доступа (СЗИ от НСД) - это программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа .

Назначение и общая классификация СЗИ.

СЗИ от НСД можно разделить на универсальные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные системные средства и добавочные (по способу реализации).

Классификация крайне важна, так как при построении СЗИ каждого типа разработчики формулируют и решают совершенно разные задачи (подчас противоречащие друг другу). Так, в основу концепции защиты универсальных системных средств закладываются принципы «полного доверия к пользователю», их защита во многом бесполезна в корпоративных системах, например, при решении задач противодействия внутренним ИТ-угрозам. В подавляющей части сегодня СЗИ создаются для усиления встроенных в универсальные ОС механизмов защиты, применительно к использованию в корпоративной среде. Если речь заходит о совокупности решаемых задач, то здесь следует говорить о комплексировании механизмов как в части эффективного решения конкретной задачи защиты, так и в части решения комплекса задач.

Потребительские свойства (назначение) добавочного СЗИ от НСД определяются тем, в какой мере добавочным средством устраняются архитектурные недостатки встроенных в ОС механизмов защиты, применительно к решению требуемых задач в корпоративных приложениях, и насколько комплексно (эффективно) им решается эта совокупность задач защиты информации .

Вопросы оценки эффективности СЗИ от НСД

Эффективность СЗИ от НСД можно оценить, исследовав вопросы корректности реализации механизмов защиты и достаточности набора механизмов защиты применительно к практическим условиям использования.

Оценка корректности реализации механизмов защиты

На первый взгляд, такую оценку провести несложно, но на практике это не всегда так. Один пример: в NTFS файловый объект может быть идентифицирован различными способами: к файловым объектам, задаваемым длинными именами, можно обращаться по короткому имени (так, к каталогу «Program files» можно обратиться по короткому имени «Progra~1»), а некоторые программы обращаются к файловым объектам не по имени, а по ID. Если установленное в информационной системе СЗИ не перехватывает и не анализирует лишь один подобный способ обращения к файловому объекту, то, по большому счету, оно становится полностью бесполезным (рано или поздно злоумышленник выявит данный недостаток средства защиты и воспользуется им). Упомянем и о том, что файловые объекты, не разделяемые между пользователями системой и приложениями, могут служить «каналом» понижения категории документа, что сводит на нет защиту конфиденциальной информации. Подобных примеров можно привести много.

Требования к корректности реализации механизмов защиты определены в нормативном документе «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» ; он используется при сертификации СЗИ от НСД.

Эти требования присутствуют в документе в необходимом объеме, они корректны, но сформулированы в общем виде (а как иначе, в противном случае потребовалось бы создавать свой нормативный документ под каждое семейство ОС, а возможно, и под каждую реализацию ОС одного семейства), и для выполнения одного требования может понадобиться реализация нескольких механизмов защиты. Следствием этого становится неоднозначность толкования данных требований (в части подходов к их реализации) и возможность принципиально разных подходов к реализации механизмов защиты в СЗИ от НСД разработчиками. Результат - разная эффективность СЗИ от НСД у производителей, реализующих одни и те же формализованные требования. А ведь невыполнение любого из этих требований может свести на нет все усилия по обеспечению информационной безопасности.

Оценка достаточности (полноты) набора механизмов защиты

Требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты определены документом «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» , который используется при аттестации объектов информатизации, в том числе и при использовании в АС СЗИ от НСД. Однако и здесь ситуация во многом схожа с описанной выше.

Так, формулировку требования к достаточности механизмов в СЗИ от НСД для защиты конфиденциальных данных в нормативных документах, при которой возникает неоднозначность определения того, что отнести к защищаемым ресурсам, целесообразно было бы расширить, например, следующим образом: «Должен осуществляться контроль подключения ресурсов, в частности устройств, в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам» .

Заметим, что механизмы контроля доступа к ресурсам, всегда присутствующим в системе, - файловые объекты, объекты реестра ОС и т.д. - априори защищаемые, и они должны присутствовать в СЗИ от НСД в любом случае, а что касается внешних ресурсов, то с учетом назначения СЗИ. Если предназначение СЗИ - защита компьютеров в сети, то оно должно иметь механизмы контроля доступа к сетевым ресурсам; если оно служит для защиты автономных компьютеров, то должно обеспечивать контроль (запрет) подключения к компьютеру сетевых ресурсов. Это правило, на наш взгляд, подходит без исключения ко всем ресурсам и может быть использовано в качестве базового требования к набору механизмов защиты при аттестации объектов информатизации.

Вопросы достаточности механизмов защиты должны рассматриваться не только применительно к набору ресурсов, но и применительно к решаемым задачам защиты информации. Подобных задач при обеспечении компьютерной безопасности всего две - противодействие внутренним и внешним ИТ-угрозам.

Общая задача противодействия внутренним ИТ-угрозам - обеспечение разграничения доступа к ресурсам в соответствии с требованиями к обработке данных различных категорий конфиденциальности. Возможны разные подходы к заданию разграничений: по учетным записям, по процессам, на основе категории прочтенного документа. Каждый из них задает свои требования к достаточности. Так, в первом случае надо изолировать буфер обмена между пользователями; во втором - между процессами; для третьего случая вообще необходимо кардинально пересмотреть всю разграничительную политику доступа ко всем ресурсам, так как один и тот же пользователь одним и тем же приложением может обрабатывать данные различных категорий конфиденциальности.

Существуют десятки способов межпроцессного обмена (поименованные каналы, сектора памяти и т.д.), поэтому необходимо обеспечить замкнутость программной среды - предотвратить возможность запуска программы, реализующей подобный канал обмена. Встают и вопросы неразделяемых системой и приложениями ресурсов, контроля корректности идентификации субъекта доступа, защиты собственно СЗИ от НСД (список необходимых механизмов защиты для эффективного решения данной задачи весьма внушительный). Большая их часть в явном виде не прописана в нормативных документах.

Задача эффективного противодействия внешним ИТ-угрозам, на наш взгляд, может быть решена только при условии задания разграничительной политики для субъекта «процесс» (т.е. «процесс» следует рассматривать как самостоятельный субъект доступа к ресурсам). Это обусловлено тем, что именно он несет в себе угрозу внешней атаки. Подобного требования в явном виде нет в нормативных документах, но в этом случае решение задачи защиты информации требует кардинального пересмотра базовых принципов реализации разграничительной политики доступа к ресурсам.

Если вопросы достаточности механизмов защиты применительно к набору защищаемых ресурсов еще как-то поддаются формализации, то применительно к задачам защиты информации формализовать подобные требования не представляется возможным.

В данном случае СЗИ от НСД разных производителей, выполняющих формализованные требования нормативных документов, также могут иметь кардинальные отличия как в реализуемых подходах и технических решениях, так и в эффективности этих средств в целом.

В заключение отметим, что нельзя недооценивать важность задачи выбора СЗИ от НСД, так как это особый класс технических средств, эффективность которых не может быть высокой или низкой. С учетом сложности оценки реальной эффективности СЗИ от НСД рекомендуем потребителю привлекать специалистов (желательно из числа разработчиков, практически сталкивающихся с этими проблемами) на стадии выбора СЗИ от НСД.

Хакеры и вирусы на AS/400? Это невозможно. Они пиратствуют только на Unix и ПК.

Я вспоминаю фильм "Парк юрского периода", в конце которого девочка подходит к компьютеру, на котором была совершена диверсия, приведшая к выходу динозавров на свободу. "Это Unix!" - восклицает она, вскрывает его защиту и немедленно устраняет неполадки. Тут я сказал про себя: "Конечно, чего же Вы хотели от Unix". А в фильме "День независимости" вирус был запущен в компьютер космического корабля пришельцев. Большинство зрителей до этого и не подозревали, что инопланетяне используют компьютеры Apple Macintosh. Но, слава Богу, это оказалось именно так, вирус сработал, и наш мир был спасен.

Вообще, в фильмах часто злодеи проникают в чужие компьютеры, или недовольный сотрудник внедряет вирус в компьютерную сеть фирмы. Приятно сознавать, что ничего подобного на AS/400 произойти не может. Или всетаки может?

Как и многие другие функции, в AS/400, в отличие от большинства иных систем, защита была встроена с самого начала, а не добавлена уже после создания. Однако никакие средства защиты не помогут, если их не использовать, а многие пользователи AS/400 так и делают. Например, в среде клиент/ сервер необходимо принимать специальные меры для защиты данных AS/400 от незащищенных клиентов, таких как Windows 95 и Windows NT. Более того, в современном сетевом мире многие AS/400 подключены к Интернету, в этом случае также следует применять определенные средства защиты информационных ресурсов. По счастью, интегрированные средства защиты AS/400 обеспечивают крепкий фундамент безопасности всей системы. В этой лекции мы рассмотрим средства защиты AS/400 и обсудим, как лучше использовать их.

Интегрированная защита

В прошлом защитить вычислительную систему было относительно легко. Обычно, было достаточно вставить замок в дверь машинного зала и заставить конечных пользователей вводить при входе в систему пароль . Современный мир уже не так прост. Наибольшей степени опасности подвергаются AS/400, включенные в вычислительную сеть : во внутрифирменную ЛВС или в глобальную сеть , например в Интернет . В любом случае, AS/400 предоставляет средства для минимизации или полного устранения риска несанкционированного доступа. Проблемы защиты вычислительной системы очень похожи на те, что возникают при защите дома или автомобиля: Вы должны правильно рассчитать соотношение цены и допустимой степени риска.

Очевидно, что в разных ситуациях AS/400 нужен разный уровень защиты. У пользователя должна быть возможность самостоятельного выбрать этот уровень. Хорошая система защиты разработана так, чтобы компьютер мог работать вообще без защиты, с ограниченной защитой или с полной защитой, но во всех случаях система защиты должна быть активна.

И сейчас есть системы, запертые в помещениях, куда доступ строго ограничен. Понятно, что им не нужен такой уровень защиты, как компьютеру, подключенному к Интернету. Но с течением времени требования к защите и этих систем могут повыситься. Интегрированная защита AS/400 достаточно гибка, чтобы перестроиться по мере изменения требований к ней.

Защита AS/400 представляет собой комбинацию средств защиты в OS/400 и в SLIC . В OS/400 реализованы уровни общесистемной защиты, при этом OS/400 полагается на функции защиты объектов на уровне MI. Например, как упоминалось в "Объекты" , MI выполняет проверку прав доступа при каждом обращении к объекту. За действия MI по защите объектов ответственен SLIC . Реализуемый им тип защиты называется авторизацией и предназначен для предохранения объекта от несанкционированного доступа или изменения.

Некоторые компоненты защиты AS/400 расположены полностью поверх MI в OS/400, например, задание системных параметров защиты. Другие, такие как контроль за доступом к объектам, полностью реализованы ниже MI в SLIC . Третьи компоненты защиты реализованы частично над, а частично под MI. Пример - поддержка привилегированных команд и специальных прав доступа. Давайте подробнее рассмотрим компоненты, лежащие и выше и ниже MI.

Уровни защиты

AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая соответствующие системные параметры, можно выбрать одну из пяти степеней: отсутствие защиты, парольная защита, защита ресурсов, защита ОС и сертифицированная защита. При конфигурировании AS/400 должны быть заданы четыре системных параметра, относящихся к защите: QAUDJRL, QMAXSIGN, QRETSVRSEC и QSECURITY.

Системным параметром, определяющим уровень защиты, является QSECURITY. В System/38 и первых AS/400 было только три уровня системной защиты, в версии V1R3 OS/400 к ним добавился четвертый, а в V2R3 - пятый, высший уровень защиты. Допустимые значения QSECURITY - 10, 20, 30, 40 и 50.

AS/400 поддерживает также дополнительную функцию аудита. Если эта функция задействована, то определенные события, связанные с защитой, заносятся в журнал. То, какие конкретно события протоколировать в журнале аудита защиты, определяет значение системного параметра QAUDJRL и текущий уровень защиты. Могут протоколироваться такие события, как попытки несанкционированного доступа, удаление объектов, идентификация программ, использующих привилегированные команды и др. Содержимое журнала защиты анализирует администратор защиты.

Максимальное количество неудачных попыток входа в систему задает системный параметр QMAXSIGN. Если число таких попыток превысит значение этого параметра, то терминал или устройство, с которого они были предприняты, отключаются от системы и связь между ними и системой разрывается. Такой метод позволяет предотвратить попытки подобрать пароль для входа в систему. Значение параметра QMAXSIGN для каждого устройства сбрасывается после успешного входа в систему.

Системный параметр QRETSVRSEC (Retain Server Security Data ) определяет, может ли информация , необходимая AS/400 для аутентификации пользователя на другой системе через интерфейсы клиент/ сервер , запоминаться сервером. Если информация запоминается, то сервер ее использует. Если нет, то сервер будет запрашивать идентификатор и пароль пользователя для другой системы. Системный параметр FFQRETSVRSEC используется для клиент/серверных интерфейсов TCP/IP , Novell NetWare и Lotus Notes.

Теперь давайте рассмотрим каждый из пяти уровней защиты, начиная с самого низкого.

Отсутствие защиты (уровень 10)

Уровень 10 означает самую низкую степень защищенности - отсутствие таковой. Для доступа к системе не требуется пароля и любому пользователю разрешен доступ ко всем системным ресурсам и объектам без ограничений. Единственное условие - нельзя влиять на задания других пользователей системы.

Системный уровень защиты 10 обычно применяется тогда, когда достаточно только физической защиты системы, например, замка на двери машинного зала. Любой пользователь, имеющий физический доступ к машине, может войти в систему. При этом он не обязан регистрироваться . Регистрация пользователя предполагает наличие где-либо в системе профиля пользователя. Такой профиль при использовании уровня защиты 10 создается автоматически, если еще не существует.

Парольная защита (уровень 20)

Если Вам нужна только защита при входе в систему, используйте уровень 20. При этой степени защиты требуется, чтобы пользователь AS/400 был зарегистрирован и знал правильный пароль. После того, как разрешение на вход в систему получено, пользователь имеет доступ ко всем ее ресурсам без ограничений. Как видите отличие от уровня 10 незначительно.

Только в одном особом случае доступ пользователя к системе при уровне 20 ограничивается: если в профиле пользователя это специально оговорено. Пользователь с ограниченными возможностями может только выбирать пункты меню. Большинство системных меню имеют строку ввода команд, и упомянутое средство ограничивает использование системных команд.

Предположим, что в организации есть группа работников, в чьи обязанности входит прием заказов на товары и ввод соответствующих данных в систему. Для таких пользователей целесообразно создать специальное меню и разрешить им действовать только в этих рамках, для чего их следует зарегистрировать как пользователей с ограниченными возможностями и задать в их профилях меню, доступ к которому им разрешен.

Но даже пользователю с ограниченными возможностями разрешено исполнять четыре необходимых команды: для отправки сообщений, для отображения сообщений, для отображения состояния задания и для выхода из системы. То, какие именно команды открыты для пользователя с ограниченными возможностями, можно задать индивидуально. Ограничение возможностей также определяет, какие поля пользователь может изменять при входе в систему.

Уровни 20 и 10, не обеспечивают системе защищенность, так как после регистрации пользователя в системе, он может производить там любые операции. Я бы не рекомендовал ограничиваться столь низкими степенями защиты за исключением особых случаев, когда сама система практически недоступна извне.

Защита ресурсов (уровень 30)

Минимальным рекомендуемым уровнем защиты является уровень 30. На этом уровне, так же как и на уровне 20, для входа в систему пользователь должен быть зарегистрирован и знать правильный пароль. После входа в систему проверяется, обладает ли пользователь правами доступа к системным ресурсам; несанкционированный доступ не разрешается. На уровне 30 пользователь также может быть зарегистрирован с ограниченными возможностями.

Отдельным пользователям могут быть предоставлены права доступа к системным объектам, таким как файлы, программы и устройства. Обеспечивают такую возможность профили пользователя, и вскоре мы поговорим подробнее о том, каким образом они это делают. Мы также рассмотрим другие варианты наделения пользователя правами доступа к системным объектам: с помощью групповых или общих прав.

Уровень защиты 30 был наивысшим в System/38. Но на нем не различаются пользовательские объекты и объекты, используемые только ОС. В связи с доступностью на System/38 ассемблера MI и наличия определенной информации о внутренней структуре объектов возникла серьезная проблема. ISV стали писать прикладные пакеты, зависящие от внутренней структуры объектов, что нарушало технологическую независимость MI.

В первых моделях AS/400 использовались те же самые уровни защиты. Хотя в AS/400 не было ассемблера MI, и мы не публиковали информацию о внутренних структурах, специалисты довольно скоро поняли, что AS/400 - это System/38. Поэтому программы, зависимые от внутренней структуры объектов, работали и на AS/400.

Мы понимали, что при переходе к клиент/серверным вычислениям, AS/400 нужна более надежная защита, блокирующая доступ к большинству внутренних объектов. В связи с переходом на RISC-процессоры изменениям подверглась и внутренняя структура. Но если бы мы просто реализовали новый, повышенный, уровень зашиты, то программы, зависимые от внутренней структуры объектов, перестали бы работать, что вызвало бы недовольство заказчиков.

Мы объявили о том, что собираемся встроить в V1R3 новый уровень защиты, и что на этом уровне доступа к внутренним объектам не будет. Мы также начали искать тех ISV , кто использовал внутренние объекты, чтобы предоставить им стандартные системные API, с информацией, необходимой для их программ.

Большая часть таких программ были утилитами, использовавшими информацию некоторых полей внутри системного объекта. Например, системе управления магнитной лентой могли понадобиться некоторые данные о заголовке ленты. Такую информацию можно было получить единственным способом - проникнув в системный объект. Мы создали сотни API для предоставления подобной информации через MI (по сути дела, эти API были новыми командами MI) и гарантировали, что они будут работать во всех последующих версиях ОС. Таким образом мы развязали себе руки и начали вносить изменения во внутренние структуры.

С защитой связана еще одна серьезная тема: тема открытости AS/400. Довольно долго многие ISV не только использовали внутренние объекты, но и настаивали, что бы IBM сделала внутреннее устройство ОС открытым и дала тем самым "зеленый свет" разработчикам ПО. В ответ IBM утверждала, что при неправильном использовании команд MI велика вероятность программных сбоев, за которые она не может нести ответственность. Компромисс (управляемая открытость через API) был достигнут, частично в результате серии заседаний группы COMMON, начатых по инициативе ISV и других пользователей. Работу с ISV и определение новых API возглавил Рон Фесс (Ron Fess) - один из основных разработчиков ПО с большим опытом работ по CPF и OS/400. Результат это работы - реализация на AS/400 Single UNIX Specification и других стандартных API. AS/400 стала более открытой для пользователей.

Защита ОС (уровень 40)

Уровень 40 появился в версии V1R3 OS/400. Сегодня все новые AS/400 поставляют ся именно с этим уровнем защиты, а не 10, как ранее. Но старые версии OS/400 и при модернизации сохраняют текущий уровень, установленный заказчиком. Теперь пароль начальника защиты (пользователь, обладающий правами доступа наивысшего уровня) становится недействительным после первого ввода в систему и он должен его изменить. Ранее заказчики AS/400 часто не утруждали себя изменением пароля, установленного в системе по умолчанию, что создавало явную "дыру" в защите.

При уровне 40 пользователь AS/400 также должен быть зарегистрирован, должен знать правильный пароль для входа в систему и иметь права на доступ к системным ресурсам. Впрочем, пользователи с ограниченными возможностями при этом уровне защиты тоже поддерживаются.

В отличие от уровней 10–30, при уровне защиты 40 доступ к нестандартным интерфейсам блокирован. Пользователю теперь доступны далеко не все команды MI, а лишь их разрешенный набор, включая сотни API, разработанных для ISV . Остальные же команды блокированы, то есть система не будет исполнять их в пользовательской программе.

Тем не менее, команды из блокированного набора попрежнему доступны OS/400. Для различия программ OS/400 и пользовательских, были введены понятия системного и пользовательского состояния , к которым можно отнести любой процесс на AS/400. Использование заблокированных команд и доступ, таким образом, к некоторым объектам системы разрешены только в системном состоянии.

Для большей надежности защиты в V1R3 была также устранена адресация на базе возможностей, а из системных указателей, предоставляемых пользователям, убраны все права доступа.

Защита C2 (уровень 50)

Уровень 40 обеспечивает системе достаточную степень защищенности в большинстве случаев. Однако, некоторым фирмам, выполняющим государственные заказы, необходим уровень защиты, сертифицированный правительством США. Таких сертификатов несколько, включая, так называемый, уровень С2. Они включают такие положения, как защита ресурсов пользователя от других пользователей и предотвращение захвата одним пользователем всех системных ресурсов, например, памяти. Кстати, подобные требования сейчас применяются и во многих неправительственных организациях.

Для заказчиков, нуждающихся в правительственных сертификатах, мы дополнили уровень защиты 40 на AS/400 до соответствия упомянутому уровню С2. Так в версии V2R3 появилась защита уровня 50.

Но прежде чем система будет признана соответствующей стандарту С2, она должна пройти всеобъемлющую проверку. В настоящее время такая проверка идет.

Правительством США определены уровни защиты от А до D, где А - наивысший уровень защиты, а D – самый низкий. Классы B и С имеют несколько подуровней. Уровень защиты С2 - уровень, наивысший из обычно используемых в бизнесе. В будущем, если возникнет такая необходимость, мы сможем включить в AS/400 поддержку и более высоких уровней защиты.