Недостатки современной научной базы обеспечения безопасности.

Можно констатировать существенный разрыв между те­оретическими моделями безопасности, оперирующими аб­страктными понятиями типа объект, субъект, доступ (обзор моделей будет приведен ниже) и современной парадигмой информационных технологий. Это приводит к несоответ­ствию между моделями безопасности и их воплощением в программные реализации. Кроме того, многие средства за­щиты, например, средства борьбы с РПС, вообще не имеют системной научной базы.

Такое положение является следствием отсутствия об­щей теории защиты информации, комплексных моделей ВС, описывающих механизм действий злоумышленников и РПС в реальных системах, отсутствием систем, позволяющих эффективно промоделировать стойкость ОС к атакам со стороны злоумышленников и РПС. Кроме всего перечислен­ного, в области безопасности нет даже общепринятой тер­минологии. Теория и практика действуют в разных плоско­стях. Следствием этого является то, что практически все системы защиты основаны на анализе результатов успешно состоявшейся атаки, что предопределяет их отставание от текущей ситуации. В качестве примера можно привести си­туацию с закрытием "внезапно" обнаружившихся "дыр" или антивирусные средства, которые обнаруживают и уничтожа­ют только заранее известные вирусы.

1.3.3 Изменение требований к безопасности.

В современных условиях чрезвычайно важным является обоснование требований, создание нормативной базы для установления и контроля необходимой степени безопасности. Существует ряд международных стандартов в этой области, среди которых можно назвать ISO-7498-2, Оранжевую книгу и т.д.[8]. Аналогом этих документов в России являются руководящие документы, пoдгoтoвлeнные Гостехкомиссией. Согласно этим документам безопасность ВС должна поддерживаться средствами, обеспечивающими: управление доступом, идентификацию и аутентификацию объектов и субъектов, контроль целостности и другие функции защиты. Однако, как уже говорилось, развитие аппаратных и программных средств ВС, распространение локальных и глобальных сетей, а также появление и эволюция РПС привели к возрастанию количества видов и способов осуществления нарушения безопасности целостности ВС, что создало предпосылки для изменения требований к средствам защиты.

Рассмотрим изменение функций перечисленных средств защиты.

1. Идентификация и аутентификация. Возникает необходимость добавления идентификации и аутентификации удаленных пользователей и процессов. Причем, поскольку проблема стоит в глобальном масштабе, средства должны обеспечивать идентификацию и аутентификацию объектов и субъектов, находящихся в разных частях планеты и функционирующих на различных аппаратных платформах и в разных ОС. В настоящий момент такие средства бурно развиваются. В качестве примера можно указать широко известную систему Kerberos и специальные интерфейсы, обеспечивающие идентификацию и аутентификацию участников взаимодействия типа GSSAPI (Generic Security Service Application Program Interface).

2. Управление доступом. Поскольку больший компьютеров является персональными, разграничение прав локальных пользователей в значительной степени потеряло свою актуальность. Задача разграничения доступа теперь сводится к ограничению доступа из сети к ресурсам имеющимся в ВС, и к защите ресурсов, принадлежащих пользователю, но расположенных на удаленных машинах.

3. Контроль целостности. Понятие контроля целостности теперь должно включать в себя т.н. защиту от проникновения в систему злоумышленника или РПС, в том числе через сеть. В защите каналов связи на первое место выступает не шифрование информации с целью защиты от перехвата, а защита сетевого соединения от атаки со стороны злоумышленника или РПС. В качестве примера можно привести распространенные в последнее время системы Firewall, защищающие локальные сети от проникновения в них со стороны Internet.

4. Наконец, РПС потребовали от защиты совершенно новой функции, а именно, механизмов, обеспечивающих безопасность и целостность системы в условиях возможного появления в ней программ, содержащих РПС. На первый взгляд кажется, что эта проблема решается задачей разграничения доступа, однако это не так, что подтверждается известными случаями распространения РПС в "защищенных" системах.

1.4 Заключение.

Таким образом, можно предположить, что ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую науч­ную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность должны яв­ляться:

- исследование и анализ причин нарушения безопас­ности компьютерных систем;

- разработка эффективных моделей безопасности, аде­кватных современной степени развития программных и ап­паратных средств, а также возможностям злоумышленников и РПС;

- создание методов и средств корректного внедрения моделей безопасности в существующие ВС, с возможнос­тью гибкого управления безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ре­сурсов;

- необходимость разработки средств анализа безопас­ности компьютерных систем с помощью осуществления тес­товых воздействий (атак).

Все эти проблемы в той или иной степени будут рас­смотрены в данной книге.

 

Теоретические основы информационной безопасности.

Основные понятия.

Введем основные понятия, используемые в дальнейших рассуждениях. Для того, чтобы начать обсуждение основных теоретических принципов синтеза и анализа защищенных систем, нам необходимо разобраться в вопросе "от чего нам следует защищать компьютерную систему". Для этого необходимо выделить и рассмотреть основные типы угроз (2.1.1). После этого мы определяем понятия субъектов, объектов и операций (2.1.2). Далее введем понятия уровней безопасности в системе. При применении данного понятия к субъектам и объектам системы получим понятия доверия и секретности (2.1.3). На основании данных определений рассмотрим формальное и неформальное описание правил доступа субъектов системы к объектам, в основе которых лежат политики и модели безопасности (2.1.4).

Основные угрозы ВС.

Для лучшего понимания возможных угроз и соотнесения их со средствами компьютерной защиты исследователи предложили выделить три различных типа угроз. А именно, было отмечено, что наиболее общие угрозы вычислительным системам могут быть рассмотрены как относящиеся к раскрытию, целостности или отказу служб вычислительной системы.

Угроза раскрытия.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин "утечка".

За последние два десятилетия в сферах компьютерной безопасности большое внимание уделялось угрозе раскрытия. Фактически, подавляющее большинство исследований и разработок в области компьютерной безопасности было сосредоточено на угрозах раскрытия. Одной из причин этого являлось значение, которое правительства придавали противостоянию этой угрозе.

Угроза целостности.

Угроза целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда взломщики преднамеренно изменяют информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью (таким изменением является периодическая запланированная коррекция некоторой базы данных).

До недавнего времени условно считалось, что правительства сосредотачивались на раскрытии, а деловые круги касались целостности. Однако, обе эти среды бы быть более или менее связаны каждой из двух угроз в зависимости от приложения. Например, планы правительственных сражений и коммерческие рецепты безалкогольных напитков должны быть защищены от обоих типов угроз.

Угроза отказа служб.

Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. То есть один пользователь запрашивает доступ к службе, а другойпредпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Субъекты, объекты и доступ.

Под сущностью мы будем понимать любую именованную составляющую компьютерной системы.

Субъект будет определяться как активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий. Под субъектами мы будем обычно понимать пользователя, процесс или устройство.

Объект будет определяться как пассивная сущность, используемая для хранения или получения информации. Примеры объектов: записи, блоки, страницы, сегменты, файлы, директории, биты, байты, слова, терминалы, узлы сети и т.д.

Хотя основную концепцию идентификации субъектов и объектов в системе описать просто, при практической реализации часто бывает не тривиальной задачей определить: что есть субъект, а что — объект. Например, в ОС процессы, конечно, являются субъектами, в то время как файлы и связанные с ними директории — объектами. Однако, когда субъекты получают коммуникационные сигналы от других субъектов, встает вопрос, рассматривать ли их как субъекты или же, как объекты.

Обозначим в дальнейших рассуждениях произ­вольное множество субъектов при помощи символа S, а произвольное множество объектов при помощи символа О.

В процессе исполнения субъекты исполняют операции. При исполнении субъектами операций происходит взаимодействие субъектов и объектов. Такое взаимодействие называется доступом. Доступ — это взаимодействие между субъектом и объектом, в результате которого происходит перенос информации между ними. Существуют две фундаментальные операции, переносящие информацию между субъектами и объектами. Под операцией чтения понимается операция, результатом которой является перенос информации от объекта к субъекту. Под операцией записи понимается операция, результатом которой является перенос информации от объекта к субъекту. Данные операции являются минимально необходимым базисом для описания широкого круга моделей, описывающих защищенные системы.