Преподаватель:

Трухан Сергей Александрович

Лекция:

1. Теоретические аспекты создания систем разграничения доступа:

Комплекс задач по созданию систем разграничения доступа;

Обобщенная схема системы разграничения доступа.

2. Обзор средств разграничения доступа: Средства защиты от НСД на уровне ПЭВМ; Межсетевое экранирование; Встроенные механизмы файловых систем/

Операционных систем/ СУБД; Криптографические методы разграничения доступа.

Разграничение доступа – совокупность методов средств и мероприятий, обеспечивающих защиту данных от несанкционированного доступа пользователей.

Разграничение доступа – наделение каждого пользователя (субъекта доступа) индивидуальными правами по доступу к информационному ресурсу и проведению операций по ознакомлению с информацией, ее документированию, модификации и уничтожению.

При разработке систем разграничения доступа решается ряд задач:1.Разработка теоретической модели защиты информации;2.Разработка методов разграничения доступа и механизмов их реализации;3.Разработка методов обнаружения/предотвращения искажений информации;4.Выбор мест размещения средств разграничения доступа;5.Разработка нормативно-методической документации.

Данная модель используется для выбора параметров и критериев защищенности информации. Это позволяет использовать доказательный подход в построении систем защиты и оценить гарантированность защиты в защищенных системах электронной обработки информации. Среди широко распространенных моделей защиты можно выделить следующие:

Дискреционного доступа (матричная); Белла-ЛаПадулы (многоуровневые/мандатные); Распределенных систем; Безопасности военных систем передачи данных; Элементарной защиты; Информационных потоков; Системы безопасности с полным перекрытием; Гарантированно защищенной системы обработки информации; Субъектно-объектные; Ролевые и др.

Как правило, в данных моделях рассматриваются субъекты, как активные сущности, которые могут инициировать запросы ресурсов, и объекты – пассивные сущности, используемые для хранения и получения информации.

Между субъектами и объектами существуют определенные взаимодействие, называемое доступом, в результате которого происходит перенос информации между ними. На эти взаимодействия накладываются жесткие ограничения, связанные с :

Уровнем секретности информации;Должностными обязанностями и необходимым уровнем доступа

пользователя к секретной информации;Особенностями процессов обработки информации и т.д.

Как правило, разграничение доступа происходит в две фазы:

1.Идентификация и проверка подлинности пользователя системы:

Основана на известных субъекту сведений (например, пароль или

список ответов);

Основана на имеющихся у субъекта физических средствах

(например, электронный ключ или магнитная карточка);

Основана на индивидуальных характеристиках субъекта (например,

всевозможные биометрические системы [сканирование сетчатки глаза,

пальцев, ладони, спектральный анализ голоса, анатомические

особенности различных частей тела (лица, тела, ушной раковины),

теплового излучения, особенностями психики субъекта и т.д.])

2.Авторизация , т.е. предоставление ресурсов системы пользователю для выполнения определенных действий, в соответствии с его полномочиями и выбранной моделью защиты информации.

Разработка методов обнаружения/предотвращения искажений (модификация, подмена, уничтожение) информации на ПЭВМ или передаваемых по каналам связи и исполняемых программ.

Среди распространенных методов можно выделить:Контроль целостности (хеширование, сравнение с эталоном);Кодирование и шифрование;Аппаратный контроль загрузки ОС;Аппаратный контроль событий ОС (прерываний, запрашиваемых

функций, запускаемых приложений и файлов) и т.д.

Важно, чтобы средства разграничения доступа были размещены так, чтобы не было возможности их обойти в пределах контролируемых зон. Средства разграничения доступа должны представлять из себя эшелонированную защиту (уровень доступа к аппаратным устройствам, уровень доступа к среде передачи, уровень сетевого взаимодействия, уровень ОС/СУБД/сервисов/приложений).

Разработка нормативно-методического обеспечения является важным и необходимым звеном по реализации политики безопасности. Политика безопасности является основой для построения систем разграничения доступа.

Система разграничения

доступа

Подсистема управления

доступом

Подсистема контроля доступа

Подсистема администрирования

системы разграничения

доступа

Подсистема идентификации

(опознания)

Средства защиты от НСД на уровне ПЭВМ; Межсетевое экранирование; Встроенные механизмы файловых систем/

Операционных систем/ СУБД; Криптографические методы разграничения доступа.

Выполняются в виде платы, вставляемой в свободный слот материнской платы и обладают следующими возможностями:

контроль вскрытия корпуса ПЭВМ (датчики);контроль наличия платы аппаратной защиты от НСД;идентификация и аутентификация пользователей;разграничение доступа к файлам, каталогам, дискам;контроль целостности программных средств и информации;возможность создания функционально замкнутой среды

пользователя;защита процесса загрузки ОС;блокировка ПЭВМ на время отсутствия пользователя;криптографическое преобразование информации;регистрация событий;очистка памяти.

Устройство защиты от НСД «Барьер»

Программно-аппаратный комплекс «Барьер» предназначен для обеспечения разграничения и контроля доступа пользователей к аппаратным и программным ресурсам компьютеров, имеющих шину ISA или PCI.

ISA-слот PCI-слот

Комплекс обладает следующими возможностями: идентификация и аутентификация пользователей до загрузки

операционной системы с помощью пароля и карты-ключа (SMART-или TM карта);

контроль целостности аппаратных и программных средств, конфигурационной памяти компьютера;

принудительный выбор устройства загрузки операционной системы;

хранение информации в контроллере в зашифрованном виде; контроль вскрытия корпуса, уничтожение ключей шифрования при

попытке вскрытия корпуса компьютера и регистрация в журнале факта и времени вскрытия;

контроль системного времени компьютера и блокировка его работы, если системное время отклоняется более, чем на 5 мин.;

хранение информации на логических дисках в зашифрованном виде и расшифрование его в соответствии с полномочиями пользователя;

блокировка компьютера при НСД, накопление и ведение аппаратного журнала событий;

встроенный просмоторщик журнала аудита. Комплекс представляет собой расширенный и более функциональный

аналог российских изделий типа «Аккорд» и «Криптон».

Межсетевой экран (МЭ) - это локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand – пожар, mauer – стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара.

Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение – пропустить дальше, перебросить за экран, блокировать или преобразовать данные.

Классификация МЭ

Выделяют следующую классификацию МЭ, в соответствие с функционированием на разных уровнях МВОС (OSI):

• Мостиковые экраны (2 уровень OSI)• Фильтрующие маршрутизаторы (3 и 4 уровни OSI)• Шлюзы сеансового уровня (5 уровень OSI)• Шлюзы прикладного уровня (7 уровень OSI)• Комплексные экраны (3-7 уровни OSI)

Данный класс МЭ, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой МЭ.

Мостиковые МЭ появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. МЭ работают с фреймами (frame, кадр).

К достоинствам подобных МЭ можно отнести:

• Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов МЭ.

• Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.

• Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира.

Packet-filtering firewall (Межсетевой экран с фильтрацией пакетов) — межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

• Работают на 3 уровне

• Также известны, как МЭ на основе порта

• Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)

• Недорогой, быстрый (производительный в силу простоты), но наименее безопасный

• Технология 20-летней давности

Пример: список контроля доступа (ACL, access control lists) маршрутизатора

Circuit-level gateway (Шлюз сеансового уровня) — межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом.

После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматическип преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт между внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.

Особенности:

• Работает на 4 уровне

• Передает TCP подключения, основываясь на порте

• Недорогой, но более безопасный, чем фильтр пакетов

• Вообще требует работы пользователя или программы конфигурации для полноценной работы

Пример: SOCKS файрвол

Application-level gateways (Шлюз прикладного уровня) – межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI.

Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Возможности:•Идентификация и аутентификация пользователей при попытке

установления соединения через МЭ;•Фильтрация потока сообщений, например, динамический поиск вирусов

и прозрачное шифрование информации;•Регистрация событий и реагирование на события;•Кэширование данных, запрашиваемых из внешней сети.

На этом уровне появляется возможность использования функций посредничества (Proxy). Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д.

Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикалдной шлюз перехватывает с помощью соотвествующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.

Особенности:

• Работает на 7 уровне

• Специфический для приложений

• Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей

• Требует работы пользователя или программы конфигурации для полноценной работы

Пример: Web (http) proxy

Stateful inspection firewall — межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.

• Фильтрация 3 уровня

• Проверка правильности на 4 уровне

• Осмотр 5 уровня

• Высокие уровни стоимости, защиты и сложности

Пример: CheckPoint Firewall-1

Некоторые современные МЭ используют комбинацию вышеперечисленных методов и обеспечивают дополнительные способы защиты, как сетей, так и систем.

Этот класс МЭ позволяет далее расширять защиту, допуская управление по тому, какие типы системных функций или процессов имеют доступ к ресурсам сети. Эти МЭ могут использовать различные типы сигнатур и условий, для того, чтобы разрешать или отвергать трафик.

Вот некоторые из общих функций персональных МЭ:

• Блокирование на уровне приложений – позволять лишь некоторым приложениям или библиотекам исполнять сетевые действия или принимать входящие подключения

• Блокирование на основе сигнатуры – постоянно контролировать сетевой трафик и блокировать все известные атаки.

Дополнительный контроль увеличивает сложность управления безопасностью из-за потенциально большого количества систем, которые могут быть защищены персональным файрволом. Это также увеличивает риск повреждения и уязвимости из-за плохой настройки.

Пример: МЭ Windows XP

Динамические МЭ объединяют в себе стандартные МЭ (перечислены выше) и методы обнаружения вторжений, чтобы обеспечить блокирование «на лету» сетевых подключений, которые соответствуют определённой сигнатуре, позволяя при этом подключения от других источников к тому же самому порту. Например, можно блокировать деятельность сетевых червей, не нарушая работу нормального трафика.

Пример: Windows ISA Server 2004

Службы безопасности Windows 2003

Хранилище Хранилище учетных записейучетных записей

Механизмы Механизмы аутентификацииаутентификации

АвторизацияАвторизация

Управление Управление политикамиполитиками

Active DirectoryActive Directory

Kerberos, Kerberos, Смарт-картыСмарт-карты, SSL, , SSL, ДайджестДайджест,,IPSEC/Oakley, EAP, IPSEC/Oakley, EAP, Цифровые подписиЦифровые подписи

Ролевой контроль доступа,Ролевой контроль доступа,Права пользователей, ШифрованиеПрава пользователей, Шифрование

Аудит, Аудит, Объекты групповых политикОбъекты групповых политик

Центры Центры аутентификацииаутентификации

Kerberos KDC, Kerberos KDC, Центр Центр сертификациисертификации, RADIUS, RADIUS

Система защиты (СЗ) БД предназначена для выполнения следующих функций:разграничения полномочий внутри базы данных с реализацией ограничения

доступа к данным защищаемых приложений со стороны администраторов;реализации мандатного доступа (с использованием меток) к данным;ограничения доступа и контроля выполнения команд в зависимости от

времени, IP-адреса, выполняемой операции;строгой аутентификации при доступе к базе данных (X.509, Kerberos, Radius);защиты клиентского трафика (SSL) при сетевом доступе к базе данных;прозрачного шифрования чувствительной информации в базе данных и ее

защиты на физических носителях информации;защиты резервных копий баз данных;консолидации, хранения и анализа данных аудита различных баз данных.

Основу СЗ БД составляют следующие компоненты: Oracle Database Vault, Oracle Advanced Security, Oracle Label Security, Oracle Secure Backup и Oracle Audit Vault.

Oracle Database Vault – средство защиты и ограничения доступа пользователей к важным данным и приложениям. Реализованные в продукте механизмы защиты базируются на использовании правил и безопасных областей (realm). Правила предполагают ограничение доступа к базе данных на основании IP адреса клиента Oracle и времени суток. Безопасные области позволяют предоставлять доступ строго к специфическим данным приложений или объектам базы данных

Oracle Advanced Security защищает данные при передаче по сети, используя стандарты RC4 (ключи длиной 40, 56, 128 или 256 бит), DES (ключи длиной 40 или 56 бит), 3DES (ключи длиной 168 бит) или AES (ключи длинной 128, 192 или 256 бит). Для каждой сессии Oracle Net создается секретный ключ, обеспечивающий безопасность всего сетевого трафика между клиентами и сервером баз данных.

Oracle Label Security представляет собой набор процедур и ограничений (constraints) встроенных в ядро базы данных, которые позволяют осуществить мандатный контроль доступа. Для использования Oracle Label Security, необходимо создать одну или несколько политик безопасности, каждая из которых содержит набор меток (label). Каждая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням безопасности и используются для определения того, какой пользователь к каким данным имеет доступ. После создания политики она применяется к защищаемым таблицам.

Oracle Secure Backup представляет собой автоматизированную систему управления резервным копированием на ленты. Эта система обеспечивает высокопроизводительное резервное копирование баз данных Oracle и поддерживает шифрование данных на лентах. Система может использоваться как с версией Oracle Database 10g, так и с более ранними версиями. Oracle Secure Backup выполняет следующие функции:

централизованное управление ленточными носителями посредством создания единого репозитария для хранения информации обо всех критических резервных файлах организации;

создание гибкого расписания резервного копирования;защита содержимого резервного копирования посредством механизмов шифрования данных.

Архитектура Oracle Secure Backup состоит из административного сервера, сервера управления устройствами записи и клиентов (Рисунок 4). Административный сервер отвечает за управление всей резервной информацией. Эта информацией хранится в Oracle Secure Backup каталоге и включает в себя информацию обо всех устройствах, серверах и клиентах в административном домене. Сервер управления устройствами записи отвечает за управление всевозможными устройствами, предназначенными для выполнения функций резервного копирования. На текущий момент в списке поддерживаемых устройств содержится более 200 различных моделей для работы с ленточными накопителями. Управление происходит по протоколу Network Data Management Protocol (NDMP). В роли клиентов Oracle Secure Backup выступают базы данных, они предоставляют информацию для резервного копирования через RMAN интерфейс.

Oracle Audit Vault предназначен для сбора, консолидации и анализа данных аудита СУБД организации и защиты от внутренних угроз. Oracle Audit Vault имеет клиент-серверную архитектуру. Серверный компонент Audit Vault представляет собой хранилище данных, построенное на основе СУБД Oracle Database 10g с установленной компонентой Oracle Database Vault. Приложения сервера Audit Vault позволяют управлять агентами Audit Vault и строить отчеты о текущем состоянии информационной безопасности.

Клиентская часть, агент Audit Vault, отвечает за управление сборщиками данных. Сборщики данных предоставляют интерфейс для работы с заданными источниками данных аудита. Они действуют как промежуточное звено между источником данных и сервером, выполняя функции по извлечению данных аудита из базы данных и пересылая их на сервер Audit Vault по протоколу SQL*Net.

Криптографические методы разграничения доступа

Симметричное шифрование

Асимметричное шифрование

Криптографические методы разграничения доступа

TrueCrypt — это свободная программа для шифрования «на лету» (описание в англоязычной Вики) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI), GNU/Linux и Mac OS X. Оно позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

Encrypting File System

Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT .

EFS использует симметричное шифрование для защиты файлов, а также шифрование основанное на паре открытый/закрытый ключ для защиты случайно-сгенерированного ключа шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем и защищённость данных зависит от стойкости пароля пользователя.

Преподаватель: Трухан Сергей Александрович

E-mail: sergeynets@gmail.com