Организационные меры по контролю и управлению безопасностью информации 2 страница

 проведение организационных мероприятий по защите информации в автоматизированной системе управления.

В достаточно сложных автоматизированных системах управления, в состав которых могут входить подсистемы со своей архитектурой, целесообразно иногда предусматривать отдельную систему защиты информации с аналогичной структурой.

Система безопасности информации при передаче информации (СБИ СПД) объединяет средства безопасности информации группы элементов автоматизированной системы управления, являющихся одновременно элементами сети передачи информации, которые вместе с каналами связи представляют собой ту передающую среду, которая несет информацию автоматизированной системе управления.

Структура СБИ СПД аналогична структуре, приведенной выше. В структуру СБИ СПД входят системы защиты информации элементов сети (СБИ ЭС). При этом в рассматриваемой модели сети (см. рис. 7, гл. 2, разд. 1) имеется несколько участков, где можно легко опознать каналы связи. Такие каналы соединяют информационные системы — элементы автоматизированной системы управления с узлами связи системы передачи информации, а узлы связи — между собой.

Средства безопасности информации в каналах связи (СБИ КС) называют канально-ориентированным, или линейным шифрованием.

В отличие от системы безопасности информации тракта передачи информации, защищающих конкретное сообщение из конца в конец, средства безопасности информации каналов связи обеспечивают безопасность всего потока информации, проходящей через канал связи. Чтобы предотвратить раскрытие содержания сообщений, можно использовать оба подхода к шифрованию. Кроме того, канальное шифрование обеспечивает и защиту от несанкционированного анализа потока сообщений. (Более полное представление о механизмах шифрования информации в информационных сетях и автоматизированных системах управления можно получить, познакомившись с принципами передачи и протоколами взаимодействия элементов сети, которые рассмотрены ниже)

Средства повышения достоверности информации (СПДИ) обеспечивают защиту последней от случайных воздействий в каналах связи (задачи СПДИ рассмотрены выше).

Любая система управления не может работать без информации о состоянии управляемого объекта и внешней среды, без накопления и передачи информации о принятых управляющих воздействиях. Определение оптимальных объемов, систематизация, сортировка, упаковка и распределение потоков информации во времени и пространстве — необходимое условие функционирования системы управления. Совокупность данных, языковых средств описания данных, методов организации, хранения, накопления и доступа к информационным массивам, обеспечивающая возможность рациональной обработки и выдачи всей информации, необходимой в процессе решения функциональных задач по безопасности информации, представляет собой информационное и лингвистическое обеспечение системы защиты информации в информационных сетях и автоматизированных системах управления. По причинам, изложенным выше, решение этой задачи производится на этапе разработки конкретных автоматизированных систем управления.

Глава 3. Эталонная модель открытых систем

Эталонная модель Международного стандарта на организацию архитектуры информационно-информационных сетей является базовой при организации взаимодействия открытых систем

Под системой в данном случае понимают автономную совокупность информационных средств, осуществляющих телеобработку данных прикладных процессов пользователей. При этом система считается открытой, если она выполняет стандартное множество функций взаимодействия, принятое в информационных сетях, т. е. не в смысле доступа к информации.

Область взаимодействия открытых систем определяется последовательно-параллельными группами функций или модулями взаимодействия, реализуемыми программными или аппаратными средствами. Модули, образующие область взаимодействия прикладных процессов и физических средств соединения, делятся на семь иерархических уровней (рис. 1). Как видно из табл. 1, каждый из них выполняет определенную функциональную задачу.

Три верхних уровня (5, 6 и 7) вместе с прикладными процессами образуют область обработки данных, в которой выполняются информационные процессы системы.

Таблица 1. Уровни взаимодействия открытых систем

Рис. 1. Эталонная модель открытых систем:

Х21 – интерфейс между оконечным оборудованием данных и аппаратурой передачи данных;

HDLC – протокол канального уровня, обеспечивающий передачу последовательности пакетов через физический канал;

X25 – протокол, определяющий процедуры сетевого уровня управления передачей пакетов в интересах организации виртуальных каналов между абонентами и передачи по каналам последовательностей пакетов;

IP - межсетевой протокол

Процессы этой области используют сервис по транспортировке данных уровня 4, который осуществляет процедуры передачи информации от системы-отправителя к системе-адресату: прикладной реализует решение информационно-информационных задач прикладных процессов пользователей; представительный интерпретирует информационный обмен между прикладными процессами в форматах данных программ пользователей; сеансовый реализует диалог или монолог между прикладными процессами в режиме организуемых сеансов связи; транспортный осуществляет управление передачей информационных потоков между сеансовыми объектами пользователей.

Три нижних уровня (1, 2; 3) образуют область передачи данных между множеством взаимодействующих систем, выполняют коммуникационные процессы по транспортировке данных:

сетевой обеспечивает машрутизацию и мультиплексирование потоков данных в транспортной среде пользователей;

канальный управляет передачей данных через устанавливаемые физические средства соединения;

физический сопрягает физические каналы передачи данных в синхронном или асинхронном режиме.

Область взаимодействия открытых систем характеризуется семиуровневой иерархией протоколов, обеспечивающих взаимодействие абонентских систем сети, путем передачи данных между ними. Каждый из блоков данных состоит из заголовка, информационного поля данных и концевика.

Заголовок содержит информацию, связанную с управлением передачей информационных потоков. Данные центральной части блока представляют собой информационное поле, передаваемое между прикладными процессами взаимодействующих абонентских систем. Основная задача концевика — проверка информационного поля путем формирования проверочного блока данных.

Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи

Напомним, каким преднамеренным угрозам могут подвергаться без средств защиты данные при их передаче:

 раскрытие содержания информации;

 модификация содержания информации;

 анализ потока информации;

 изменение потока сообщений;

 прерывание передачи сообщений;

 инициирование ложного соединения.

Остановимся на принципиальных моментах применения методов защиты информации от указанных угроз.

Канальное шифрование можно выполнять независимо в каждом канале связи. Обычно для каждого канала применяется свой ключ, чтобы раскрытие одного канала не приводило к раскрытию данных, передаваемых по другим каналам. При канальном шифровании, как правило, применяют поточные шифры, и между узлами связи поддерживается сплошной поток битов шифрованного текста. Так как функции коммутации (маршрутизации) в сетях выполняются только в узлах, то в каналах можно зашифровать как заголовок, так и информационную часть текста. Из-за того что большинство каналов в сетях являются мультиплексными, в канале нарушителю сложно навязать разграничение соединений. Данные шифруются только в каналах, а не в узлах, соединенных каналами, в связи с чем эти узлы должны быть защищенными.

Для защиты от анализа потока сообщений с целью определения частоты и продолжительности соединений при канальном шифровании может быть установлен непрерывный поток битов шифрованного текста. Если каналы связи используются несколькими соединениями, то канальное шифрование также обеспечивает сокрытие источника и адресата, так как в канале шифруется и маршрутная информация сообщения. При этом подходе не снижается эффективная пропускная способность сети, так как не требуется передача никакой дополнительной информации кроме генерации непрерывного зашифрованного потока в каждом узле.

При межконцевом шифровании каждое сообщение, за исключением некоторых данных заголовка, которые должны обрабатываться в промежуточных узлах маршрута, зашифровывается в его источнике и не дешифруется, пока не достигнет места назначения. Для каждого соединения может быть использован уникальный ключ или применено более крупное дробление при распределении ключей (например, отдельный ключ между каждой парой связанных между собой главных информационных машин или один ключ внутри всей защищенной подсети). Вторая схема предоставляет межконцевую защиту, но не обеспечивает разграничение соединений, которое дает первый подход. По мере расширения области использования единственного ключа (ключевой зоны) растет и количество связанной с ним информации, а вместе с ним и вероятность раскрытия ключа, однако задача распределения ключей становится легче.

Согласно принципу наименьшей осведомленности, сообщение следует зашифровать таким образом, чтобы каждый модуль, с помощью которого обрабатывается сообщение, содержал информацию, необходимую для выполнения только конкретного задания.

В случае применения межконцевого шифрования в целях защиты от анализа потока и искусственно выбранных значений частоты и длины, которые могут поддерживаться отдельно для каждого соединения, можно генерировать "пустые" сообщения различных длин, а настоящие сообщения дополнять пустыми символами. Для определения получателем посторонних расширений и "пустых" сообщений, подлежащих удалению, можно использовать зашифрованное поле длины. Для поддержания искусственных значений и длины сообщений особенно пригоден межконцевой метод шифрования при уровневой организации протоколов сети обмена данными. Для сокрытия настоящей длины и частоты сообщений можно использовать информацию о последовательных номерах и длине сообщения, содержащуюся в протоколе верхнего уровня, так как ложные сообщения можно сбросить, а расширение удалить перед тем, как сообщение будет передано для обработки на следующий протокольный уровень.

Изменение потока сообщений обнаруживают методы, определяющие подлинность, целостность и упорядоченность сообщений. В условиях рассматриваемой модели подлинность означает, что источник сообщения может быть определен достоверно, целостность — что сообщение на пути следования не было изменено, а упорядоченность — что сообщение при передаче от источника к адресату правильно помещено в общий поток информации.

Хотя эти задачи решаются при повышении надежности реализацией протоколов передачи данных, этого недостаточно, так как причиной их невыполнения могут быть и преднамеренные воздействия нарушителя. Требования к подлинности и упорядочению сообщений взаимосвязаны с защитой шифрования соединения, что побуждает применять индивидуальные ключи шифрования для каждого соединения. Данные протокола, которые создают основу для определения подлинности и упорядоченности, должны быть вставлены в пользовательские данные так, чтобы предотвратить необнаруженные изменения любой части полученного сообщения.

Упорядочение защищенных сообщений не означает, что сообщения приходят к адресату по порядку или даже что они всегда передаются по порядку прикладной программы адресата. В некоторых областях применения (например, при передаче речи или изображения в реальном масштабе времени) сообщения, которые поступают раньше их отдельных логических предшественников, могут быть доставлены немедленно, в то время как те, что прибыли после некоторых своих логических преемников, могут быть сброшены. В случае диалогового режима отдельные высокоприоритетные сообщения могут поступать на обслуживающий компьютер (сервер) в порядке, отличном от порядка обычного потока сообщений, а процесс пользователя может требовать немедленного получения информации об их прибытии. В других случаях (например, при определенных видах обработки транзакций) программы готовы к приему сообщений независимо от их порядка передачи, а прикладная система обнаруживает дублирование сообщений. Однако в общем случае на прикладном уровне сообщения должны поступать таким образом, чтобы сохранялись как порядок передачи, так и непрерывность (т. е. чтобы не было потерь сообщений).

Для выполнения этих требований сообщения могут быть обозначены последовательными номерами, указывающими порядок передачи. Последовательная нумерация сообщений позволяет выдавать их процессу по порядку, не зависящему от порядка прибытия, обнаруживать потери сообщений, а также обнаруживать и устранять дубликаты сообщений. Если время от времени сообщения выдаются процессу не по порядку, то должно быть предусмотрено и независимое дешифрование каждого из них. При этом следует не забывать о криптографической синхронности сообщений. Присвоение циклических номеров, присвоенных сообщениям, не должно повторяться на протяжении времени применения одного и того же ключа шифрования. В противном случае нарушитель может вставить в соединение копии старых сообщений, которые невозможно будет обнаружить.

В каждое сообщение для определения его целостности следует включать поля обнаружения ошибок. В условиях применения защиты сообщений объединение шифрования и поля обнаружения ошибок позволят также прочно связать данные прикладного уровня и протокольную информацию, необходимую для аутентификации и упорядочения сообщений. При этом необходимо обеспечить высокую гарантию того, что нарушитель не сможет исказить ни данные, ни заголовки данных так, чтобы это осталось необнаруженным. Для удовлетворения этих требований используются два основных подхода, каждый из которых зависит от свойств размножения ошибок алгоритмов дешифрования.

Первый подход состоит в применении к протокольной информации и данным обычного кода с обнаружением ошибок (например, циклического избыточного кода), шифруемого вместе с сообщением. Этот способ применим ко всем режимам шифрования, приведенным выше. Если применяется n -битный код с обнаружением ошибок, то вероятность необнаруженного изменения сообщения нарушителем можно снизить до 1/2ⁿ. Например, в случае использования 16-битного циклического избыточного кода вероятность необнаруженного изменения приблизительно равна 1,5 • 10^-5

Второй подход к обнаружению воздействий на целостность сообщений больше основан на свойствах размножения ошибок методов шифрования. Вместо кода для обнаружения ошибок, который является функцией текста сообщения, используется поле обнаружения ошибки, содержащее значение, которое может предсказать получатель сообщения. Достоинством такого подхода является отсутствие необходимости вычисления циклических избыточных кодов, а также возможность использования в качестве предсказуемого поля такое, которое уже необходимо как часть протокола (например, поля циклического номера). Это значение должно быть размещено внутри сообщения в точке, где любое изменение зашифрованного сообщения будет с большой вероятностью приводить к изменению этого значения. Этот способ обеспечивает проверку не только целостности, но и упорядоченности, если поле изменяется последовательно во времени (например, циклические номера). Однако данный подход непригоден в шифрах с обратной связью и со сцеплением блоков из-за ограничения размножения ошибок в этих шифрах.

Другой цели защиты — обнаружения прерывания передачи сообщений — можно достичь, используя протокол запроса - ответа. Такой протокол, надстроенный над протоколом аутентификации и упорядочения сообщений, включает в себя обмен парой сообщений, устанавливающих временную целостность и статус соединения. На каждом конце соединения используется таймер для периодического запуска передачи сообщения запроса, на которое должен поступить ответ с другого соединения. Каждое из этих сообщений содержит информацию своего передатчика, которая позволяет обнаружить потерю сообщений в соединении.

Для обнаружения инициирования ложного соединения разработаны контрмеры, обеспечивающие надежную основу для проверки подлинности ответственного за соединение на каждом конце и для проверки временной целостности соединения. Ответственным за соединение, в зависимости от сферы действия применяемых мер защиты, может быть процесс, пользователь, терминал, компьютер, сеть. Проверка временной целостности соединения защищает от воздействий, осуществляемых с помощью воспроизведения нарушителем записи предыдущего "законного" соединения.

Пример механизма защиты можно легко получить из механизма обнаружения прерывания передачи сообщения, приведенного выше. На конце соединения генерируется уникальный вызов (например, двоичное значение времени и даты), и он передается на другой конец. Затем вызовы возвращаются отправителям (возможно, модифицированные некоторым предопределенным образом) для проверки того, что эта процедура происходит в текущий момент. Получение соответствующих ответов на каждом конце завершает эту процедуру.

Проверка подлинности ответственных за соединение на каждом конце во время процедуры инициирования соединения служит основанием для вывода о подлинности последующего потока сообщений. Поддержание этой взаимосвязи между ответственными за соединение, определенными во время инициирования соединения, и самим этим соединением включает в себя методы соответствующего распределения ключей шифрования и некоторые другие меры (например, физическая защита терминала при его использовании) или механизмы защиты, которые „привязывают" соединение к процессу компьютера.

Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи

Рассмотренная в разделе 3 концепция безопасности информации в каналах связи согласуется с рекомендациями Международной организации по стандартизации (МОС).

В соответствии с рекомендациями МОС в дополнение к модели взаимосвязи открытых систем (ВОС) предложен проект создания сервисных служб защиты, функции которых реализуются при помощи специальных процедур.

При этом определены восемь процедур защиты, совместное использование которых позволяет организовать 14 служб. Взаимосвязь служб (функций) и процедур (средств) представлена в табл. 1. При этом цифрами в таблице обозначены номера логических уровней эталонной модели ВОС, на которых реализуются данные процедуры с целью образования служб обеспечения безопасности.

Однако, в связи с разночтением в специальной литературе предварительно договоримся об эквивалентах терминах в виде "службы - функции" и "процедуры - средства".

Шифрование данных предназначено для закрытия всех данных абонента или некоторых полей сообщения, может иметь два уровня:

 шифрование в канале связи (линейное) и

 межконцевое (абонентское) шифрование.

В первом случае, чтобы предотвратить возможности анализа трафика, шифруется вся информация, передаваемая в канал связи, включая все сетевые заголовки. Абонентское шифрование предназначено для предотвращения раскрытия только данных абонента.

Цифровая подпись передаваемых сообщений служит для подтверждения правильности содержания сообщения. Она удостоверяет факт его отправления именно тем абонентом, который указан в заголовке в качестве источника данных. Цифровая подпись является функцией от содержания секретного сообщения, известного только абоненту-источнику, и общей информации, известной всем абонентам сети.

Управление доступом к ресурсам сети выполняется на основании множества правил и формальных моделей, использующих в качестве аргумента доступа информацию о ресурсах (классификацию) и идентификаторы абонентов. Служебная информация для управления доступом (пароли абонентов, списки разрешенных операций, персональные идентификаторы,

Таблица 1. Средства защиты, рекомендуемые МОС в модели взаимосвязи открытых систем

временные ограничители и т. д.) содержится в локальных базах данных службы обеспечения безопасности сети.

Обеспечение целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, которая является функцией от содержания сообщения. В рекомендациях МОС -рассматриваются методы обеспечения целостности двух типов: первые обеспечивают целостность единственного блока данных, вторые — целостность потока блоков данных или отдельных полей этих блоков. При этом обеспечение целостности потока блоков данных не имеет смысла без обеспечения целостности отдельных блоков. Эти методы применяются в двух режимах - при передаче данных по виртуальному соединению и при использовании дейтаграммной передачи. В первом случае обнаруживаются неупорядоченность, потери, повторы, вставки данных при помощи специальной нумерации блоков или введением меток времени. В дейтаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности последовательности блоков данных и предотвратить переадресацию отдельных блоков.

Процедуры аутентификации предназначены для защиты при передаче в сети паролей, аутентификаторов логических объектов и т. д. Для этого используются криптографические методы и протоколы, основанные, например, на процедуре "троекратного рукопожатия". Целью таких протоколов является защита от установления соединения с логическим объектом, образованным нарушителем или действующим под его управлением с целью имитации работы подлинного объекта.

Процедура заполнения потока служит для предотвращения возможности анализа трафика. Эффективность применения этой процедуры повышается, если одновременно с ней предусмотрено линейное шифрование всего потока данных, т. е. потоки информации и заполнения делаются неразличимыми.

Управление маршрутом предназначено для организации передачи данных только по маршрутам, образованным с помощью надежных и безопасных технических устройств и систем. При этом может быть организован контроль со стороны получателя, который в случае возникновения подозрения о компрометации используемой системы защиты может потребовать изменения маршрута следования данных.

Процедура подтверждения характеристик данных предполагает наличие арбитра, который является доверенным лицом взаимодействующих абонентов и может подтвердить целостность, время передачи сообщения, а также предотвратить возможность отказа источника от выдачи какого-либо сообщения, а потребителя — от его приема.

Данные рекомендации, безусловно, требуют более детальной проработки на предмет их реализации в существующих протоколах. С позиций рассматриваемой в данном учебном пособии концепции защиты (разд. 3) отметим некоторую избыточность защитных функций, например аутентификации, которая является неотъемлемой частью функции контроля доступа и, следовательно, автоматически в нее входит Для сокращения количества средств защиты целесообразно взять за основу средства защиты на 7-м уровне и дополнить их средствами на остальных уровнях, но только теми, которые выполнят защитные функции, не охваченные средствами защиты на 7-м уровне. При этом критерием выбора средств должно служить выполнение условий а - з, приведенных в разделе 3.

Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления

Дата добавления: 2014-12-08; Просмотров: 648; Нарушение авторских прав?; Мы поможем в написании вашей работы!