Надбудований КЗЗ над стандартними операційними системами

Комплекс засобів захисту від НСД першого типу призначено для захисту опрацьовуваної на ПЕОМ інформації від несанкціонованого ознайомлення, модифікування, вилучання. КЗЗ дозволяє створити безпечне технологічне середовище для систем електронного документообігу, банківських та інших систем, для яких ключовою вимогою є дотримання конфіденційності опрацьовуваної інформації та технології її опрацьовування. KЗЗ слугує спеціалізованою надбудовою над стандартною операційною системою MS Windows 95/98 і доповнює її функціями розмежування доступу. Комплекс дозволяє створити захищене автоматизоване робоче місце з обмеженим колом користувачів, які мають різні повноваження щодо доступу до ресурсів.

Сукупність зреалізованих у комплексі функцій та механізмів захисту інформації забезпечує рівень захищеності інформації, достатній для опрацьовування інформації, яка становить як державну так і комерційну таємницю.

КЗЗ зреалізовує такі функції як:

- ідентифікування й автентифікування користувачів при завантаженні ПЕОМ до завантаження будь-яких програмних засобів з дисків на підставі пароля, котрий вводиться користувачем, та ідентифікатора, котрий вноситься тим самим користувачем. Це дозволяє заблоковувати завантаження операційної системи (OC) й використання ПЕОМ сторонньою особою, а також розпізнавати конкретного легального користувача й відповідно реагувати на його запити надалі;

- заблокування завантаження ОС з гнучкого диска та CD-ROM. Це дозволяє гарантувати долучення до роботи всіх компонентів КЗЗ;

- розмежовування доступу користувачів до обраних каталогів та файлів, які розміщені в них. Це дозволяє зорганізовувати спільну роботу декількох користувачів, котрі мають різні права й обов’язки, а також захищати інформацію від випадкового вилучання й модифікування;

- керування потоками інформації й заблокування потоків інформації, які призводять до зниження її конфіденційності;

- гарантоване вилучання конфіденційної інформації шляхом запису на місце цього файла випадкової послідовності бітів;

- контроль за виведенням інформації на роздруківку;

- контроль цілісності прикладного програмного забезпечення (ПЗ) та ПЗ КЗЗ, а також блокування завантаження сторонніх (незареєстрованих) програм і програм, цілісність яких порушена. Це дозволяє забезпечувати захист від вірусів і дотримання технології опрацьовування інформації;

- заблокування пристроїв інтерфейсу користувача (гасіння екрана та заблокування клавіатури й миші) за обраною комбінацією клавіш або після певного періоду бездіяльності користувача;

- реєстрування подій (завантаження ОС користувачем і завершення сеансу роботи, спроби несанкціонованого доступу, запускання програм, доступ до конфіденційної інформації тощо) у спеціальних журнальних файлах (ЖФ). Це забезпечує зворотний зв’язок і дозволяє адміністраторові стежити за тим, як здійснюється доступ до інформації з боку користувачів, і коригувати на підставі цього параметри конфігурації КЗЗ;

- адміністрування (визначення ресурсів, реєстрування користувачів, призначення прав доступу, опрацьовування журнальних файлів тощо).

Для того, аби зробити обґрунтовані висновки про те, що дозволяє система й чи придатна вона для застосовування в конкретних умовах, слід, як мінімум, розглянути політику безпеки системи в цілому і кожної із зреалізовуваних послуг. Розмежовування доступу користувачів до ресурсів здійснюється двома способами:

- у відповідності з концепцією диспетчера доступу (reference monitor);

- як зреалізовуванням адміністративного (mandatory) розмежовування доступу.

Структуру системи розмежовування доступу користувачів доресурсів подано на рис. 1.1.

Рисунок 1.1 – Система розмежовування доступу користувачів до ресурсів

За адміністративного розмежовування доступу керування базою даних повноважень (атрибутами доступу) і базою даних реєстрування здійснюють лише користувачі, котрі мають відповідні повноваження, – адміністратори. Звичайні користувачі не можуть змінювати атрибути доступу, а, отже, й надавати іншим користувачам доступ до інформації, з якою вони працюють, а також виконувати будь-які функції з керування KЗЗ.

Послуги зреалізовані в КЗЗ

КЗЗ системи автоматизації обраного функціонального профілю захищеності має зреалізовувати такі послуги із захисту інформації:

1) надавати послуги із захисту об’єктів від несанкціонованого ознайомлення з їхнім змістом (компрометації). Конфіденційність забезпечується такими послугами: КА-1 – мінімальна адміністративна конфіденційність, КО-1 – повторне використання об’єктів;

2) надавати послуги із захисту опрацьовуваної інформації від несанкціонованого модифікування. Цілісність може забезпечуватись послугою ЦА-1 – мінімальна адміністративна цілісність;

3) надавати послуги щодо забезпечування можливості використання системи автоматизації в цілому, окремих функцій або опрацьовуваної інформації на певному проміжку часу і гарантувати здатність системи автоматизації функціонувати у разі відмови її компонентів. Доступність може забезпечуватися послугою ДВ-1 – ручне відновлювання після збоїв;

4) надавати послуги із забезпечування відповідальності користувача за свої дії і за підтримування здатності КЗЗ виконувати свої функції. Спостережуваність забезпечується в системі автоматизації такими послугами: НР-2 – реєстрування (аудит), (захищений журнал), НИ-2 – одиночне ідентифікування та автентифікування, НК-1 – односпрямований вірогідний канал, НО-1 – розподіл обов’язків, а саме, виокремлення адміністратора, НЦ-1 – КЗЗ з контролем цілісності, НТ-2 – самотестування при стартуванні.

Зреалізовувані системою захисту послуги безпеки можна подати через функційний профіль. Згідно з НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”. КЗЗ від НСД може зреалізовувати функційний профіль:

{КА-2, KO-0, ЦА-1, ДВ-1, НР-2, НИ-З, НК-1, НО-2, НЦ-1, НТ-2}. Найчастіше розробку виконують відповідно до вимог щодо рівня гарантій Г-3.

Поданий функціональний профіль зумовлений призначенням комплексу і сформований на підставі попередньо проведеного аналізу загроз та ризиків з урахуванням таких моментів:

- комплекс призначений для автономної (не підімкненої до локальної мережі і не виступаючої в ролі сервера) ПЕОМ, на якій водночас не можуть працювати кілька користувачів або виконуватися процеси інших користувачів, що значно скорочує перелік загроз, а отже, й вимоги до набору послуг безпеки;

- комплекс за визначенням є надбудований над програмно-апаратною платформою імпортного виробництва, що накладає низку обмежень на перелік та рівні послуг, які не можна здолати принципово; цим фактом, зокрема, обмежено й рівень гарантій;

- зреалізовування додаткових послуг та/або їхніх більш високих рівнів, які забезпечують захист від малоймовірних загроз, або подальше зниження рівня ризику потребує значних витрат.

Зазначений функційний профіль досягається лише в тому разі, якщо виконується низка умов та обмежень,зокрема обов’язковим є використання апаратного захисту від несанкціонованого завантаження.

Ідентифікування й автентифікування користувача виконуються за допомогою функційних послуг:

- НИ-3 – множинне ідентифікування й автентифікування;

- НК-1 – односпрямований достовірний канал.

Перш ніж здійснювати розмежовування доступу до ресурсів, КЗЗ має розпізнати користувача і блокувати доступ неавторизованих користувачів. Для цього, при входженні користувача до системи, виконується його ідентифікування (розпізнавання) і автентифікування (перевіряння результатів ідентифікування).

Ідентифікування користувача виконується на підставі введеного ним з клавіатури імені (псевдоніму). Автентифікування користувача виконується на підставі введеного ним з клавіатури пароля й наданого ідентифікатора, що носиться. Отже, зреалізовано автентифікування користувача водночас за двома принципами: “маю щось” – носимий ідентифікатор, і “знаю дещо” – пароль.

Носимим ідентифікатором може бути ключова дискета чи ідентифікатор Touch Memory. Touch Memory у базовій конфігурації KЗЗ підмикається до зовнішнього або внутрішнього розніму спеціальної плати, або може підмикатися до паралельного порту LPT1 (через адаптер DS1410D(E), або до послідовного порту СОМ2 (через адаптер DS9097).

У разі, якщо надана користувачем інформація щодо автентифікування не відповідає еталонові, – доступ до системи заблоковується. Окрім того, КЗЗ веде контроль за спливанням терміну чинності повноважень користувача та його пароля, а також за відповідністю дня тижня й часового інтервалу, за який користувач здійснює входження до системи. Всі ці параметри задаються адміністратором.

Достовірний канал взаємодії користувач–KЗЗ забезпечується шляхом зреалізовування функцій ідентифікування й автентифікування програмами, “прошитими” у мікросхемі ПЗП розширення BIOS, яка входить до складу КЗЗ. Ці програми отримують керування після ввімкнення електроживлення або скидання комп’ютера до завантаження будь-яких програм з диска.

У КЗЗ зреалізовано також можливість заблоковування пристроїв інтерфейсу користувача (клавіатури, миші й монітора). Заблоковування здійснюється або користувачем за допомогою певної комбінації клавіш, або КЗЗ за бездіяльності користувача протягом певного періоду часу. Для розблокування комп’ютера користувачеві слід пред’явити свій ідентифікатор, що носиться, і ввести пароль.

Контроль цілісності KЗЗ та самотестування виконується за допомогою функціональних послуг:

- НЦ-1 – KЗЗ з контролем цілісності;

- НТ-2 – самотестування при стартуванні.

Контроль цілісності КЗЗ полягає в перевірці цілісності ПЗ КЗЗ за кожного завантаження системи. Окрім того, дані операції можуть виконуватися за бажанням адміністратора з використанням програми адміністрування. У разі виявлення порушення цілісності, користувачеві надсилається відповідне повідомлення – і подальша робота блокується. У такій ситуації необхідне втручання адміністратора для відновлення цілісності або переінсталяції КЗЗ.

Однією з додаткових вимог для більш високих рівнів послуги “цілісність КЗЗ” є забезпечування неможливості оминання засобів захисту, що включає забезпечування неперервної роботи цих засобів від моменту ввімкнення електроживлення. Для того аби заблокувати можливість завантаження ОС за час відсутності засобів захисту, програми, “прошиті” у мікросхемі ПЗП, зреалізовують:

- заблоковування завантаження OC з дискети та CD-ROM;

- заблоковування клавіатури до завантаження драйвера реального режиму.

Додатково заблоковується можливість вибору варіанта завантаження ОС у разі аварійного завершення попередньої спроби завантаження.

Окрім того, КЗЗ зреалізовує контроль цілісності програмного забезпечення. Дана функція переслідує кілька цілей:

- запобігає поширенню вірусів, а отже, порушенню цілісності OC, КЗЗ та інформації;

- дозволяє уникнути витіканню інформації за рахунок використання прихованих каналів, порушування встановленої технології опрацьовування інформації, а також інших дій, пов’язаних з упровадженням “троянських коней”;

- дозволяє створити умови, коли в системі працює лише перевірене ПЗ, яке, за означенням, не виконує жодних дій, які могли б спричинити вимкнення або подолання засобів захисту.

Контроль цілісності ПЗ полягає в перевірці цілісності виконуваних модулів за їхнього завантаження. Завантаження модулів, котрі не відповідають даним про них в еталонному записі БД КЗЗ, заблоковується. БД еталона ПЗ створюється й модифікується уповноваженим адміністратором.

Розмежовування доступу до ресурсів забезпечується виконанням функціональних послуг:

- KA-2 – базова адміністративна конфіденційність;

- ЦА-1 – мінімальна адміністративна цілісність;

- КО-0 – мінімальне повторне використання об’єктів.

Розмежовування доступу користувачів до ресурсів здійснюється на рівні каталогів відповідно до принципів адміністративного розмежовування доступу. Захищувані ресурси, якими є каталоги, ідентифікуються КЗЗ так само, як і операційна система, на підставі повного імені (включаючи ім’я диска та шлях). Кожному каталогові ставиться у відповідність спеціальний атрибут – рівень конфіденційності, який обмежує можливості користувачів з доступу до даного каталога. Кожному користувачеві ставиться у відповідність рівень допуску.

У KЗЗ може бути введено два або більше рівнів допуску користувачів та конфіденційності каталогів. Приміром, можна увести два рівні допуску користувачів та конфіденційності: “ДСК” та “ТАЄМНО”. Рівень допуску користувача має бути явно заданий адміністратором, у противному разі за вмовчанням згаданий користувач не зможе одержати доступу до захищених каталогів. Рівень конфіденційності каталога встановлюється при його створенні і не може бути змінений. Незахищені каталоги вважаються за вмовчанням відкритими (не мають рівня конфіденційності) і доступ до них є дозволений для усіх користувачів.

Приміром, кожен користувач має свій ідентифікаційний код (ІК), який автоматично надається даному користувачеві за його реєстрування. Ідентифікаційний код користувача є унікальним для кожного користувача і надається лише одноразово. Змінити ІК користувача, на відміну від інших атрибутів (імені, пароля, переліку привілеїв, рівня допуску тощо), не можна. Саме на підставі ІК КЗЗ ідентифікує користувача й визначає його повноваження. Кожному користувачеві ставиться у відповідність спеціальний атрибут – рівень допуску, що є аналогічний до форми допуску при роботі з інформацією з обмеженим доступом і визначає його можливості з доступу до цієї інформації.

КЗЗ веде базу даних захищених каталогів, керувати якою можуть адміністратори, котрі мають відповідні повноваження. Для кожного захищеного каталога адміністратор установлює список доступу, в якому перелічено користувачів, котрі мають права доступу до даного каталога, підкаталогів та файлів, розміщених в них, і дозволені для цих користувачів типи доступу (читання або читання/запис). Для того, аби користувач міг одержати доступ до захищеного каталога, його рівень допуску має бути не менш за рівень конфіденційності каталога. Користувачі мають лише ті права доступу до захищених каталогів, а отже й до інформації в них, які явно надані адміністратором.

KЗЗ підтримує керування потоками інформації. KЗЗ стежить за тим, аби не відбувалося переміщення інформації (наприклад копіювання файлів) із захищених каталогів у каталоги з меншим рівнем конфіденційності або відкриті, тобто стежить за тим, аби процеси, в яких є відкриті для читання файли, розміщені в захищених каталогах, не змогли відкривати для запису файли, розміщені в незахищених (відкритих або загальних) каталогах або каталогах з меншим рівнем конфіденційності. Це, зокрема, дозволяє заблоковувати копіювання файлів із захищених каталогів у незахищені або з каталогів з більш високим рівнем конфіденційності – в каталоги з меншим рівнем, що запобігає, поряд з іншим, несанкціонованому експортуванню конфіденційної інформації на змінні носії.

Окрім того, адміністратор має можливість явно визначати спеціальні каталоги імпортування/експортування (наприклад дисковод А:) і користувачів, котрі мають доступ до них, а також здійснювати контроль за виведенням інформації на друкування.

Додатково зреалізовано певні обмеження на доступ (для записування) докаталогу KЗЗ і файлів налаштовування ОС.

Оскільки ідентифікування захищених каталогів здійснюється на підставі повного шляху, то при створюванні захищених каталогів і роботі з ними можливі такі обмеження:

- захист поширюється на всю гілку дерева, розпочинаючи із зазначеного в БД захищеного каталога, включаючи його підкаталоги. Тому не припускається зазначати як новий захищений каталог, який є підкаталогом уже захищеного каталога.

- КЗЗ забороняє виконувати перейменування і вилучання захищеного каталога й тих каталогів, що його містять, аж до диска, розміщеного в корені дерева каталога.

Додатково обмежено доступ до каталога КЗЗ та файлів налаштовування ОС (CONFIG.SYS, MSDOS.SYS) за записом. Доступ для записування до каталога КЗЗ користувачі можуть одержати лише через APM адміністратора, котрий дозволяє змодифіковувати БД лише користувачам, які мають відповідні повноваження. Право доступу до файлів налаштовування ОС за записом має лише головний адміністратор. Є також можливість заблоковування віддаленого доступу до локальних файлів через ЛВС як до поділюваних ресурсів, навіть якщо таку можливість визначено в налаштовуваннях ОС.

За спроби користувача одержати заборонений вид доступу (наприклад, вилучити файл у каталозі, до якого дозволено доступ лише для читання) у журнальному файлі КЗЗ реєструється спроба НСД і, якщо для користувача не встановлено “м’який” режим реагування на спроби НСД, у якому здійснюється лише реєстрування НСД, – доступ заблоковується.

Додатково до функцій безпосереднього розмежовування доступу в КЗЗ зреалізовано послугу “повторне використання об’єктів”. У разі включення даної послуги можливості у процесі вилучання файлів, розміщуваних в захищених каталогах, здійснюється запис поверх інформації, що є у файлах, псевдовипадкової бінарної послідовності (так званий wiping). Додатково може затиратися інформація в записі каталога даного файла – ім’я файла та його довжина.

Реєстрування дій користувачів здійснюється за допомогою функціональної послуги HP-2 – захищений журнал.

КЗЗ реєструє спроби несанкціонованого доступу в спеціальних журнальних файлах і, якщо для користувача не встановлено “м’який” режим реагування на спроби HCД, – заблоковує виконання несанкціонованих дій. Окрім того, в журнальних файлах реєструються факти входження користувача до системи, а також факти змінення стану бази даних KЗ3: реєстрування користувачів та ПЗ, змінення прав доступу до файлів тощо. Додатково для кожного користувача може бути встановлена необхідність реєстрування фактів запускання програм, доступу до захищених каталогів і звертань дозвичайних файлів та каталогів (відкриття файлів для читання та/або записування, створення, перейменовування, вилучання файлів та каталогів, переглядання вмісту каталогів).

У кожнім записі журнального файла фіксуються дата й час події, тип та атрибути операції, наприклад відкриття файла для читання/записування, атрибути процесу й користувача, котрі зініціювали подію, ознаки успішності завершення операції й у разі відмовлення – причина, а також інша інформація.

Опрацьовування журнального файла здійснюється адміністратором, котрий має відповідні повноваження, і включає:

- переглядання інформації, наявної в журнальному файлі;

- аналізування статистики;

- добирання певних записів при перегляданні за діапазоном параметрів;

- групування повторюваних подій або стандартних послідовностей подій, задаваних адміністратором, у групи подій;

- роздруковування журнального файла.

Опрацьовування журнального файла здійснюється адміністратором за допомогою відповідного режиму АРМ адміністратора.

Розмежовування обов’язків виконується за допомогою функціональної послуги НО-2 – розмежовування обов’язків адміністраторів.

За кожним адміністратором можуть бути закріплені привілеї на:

- переглядання журнальних файлів;

- реєстрування ПЗ;

- реєстрування користувачів;

- керування правами доступу до каталогів.

Окрім того, явно виокремлена роль головного адміністратора, який має право призначати адміністративні привілеї і встановлювати інші атрибути для інших адміністраторів, однак не має і не може мати права на керування доступом до каталогів.

Відновлювання після збоїв виконується функційною послугою ДВ-1 – ручне відновлювання.

У КЗЗ передбачена можливість відновлювання працездатності системи головним адміністратором після збоїв, які призвели до порушування цілісності ПЗ чи БД КЗЗ, і в інших подібних ситуаціях.

Отже, установлення на ПЕОМ КЗЗ дозволяє забезпечувати:

- неможливість неконтрольованого й несанкціонованого ознайомлення, копіювання та відновлювання інформації;

- неможливість неконтрольованого й несанкціонованого модифікування та вилучання інформації;

- надання доступу до інформації лише за умови достовірного розпізнавання користувачів та з урахуванням повноважень, надаваних відповідно до службової необхідності;

- облік дій користувачів та реєстрування спроб порушування встановленого порядку доступу до інформації, включаючи заблоковування доступу до інформації у разі виявлення таких спроб, а також можливість здійснення контролю за доступом до інформації з боку уповноважених осіб.

Дата добавления: 2014-10-15; Просмотров: 835; Нарушение авторских прав?; Мы поможем в написании вашей работы!