Разграничение доступа зарегистрированных пользователей к ресурсам АС

Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.

Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

 

Выделяют следующие методы разграничения доступа:

- разграничение доступа по спискам;

- использование матрицы установления полномочий;

- по уровням секретности и категориям;

- парольное разграничение доступа.

 

При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним иликаждому ресурсу – список пользователей и их прав доступа к данному ресурсу.

Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.

Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице (см. таблицу 1.) строками являются идентификаторы субъектов, имеющих доступ вАС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.

 

Таблица 1.

Фрагмент матрицы установления полномочий

Субъект	Каталог d:\Heap	Программа prty	Принтер
Пользователь 1	сdrw	е	w
Пользователь 2	r		w c 9:00 до 17:00

c – создание, d – удаление, r – чтение, w – запись, e – выполнение.

 

Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и не совсем оптимальное использование ресурсов (большинство клеток – пустые).

Разграничения доступа по уровням секретности и категориям состоят в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категорий.

При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет.

При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю. Соответственно, все ресурсы АС декомпозируют по уровню важности, причем определенному уровню соответствует некоторый ранг персонала (типа: руководитель, администратор, пользователь).

Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.

 

Взаимная проверка подлинности пользователей. Обычно стороны, вступающие в информационный обмен, нуждаются во взаимной проверке подлинности (аутентификации) друг друга. Этот процесс взаимной аутентификации выполняют в начале сеанса связи. Для проверки подлинности применяют следующие способы:

· Механизм запроса - ответа;

· Механизм отметки времени ("временной штемпель ").

Механизм запроса – ответа состоит в следующем. Если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент – запрос X (например, некоторое случайное число). При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию f(X)). Это невозможно осуществить заранее, так как пользователюВ неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий В, пользователь Аможет быть уверен, что В - подлинный. Недостаток этогометода – возможность установления закономерности междузапросом и ответом.

Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить, насколько "устарело" пришедшее сообщение, и решить непринимать его, поскольку оно может быть ложным. В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником. При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса. Ведь сообщение с "временным штемпелем" в принципе не может быть передано мгновенно. Кроме того, компьютерные часы получателя и отправителяНе могут быть абсолютно синхронизированы. Какое запаздывание "штемпеля" является подозрительным?

Для взаимной проверки подлинности обычно используют процедуру "рукопожатия".

Эта процедура базируется на указанных выше механизмах контроля и заключаетсяВо взаимной проверке ключей, используемых сторонами. Иначе говоря, стороны признают друг друга законнымипартнерами, если докажут друг другу, что обладают правильными ключами. Процедурурукопожатияобычноприменяютвкомпьютерныхсетяхприорганизациисеансасвязимеждупользователями, пользователемихост-компьютером, междухост- компьютерамиит.д. Хост(от англ. host — «хозяин, принимающий гостей») или узел — любое устройство, предоставляющее сервисы формата «клиент-сервер» в режиме сервера по каким-либо интерфейсам и уникально определённое на этих интерфейсах. В более частном случае под хостом могут понимать любой компьютер, сервер, подключённый к локальной или глобальнойсети.

 

В завершении заметим, что руководящие документы могут регламентировать два вида (принципа) разграничения доступа:

- дискреционное управление доступом;

- мандатное управление доступом.

Дискреционное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы доступа.

Мандатное разграничение доступа обычнореализуетсякакразграничениедоступапоуровнямсекретности.Полномочиякаждогопользователязадаютсявсоответствии с максимальным уровнем секретности, к которому он допущен. При этомвсе ресурсы АС должны быть классифицированы по уровнямсекретности.

Принципиальное различие между дискреционным и мандатным разграничением доступасостоит в следующем: если в случае дискреционного разграничения доступа права на доступ кресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступауровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Самтермин«мандатное» является неудачным переводом словаmandatory – «обязательный». Тем самым, мандатное разграничение доступа следует понимать как принудительное.

 

Для эффективной защиты информации необходимо иметь представление о методах и средствах, используемых злоумышленниками. Рассмотрим наиболее распространенные средства несанкционированного получения информации.

1. Радиозакладки — микропередатчики, радиус действия которых, как правило, не превышает нескольких сот метров. Современная элементная база позволяет создавать радиозакладки в домашних условиях.

2. Остронаправленные микрофоны, имеющие игольчатую диаграмму направленности. С помощью такого микрофона можно прослушать разговор на расстоянии до 1 км в пределах прямой видимости. За двигающимся автомобилем аудиоконтроль вести можно только в том случае, если в нем заранее была установлена закладка. На длительных остановках беседу можно прослушивать направленным микрофоном при условии, что автомобиль находится в зоне прямой видимости и в нем опущено одно из стекол. В общественных местах (кафе, рестораны и т.п.) прослушивание можно осуществлять направленным микрофоном или закладкой. В таких случаях громкая музыка, как впрочем и шум льющейся воды, не спасают, так как у направленного микрофона очень узкая диаграмма направленности.

3. Средства прослушивания телефонных разговоров могут осуществлять несанкционированное получение информации по телефонной линии несколькими методами:

· установка записывающей аппаратуры(ЗА) на АТС с использованием недобросовестности или халатности обслуживающего персонала;

· непосредственное подключение ЗА к телефонной линии (например, в распределительной коробке);

· встраивание схемы несанкционированного подключения в телефонный аппарат (для этого необходим доступ в помещение, в котором установлен этот аппарат).

Телефоны, где в качестве вызывного устройства используется электромагнитный звонок можно прослушивать через звонковую цепь. Это возможно и в том случае, если трубка лежит на аппарате, — через микрофон. Еще одним устройством прослушивания телефонных разговоров и аудиоконтроля помещений может служить закладка, питаемая энергией самой линии. Это устройство удобно тем, что не требует замены питания — установив его единожды, злоумышленник может пользоваться им можно бесконечно долго. Работает оно только при снятой трубке. Если же схема несанкционированного подключения встроена в телефонный аппарат, то злоумышленнику достаточно набрать номер этого телефона и пустить в линию звуковой код, после чего закладная схема имитирует поднятие трубки и подключает телефон к линии.

4. Если в помещении оконные стекла не завешены, то разговор за такими окнами можно прослушать, направив на стекло лазерный луч. Звуковые колебания в помещении приводят к синхронной вибрации стекол, а они модулируют лазерный луч, отражаемый от стекла и принимаемый приемным устройством.

5. В помещениях, в которых не были проведены специальные мероприятия по ЗИ (гостиничные номера, кафе, рестораны и т.п.), можно прослушивать с помощью устройств, регистрирующих колебания элементов конструкции здания (розетки, батареи центрального отопления, вентиляция, тонкие перегородки и т.п.).

6. Наиболее серьезную угрозу с точки зрения ЗИ, могут нанести злоумышленники, предпринимающие попытки несанкционированного доступа к информации, которая обрабатывается автоматизированными системами (отдельными компьютерами, интеллектуальными сетевыми устройствами, локальными и распределенными компьютерными сетями и т.п.). Для получения такой информации могут применяться устройства, регистрирующие излучения компьютера и его периферии, а также компьютерных линий передачи информации. В частности, во время работы автоматизированных систем в питающей электрической сети наводятся сигналы, которые после соответствующей обработки отражают полностью или частично информацию о работе памяти и периферии.

Для дистанционного снятия информации за счет побочного излучения компьютера и его периферии применяют высокочувствительные широкополосные приемники, позволяющие выполнять последующую цифровую обработку перехваченного сигнала.

Второй метод несанкционированного получения информации из автоматизированных систем заключается в применении методов несанкционированного доступа к автоматизированной системе на локальном или сетевом уровне.

 

Локальный доступ

При наличии у злоумышленника локального доступа к АС и благоприятной для него обстановки он сможет обойти практически любую защиту. Для того чтобы значительно снизить шансы злоумышленника, имеющего локальный доступ к интересующей его АС, необходимо предпринять целый комплекс мер, как технического, так и организационного характера, начиная от проектирования архитектуры АС с учетом всех требований защиты и заканчивая установкой камер наблюдения, охранной сигнализации и организации специального режима доступа. Однако на практике в большинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения организаций, обрабатывающих в своих АС информацию с ограниченным доступом, которая может интересовать тех или иных злоумышленников.

 

Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.

Прежде всего, злоумышленник может воспользоваться одним из самых древних способов, против которого не сможет противостоять никакая АС, — хищением. Хищение информации, ее носителей, отдельных компонентов АС и, учитывая современные тенденции к миниатюризации СВТ, целых АС было и остается одним из самых распространенных способов несанкционированного получения информации. При этом квалификация лиц, участвующих в хищении может быть самой низкой, а правоохранительные органы, расследующие такие факты, да и зачастую сами подвергшиеся хищению организации, как правило, сосредотачивают основное внимание на осязаемых материальных ценностях. К хищению можно отнести и такие действия злоумышленников, когда компоненты АС просто подменяются на аналогичные. Например, сначала специалист высокой квалификации оказавшись под каким-то предлогом в офисе организации и используя благоприятную ситуацию, может за считанные секунды выяснить модель жесткого диска, причем все его действия будет контролировать легальный пользователь (типичная ситуация — любезное предложение помощи неопытному сотруднику, у которого “завис” компьютер и т.п.). Затем злоумышленникам остается лишь найти вышедший из строя жесткий диск аналогичной модели и, тайно проникнув в офис, заменить интересующий их жесткий диск неисправным. Если в организации не ведется строгого учета компонентов АС по серийным номерам (что, к сожалению, встречается сплошь и рядом), а злоумышленникам удастся скрыть факт проникновения в помещение (что также не очень большая проблема для опытных взломщиков), то такое происшествие не вызовет никакого подозрения.

Кроме того, к хищениям во многих случаях можно отнести прямое копирование всего жесткого диска на другой диск. Даже если исходный диск защищен, например, с помощью шифрования, злоумышленник средней квалификации может принести с собой другой жесткий диск большего объема и просто скопировать все содержимое исходного диска на свой диск, который впоследствии будет передан на исследование специалистам более высокой квалификации. В таком случае получение несанкционированного доступа к скопированной информации — всего лишь вопрос времени.

Наконец, следует знать, что часто хищение информации маскируется под хищение материальных ценностей. Например, злоумышленники могут похитить все офисное оборудование, хотя на самом деле их интересует лишь содержимое жесткого диска компьютера, стоявшего в кабинете руководителя. Часто оказывается, что руководители организаций, требуя от подчиненных соблюдения всех правил информационной безопасности, не распространяют на себя эти требования, хотя имеют доступ к любым файлам своих подчиненных. Например, большинство руководителей даже не подозревают, что все открываемые ими по сети файлы таких программ, как MicrosoftWord и других офисных приложений, копируются в папку для временных файлов Windows на локальном диске.

Вторым распространенным методом несанкционированного получения информации при локальном доступе к АС является использование открытого сеанса легального пользователя. Здесь возможности злоумышленника определяются лишь временем, на который он получает доступ к АС, полномочиями в АС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег.

Особая опасность этого метода заключается в том, что со стороны специалистов по защите информации действия злоумышленника, воспользовавшегося открытым сеансом легального пользователя, скорее всего, не вызовут никаких подозрений (в большинстве случаев на “своих” пользователей, особенно если они занимают в иерархии организации более высокое положение, администраторы безопасности обращают меньше всего внимания). Часто пользователи практически подталкивают посторонних к несанкционированному доступу к своим системам, размещая свои пароли “под рукой” прямо на рабочем месте (например, наклеивая листки для записей с паролями на монитор или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не отличается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользователя. Этот метод более “заметен” со стороны компонентов АС, обеспечивающих безопасность, однако также оказывается достаточно эффективным. Например, в организации может быть реализована жесткая политика по выбору паролей, обеспечивающая невозможность случайного подбора или угадывания паролей за 2–3 попытки с блокированием учетной записи при превышении количества попыток. При этом все пользователи организации, покидая рабочее место, должны временно блокировать доступ к своим системам так, чтобы блокировка снималась только при правильно введенном пароле. Однако некоторые пользователи могут установить полюбившиеся программы-заставки, в которых ввод пароля происходит в обход основной операционной системы. Часто оказывается, что такие пользователя в качестве пароля выбирают последовательности вида 1111 или user и т.п., что значительно облегчает задачу подбора пароля легального пользователя.

Часто для осуществления подбора пароля легального пользователя злоумышленники прибегают к использованию открытого сеанса этого же или другого пользователя с последующим копированием системных файлов. В частности, в системах Windows NT/2000/XP злоумышленник может скопировать файл SAM или его резервную копию SAM._, находящиеся в папке repair системной папки Windows, а затем попытаться установить хранящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наибольший интерес для злоумышленника представляют файлы /etc/passwd или shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обладая минимальной квалификацией, может за считанные минуты или даже секунды получить информацию о паролях легальных пользователей, хранящихся в этих файлах.

Еще одним методом локального несанкционированного доступа является использование учетной записи легального пользователя для расширения полномочий в АС. Он отличается от метода использования открытого сеанса легального пользователя тем, что в данном случае злоумышленнику не требуется выдавать себя за другого, поскольку он в силу тех или иных причин сам имеет доступ к АС. Например, во многих организациях сторонним пользователям, посетителям, представителям других организаций, временным сотрудникам и другим лицам, не являющимся сотрудниками организации, предоставляют так называемые гостевые учетные записи. Однако часто оказывается, что АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС организации, а действия сторонних пользователей, получающих гостевой доступ, практически никак не контролируются. Это позволяет злоумышленнику, воспользовавшись специальными программами взлома (exploit), расширить свои полномочия вплоть до получения полного доступа ко всем АС организации. В системах Windows NT/2000/XP, например, злоумышленник может воспользоваться такими программами взлома, как getadmin или main, а в Unix-подобных системах — многочисленными программами взлома командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного программного обеспечения Unix.

Наконец, часто злоумышленнику, имеющему локальный доступ кАС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к такому простому приему, как загрузка альтернативной операционной системы. Такая система может загружаться как с дискеты, так и с компакт-диска. (К особой разновидности этого метода является срабатывание функции автозапуска в Windows.Воспользовавшись этим изъяном, злоумышленник может запустить нужную ему программу даже на системе c Windows, защищенной с помощью экранной заставки с паролем). Например, с помощью простого командного файла, злоумышленник может в считанные минуты перезагрузить компьютер, работающий под управлением Windows 98/ME/2000/XP/7 и получить в свое распоряжение перечень всех файлов, а также файлы PWL и SAM, хранящиеся на дисках этого компьютера.

Удаленный доступ

В отличие от локального доступа, палитра методов и средств несанкционированного получения информации изАС при удаленном доступе значительно шире и достаточно сильно зависит от используемой операционной системы (ОС), настройки параметров безопасности и т.п. Как ни парадоксально, но наиболее защищенными (с некоторыми оговорками) при удаленном доступе являются АС, работающие под управлением операционных систем, которые наибольше всего уязвимы при локальном доступе, например Windows 98. Однако это противоречие только кажущееся. Действительно, системы типа MS DOS или Windows 98 изначально не проектировались для работы в сетях. Поэтому в них практически отсутствуют развитые средства удаленного доступа, а имеющиеся средства представляют собой внешние по отношению к ядру таких систем модули, слабо интегрированные с остальными компонентами подобных простейших ОС. Поэтому, если пользователь АС, работающей под управлением такой ОС, как Windows 98, соблюдает простейшие правила безопасности (например, не предоставляет доступ по сети к файлам и папкам своего компьютера), его система обладает высокой степенью устойчивости ко взлому.

С другой стороны, большинство Unix-подобных операционных систем изначально проектировались и развивались именно как сетевые операционные системы. Поэтому такие системы часто для обеспечения безопасной работы в сетях требуют тщательной настройки параметров безопасности.

Следует заметить, что за редким исключением (например, таким, как ОС OpenBSD), большинство современных ОС при настройке параметров, принятых по умолчанию, являются небезопасными с точки зрения работы в компьютерных сетях.