Руководящие документы Гостехкомиссии России
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии", что можно только приветствовать.
В своем обзоре мы рассмотрим два важных, хотя и не новых, Руководящих документа – Классификацию автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа (НСД) и аналогичную Классификацию межсетевых экранов (МЭ).
Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
Сведем в таблицу 4.3 требования ко всем девяти классам защищенности АС.
Табл. 4.3. Требования к защищенности автоматизированных систем | ||||||||||
Подсистемы и требования | Классы | |||||||||
3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | ||
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему; | + | + | + | + | + | + | + | + | + | |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ; | - | - | - | + | - | + | + | + | + | |
к программам; | - | - | - | + | - | + | + | + | + | |
к томам, каталогам, файлам, записям, полям записей. | - | - | - | + | - | + | + | + | + | |
1.2. Управление потоками информации | - | - | - | + | - | - | + | + | + | |
2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети); | + | + | + | + | + | + | + | + | + | |
выдачи печатных (графических) выходных документов; | - | + | - | + | - | + | + | + | + | |
запуска/завершения программ и процессов (заданий, задач); | - | - | - | + | - | + | + | + | + | |
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; | - | - | - | + | - | + | + | + | + | |
изменения полномочий субъектов доступа; | - | - | - | - | - | - | + | + | + | |
создаваемых защищаемых объектов доступа. | - | - | - | + | - | - | + | + | + | |
2.2. Учет носителей информации. | + | + | + | + | + | + | + | + | + | |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. | - | + | - | + | - | + | + | + | + | |
2.4. Сигнализация попыток нарушения защиты. | - | - | - | - | - | - | + | + | + | |
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации. | - | - | - | + | - | - | - | + | + | |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах. | - | - | - | - | - | - | - | - | + | |
3.3. Использование аттестованных (сертифицированных) криптографических средств. | - | - | - | + | - | - | - | + | + | |
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации. | + | + | + | + | + | + | + | + | + | |
4.2. Физическая охрана средств вычислительной техники и носителей информации. | + | + | + | + | + | + | + | + | + | |
4.3. Наличие администратора (службы защиты) информации в АС. | - | - | - | + | - | - | + | + | + | |
4.4. Периодическое тестирование СЗИ НСД. | + | + | + | + | + | + | + | + | + | |
4.5. Наличие средств восстановления СЗИ НСД. | + | + | + | + | + | + | + | + | + | |
4.6. Использование сертифицированных средств защиты. | - | + | - | + | - | - | + | + | + |
"–" нет требований к данному классу;
"+" есть требования к данному классу;
"СЗИ НСД" - система защиты информации от несанкционированного доступа
По существу перед нами – минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступность (точнее, восстановление) предусмотрено только для самих средств защиты.
Переходя к рассмотрению второго РД Гостехкомиссии России – Классификации межсетевых экранов — укажем, что данный РД представляется нам принципиально важным, поскольку в нем идет речь не о целостном продукте или системе, а об отдельном сервисе безопасности, обеспечивающем межсетевое разграничение доступа.
Данный РД важен не столько содержанием, сколько самим фактом своего существования.
Основным критерием классификации межсетевых экранов служит протокольный уровень (в соответствии с эталонной семиуровневой моделью), на котором осуществляется фильтрация информации. Это понятно: чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию можно реализовать.
Значительное внимание в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирования распределенных конфигураций.
Глава 5
Идентификационные системы
Биометрические системы
Проблема разграничения доступа к информации в корпоративных системах существовала с самого начала их функционирования.
Самым простым и привычным средством идентификации пользователей на сегодняшний день пока остается парольный доступ к системе. Однако нельзя гарантированно утверждать, что пароль является абсолютно надежной защитой от проникновения злоумышленников в хранилище информации - будь то жесткий диск локального компьютера или сетевые устройства хранения информации. Хорошо, когда человек умеет хранить тайну, держа в памяти заветные наборы букв и цифр. Однако далеко не все люди одинаковы, да и память может подвести. Поэтому, увы, даже если в организации существует строгая политика по длине пароля и частоте его обновления пользователями, подобные организационно-административные меры не исключают случаев компрометации паролей. Причина тому весьма проста - некоторые сотрудники никак не могут запомнить свои пароли, поэтому на их столах можно увидеть бумажки с написанными на них кодами. Для выхода из этой ситуации сотрудники организаций, чтобы упростить запоминание паролей, часто задают в качестве пароля какое-нибудь простое слово, набор повторяющихся цифр или символов, собственное имя или что-либо подобное. Такие пароли могут быть "взломаны" за минимальный срок. Существующая статистика показывает, что в стандартном домене операционной системы применение простейшей программы подбора пароля так называемым методом "грубой силы" способно в течение суток предоставить злоумышленнику до 90 % всех паролей пользователей. Иногда, чтобы особенно "не напрягаться", пользователи применяют одинаковый пароль ко всем информационным системам, доступ к которым им разрешен. В этом случае, узнав всего один пароль, злоумышленник скорее всего получит доступ ко всему информационному пространству, в принципе доступному данному пользователю: и в корпоративную сеть, и в систему электронной почты, и в финансовую систему организации. Таким образом, все попытки защитить важную для организации информацию будут преодолены, а нарушитель получит "зеленый свет" для всех своих неблаговидных начинаний. С этого времени организация может начать "терять" информацию, возможно, неожиданно для себя и, наверное, такую, которой делиться-то и не следовало.
Более сложные системы идентификации, использующие технические средства, как правило, включают три основных функциональных элемента:
§ носители кода или данных;
§ считывающие головки или головки записи/считывания, обеспечивающие передачу информации между носителями кода или носителями данных и устройствами управления;
§ устройства управления, предварительно обрабатывающие информацию и передающие ее на верхний уровень системы (персональный компьютер или программируемый контроллер).
Новые технологии, которые в будущем смогут полноценно (а то и более надежно) заменить пароли, основываются на биометрии - науке, изучающей возможности использования различных характеристик человеческого тела (например, отпечатки пальцев, свойства человеческого зрачка или голоса) для идентификации каждого конкретного человека. Основываются эти технологии на том, что биометрические параметры каждого человека уникальны.
По оценкам специалистов, мощным стимулятором спроса на биометрическое оборудование станет необходимость повышения безопасности электронных сделок. Эксперты аналитической компании Cajmers In-Stat прогнозируют[16], что к 2005 г. объем рынка биометрических устройств возрастет до 520 млн долл. в сравнении с 227,9 млн долл. в 2000 г. По их мнению, через несколько лет это оборудование, обеспечивающее идентификацию людей по уникальным физическим признакам, станет частью стандартного набора средств безопасности при осуществлении электронных транзакций. Этому поспособствует и снижение стоимости подобных устройств по мере совершенствования технологии их выпуска. Изменятся и методы идентификации: если сейчас наиболее распространенным из них является сканирование отпечатков пальцев, то в будущем ему на смену придет распознавание лица.
Биометрическая идентификация позволяет эффективно решить целый ряд проблем:
§ предотвратить проникновение злоумышленников на охраняемые территории и в помещения за счет подделки, кражи документов, карт, паролей;
§ ограничить доступ к информации и обеспечить персональную ответственность за ее сохранность;
§ обеспечить допуск к ответственным объектам только сертифицированных специалистов;
§ избежать накладных расходов, связанных с эксплуатацией систем контроля доступа (карты, ключи);
§ исключить неудобства, связанные с утерей, порчей или элементарным забыванием ключей, карт, паролей;
§ организовать учет доступа и посещаемости сотрудников.
Биометрический контроль доступа - автоматизированный метод, с помощью которого путем проверки (исследования) уникальных физиологических особенностей или поведенческих характеристик человека осуществляется идентификация личности. Физиологические особенности, например, такие, как капилярный узор пальца, геометрия ладони или рисунок (модель) радужной оболочки глаза, являются постоянными физическими характеристиками человека. Данный тип измерений (проверки) практически неизменен, как и сами физиологические характеристики. Поведенческие же характеристики, такие, как подпись, голос или клавиатурный почерк, находятся под влиянием как управляемых действий, так и менее управляемых психологических факторов. Поскольку поведенческие характеристики могут изменяться с течением времени, зарегистрированный биометрический образец должен обновляться при каждом его использовании. Хотя биометрия, основанная на поведенческих характеристиках, менее дорога и представляет меньшую угрозу для пользователей, использование физиологических черт обеспечивает большую точность идентификации личности и ее безопасность. В любом случае оба метода представляют собой значительно более высокий уровень идентификации, чем сами по себе пароли или карты.
В отличие от пароля или персонального идентификационного номера (общеизвестный по мобильным телефонам PIN) биометрическая характеристика не может быть забыта, потеряна или украдена. Поскольку биометрические характеристики каждой отдельной личности уникальны, они могут использоваться для предотвращения воровства или мошенничества. Сегодня существует более 10 000 компьютеризированных мест, хранилищ, исследовательских лабораторий, банков крови, банкоматов, военных сооружений, доступ к которым контролируется устройствами, которые сканируют уникальные физиологические или поведенческие характеристики индивидуума.
Биометрические системы идентификации, доступные в настоящее время или находящиеся в стадии разработки, включают в себя системы доступа по отпечатку пальца, аромату, ДНК, форме уха, геометрии лица, температуре кожи лица, клавиатурному почерку, отпечатку ладони, сетчатке глаза, рисунку радужной оболочки глаза, подписи и голосу.
Биометрические системы, логически объединяющие в своем составе модули регистрации и идентификации, устанавливают аутентичность определенных характеристик пользователя информационной системы на основе распознавания предъявляемого шаблона. Шаблоны пользователей хранятся, как правило, в специализированной базе данных биометрической системы, которая может быть централизованной или распределенной. На этапе идентификации биометрический датчик регистрирует характеристику пользователя (например, отпечаток пальца), переводит информацию в цифровой формат и сравнивает с хранимым шаблоном.
Опознавательные методы
В настоящее время разрабатываются идентификационные системы, основанные на различных опознавательных методах[16].
Отпечаток пальца. В последние годы процесс идентификации личности по отпечатку пальца обратил на себя внимание как биометрическая технология, которая, вполне вероятно, будет наиболее широко использоваться в будущем.
В дополнение к общей безопасности и использованию контроля доступа, устройства доступа по отпечатку пальцев установлены в военных учреждениях, включая Пентагон и правительственные лаборатории. Хотя отказ в доступе уполномоченных пользователей составляет около 3 %, процент ошибочного доступа - меньше одного на миллион. В настоящее время применение данной технологии получило большое распространение в системе автоматической идентификации по отпечатку пальца (AFIS), используемой полицией в США и в более чем 30 странах мира. Преимущества доступа по отпечатку пальца - простота использования, удобство и надежность. Весь процесс идентификации занимает мало времени и не требует усилий от тех, кто использует данную систему доступа. Исследования также показали, что этот способ идентификации личности является наиболее удобным из всех биометрических методов. Вероятность ошибки при идентификации пользователя намного меньше в сравнении с другими биометрическими методами. Кроме того, устройство идентификации по отпечатку пальца не требует много места на клавиатуре или в механизме. В настоящее время уже производятся подобные системы размером меньше колоды карт.
Геометрия руки. В настоящее время метод идентификации пользователей по геометрии руки используется в более чем 8 000 местах, включая Колумбийский законодательный орган, Международный аэропорт Сан-Франциско, больницы и иммиграционные службы. Преимущества идентификации по геометрии ладони сравнимы с плюсами идентификации по отпечатку пальца в вопросе надежности, хотя устройство для считывания отпечатков ладоней занимает больше места. Наиболее удачное устройство, Handkey, сканирует как внутреннюю, так и боковую сторону руки, используя для этого встроенную видеокамеру и алгоритмы сжатия. Устройства, которые могут сканировать и другие параметры руки, находятся в процессе разработки несколькими компаниями, такими, как BioMet Partners, Palmetrics и BTG.
Радужная оболочка глаза. Преимущество сканеров для радужной оболочки состоит в том, что они не требуют, чтобы пользователь сосредоточился на цели, потому что образец пятен на радужной оболочке находится на поверхности глаза. Фактически видеоизображение глаза может быть отсканировано на расстоянии трех футов, что делает возможным использование сканеров для радужной оболочки в банкоматах. У людей с ослабленным зрением, но с неповрежденной радужной оболочкой все равно могут сканироваться и кодироваться идентифицирующие параметры. Если есть катаракта - повреждение хрусталика глаза, которое находится позади радужной оболочки, она никаким образом не влияет на процесс сканирования радужной оболочки.
Сетчатка глаза. Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры для сетчатки глаза получили большое распространение в сверхсекретных системах контроля доступа, так как у них один из самых низких процентов отказа доступа зарегистрированных пользователей и почти 0 % ошибочного доступа. Однако изображение радужной оболочки должно быть четким на задней части глаза, поэтому катаракта может отрицательно воздействовать на качество изображения радужной оболочки глаза.
Голосовая идентификация. Привлекательность данного метода состоит в удобстве применения. Основным беспокойством, связанным с этим биометрическим подходом, является точность идентификации. Однако это не является серьезной проблемой с того момента, как устройства идентификации личности по голосу стали различать различные характеристики человеческой речи. Голос формируется из комбинации физиологических и поведенческих факторов. В настоящее время идентификация по голосу используется для управления доступом в помещения средней степени безопасности, например в лаборатории и компьютерные классы.
Идентификация по голосу - удобный, но в то же время не такой надежный способ, как другие биометрические методы. Например, человек с простудой или ларингитом может иметь проблемы при использовании данных систем.
Геометрия лица. Идентификация по чертам лица - одно из наиболее быстрорастущих направлений в биометрической индустрии. Привлекательность данного метода основана на том, что он наиболее близок к тому, как мы идентифицируем друг друга. Развитие этого направления связано с быстрым ростом мультимедийных видеотехнологий, благодаря чему можно увидеть все больше видеокамер, установленных дома и на рабочих местах. Однако большинство разработчиков пока испытывают трудности в достижении высокого уровня исполнения данных устройств. Тем не менее можно ожидать появления в ближайшем будущем специальных устройств идентификации личности по чертам лица в залах аэропортов для защиты от террористов и для других целей.
Клавиатурный почерк. Клавиатурный почерк, также называемый ритмом печатания, анализирует способ печатания пользователем той или иной фразы. Это аналогично "ранним дням" телеграфа, когда люди идентифицировали друг друга "по удару отправителя". Несмотря на привлекательность этого метода, коммерческие усилия в развитии данной технологии потерпели неудачу.
Подпись. Статическое закрепление подписи становится весьма популярным взамен росписи ручкой на банковской кредитной карточке, бланке службы доставки (например, FedEx). В основном устройства идентификации подписи используют специальные ручки, чувствительные к давлению столы или комбинацию обоих. Устройства, использующие специальные ручки, менее дороги и занимают меньше места, но в то же время имеют меньший срок службы.
До сих пор финансовое сообщество не спешило принимать автоматизированные методы идентификации подписи для кредитных карточек и проверки заявления, потому что подписи все еще слишком легко подделать. Данный аспект препятствует внедрению идентификации личности по подписи в высокотехнологические системы безопасности.
Устройства биометрического контроля начали распространяться в России с 1998 г. Конечно, подобная техника существовала и до этого. Однако цена около 12 тыс. долл. за устройство физического доступа делала их экзотикой, и в России они распространения получить не могли. Сегодня аналогичные устройства подешевели примерно в 10 - 12 раз.
Так что первая причина появления спроса на эти устройства в России — чисто экономическая, просто устройства стали более доступны.
Вторая причина - это рост необходимости защиты от преступности и рэкета у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Традиционно в режимных предприятиях использовались замки с PIN-кодом, потом появились магнитные карты, которыми нужно проводить через специальные устройства, затем - карточки дистанционного считывания.
Однако опыт, в том числе и российский, показывает, что данные средства эффективны от случайного посетителя и не очень эффективны при жесткой форме рэкета, когда похищаются пароли входа и сами карточки. Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник попытается использовать труп или отрубленный палец имеющего доступ к системе. Система весьма надежная и умная. Система почти не реагирует на грязные или мокрые руки.
В России биометрические системы доступа сейчас начинают распространяться. Первой в России, кто вышел на рынок с подобными предложениями, была компания Trans-Ameritech. Компания стала представлять на российском рынке Identix - компанию, которая является на сегодня мировым лидером (ей принадлежит примерно 80 % рынка биометрических сканеров, выпускаемых в мире).
На рынке была еще одна крупная компания, работавшая в этой области, - Identicator, которую к настоящему времени приобрела компания Identix.
На сегодняшний день наиболее развитыми системами данного типа являются дактилоскопические системы, т.е. основанные на анализе отпечатков пальцев. Тем не менее апробируются и другие технологии.
Активизировавшаяся в последнее время в области инновационных разработок (роботы, самообучающиеся системы на основе нейросетей и пр.) компания Fujitsu представила новую биометрическую систему, основанную на сканировании и идентификации капиллярного рисунка на ладони человека, который является уникальным у каждого человека. Для сканирования используется удаленный метод инфракрасного мониторинга ладони, данные которого потом сравниваются с образцом, хранящимся в памяти системы. Сообщается, что при тестировании на выборке из 700 человек узнаваемость достигла 99 %, что является достаточно высоким показателем в этой области.