Организационно-технологические меры защиты целостности информации на машинных носителях

Организационно-технологические меры защиты целостности инфор­мации на машинных носителях можно разделить на две основные группы:

• организационные меры по поддержке целостности информации, хра­нящейся на МНИ;

• технологические меры контроля целостности битовых последователь­ностей, хранящихся на МНИ.

В свою очередь, организационные меры разделяются на две группы:

• создание резервных копий информации, хранимой на МНИ;

• обеспечение правильных условий хранения и эксплуатации МНИ;

Создание резервных копий информации, хранимой на МНИ, должно быть обязательной регулярной процедурой, периодичность которой зави­сит от технологии обработки информации, в частности от обьёма вводи­мых данных, важности информации, возможности повторного ввода и т.д. Для создания резервных копий могут использоваться как стандартные утилиты, которые сохраняют выбранные файлы или каталоги, так и спе­циализированные системы резервного копирования, адаптированные к конкретной АС. В последнем случае можно применять собственные мето­ды архивирования, например, так называемое "разностное" архивирова­ние, когда на вспомогательный носитель записывается не весь объем базы данных, а только та часть, которая была введена с момента послед­него сохранения.

В качестве вспомогательных носителей, на которые производится архивирование информации, традиционно рассматривались магнитные ленты. В настоящее время благодаря развитию технологий хранения ин­формации число возможных типов носителей увеличилось, поэтому для хранения архивных данных выбирают, как правило, те, которые при заданном объеме копируемой информации (в случае накопления информа­ции и с учетом определенной перспективы) и предполагаемом сроке хра­нения оптимальны по цене единицы хранимой информации.

Так, в ряде случаев оптимальным устройством резервирования может быть дополни­тельный жесткий диск или CD-ROM. При ведении резервных копий необ­ходимо регулярно проверять их сохранность и целостность находящейся информации. Обеспечение правильных условий хранения и эксплуатации определяется конкретным типом машинного носителя.

Рассмотрим теперь технологические меры контроля целостности би­товых последовательностей, хранящихся на машинных носителях. Цело­стность информации в областях данных на машинных носителях контро­лируется с помощью циклического контрольного кода, контрольные числа которого записываются после соответствующих областей, причем в кон­тролируемую область включаются соответствующие маркеры.

Для стандартного сектора дискеты размер контролируемой области составит 516 байт: 512 байт данных плюс 4 байта маркера данных. При чтении с дискеты данные проверяются на соответствие записанному коду и в случае несовпадения выставляется соответствующий флаг ошибки.

Для обеспечения контроля целостности информации чаще всего применяют циклический контрольный код. В основе данного подхода ле­жит понятие полинома или, как его еще называют, многочлена. Как из­вестно, полином - это формально заданный степенной ряд, т.е. сумма множества степенных выражений независимых переменных.

В общем случае любой блок информации х в памяти вычислитель­ной машины представляет последовательность битов, которую можно считать двоичным полиномом и в дальнейшем будем обозначать через А(х). Для вычисления контрольного кода понадобится еще один полином, называемый порождающим полиномом. Этот полином обозначим G (х). Порождающий полином является в некотором роде ключом циклического кода.

Контрольный код, представляемый полиномом R(х), вычисляется как остаток от деления полинома А(х)^.x^r на G(x):

R(x) = (А(х)^.x^r) mod G(x),

где r- степень порождающего полинома.

Из теории циклических кодов следует, что чем больше r, тем больше обнаруживающая способность контрольного кода. При реализации метода подсчета контрольного кода значение r в общем случае ограничено только параметрами МНИ. Например, для контроллеров гибких магнитных дисков r=16 и порождающий полином G(x) имеет следующий вид:

G(x)= x¹⁶+x¹²+x⁵+1.

В книге Д/ Правикова "Ключевые дискеты. Разработка элементов за­щиты от несанкционированного копирования" (М.: Радио и связь, 1997 г.) приводится программа на языке С, иллюстрирующая схему вычисления циклического контрольного кода. Основная сложность программной реа­лизации заключается в том, что для получения 16-разрядного остатка ин­формационный полином необходимо делить на 17-разрядный порождаю­щий полином. Это ограничение обходится с помощью специальной реа­лизации алгоритма. При сложении по модулю 2 как старший разряд остатка информационного полинома, так и старший разряд порождающе­го полинома всегда равны единице и, следовательно, известен результат их сложения, который всегда равен нулю. Поэтому складывать с остатком уже можно только младшие 16 разрядов порождающего полинома. По­скольку цель вычислений состоит в получении контрольного числа-ос­татка от деления, частное не вычисляется. В данной реализации алгорит­ма, во-первых, циклический контрольный код вычисляют, взяв в качестве первоначального значения FFFF (16-ричная запись), и, во-вторых, данные считаются поступающими, начиная со старших битов.

Целостность данных в АС

Понятие целостности данных в научной литературе определяется несколькими способами, описанию и сравнению которых посвящены от­дельные научные статьи. Одна из наиболее распространенных трактовок, используемая далее в пособии, под целостностью данных подразумевает отсутствие ненадлежащих изменений. Смысл понятия "ненадлежащее изменение" раскрывается Д.Кларком и Д.Вилсоном в [25]: ни одному поль­зователю АС, в том числе и авторизованному, не должны быть разре­шены такие изменения данных, которые повлекут за собой их разруше­ние или потерю.

При рассмотрении вопроса целостности данных мы используем ин­тегрированный подход (в определенном выше смысле), основанный на ряде работ Кларка и Вилсона, а также их последователей и оппонентов, и включающий в себя девять абстрактных теоретических принципов, каж­дый из которых раскрывается ниже:

• корректность транзакций;

• аутентификация пользователей;

• минимизация привилегий;

• разграничение функциональных обязанностей;

• аудит произошедших событий;

• объективный контроль;

• управление передачей привилегий;

• обеспечение непрерывной работоспособности;

• простота использования защитных механизмов.

Понятие корректности транзакций определяется в [25] следующим образом. Пользователь не должен модифицировать данные произвольно, а только определенными способами, так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем коррект­ных транзакций и нельзя - произвольными средствами. Кроме того, пред­полагается, что "корректность" (в обычном смысле) каждой из таких тран­закций может быть некоторым способом доказана. Принцип корректных транзакций по своей сути отражает основную идею определения целост­ности данных сформулированную выше.

Второй принцип гласит, что изменение данных может осуществлять­ся только специально а утентифицированными для этой цели пользова­телями. Этот принцип работает совместно с последующими четырьмя, с которыми тесно связана его роль в общей схеме обеспечения целостности.

Идея минимизации привилегий появилась еще на ранних этапах раз­вития направления компьютерной безопасности в форме ограничения, накладываемого на возможности процессов, выполняющихся в АС, и под­разумевающего, что процессы должны быть наделены теми и только теми привилегиями, которые естественно и минимально необходимы для вы­полнения процессов. Практикам администрирования ОС UNIX это поло­жение хорошо знакомо на примере правил использования учетной записи root, обладающей неограниченными полномочиями. Принцип, согласно которому следует минимизировать назначаемые привилегии в строгом соответствии с содержанием выполняемой задачи, распространяется в равной мере как на процессы (работающие в системе программы), так и на пользователей системы.

Разграничение функциональных обязанностей подразумевает орга­низацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важный с точки зрения целост­ности процесс, необходимо участие различных пользователей. Этим га­рантируется, что один пользователь не может выполнить весь процесс целиком (или даже две его стадии) с тем, чтобы нарушить целостность данных. В обычной жизни примером воплощения данного принципа слу­жит передача одной половины пароля для доступа к программе управле­ния ядерным реактором первому системному администратору, а другой - второму.

Как отмечено выше, принцип минимизации привилегий распростра­няется и на программы, и на пользователей. Последним, однако, на прак­тике трудно назначить "теоретически достижимый" минимальный уровень привилегий по двум причинам. Во-первых, пользователи выполняют раз­нообразные задачи, требующие различных привилегий. Во-вторых, если строгое соблюдение принципа минимизации в отношении процессов свя­зано с соображениями стоимости и производительности, то в отношении пользователей оно, скорее, затрагивает вопросы этики и морали, а также удобства и эффективности работы - это факторы, которые не поддаются точной количественной оценке. Поэтому пользователи будут, как правило, иметь несколько больше привилегий, чем им необходимо для выполнения конкретного действия в данный момент времени. А это открывает воз­можности для злоупотреблений. А удит произошедших событий (включая возможность восстановления полной картины происшедшего) является превентивной мерой в отношении потенциальных нарушителей.

Принцип объективного контроля, согласно [25], также является од­ним из краеугольных камней политики контроля целостности. Суть данно­го принципа заключается в том, что контроль целостности данных имеет смысл лишь тогда, когда эти данные отражают реальное положение ве­щей. Очевидно, что нет смысла заботиться о целостности данных, свя­занных с размещением боевого арсенала, который уже отправлен на пе­реплавку. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, целью которых является выявление возможных несоответствий между защищаемыми данными и объективной реально­стью, которую они отражают.

Управление передачей привилегий необходимо для эффективной работы всей политики безопасности (данное понятие рассматривается в гл.З). Если схема назначения привилегий неадекватно отражает органи­зационную структуру предприятия или не позволяет администраторам безопасности гибко манипулировать ею для обеспечения эффективности

производственной деятельности, защита становится тяжким бременем и провоцирует попытки обойти ее там, где она мешает "нормальной" работе.

С некоторыми оговорками иногда в зарубежной научной литературе в основу контроля целостности закладывается и принцип обеспечения не­прерывной работы (включая защиту от сбоев, стихийных бедствий и дру­гих форс-мажорных обстоятельств), который в классической теории ком­пьютерной безопасности относится, скорее, к проблеме доступности данных.

В основу последнего девятого принципа контроля целостности - про­стота использования защитных механизмов - заложен ряд идей, при­званных обеспечить эффективное применение имеющихся механизмов обеспечения безопасности. На практике зачастую оказывается, что пре­дусмотренные в системе механизмы безопасности некорректно использу­ются или полностью игнорируются системными администраторами по следующим причинам:

• неправильно выбранные производителем конфигурационные пара­метры по умолчанию обеспечивают слабую защиту;

• плохо разработанные интерфейсы управления защитой усложняют использова-ние даже простых средств безопасности;

• имеющиеся средства безопасности не обеспечивают адекватный уро­вень контроля за системой;

• реализация механизмов безопасности плохо соответствует сложив­шемуся у администраторов интуитивному их пониманию;

• отдельные средства защиты плохо интегрированы в общую схему безопасности;

• администраторы недостаточно осведомлены о важности применения конкрет-ных механизмов защиты и их особенностях.

Простота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет также наиболее про­стым, и наоборот, самый простой-наиболее защищенным.