Инженерно-технические методы защиты от нсД. построение систем защиты от угрозы утечки

по техническим каналам

 

Нарушение конфиденциальности происходит в результате утечки информации. Защита информации от утечки — это де- ятельность, направленная на предотвращение неконтролируе- мого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Основными причинами утечки информации являются [3]:

· несоблюдение персоналом норм, требований, правил экс- плуатации;

· ошибки в проектировании системы и систем защиты;

· ведение противостоящей стороной технической и аген- турной разведок.

5.4. Инженерно-технические методы защиты от НСд

 

Причины утечки информации достаточно тесно связаны с видами утечки информации.

В соответствии с ГОСТ Р 50922–96 рассматриваются три вида утечки информации:

· разглашение;

· несанкционированный доступ к информации;

· получение защищаемой информации разведками (как от- ечественными, так и иностранными).

Канал утечки информации — совокупность источника инфор- мации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделе- ния информации из сигнала или носителя. Одним из основ- ных свойств канала является месторасположение средства вы- деления информации из сигнала или носителя, которое может быть в пределах контролируемой зоны или вне ее.

При выявлении каналов утечки информации необходимо рассматривать всю совокупность элементов системы, включа- ющую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т. п.

Наряду с основными техническими средствами, непосред- ственно связанными с обработкой и передачей информации, необходимо учитывать и вспомогательные технические средства и системы, такие как технические средства открытой телефон- ной, факсимильной, громкоговорящей связи, системы охран- ной и пожарной сигнализации, электрификации, радиофика- ции, часофикации, электробытовые приборы и др.

В качестве каналов утечки большой интерес представля- ют вспомогательные средства, выходящие за пределы кон- тролируемой зоны, а также посторонние провода и кабели, к ним  не  относящиеся,  но  проходящие  через  помещения с установленными в них основными и вспомогательными техническими средствами, металлические трубы систем ото-

 

пления, водоснабжения и другие токопроводящие металло- конструкции.

Следует помнить о внутренних каналах утечки информации, связанных с действиями администрации и обслуживающего персонала, с качеством организации режима работы, тем более что обычно им не придают должного внимания. Из них в пер- вую очередь можно отметить такие каналы утечки, как хище- ние носителей информации, использование производственных и технологических отходов, визуальный съем информации с мо- нитора и принтера, несанкционированное копирование и т. п.

 

Каналы утечки информации по физическим принципам мож- но разделить на следующие группы:

· акустические (включая и акустопреобразовательные). Связаны с распространением звуковых волн в воздухе или упругих колебаний в других средах;

· электромагнитные (в том числе магнитные и электриче- ские);

· визуально-оптические (наблюдение, фотографирование). В качестве средства выделения информации в данном слу- чае могут рассматриваться фото-, видеокамеры и т. п.;

· материально-вещественные (бумага, фото, магнитные но- сители, отходы и т. п.);

· информационные. Связаны с доступом к элементам си- стемы, носителям информации, самой вводимой и выво- димой информации, к программному обеспечению, а так- же с подключением к линиям связи.

На практике применяется также деление каналов утечки на технические (к ним относятся акустические, визуально-оп- тические и электромагнитные) и информационные.

При оценке степени опасности технических каналов утеч- ки следует иметь в виду, что не всегда наличие носителя (аку- стического или электромагнитного поля) является фактором, достаточным для съема информации. Например, при низкой

5.5. Идентификация и аутентификация

 

разборчивости речи невозможно восстановить ее смысл. По- бочные электромагнитные излучения электронной аппарату- ры могут не нести информативного сигнала (например, излу- чение, возникшее вследствие генерации тактовых импульсов средств вычислительной техники). Для объективной оценки проводят специальные исследования оборудования и специ- альные проверки рабочих помещений. Такого рода исследова- ния и проверки выполняются организациями, имеющими ли- цензии на соответствующий вид деятельности. При выявлении технических каналов утечки информации применяются меры по их перекрытию.

 

5.5.
идентификация и аутентификация

 

К категории технологических методов защиты от НСД от- носятся идентификация и аутентификация.

Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать гарантированность того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. В этом смысле, чем выше стойкость си- стемы аутентификации, тем сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентифика- ции является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы. Различают три группы методов аутентификации, основанных на наличии у пользователей:

· индивидуального объекта заданного типа;

· индивидуальных биометрических характеристик;

· знаний некоторой известной только пользователю и про- веряющей стороне информации.

К первой группе относятся методы аутентификации, пред- полагающие использование удостоверений, пропуска, магнит-

 

ных карт и других носимых устройства, которые широко при- меняются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

Во вторую группу входят методы аутентификации, основан- ные на применении оборудования для измерения и сравнения с эталоном заданных индивидуальных характеристик пользо- вателя: тембра голоса, отпечатков пальцев, структуры радуж- ной оболочки глаза и др. Такие средства позволяют с высокой точностью аутентифицировать обладателя конкретного биоме- трического признака, причем «подделать» биометрические па- раметры практически невозможно.

Последнюю группу составляют методы аутентификации, при которых используются пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.

Если в процедуре аутентификации участвуют только две сто- роны, устанавливающие подлинность друг друга, такая проце- дура называется непосредственной аутентификацией. Если же в процессе аутентификации участвуют не только эти сторо- ны, но и другие, вспомогательные, говорят об аутентифика- ции с участием доверенной стороны. Третью сторону называ- ют сервером аутентификации или арбитром.

Выбирая тот или иной протокол аутентификации, необходи- мо определить, какая именно аутентификация требуется — од- носторонняя или взаимная, нужно ли использовать доверенное третье лицо и если да, то какая из сторон — претендент или ве- рификатор — будет с ним взаимодействовать. Протоколы без- диалоговой аутентификации часто осуществляют еще и кон- троль целостности данных.

 

5.6.
Основные направления и цели использования криптографических методов

 

При построении защищенных систем роль криптографиче- ских методов для решения различных задач информационной безопасности трудно переоценить. Криптографические мето- ды в настоящее время являются базовыми для обеспечения на- дежной аутентификации сторон информационного обмена, за- щиты информации в транспортной подсистеме, подтверждения целостности объектов информационной системы и т. д.

Проблемой защиты информации путем ее преобразования занимается криптология (лат. kryptos — тайный, logos — нау- ка). Криптология разделяется на два направления — крипто- графию и криптоанализ. Цели этих направлений прямо про- тивоположны.

Криптография занимается поиском и исследованием мате- матических методов преобразования информации. Криптогра- фия дает возможность преобразовать информацию таким обра- зом, что ее прочтение (восстановление) возможно только при знании ключа.

Сфера интересов криптоанализа — исследование возможно- сти расшифровывания информации без знания ключей.

Основные направления и цели использования криптогра- фических методов:

· передача конфиденциальной информации по каналам связи (например, электронная почта);

· обеспечение достоверности и целостности информации;

· установление подлинности передаваемых сообщений;

· хранение информации (документов, баз данных) на но- сителях в зашифрованном виде;

· выработка информации, используемой для иденти- фикации и аутентификации субъектов, пользователей и устройств;

 

· выработка информации, используемой для защиты ау- тентифицирующих элементов защищенной системы.

В качестве информации, подлежащей шифрованию и де- шифрованию, будут рассматриваться тексты, построенные на некотором алфавите.

Алфавит — конечное множество используемых для кодиро- вания информации знаков.

Текст — упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современ- ных информационных системах, можно привести следующие:

· алфавит Z33–32 буквы русского алфавита и пробел;

· алфавит Z256 — символы, входящие в стандартные коды ASCII и КОИ-8;

· бинарный алфавит — Z2 = {0,1};

· восьмеричный алфавит или шестнадцатеричный алфавит; Шифрование — преобразовательный процесс: исходный текст, который носит также название открытого текста, заме-

няется шифрованным текстом (рис. 5.1).

Открытый текст

Криптосистема

Зашифрованный текст

Ключ

Рис. 5.1. Шифрование

 

Дешифрование — обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный (рис. 5.2). Ключ — информация, необходимая для беспрепятственно-

го шифрования и дешифрования текстов. Обычно ключ пред- ставляет собой последовательный ряд букв алфавита.

Криптосистемы разделяются на симметричные и ассиме- тричные (с открытым ключом).

 

Зашифрованный текст

Криптосистема

Открытый текст

Ключ

Рис. 5.2. Дешифрование

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ: источник за- шифровывает открытый текст на секретном ключе К, а при- емник расшифровывает шифртекст на секретном ключе К*. Обычно К = К*.

В ассиметричных системах (системах с открытым ключом) используются два ключа — открытый и закрытый, которые ма- тематически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желаю- щим, а расшифровывается с помощью закрытого ключа, извест- ного только получателю сообщения или наоборот.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания клю- ча (т. е. криптоанализу).

В зависимости от исхода криптоанализа все алгоритмы шиф- рования можно разделить на три группы.

К первой группе относятся совершенные шифры, заведомо не поддающиеся дешифрованию (при правильном использо- вании). Примером такого шифра является шифр гаммирова- ния случайной равновероятной гаммой.

Во вторую группу входят шифры, допускающие неоднознач- ное дешифрование. Например, такая ситуация возникает, если зашифровать с помощью шифра простой замены очень корот- кое сообщение.

Основная масса используемых шифров относится к третьей группе и может быть в принципе однозначно дешифрована.

 

Сложность дешифрования шифра из этой группы будет опре- деляться трудоемкостью используемого алгоритма дешифрова- ния. Следовательно, для оценки стойкости такого шифра необ- ходимо рассмотреть все известные алгоритмы дешифрования и выбрать из них имеющий минимальную трудоемкость, т. е. тот, который работает в данном случае быстрее всех остальных. Трудоемкость этого алгоритма и будет характеризовать стой- кость исследуемого шифра.

Удобнее всего измерять трудоемкость алгоритма дешиф- рования в элементарных операциях, но более наглядным па- раметром является время, необходимое для вскрытия шиф- ра (при этом необходимо указывать технические средства, которые доступны криптоаналитику). Не следует забывать, что вполне возможно существование неизвестного на дан- ный момент алгоритма, который может значительно снизить вычисленную стойкость шифра. К большому сожалению раз- работчиков шифросистем, строго доказать с помощью мате- матических методов невозможность существования простых алгоритмов дешифрования удается чрезвычайно редко. Очень хорошим результатом в криптографии является доказатель- ство того, что сложность решения задачи дешифрования ис- следуемого шифра эквивалентна сложности решения какой- нибудь известной математической задачи. Такой вывод хотя и не дает 100 % гарантии, но позволяет надеяться, что суще- ственно понизить оценку стойкости шифра в этом случае бу- дет очень непросто.

К средствам криптографической защиты информации (СКЗИ) относятся:

· аппаратные;

· программно-аппаратные;

· программные средства.

Предполагается, что СКЗИ используются в некоторой ин- формационной системе совместно с механизмами реализации и гарантирования политики безопасности.

 

Можно говорить о том, что СКЗИ производят защиту объ- ектов на семантическом уровне. В то же время объекты-пара- метры криптографического преобразования являются полно- ценными объектами информационной системы и могут быть объектами некоторой политики безопасности (например, клю- чи шифрования могут и должны быть защищены от НСД, от- крытые ключи для проверки цифровой подписи — от измене- ний и т. д.).

Основные причины нарушения безопасности информации при ее обработке СКЗИ:

1. Утечка информации по техническим каналам.

2. Неисправности в элементах СКЗИ.

3. Работа совместно с другими программами: непреднаме- ренное и преднамеренное влияние (криптовирусы).

4. Воздействие человека.

В связи с этим помимо встроенного контроля за пользова- телем, необходимо отслеживание правильности разработки и использования средств защиты с применением организаци- онных мер.

Процесс синтеза и анализа СКЗИ отличается высокой слож- ностью и трудоемкостью, поскольку необходим всесторонний учет влияния перечисленных выше угроз на надежность реали- зации СКЗИ. В связи с этим практически во всех странах, обла- дающих развитыми криптографическими технологиями, разра- ботка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицен- зирование деятельности, связанной с разработкой и эксплуата- цией криптографических средств, сертификацию СКЗИ и стан- дартизацию алгоритмов криптографических преобразований.

В России в настоящее время организационно-правовые и на- учно-технические проблемы синтеза и анализа СКЗИ находят- ся в компетенции ФСБ.

Правовая сторона разработки и использования СКЗИ регла- ментируется в основном указом Президента Российской Феде-

 

рации от 03.04.95 № 334 с учетом принятых ранее законодатель- ных и нормативных актов РФ.

Дополнительно учитываемой законодательной базой явля- ются законы «О федеральных органах правительственной свя- зи и информации», «О государственной тайне», «Об информа- ции, информационных технологиях и о защите информации»,

«О сертификации продукции и услуг».

В настоящее время шифрование является единственным на- дежным средством защиты при передаче информации.

 

5.7.
защита от угрозы нарушения конфиденциальности на уровне содержания информации

 

Существуют различные методы защиты конфиденциально- сти информации на уровне содержания.

Рассмотрим ситуацию, когда злоумышленнику удалось получить доступ к синтаксическому представлению конфи- денциальной информации, т. е. он имеет перед собой после- довательность знаков некоторого языка, удовлетворяющую формальным правилам нотации. Данная ситуация может воз- никнуть, например, тогда, когда удалось дешифровать файл данных и получить текст, который может рассматриваться как осмысленный. В этом случае для сокрытия истинного со- держания сообщения могут применяться различные приемы, суть которых сводится к тому, что в соответствие одной по- следовательности знаков или слов одного языка ставятся зна- ки или слова другого.

В качестве примера можно привести шифр «Аве Мария», в кодовом варианте которого каждому слову, а порой и фразе ставятся в соответствие несколько слов явной религиозной те- матики, в результате чего сообщение выглядит как специфиче- ский текст духовного содержания. Обычный жаргон также мо-

 

жет иллюстрировать применяемые в повседневной практике подходы к сокрытию истинного смысла сообщений.

Другим направлением защиты является использование стега- нографии. Слово «стеганография» в переводе с греческого бук- вально означает «тайнопись». К ней относится огромное мно- жество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков (применяе- мое в сигнальной агентурной связи), цифровые подписи, тай- ные каналы и средства связи на плавающих частотах.

Вот какое определение предлагает Маркус Кун: «Стегано- графия — это искусство и наука организации связи таким спо- собом, который скрывает собственно наличие связи. В отличие от криптографии, где неприятель имеет возможность обнаружи- вать, перехватывать и декодировать сообщения — при том, что ему противостоят определенные меры безопасности, гаранти- рованные той или иной криптосистемой, — методы стеганогра- фии позволяют встраивать секретные сообщения в безобидные послания так, чтобы нельзя было даже подозревать существо- вания подтекста» [3].

Применительно к компьютерным технологиям можно ска- зать, что стеганография использует методы размещения файла- сообщения в файле- «контейнере», изменяя файл-«контейнер» таким образом, чтобы сделанные изменения были практически незаметны. Большинство из компьютерных стеганографиче- ских приемов объединяет методология изменения наименьше- го значимого бита (Least Significant Bits-LSB), который считает- ся «шумящим», т. е. имеющим случайный характер в отдельных байтах файла-«контейнера».

На практике в большинстве случаев открытый контейнер не содержит бесполезных данных, которые могут быть исполь- зованы для модификации. Вместо этого контейнерные фай- лы естественно содержат различные уровни шума, который при ближайшем рассмотрении, за исключением остальной ча- сти байта, может являться произвольной величиной. Звуковой

 

(.WAV) файл, например, содержит по большей части неслыш- ный шум фона на уровне LSB; 24-битовый графический образ будет содержать изменения цвета, которые почти незаметны человеческому глазу.

ВыВОды

· Эффективная защита от НСД возможна только при со- четании различных методов: организационных, техниче- ских, нормативно-правовых.

· Для перекрытия каналов несанкционированного доступа к информации большое значение имеет построение си- стем идентификации и аутентификации, позволяющих ограничить доступ к защищаемой информации. Подоб- ные системы используются как при контроле физического доступа (биометрическая аутентификация, аутентифика- ция с использованием определенного объекта), так и при контроле доступа к ресурсам и данным (парольные систе- мы).

· В настоящее время криптографические методы защиты информации от несанкционированного доступа являют- ся единственным надежным средством защиты при пе- редаче информации по каналам связи. Целесообразно использовать криптографическую защиту при хранении информации, что позволит в сочетании с мерами по огра- ничению доступа предотвратить несанкционированный доступ к информации.

Вопросы для самоконтроля

 

1. В чем отличие терминов «НСД» и «Нарушение конфи- денциальности информации»?

2. Что понимается под утечкой информации?

3. Каким образом классифицируются каналы утечки инфор- мации?

 

4. Каким образом следует выбирать меры защиты конфи- денциальности информации?

5. Дайте определение идентификации и аутентификации пользователя. В чем разница между этими понятиями?

6. Перечислите основные способы аутентификации. Ка- кой, на Ваш взгляд, является наиболее эффективным?

7. Какие основные методы контроля доступа используют- ся в известных вам информационных системах? В чем их достоинства и недостатки?

8. Почему аутентификация с использованием пароля счи- тается в настоящее время ненадежной?

9. Каковы методы аутентификации с использованием пред- метов заданного типа? Назовите те, которые получили распространение в последнее время.

10. Дайте определение шифра и сформулируйте основные требования к нему.

11. Поясните, что понимается под совершенным шифром.

12. Почему большинство современных шифрограмм могут быть однозначно дешифрованы?

13. Каким образом государство регулирует использование средств крипозащиты?

 

 

Построение систем защиты

от угрозы нарушения целостности информации и отказа доступа

v Защита целостности информации при хранении v Защита целост- ности информации при обработке v Защита целостности информа- ции при транспортировке v Защита от угрозы нарушения целостно- сти информации на уровне содержания v Построение систем защиты от угрозы отказа доступа к информации v Защита семантического

П

анализа и актуальности информации v

 

онятие целостности данных в научной литературе име- ет несколько определений. В одной из наиболее рас- пространенных трактовок под целостностью данных подразумевается отсутствие ненадлежащих изменений. Смысл понятия «ненадлежащее изменение» раскрывается Д. Кларком и Д. Вилсоном: ни одному пользователю автоматизированной системы, в том числе и авторизованному, не должны быть раз- решены такие изменения данных, которые повлекут за собой

их разрушение или потерю [3].

Нарушение целостности информации происходит либо при несанкционированном доступе к информации, либо без него. Угроза целостности существует на всех этапах жизни ин-

формации:

· при хранении;

· обработке;

· транспортировке.

 

6.1.
защита целостности информации при хранении

 

В информационной системе основное место хранения ин- формации — электронные носители, поэтому рассмотрим меры защиты применительно к этому классу носителей.

 

Определяя порядок хранения информации на электронных носителях, следует иметь в виду, что от состояния носителей за- висит качество программ и защищаемых данных. Электронные носители являются утройствами, подвергаюшимися интенсив- ному износу. Кроме того, в электронные носители могут быть внедрены закладки, поэтому используемые методы записи, хра- нения и считывания нельзя считать защищенными.

Организационно-технологические меры защиты целостно- сти информации на электронных носителях можно разделить на две основные группы:

· организационные меры по поддержке целостности ин- формации;

· технологические меры контроля целостности битовых по- следовательностей.

Организационные меры

Организационные меры защиты направлены на предупреж- дение хищения или утраты носителей, а вместе с ними и инфор- мации. Организационные меры излагаются в документах, опи- сывающих режим хранения конфиденциальной информации.

Организационные меры разделяются на две группы:

· создание  резервных копий информации, хранимой на электронных носителях;

· обеспечение правильных условий хранения и эксплуата- ции носителей.

Создание резервных копий

Создание резервных копий информации, хранимой в ин- формационной системе, должно быть обязательной регуляр- ной процедурой, периодичность которой зависит от важности информации и технологии ее обработки, в частности от объе- ма вводимых данных, возможности повторного ввода и т. д. Для создания резервных копий могут использоваться как стандарт- ные утилиты, так и специализированные системы резервного

 

копирования, адаптированные к конкретной системе. В послед- нем случае можно применять собственные методы «разностно- го» архивирования, когда на вспомогательный носитель запи- сывается, а только та часть информации, которая была введена с момента последнего сохранения.

В качестве вспомогательных носителей для хранения архив- ных данных выбирают, как правило, те, которые оптимальны по цене единицы хранимой информации.

При ведении резервных копий необходимо регулярно прове- рять сохранность и целостность находящейся в них информации.

Обеспечение правильных условий хранения и эксплуатации

Обеспечение правильных условий хранения и эксплуатации определяется конкретным типом носителя.

Регистрация и учет носителей производятся независимо от того, есть ли на них конфиденциальная информация или нет. Служебные носители должны иметь ясную, хорошо види- мую этикетку, на которой проставлены гриф, номер, дата реги- страции. Гриф секретности носителя может изменяться только в большую сторону, т. к. информация не может быть гаранти- рованно удалена. Учет носителей по журналу ведется в течение всей «жизни» носителя. В помещении не должно быть личных носителей. Не допускается работа с непроверенными носителя- ми. Должна проводиться систематическая комиссионная про- верка наличия носителей и информации.

Хранение электронных носителей такое же, как обычных документов такого же уровня конфиденциальности. Основное требование при хранении — исключение НСД. Передача между подразделениями должна осуществляться под расписку и учи- тываться в журнале. Вынос за пределы помещения возможен только с разрешения уполномоченных лиц.

Жесткий диск регистрируется с грифом, соответствующим категории компьютера, независимо от целей его использова- ния. На корпусе жесткого диска должна быть соответствующая

 

этикетка. При передаче компьютера в ремонт необходимо либо изъять жесткий диск, либо гарантированно удалить с него ин- формацию, либо присутствовать при ремонте.

Копирование файлов с зарегистрированных электронных носителей допускается только на компьютерах, категория ко- торых не ниже грифа секретности носителя. Каждое копирова- ние должно учитываться в обычном или электронном журнале.

Следует уделять особое внимание удалению информации с носителей. Обычные способы удаления файлов не приводят к удалению области данных, происходит стирание только на ло- гическом уровне. Кроме того, при удалении следует учесть, что в современных средствах обработки информация существует в нескольких экземплярах, под разными именами.

Технологические меры

Рассмотрим теперь технологические меры контроля целост- ности битовых последовательностей, хранящихся на электрон- ных носителях. Целостность информации в областях данных проверяется с помощью контрольного кода, контрольные чис- ла которого записываются после соответствующих областей, причем в контролируемую область включаются соответствую- щие маркеры.

Для обеспечения контроля целостности информации чаще всего применяют циклический контрольный код. Этот метод, дающий хорошие результаты при защите от воздействия слу- чайных факторов (помех, сбоев и отказов), совсем не обладает имитостойкостью, т. е. не обеспечивает защиту от целенаправ- ленных воздействий нарушителя, приводящих к навязыванию ложных данных.

Для контроля целостности можно использовать методы ими- тозащиты, основанные на криптографических преобразовани- ях. Они обеспечивают надежный контроль данных, хранящих- ся в системе, но в то же время реализуются в виде объемных программ и требуют значительных вычислительных ресурсов.

 

6.2.
защита целостности информации при обработке

 

При рассмотрении вопроса целостности данных при об- работке используется интегрированный подход, основанный на ряде работ Д. Кларка и Д. Вилсона, а также их последовате- лей и оппонентов и включающий в себя девять теоретических принципов [3]:

· корректность транзакций;

· аутентификация пользователей;

· минимизация привилегий;

· разграничение функциональных обязанностей;

· аудит произошедших событий;

· объективный контроль;

· управление передачей привилегий;

· обеспечение непрерывной работоспособности;

· простота использования защитных механизмов.

Понятие корректности транзакций определяется следующим образом. Пользователь не должен модифицировать данные про- извольно, а только определенными способами, т. е. так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем корректных транзакций и нель- зя произвольными средствами. Кроме того, предполагается, что

«корректность» каждой из таких транзакций может быть неко- торым способом доказана.

Второй принцип гласит, что изменение данных может осу- ществляться только специально аутентифицированными для этой цели пользователями. Данный принцип работает совмест- но с последующими четырьмя, с которыми тесно связана его роль в общей схеме обеспечения целостности.

Идея минимизации привилегий появилась еще на ранних эта- пах развития информационной безопасности в форме огра- ничения, накладываемого на возможности выполняющихся в системе процессов и подразумевающего то, что процессы

6.2. Защита целостности информации при обработке

 

должны быть наделены теми и только теми привилегиями, ко- торые естественно и минимально необходимы для выполнения процессов. Принцип минимизации привилегий распространя- ется и на программы, и на пользователей. Пользователи имеют, как правило, несколько больше привилегий, чем им необхо- димо для выполнения конкретного действия в данный момент времени. А это открывает возможности для злоупотреблений. Разграничение функциональных обязанностей подразумевает организацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важ- ный, с точки зрения целостности, процесс, необходимо участие различных пользователей. Это гарантирует невозможность вы- полнения одним пользователем всего процесса целиком (или даже двух его стадий) с тем, чтобы нарушить целостность дан- ных. В обычной жизни примером воплощения данного принци- па служит передача одной половины пароля для доступа к про- грамме управления ядерным реактором первому системному

администратору, а другой — второму.

Аудит произошедших событий, включая возможность восста- новления полной картины происшедшего, является превентив- ной мерой в отношении потенциальных нарушителей.

Принцип объективного контроля также является одним из краеугольных камней политики контроля целостности. Суть данного принципа заключается в том, что контроль целостно- сти данных имеет смысл лишь тогда, когда эти данные отража- ют реальное положение вещей. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, имеющих целью выявление возможных несоответствий между защища- емыми данными и объективной реальностью, которую они от- ражают.

Управление передачей привилегий необходимо для эффектив- ной работы всей политики безопасности. Если схема назна- чения привилегий неадекватно отражает организационную структуру предприятия или не позволяет администраторам без-

 

опасности гибко манипулировать ею для обеспечения эффек- тивности производственной деятельности, защита становится обременительной и провоцирует попытки обойти ее.

Принцип обеспечения непрерывной работы включает защи- ту от сбоев, стихийных бедствий и других форс-мажорных об- стоятельств.

Простота использования защитных механизмов необходи- ма, в том числе для того, чтобы пользователи не стремились обойти их как мешающих «нормальной» работе. Кроме того, как правило, простые схемы являются более надежными. Про- стота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет так- же наиболее простым, и наоборот, самый простой — наибо- лее защищенным.

 

6.3.
защита целостности информации при транспортировке

 

Средства контроля целостности должны обеспечивать защи- ту от несанкционированного изменения информации наруши- телем при ее передаче по каналам связи.

При транспортировке информации следует защищать как целостность, так и подлинность информации.

Схема контроля целостности данных подразумевает выпол- нение двумя сторонами — источником и приемником — некото- рых (возможно, разных) криптографических преобразований данных. Источник преобразует исходные данные и передает их приемнику вместе с некоторым приложением, обеспечива- ющим избыточность шифрограммы.

Приемник обрабатывает полученное сообщение, отделяет приложение от основного текста и проверяет их взаимное со- ответствие, осуществляя таким образом контроль целостности.

6.3. Защита целостности информации при транспортировке

 

Контроль целостности может выполняться с восстановлением

или без восстановления исходных данных.

Целостность отдельного сообщения обеспечивается имитов- ставкой, ЭЦП или шифрованием, целостность потока сообще- ний — соответствующим механизмом целостности.

Имитовставка

Для обеспечения целостности в текст сообщения часто вво- дится некоторая дополнительная информация, которая легко вычисляется, если секретный ключ известен, и является труд- новычислимой в противном случае. Если такая информация вырабатывается и проверяется с помощью одного и того же се- кретного ключа, то ее называют имитовставкой (в зарубежных источниках используется термин код аутентификации сообще- ний — Message Authentication Code (MAC) — поскольку помимо целостности может обеспечиваться еще и аутентификация объ- екта). Имитовставкой может служить значение хэш-функции, зависящей от секретного ключа, или выходные данные алгорит- ма шифрования в режиме сцепления блоков шифра.

Шифрование

Целостность данных можно обеспечить и с помощью их шифрования симметричным криптографическим алгоритмом при условии, что подлежащий защите текст обладает некоторой избыточностью. Последняя необходима для того, чтобы нару- шитель, не зная ключа шифрования, не смог бы создать шиф- рограмму, которая после расшифрования успешно прошла бы проверку целостности.