prosdo.ru 1
Основные подходы к защите данных от НСД. Шифрование. Контроль доступа. Разграничение доступа.


Естественным ходом развития информационных технологий явился принципиальный переход от открытости к защищенности при построении информационных систем. На сегодняшний день большинство программных продуктов, применяющихся для построения информационных систем, обладают встроенными средствами защиты. Это касается не только ОС, но СУБД и других приложений. Например, взамен протокола IP v4.0, изначально созданного для реализации единого открытого сетевого пространства, предлагается версия протокола IPSec, содержащая развитые возможности обеспечения информационной безопасности. Таким образом, наблюдается общая тенденция усиления роли механизмов защиты в современных информационных и сетевых технологиях.

Данную тенденцию наглядно иллюстрирует развитие ОС MS Windows. Можно четко проследить развитие встроенных в ОС механизмов защиты от Windows 3.1 (где механизмы защиты практически отсутствовали), к Windows NT (где механизмы защиты интегрированы в ядро ОС) и к Windows 2000 (где интеграция захватывает и внешние по отношению к разработчикам технологии защиты, такие как Kerberos, ІР-тунелирование и т.д.). То же самое можно сказать и о других семействах ОС. Например, в ОС FreeBSD в каждой из новых версий появляются новые механизмы защиты (firewall, nat). Такое же развитие средств защиты касается и прикладного программного обеспечения (ПО). В СУБД (Oracle) развитие защитных механизмов выражается в шифровании трафика, усложнении авторизации, добавлении разграничения доступа к элементам таблиц и т.п.

С учетом сказанного возникает ряд вопросов:


  1. Достаточно ли встроенных в современные ОС и приложения механизмов защиты для обеспечения гарантированной защиты информации от НСД?
  2. В предположении, что встроенных механизмов защиты недостаточно (а с учетом существующей статистики угроз это именно так), то чем это вызвано? Почему защищенность компьютерной информации остается недостаточной, несмотря на устойчивую тенденцию к усилению встроенных в современные универсальные ОС и приложения механизмов защиты? Каким образом следует усиливать встроенные механизмы добавочными средствами защиты?


  3. Какие функции должны обеспечивать и какими характеристиками должны обладать системы встроенной и добавочной защиты, чтобы обеспечить надежное противодействие попыткам НСД?

  4. В предположении, что добавочные механизмы защиты необходимы, каким образом комплексировать (взаимосвязывать) в защищаемой вычислительной системе встроенные и добавочные механизмы защиты?

Используемые в настоящее время на практике (а, естественно, именно это нас и будет интересовать) подходы к защите компьютерной информации определяются следующим характеристиками:

  • формализованными требованиями к набору и параметрам механизмов защиты, егламентирующими современные требования к обеспечению компьютерной безопасности (требованиями, определяющими что должно быть);

  • реальными механизмами защиты, реализуемыми при защите компьютерной информации. К таковым относятся прежде всего средства защиты ОС, т.к. большинство приложений используют встроенные в ОС механизмы защиты (определяющими, что есть);

  • существующей статистикой угроз компьютерной безопасности — существующими успешными атаками на информационные компьютерные ресурсы (определяющими, насколько эффективно то, что есть и дающими оценку достаточности требований к тому, что должно быть).

С учетом сказанного построим свое изложение и анализ существующих подходов к защите компьютерной информации следующим образом. Для начала рассмотрим формализованные требования, то есть требования соответствующих нормативных документов, регламентирующих требования к защите компьютерной информации от несанкционированного доступа. Далее рассмотрим механизмы защиты, реализованные в современных ОС и проанализируем, в какой мере ими выполняются требования соответствующих нормативных документов. Такой анализ необходим, чтобы определиться с причиной низкой защищенности компьютерной информации. Если встроенные в современные ОС механизмы защиты в полной мере соответствуют формализованным требованиям к ним, то, следовательно, эти требования необходимо усиливать. В противном случае необходимо усиливать механизмы защиты с целью выполнения соответствующих требований.


Следующим шагом будет рассмотрение и анализ существующей статистики угроз компьютерной информации и определение причины уязвимости современных ОС. На основе этого, а также на основе нормативных документов мы определим дополнительные требования к защите компьютерной информации, которые не выполняются встроенными в ОС механизмами защиты.

Затем рассмотрим непосредственно методы и механизмы, которые должны быть реализованы средствами добавочной защиты в дополнение к встроенным в ОС защитным механизмам. Особое внимание уделим методам и механизмам добавочной защиты, позволяющим функционально расширять встроенные механизмы защиты в предположении возможности потенциальных (еще не известных из опубликованной статистики) угроз. Также отдельно будут рассмотрены архитектурные и технические решения по реализации добавочной защиты.

Классификация требований к системам защиты


В общем случае следует говорить о необходимости учета двух (дополняющих друг друга) групп требований к системе защиты.

Первая группа требований (необходимые требования) заключается в необходимости реализации системой защиты формализованных мер безопасности (то есть мер, заданных соответствующими нормативными документами в области защиты информации). Формализованные требования к необходимым механизмам защиты информационных систем, в части их защиты от НСД, сформулированы в руководящих документах ГОСТЕХКОМИССИИ РОССИИ (для нашей страны). Для других стран эти требования сформулированы в документах соответствующих организаций, например:

  • «Оранжевая книга» КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ Министерства обороны США.

  • Согласованные критерии оценки безопасности информационных технологий, Information Technology Security Evaluation Criteria, ITSEC, Европейские страны.

При этом отметим, что данные документы носят общий характер. В них не в полной мере предусматривается классификация объектов, для которых должна быть реализована защита. Да, наверное, это и невозможно в рамках одного документа. В частности, эти документы предъявляют единые требования для всех семейств ОС. И это несмотря на то, что ОС различных семейств имеют принципиально отличные принципы построения, а значит, для них различаются и способы НСД.


В указанных руководящих документах не дается рекомендаций по способам построения и администрирования защищенных систем, то есть не сказано, как их строить. В этих документах лишь сформулированы требования (что должно быть реализовано) к механизмам защиты информации и, отчасти, требования к их количественным характеристикам. Данный подход к заданию формализованных требований, наверное, в целом оправдан, т.к. невозможно учесть в нормативных документах все тонкости построения и проектирования средств защиты сложных информационных систем, особенно при существующей динамике их развития.

Далее в работе по понятным причинам будут рассматриваться формализованные требования, принятые в нашей стране на момент написания книги.

Примечание


Формализованные требования носят основополагающий характер — в том смысле, что в них формализованы требования к основополагающим механизмам защиты информации. Поэтому их возможное со временем изменение не может быть сколько-нибудь существенным без появления новых научно обоснованных технологий защиты информации. Само же изменение неизбежно и естественно ввиду меняющейся со временем статистики угроз информационной безопасност

Вторая группа требований (дополнительные требования) заключается в необходимости учета существующей (текущей) статистики угроз для конкретного типа защищаемого объекта, а также потенциально возможных угроз (на данный момент отсутствующих в опубликованных угрозах, но гипотетически возможных). Необходимость этой группы требований обусловлена тем, что формализованные требования не могут учитывать все возможные угрозы объектам всех типов, требующих защиты. Также формализованные требования не могут соперничать по скорости обновления со скоростью изменения статистики угроз.

С учетом сказанного может быть сделан вывод о целесообразности рассмотрения условий необходимости и достаточности требований к защите информации. Необходимыми являются формализованные требования, определяемые соответствующими нормативными документами в области защиты информации. Достаточной является совокупность формализованных и дополнительных требований, формулируемых на основе анализа текущей статистики угроз защищаемому объекту, а также потенциально возможных угроз (на данный момент отсутствующих в опубликованных угрозах, но гипотетически возможных).




Шифрование


Шифрова́ние — способ преобразования открытой информации в закрытую, и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи. Шифрование подразделяется на процесс зашифровывания и расшифровывания.

В зависимости от алгоритма преобразования данных, методы шифрования подразделяются на гарантированной или временной криптостойкости.

В зависимости от структуры используемых ключей методы шифрования подразделяются на

симметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, но неизвестна небольшая порция секретной информации — ключа, одинакового для отправителя и получателя сообщения;

асимметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, и, возможно, открытый ключ, но неизвестен закрытый ключ, известный только получателю.

Существуют следующие криптографические примитивы:


  • Бесключевые

  1. Хеш-функции

  2. Односторонние перестановки

  3. Генераторы псевдослучайных чисел

  • Симметричные схемы

  1. Шифры (блочные,потоковые)

  2. Хеш-функции

  3. ЭЦП

  4. Генераторы псевдослучайных чисел

  5. Примитивы идентификации

  • Асимметричные схемы

  1. Шифры

  2. ЭЦП

  3. Примитивы идентификации

Контроль доступа


Контроль доступа (СКД, СКУД) — организационный процесс, осуществляемый с применением программно-аппаратных технических средств безопасности, имеющий целью ограничение / регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через двери, ворота, проходные (т. н. «точки прохода»).

Основные задачи:


  • ограничение доступа на заданную территорию
  • идентификация лица, имеющего доступ на заданную территорию


  • управление доступом на заданную территорию (кого, в какое время и на какую территорию пускать)

Дополнительные задачи:


  • учет рабочего времени

  • расчет заработной платы (интеграция с 1С)

  • ведение базы персонала / посетителей

  • входит в состав интегрированной системы безопасности (интеграция с системами видеонаблюдения, ОПС, периметральной охраны и др.)







Аппаратно-программный комплекс шифрования "Континент" - возможности, архитектура, варианты применения комплекса.



Аппаратно-программный комплекс шифрования "Континент" 3.5


Сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» 3.5 является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

Применение АПКШ "Континент" 3.5




  • АПКШ «Континент» 3.5 обладает всеми необходимыми возможностями, чтобы обеспечить:

  • объединение через Интернет локальных сетей предприятия в единую сеть VPN;

  • подключение удаленных и мобильных пользователей к VPN по защищенному каналу;

  • разделение доступа между информационными подсистемами организации;

  • организация защищенного взаимодействия со сторонними организациями;

  • безопасное удаленное управление маршрутизаторами.

Возможности


Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.5 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Ключевые возможности и характеристики АПКШ «Континент» 3.5



Эффективная защита корпоративных сетей




  • Безопасный доступ пользователей VPN к ресурсам сетей общего пользования

  • Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89



  • В АПКШ «Континент» 3.5 применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.

  • Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.

  • Управление криптографическими ключами ведется централизованно из ЦУС.

  • Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа



  • Криптошлюз «Континент» 3.5 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

  • Безопасный доступ удаленных пользователей к ресурсам VPN-сети



  • Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент» 3.5, позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.

  • Создание информационных подсистем с разделением доступа на физическом уровне


  • В АПКШ «Континент» 3.5 можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.



Основные характеристики и возможности




  • Поддержка распространенных каналов связи



  • Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.

  • «Прозрачность» для любых приложений и сетевых сервисов



  • Криптошлюзы «Континент» 3.5 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.

  • Работа с высокоприоритетным трафиком



  • Реализованный в АПКШ «Континент» 3.5 механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

  • Резервирование гарантированной полосы пропускания за определенными сервисами



  • Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

  • Поддержка VLAN



  • Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.

  • Скрытие внутренней сети. Поддержка технологий NAT/PAT



  • Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.

  • Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

  • методом инкапсуляции передаваемых пакетов (при шифровании трафика);
  • при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.


  • Возможность интеграции с системами обнаружения атак



  • На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.


Обслуживание и управление




  • Удобство и простота обслуживания (необслуживаемый режим 24*7)



  • АПКШ «Континент» 3.5 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.

  • Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

  • Удаленное обновление ПО криптошлюзов



  • В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

  • Обеспечение отказоустойчивости



  • Отказоустойчивость Комплекса обеспечивается следующими мерами:

  • Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
  • Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.


  • Централизованное управление сетью



  • Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.

  • Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

  • Ролевое управление – разделения полномочий на администрирование комплекса



  • Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).

  • Взаимодействие с системами управления сетью



  • Позволяет контролировать состояние АПКШ «Континент» 3.5 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).


Архитектура

Компоненты АПКШ «Континент» 3.5


  • Центр управления сетью криптографических шлюзов (ЦУС) – основной элемент управления осуществляет аутентификацию КШ и АРМ управления/ мониторинг и протоколирование состояния сети КШ/ хранение журналов и конфигурации КШ/ рассылку ключевой и конфигурационной информации/ централизованное управление криптографическими ключами/ взаимодействие с ПУ.
  • Криптошлюз – это специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Устройство осуществляет прием и передачу IP-пакетов по протоколам TCP/IP (статическая маршрутизация)/ шифрование пакетов (ГОСТ 28147–89, режим гаммирования с обратной связью, длина ключа 256 бит)/ защиту передаваемых данных от искажения (ГОСТ 28147–89, режим имитовставки)/ фильтрацию пакетов/ скрытие структуры сети/ регистрацию событий/ оповещение ЦУС о своей активности и о событиях, требующих вмешательства/ контроль целостности ПО КШ.


  • Программа управления ЦУС (ПУ ЦУС) – её основная функция – централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса.

  • Агент ЦУС осуществляет установление защищенного соединения и обмен данными с ЦУС и ПУ /получение от ЦУС, хранение и передачу ПУ содержимого журналов/ получение от ЦУС и передачу ПУ информации о работе комплекса.

  • Абонентский пункт (Континент АП) осуществляет установление VPN-туннеля между удаленным рабочим местом пользователя и внутренней защищаемой сетью организации. При подключении по сетям общего доступа и Интернет выполняет аутентификацию пользователя/ поддержку динамического распределения адресов/ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу/ доступ по выделенным и коммутируемым каналам связи/ возможность доступа к ресурсам сетей общего пользования.

  • Сервер доступа осуществляет обеспечение связи между удаленным АП и защищаемой сетью, а также определение уровня доступа пользователя и его аутентификацию.

  • Программа управления СД (ПУ СД) – её основная функция – централизованное управление настройками и оперативный контроль состояния всех СД, входящих в состав комплекса.

c:\users\r.azebok\desktop\file0005.jpg

Варианты применения комплекса


  • АПКШ «Континент» является мощным и гибким инструментом создания виртуальных частных сетей, позволяющим строить VPN любой архитектуры. Ниже представлены типовые схемы построения VPN на основе комплекса:

  • Безопасное подключение ЛВС к сети Internet

  • Объединение через Интернет локальных сетей предприятия в единую сеть VPN

  • Связь с другими сетями

  • Разделение доступа между информационными подсистемами

  • Удаленное управление маршрутизаторами
  • Защита беспроводных сетей


  • Подключение удаленных пользователей

  • централизованное подключение

  • подключение по схеме «дерево»

  • децентрализованное подключение


Безопасное подключение ЛВС к сети InternetНаверх


АПКШ «Континент» может применяться в качестве межсетевого экрана/маршрутизатора для безопасного подключения ЛВС к сетям общего пользования (Интернет). Поддержка технологии NAT, позволяет организовать доступ пользователей ЛВС к ресурсам сети Интернет с одного IP адреса.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/09.jpg

 
 

 
 

 

Разделение доступа


Разделение доступа между информационными подсистемами (например подсистемами различных подразделений предприятия) в рамках единой VPN. АПКШ «Континент», позволяет разделять информационные подсистемы на уровне сетевых интерфейсов, что дает возможность адаптировать комплекс к практически любой выбранной предприятием политике безопасности.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/08.jpg

 

 

Удаленное управление коммутационным оборудованием


http://www.securitycode.ru/_upload/editor_img/products/kontinent/05.jpg

 

 

Защита беспроводных сетей

Безопасное подключение клиентов беспроводной сети в выделенный сегмент с разграничением прав доступа.


http://www.securitycode.ru/_upload/editor_img/products/kontinent/shema_03.jpg

 

 

Подключение удаленных пользователей


Подключение удаленных клиентов к сети, защищенной АПКШ «Континент», при помощи абонентского пункта. Работа с динамическими IP-адресами существенно увеличивает мобильность пользователя.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/01.jpg

 

 

Централизованное подключение АП


Для малого бизнеса или небольших предприятий идеально подойдет схема централизованного подключения АП.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/02.jpg

 

 

Подключение АП по схеме «дерево»


Для организаций, имеющих разветвленную сеть филиалов и представительств, возможно организовать VPN по схеме«дерево». Такая схема упорядочит информационные потоки внутри организации.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/03.jpg

 

 

Децентрализованное подключение АП


При наличии в организации сложной распределенной информационной системы сбора и обработки данных или для решения сложных задач, возможна организация доступа к ресурсам VPN по децентрализованной схеме.

http://www.securitycode.ru/_upload/editor_img/products/kontinent/04.jpg