Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Математическая постановка задачи разработки комплексной системы защиты информации



После выбора показателей эффективности и критерия эффективности может быть осуществлена математическая постановка задачи разработки КСЗИ. На этом этапе уже известны:

· F = {f1, f2, …, fn} - функции, которые должна выполнять КСЗИ;

· М = {m1, m2, …, mk} - возможные механизмы защиты;

· U = {u1, u2, …, up} - способы управления КСЗИ.

· Y = {y1, y2, …, yw}-показатели эффективности КСЗИ;

Показатели эффективности зависят от выполняемых функций, механизмов защиты и способов управления КСЗИ: У=Ф(F, М, U).

Критерий эффективности получается с использованием показателей эффективности: К=Е(У).

Тогда математическая постановка задачи разработки КСЗИ в общем случае может быть представлена в следующем виде:

найти extr S(F, М*, U*), при М* М, U* U, которым соответствуют У* Уд, где Уд - множество допустимых значений показателей эффективности КСЗИ.

То есть, требуется создать или выбрать такие механизмы защиты информации и способы управления системой защиты, при которых обеспечивается выполнение всего множества требуемых функций и достигается максимум или минимум выбранного критерия, а также выполняются ограничения на некоторые показатели эффективности.

Такая постановка применима не только для решения общей, но и частных задач оценки эффективности комплексной системы деты информации.

Подходы к оценке эффективности КСЗИ

Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода:

· классический;

· официальный;

· экспериментальный.

Классический подход

Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путём моделирования или вычисляются по характеристикам реальной АС.

Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределённости исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчёта показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.

Официальный подход

Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищённости информации различных категорий конфиденциальности и важности.

Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в АС, чтобы она соответствовала определённому классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является её класс защищённости.

Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем зашиты, является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.

Во всех развитых странах разработаны свои стандарты защищённости компьютерных систем критического применения. Так, министерстве обороны США используется стандарт ТСSЕС (Department of Defence Trusted Computer System Evaluation Criteria), который известен как Оранжевая книга.

Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D. В некоторых случаях группы безопасности делятся дополнительно на классы безопасности.

Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены формальными методами. В этой группе имеется только один класс - А1.

Группа В (полномочная или полная защита) представляет полную защиту АС. В этой группе - классы безопасности В1, В2 и В3.

Класс В1 (защита через грифы или метки) обеспечивается использованием в АС грифов секретности, определяющих доступ пользователей к частям системы.

Класс В2 (структурированная защита) достигается разделением информации на защищённые и незащищённые блоки и контролем доступа к ним пользователей.

Класс В3 (области или домены безопасности) предусматривает разделение АС на подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.

Группа С (избирательная защита) представляет избирательную защиту подсистем с контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2.

Класс С1 (избирательная защита информации) предусматривает разделение в АС пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты АС.

Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается раздельным доступом пользователей к данным.

Группу D (минимальной безопасности) составляют АС, проверенные на безопасность, но которые не могут быть отнесены к классам А, В или С.

Организация защиты информации в вычислительных сетях министерства обороны США осуществляется в соответствии с требованиями руководства «The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines». Этот документ получил название Красная книга (как и предыдущий - по цвету обложки).

Подобные стандарты защищенности АС приняты и в других развитых странах. Так, в 1991 году Франция, Германия, Нидерланды и Великобритания приняли согласованные «Европейские критерии», в которых рассмотрено 7 классов безопасности от Е0 до Е6.

В Российской Федерации аналогичный стандарт разработан в 1992 году Государственной технической комиссией при Президенте РФ. Этим стандартом является руководящий документ ГТК «Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации».

Устанавливается семь классов защищённости средств вычислительной техники (СВТ) от НСД к информации (табл. 2). Самый низкий класс - седьмой, самый высокий - первый.

Таблица 2. Показатели защищенности по классам СВТ

Наименование показателя Класс защищенности
1. Дискреционный принцип контроля доступа + + + = + =
2. Мандатный принцип контроля доступа - - + = = =
3. Очистка памяти - + + + = =
4. Изоляция модулей - - + = + =
5. Маркировка документов - - + = = =
6. Защита ввода и вывода на отчуждаемый физический носитель информации - - + = = =
7. Сопоставление пользователя с устройством - - + = = =
8. Идентификация и аутентификация + = + = = =
9. Гарантия проектирования - + + + + +
10. Регистрация - + + + = =
11. Взаимодействие пользователя с АСЗ - - - + = =
12. Надежное восстановление - - - + = =
13. Целостность АСЗ - + + + = =
14. Контроль модификации - - - - + =
15. Контроль дистрибуции - - - - + =
16. Гарантии архитектуры - - - - - +
17. Тестирование + + + + + =
18. Руководство пользователя + = = = = =
19. Руководство по АСЗ + + = + + =
20. Текстовая документация + + + + + =
21. Конструкторская (проектная) документация + + + + + +

Обозначения: «-» - нет требований к данному классу; «+» - новые или дополнительные требования; «=» - требования совпадают с требованиями к СВТ предыдущего класса; АСЗ – комплекс средств защиты.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

· первая группа содержит только один седьмой класс;

· вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

· третья группа характеризуется мандатной защитой и содержит четвёртый, третий и второй классы; четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищённость СВТ оказалась ниже уровня требований шестого класса.

Кроме требований к защищённости отдельных элементов СВТ, в Руководящем документе приведены требования к защищённости автоматизированных систем (АС). В отличие от СВТ автоматизированные системы являются функционально ориентированными. При создании АС учитываются особенности пользовательской информации, технология обработки, хранения и передачи информации, конкретные модели угроз.

Устанавливается девять классов защищённости АС от НСД к информации. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

Третья группа классифицирует АС, с которыми работает один пользователь, допущенный ко всей информации АС, размещённой на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Во вторую группу сведены АС, пользователи которых имеют одинаковые права доступа ко всей информации АС. Группа содержит два класса - 2Б и 2А. Первую группу составляют многопользовательские АС, в которых пользователи имеют разные права доступа к информации. Группа включает пять классов - 1Д, 1Г, 1В, 1Б, 1А.

Требования ко всем девяти классам защищённости АС сведены в табл. 3.

Таблица 3. Требования к защищённости автоматизированных систем

Подсистемы и требования Классы
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему + + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ       +   + + + +
к программам       +   + + + +
к томам, каталогам, файлам, записям, полям записей       +   + + + +
1.2. Управление потоками информации       +     + + +
2. Подсистема регистрации и учёта
2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети)     + + + + + + +
выдачи печатных (графических) выходных документов       +   + + + +
запуска/завершения программ и процессов (заданий, задач)       +   + + + +
доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи       +   + + + +
доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей       +   + + + +
изменения полномочий субъектов доступа             + + +
создаваемых защищаемых объектов доступа       +     + + +
2.2. Учет носителей информации     + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей       +   + + + +
2.4. Сигнализация попыток нарушения защиты             + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации       +       + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах                 +
3.3. Использование аттестованных (сертифицированных) криптографических средств       +       + +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации     + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации     + + + + + + +
4.3. Наличие администратора (службы) защиты информации в АС       +     + + +
4.4. Периодическое тестирование СЗИ НСД     + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД     + + + + + + +
4.6. Использование сертифицированных средств защиты       +     + + +

Обозначения: «+» - есть требования к данному классу; СЗИ НСД - система зашиты информации от несанкционированного доступа.

Для примера рассмотрим подробно требования к одному из представительных классов защищённости, а именно - к классу 1В.

1) В подсистеме управления доступом автоматизированной системы должны осуществляться:

· идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

· идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;

· идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

· управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

2) Подсистема регистрации и учёта должна обеспечивать:

· регистрацию входа/выхода субъектов доступа в систему из системы, либо регистрацию загрузки и инициализации операционной системы и её программного останова;

· регистрацию выдачи печатных (графических) документов на «твёрдую» копию;

· регистрацию запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

· регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;

· регистрацию изменений полномочий субъектов доступа и статуса объектов доступа;

· автоматический учёт создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

· учёт всех защищаемых носителей информации с помощью их любой маркировки;

· очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется путём записи последовательности 1 и 0 в любую освобождаемую область памяти, использованную для хранения защищаемой информации;

· сигнализацию попыток нарушения защиты.

3) Подсистема обеспечения целостности предусматривает:

· обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды. Целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;

· охрану СВТ (устройств и носителей информации), что предполагает охрану территории и здания, где размещается АС, с помощью технических средств и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;

· наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

· периодическое тестирование всех функций СЗИ НСД с помощью специальных программ не реже одного раза в год;

· наличие средств восстановления СЗИ НСД (ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности);

· использование сертифицированных средств защиты.

Представленный перечень является тем минимумом требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.

Стандарт требований ТСSЕС соответствует информационным системам с применением ЭВМ общего пользования (main frame) и мини ЭВМ. Для персональных ЭВМ (ПЭВМ) и локальных сетей ПЭВМ требования безопасности должны быть несколько иными. Такие требования изложены в стандарте The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines, получившем название Красная книга. Неофициальные названия стандартов США Оранжевая книга и Красная книга связаны с соответствующим цветом обложек этих документов.

Экспериментальный подход

Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путём попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников. Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очерёдность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой АС, до высококвалифицированного сотрудника службы безопасности.

Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать «взлома» системы защиты.

Такой подход к оценке эффективности позволяет получать объективные данные о возможностях существующих КСЗИ, но требует высокой квалификации исполнителей и больших материальных и временных затрат. Для проведения экспериментов необходимо иметь самое современное оборудование (средства инженерно-технической разведки, аппаратно-программные и испытательные комплексы (стенды) и т. п.)


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-07-14; Просмотров: 942; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.03 с.)
Главная | Случайная страница | Обратная связь