На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Функциональная модель системы защиты. Состав и назначение функциональных блоков

Основные группы механизмов защиты. Функциональная модель
Современными нормативными документами в области защиты инфор­мации в части защиты от НСД [1, 2] выделяются следующие основные группы механизмов защиты:
1. Механизмы авторизации пользователей.
2. Механизмы управления доступом пользователей к ресурсам.
3. Механизмы контроля целостности.
4. Механизмы регистрации (аудита).
Функционально (с учетом действий пользователя при доступе к ресур­сам, а также с учетом противодействия НСД к информации механизма­ми защиты) система защиты должна строиться как иерархическая систе­ма - - могут быть выделены несколько основных уровней иерархии защиты. Выделение данных уровней и их реализация является необхо­димым (определяется формализованными требованиями) условием пост­роения системы защиты.
Функциональная модель системы защиты, которая может быть получена
на основании анализа формализованных требований к системе защиты,
представлена 3.
Из сравнения функциональных моделей, представленных 3 и 4 видно, что с целью решения сформулированных выше задач добавочной защиты в модель защиты включены:
» уровень контроля (мониторинга) активности ПО системы защиты;
» уровень контроля (мониторинга) наличия оборудования системы защиты;
» кроме того, принципиально изменены функции уровня контроля це­лостности — данный уровень защиты здесь функционально предназ­начен для контроля (мониторинга) корректности выполнения функ­ций защиты и контроля целостности.
Рассмотрим назначение уровней защиты в приведенной функциональной модели. Задачи, решаемые на различных уровнях, реализуются с учетом сформулированных для них требований. При этом каждый уровень защиты
будем рассматривать как функциональный блок в представленной схеме.
Уровень авторизации пользователя при доступе к ресурсам системы
Для начала надо определиться, кого мы будем понимать под пользова­телем. К пользователям, в рамках уровневой модели защиты, могут быть отнесены как пользователи приложений, решающие с использованием данного средства соответствующие производственные задачи, так и ад­министратор безопасности, являющийся пользователем системы защиты.
Уровень авторизации пользователя обеспечивает проверку учетных парамет­ров пользователя при доступе в систему и к системе защиты. Также этим уровнем защиты решается ряд вспомогательных задач, например, запуск процесса (приложения) после авторизации ответственного лица и др. Рас­смотрению авторизации целиком посвящена третья часть данной книги.
Уровень управления доступом (разграничения прав доступа) пользователя к ресурсам
Уровень управления доступом (разграничения прав доступа) реализу­ет собственно разграничительную схему доступа пользователей к ре­сурсам защищаемого объекта, а также политику администрирования системы защиты в рамках выполнения политики информационной бе­зопасности. Под системой защиты здесь понимаем соответствующие механизмы, встроенные в ОС, СУБД, приложения, а также добавоч­ные механизмы защиты.
Для решения задачи управления доступом к ресурсам на этом уровне выделяются локальные и сетевые ресурсы. К локальным ресурсам, тре­бующим разграничения доступа пользователей, относятся:
» файловые объекты (логические диски, каталоги, файлы);
« устройства со сменными носителями (в частности, дисковод и CD-ROM);
* отчуждаемые физические носители информации (в частности диске­ты и CD-ROM диски);
коммуникационные порты; » локальные принтеры;
» процессы (исполняемые файлы), в том числе процессы ОС, системы
защиты и приложений — в части их модификации и запуска; » настройки ОС (для ОС Windows — реестр ОС);
* файлы настроек системы защиты;
» файлы настроек приложений;
» при использовании СУБД — таблицы данных и таблицы настроек; '» настройки «рабочего стола» ОС и т.д.
К сетевым ресурсам (в составе ЛВС), требующим разграничения доступа
пользователей, относятся:
* разделяемые сетевые ресурсы (по протоколу NetBios для сети
к которым относятся разделяемые файловые объекты, устройства со сменными носителями (виртуальные каналы связи сети Microsoft);
» сетевые ресурсы, например, по протоколу TCP/IP протоко­лы), виртуальные каналы связи сети TCP/IP;
« сетевые принтеры; сетевые службы и приложения (в том числе приложения информаци­онных систем, например, СУБД), в части их модификации и запуска; файлы настроек сетевых служб и приложений и т.д.
Разграничительная политика рассматривается как в виде разграничения доступа к ресурсам, так и в виде функций, реализующих разрешенный доступ (например, чтение, запись, исполнение и др). Решение задач раз­граничения доступа пользователей к ресурсам предполагает и реализацию процедур возврата коллективно используемого ресурса в исходное состо­яние для его предоставления другому пользователю (например, очистка
оперативной и внешней памяти).
На этом уровне также решается задача распределения функций администри­рования безопасностью системы между пользователями, системным (сетевым) администратором, администраторами СУБД и приложений, администратором безопасности. При этом решается задача централизации схемы администри­рования безопасности, в рамках которой изменение настроек безопасности
на различных уровнях иерархии системы должно осуществляться только при непосредственном контроле со стороны администратора безопасности.
Вопросы корректности и полноты, а также возможности противодей­ствия группе скрытых угроз, связанных с нерегламентированными дей­ствиями пользователя, для данного уровня защиты будут рассматриваться
в четвертой части.
Уровень контроля (мониторинга) корректности выполнения функций защиты и контроля целостности
Отметим, что сама по себе задача контроля целостности предполагает возможность несанкционированного доступа к информации (в противном случае достаточно первых двух уровней защиты). Таким образом, данный механизм априори служит противодействию скрытым угрозам в предположении, что злоумышленником преодолены первые два уровня защиты, которые реализуют разграничительную политику доступа к ре­сурсам защищаемого объекта.
В рамках формализованных требований недостаток механизма контроля
целостности состоит в том, что данный механизм, во-первых, реализует
очень ограниченный набор функций, а во-вторых, не позволяет обеспе­чивать эффективную реакцию на скрытую атаку в реальном времени. По сути он только фиксирует ее факт и последствия.
С учетом сказанного функциональные задачи этого уровня защиты имеет смысл принципиально расширить. При этом к уже существующим задачам
контроля целесообразно добавить контроль (мониторинг) корректности вы­полнения разграничительной политики доступа, реализуемой на предыдущем
уровне. В том числе на этом уровне следует в реальном времени фиксиро­вать факты использования злоумышленником ошибок и закладок в систем­ном и прикладном ПО, а также оказывать противодействие данной группе
скрытых угроз. К этому уровню также следует отнести контроль целостности программ и данных, то есть контроль объектов файловой системы.
В отличие от двух предыдущих уровней, где соответствующие механиз­мы (программные модули системы защиты) запускаются асинхронно по факту запроса в системе на доступ к ресурсу, данный уровень реализует синхронную процедуру контроля. При этом он контролирует соответству­ющие события периодически, что связано с его более сильным влияни­ем на загрузку вычислительного ресурса защищаемого объекта по срав­нению с большинством механизмов защиты двух предыдущих уровней.
Исключение составляют лишь реализуемые на предыдущем уровне ме­ханизмы распределения функций администрирования безопасностью си­стемы между пользователями, системным (сетевым) администратором, ад­министраторами СУБД и приложений, а также администратором безопасности. Эти механизмы также реализуются с использованием син­хронной процедуры контроля.
Уровень контроля (мониторинга) активности системы защиты
Очевидно, что большинство задач защиты информации решаются про­граммно, т.е. защищенность компьютерной информации обеспечивается
до тех пор, пока активно ПО системы защиты. При этом включение в систему механизмов добавочной защиты, которые могут быть реализова­ны на различных уровнях (как на системном, так и на прикладном), свя­зано с появлением дополнительной группы угроз — угроз загрузки системы без механизмов добавочной защиты и угроз перевода механизмов
защиты в пассивное состояние (отключение) в процессе функциониро­вания защищаемого объекта.
В задачи данного уровня входит контроль активности системы защиты, с предотвращением возможности функционирования системы в незащи­щенном состоянии. Последнее может быть связано как с возможностью загрузки ОС без системы защиты (либо с усеченными функциями), так и с возможностью перевода системы защиты, либо ее компонент, в пас­сивное состояние в процессе функционирования защищаемого объекта.
Очевидно, что активность одной программы не имеет смысла контроли­ровать другой программой, запущенной на том же компьютере. Поэтому
в рамках данного уровня должны быть реализованы следующие две воз­можности анализа активности системы защиты:
* локальная — с использованием аппаратной компоненты (платы);
* сетевая — удаленно, администратором с сервера безопасности.
При реализации данного уровня защиты должно противо­действие как явным, так и скрытым угрозам. Соответствующая техноло­гия защиты рассматривается в шестой части книги.
Уровень контроля (мониторинга)
наличия оборудования системы защиты
Данный уровень защиты целесообразно реализовывать в том случае, если система защиты содержит аппаратную составляющую. При этом защита от угрозы удаления аппаратной компоненты, помимо организационных
мероприятий, может обеспечиваться техническими средствами. Изначально данный уровень обеспечивает техническую защиту от угрозы
удаления аппаратной компоненты системы защиты. Однако его реализация позволяет комплексировать в единой технической системе защиты инфор­мации различные функции защиты: защиты компьютерной информации, контроля доступа в помещения, противопожарной безопасности и т.д. При­чем все это будет доступно с единого рабочего места администратора.
Функции аппаратной компоненты защиты и методы ее реализации бу­дут рассмотрены в шестой части книги.
Сводные рекомендации по отдельным уровням функциональной модели
С учетом сказанного в данном разделе можем сделать следующие выводы:
При построении системы добавочной защиты информации целесо­образно принципиально пересмотреть функции уровня контроля
целостности. Будем позиционировать данный уровень защиты, как уровень контроля (мониторинга) корректности выполнения функ­ций защиты и контроля целостности.
2. В уровневую функциональную модель защиты имеет смысл вклю­чить уровень контроля (мониторинга) активности системы защиты, а при использовании аппаратной компоненты защиты функцио­нальная модель может быть дополнена уровнем контроля (монито­ринга) наличия оборудования системы защиты.
3. Уровни же авторизации пользователя и управления доступом должны обеспечивать решение задач корректности и полноты разграничений доступа пользователя к ресурсам. Кроме того, должна быть реализова­на также возможность противодействия группе скрытых угроз, связан­ных с нерегламентированными действиями пользователя.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика