Общие принципы построения безопасных операционных систем
Основные понятия и определения
Рассмотрение вопросов безопасности в сетевых операционных системах начнем с определения основных составляющих информационной безопасности. В настоящее время общепринятым является определение, впервые введенное в критериях оценки безопасности информационных технологий, принятых в ряде европейских стран. В соответствии с этим определением, к основным составляющим относятся:
конфиденциальность, то есть защита от несанкционированного получения информации;
целостность, то есть защита от несанкционированного изменения информации;
доступность, то есть защита от несанкционированного блокирования доступа к информационным ресурсам.
Первый вопрос, который должен решить специалист по вопросам безопасности, состоит в том, нуждаются ли используемые им средства защиты информации в сертификации соответствующих компетентных органов Российской Федерации.
1. Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты.
2. Обязательной сертификации подлежат средства, в том числе и иностранного производства, предназначенные для обработки информации с ограниченным доступом и прежде всего составляющей государственную тайну, а так же использующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. В остальных случаях сертификация носит добровольный характер и может осуществляться по инициативе производителя или потребителя.
3. Сертификация производится для следующих программных и технических средств защиты информации:
не использующих методы криптографии и шифрования – испытательными лабораториями и экспертными комитетами, аккредитованными Гостехкомиссией России;
использующих методы криптографии и шифрования – органами Федерального Агенства Правительственной связи и информации (ФАПСИ).
Необходимо отметить, что в настоящее время Правительством Российской Федерации поднимается вопрос создания системы обязательной государственной сертификации информационных систем, обрабатывающих единые государственные ресурсы, представляющие национальное достояние России.
Сертификация средств защиты информации осуществляется на основе критериев, опубликованных в соответствующих нормативных документах.
Перед тем, как рассматривать российские критерии информационной безопасности, целесообразно рассмотреть соответствующие документы, принятые в США. Во-первых, эти документы были разработаны раньше, чем соответствующие нормативные акты других стран. Во-вторых, все известные коммерческие сетевые операционные системы разработаны фирмами США, которые в первую очередь ориентируются на свои национальные критерии безопасности.
В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием “Критерии оценки надежных компьютерных систем” (Trusted Computer Systems Evaluation Criteria, TCSEC) – так называемую “Оранжевую книгу”. В 1987 году Национальный центр компьютерной безопасности выпустил интерпретацию этой книги для сетевых конфигураций (“Красная книга”). Представляет интерес само название книги. Речь идет не о безопасных (авторы этого документа совершенно справедливо считают, что абсолютно безопасную систему построить нельзя), а о надежных системах, то есть о таких, которым можно доверять важную информацию. Поэтому в дальнейшем изложении понятия безопасности и надежности будут рассматриваться как синонимы.
В “Оранжевой книге” надежная система определяется как “система, использующая аппаратные и программные средства, достаточные чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа”.
Надежность систем, в соответствии с “Оранжевой книгой”, определяется следующими факторами:
Политикой безопасности, то есть совокупностью правил, определяющих дисциплину обработки, защиты и распространения информации. Правила определяют, в частности, кто и в каком объеме имеет доступ к соответствующим файлам и сервисам. Политика безопасности включает в себя анализ активных угроз и выбор мер противодействия.
Гарантированностью – мерой доверия, которая может быть оказана различным компонентам системы защиты. Она определяется как по результатам испытаний, так и методом экспертных оценок.
Механизмом протоколирования всех событий, относящихся к безопасности системы, дополненным системой аудита, то есть анализа регистрационной информации.
Согласно “Оранжевой книге”, политика безопасности включает в себя следующие элементы:
дискреционное управление доступом;
безопасность повторного использования объектов;
метки безопасности;
мандатное управление доступом.
Дискретное управление доступомпредставляет собой метод ограничения доступа к объектам, состоящий в непосредственном предоставлении пользователю, либо некой их совокупности определенного набора прав на конкретные объекты. К этим правам относится, в частности, и право наделять других пользователей правами доступа к конкретному объекту. Теоретически дискреционную схему доступа можно представить в виде некоторой матрицы, в строках которой расположены пользователи, а в столбцах – объекты. На пересечении присутствуют права пользователя по отношении к конкретным объектам.
Большинство сетевых операционных систем реализуют именно дискреционный метод управления доступом. Главное его достоинство – гибкость, главные недостатки – рассредоточенность управления и сложность централизованного контроля. Механизмы реализации дискреционного метода доступа для соответствующих сетевых операционных систем будут описаны в последующих разделах.
Безопасность повторного использования объектов означает невозможность извлечений конфиденциальной информации из “мусора”, образовавшегося после уничтожения соответствующих объектов. Безопасность повторного использования должна гарантироваться для областей оперативной памяти, дисковых блоков и магнитных носителей в целом.
Для реализации мандатного метода управления доступом с объектами и Пользователями ассоциируются так называемые метки безопасности. Метка Пользователя описывает степень его допуска к конфиденциальной информации, метка объекта – степень конфиденциальности связанных с этим объектом данных. Согласно “Оранжевой книге” метки безопасности состоят из двух частей. Первая из них определяет уровень секретности, вторая – категорию информации.
Мандатный метод управления доступом основан на сопоставлении меток безопасности пользователя и объекта файловой системы. Субъект может читать информацию из объекта лишь в том случае, если уровень секретности первого не ниже уровня секретности информационного объекта, и все категории информации, содержащиеся в метке субъекта, присутствуют в метке объекта (метка пользователя доминирует над меткой информационного объекта). В тоже время, пользователь имеет право записи в обект, если метка объекта доминирует над меткой пользователя, (то есть “секретный” пользователь может писать в секретные и совершенно секретные документы, но не может писать в несекретные).
В “Красной книге” определены следующие функции безопасности для распределенной вычислительной системы.
Аутентификация. Данная функция обеспечивает проверку того факта, что партнеры по общению и источники данных действительно те, за которых они себя выдают.
Аутентификация партнеров по общению используется при установлении соединения или иногда, периодически, во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи.
Аутентификация источника данных – это подтверждение подлинности источника отдельной порции данных. Функция не обеспечивает защиты против повторной передачи данных.
Управление доступом. Управление доступом обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность данных. Данная функция обеспечивает защиту от несанкционированного получения информации. Различают следующие виды конфиденциальности:
конфиденциальность данных при общении с установлением соединения (в этом и следующем случаях защищается вся пользовательская информация);
конфиденциальность данных при общении без установления соединения;
конфиденциальность отдельных полей данных (избирательная конфиденциальность);
конфиденциальность трафика (защита информации, которую можно получить, анализируя трафик).
Целостность данных. Данная функция подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без такового, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость. Данная функция обозначает невозможность отказаться от совершенных действий и обеспечивает два вида услуг:
неотказуемость с подтверждением подлинности источника данных;
неотказуемость с подтверждением доставки информации.
Побочным продуктом неотказуемости является аутентификация источника данных.
Для реализации функций безопасности могут использоваться следующие механизмы:
Шифрование. Шифрование подразделяется на симметричное с секретным ключому, когда знание ключа шифрования влечет за собой знание ключа расшифровки, и асимметричное с открытым ключом, когда знание ключа шифрования не влечет знание ключа расшифровки. Различают также необратимое шифрование. Последнее может использоваться для вычисления криптографических контрольных сумм.
Электронная подпись. Механизм формирования электронной подписи должен быть построен таким образом, чтобы обеспечить однозначное определение личности лица, поставившего электронную подпись без знания секретного ключа этого лица.
Механизмы управления доступом к объектам и сервисам. Решение о предоставлении доступа к запрашиваемой информации может быть принято на основании анализа следующей информации:
баз данных управления доступом, которые могут пoддepживаться как централизованно, так и на оконечных системах и содержат в себе списки доступа или другую аналогичную информацию;
паролей или иной аутентификационной информации;
меток безопасности, ассоциированных с пользователями и объектами доступа;
времени запрашиваемого доступа;
маршрута запрашиваемого доступа;
длительности запрашиваемого доступа.
Механизмы контроля целостности сообщений. Различают два взаимосвязанных аспекта этой проблемы: целостность отдельного сообщения и целостность некоторой совокупности сообщений.
Процедура контроля целостности отдельного сообщения состоит в вычислении и добавлении на передающей стороне некоторой избыточной информации, которая является функцией от данного сообщения (различные разновидности контрольных сумм). На приемной стороне производится повторное вычисление контрольной суммы с последующим сравнением.
Для проверки целостности потока сообщений: защиты от кражи, переупорядочивания, дублирования и вставки сообщений – используются порядковые номера, временные штампы, криптографическое связывание, при котором результат шифрования очередного сообщения зависит от предыдущего, или иные аналогичные приемы.
Механизмы аутентификации, то есть подтверждения подлинности. Аутентификация может быть односторонней, когда клиент доказывает свою подлинность серверу или двусторонней (взаимной). Аутентификация осуществляется путем предъявления паролей, личных учетных карточек или других устройств аналогичного назначения, криптографических методов, когда демонстрируется знание секретного ключа, а также устройств измерения и анализа биометрических характеристик (отпечатков пальцев и др.).
Механизмы дополнения трафика последовательностями случайных чисел с целью маскирования полезной информации. Данные механизмы эффективны только совместно со средствами обеспечения конфиденциальности, так как в противном случае злоумышленнику будет очевиден маскирующий характер дополнительных сообщений.
Механизмы управления маршрутизацией. Маршруты могут выбираться как статически, так и динамически. Сетевая операционная система, зафиксировав информационные атаки на некотором маршруте, может отказаться от его дальнейшего использования. На выбор маршрута могут также оказать влияние метки безопасности.
Механизмы нотаризации (заверения). Служат для удостоверения таких коммуникационных характеристик, как время, целостность, личности отправителей и получателей. Заверение обеспечивается некоторой третьей стороной, обладающей таким статусом, чтобы ее заверению можно было доверять. Обычно нотаризация опирается на механизм электронной подписи.
Механизмы обеспечения доступности данных. Сетевой сервис становится недоступным, когда падает пропускная способность информационных каналов или сервис теряет возможность обслуживать все обращенные к нему информационные запросы. Удаленный ресурс также может стать недоступным, если администратор задал неправильную дисциплину обслуживания пользователей. Надежная сетевая операционная система должна обнаруживать ситуации недоступности, уметь возвращаться в рабочее состояние и уметь противостоять атакам на доступность. Для поддержания доступности могут использоваться следующие защитные меры:
избыточность оборудования и каналов связи;
средства реконфигурации для изоляции или замены вышедшего из строя оборудования;
рассредоточенность сетевого управления, отсутствие единой точки отказа;
выделение подсетей и изоляция групп пользователей друг от друга.
Оценка уровня надежности сетевых операционных систем может вестись как по системе в целом, так и по отдельным ее составляющим. Для того, чтобы рассмотреть основные методы определения надежности сетевой операционной системы на основании анализа надежности отдельных ее составляющих введем понятия надежной вычислительной базы и монитора обращений.
Надежная вычислительная база – это совокупность всех механизмов защиты операционной системы, обеспечивающих проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, вводимых административным персоналом.
Надежная вычислительная база должна выполнять функции монитора обращений, то есть контролировать допустимость выполнения операций над объектами. Монитор проверяет каждое обращение пользователя к программам или данным на предмет их согласованности со списком допустимых действий.
К монитору обращений предъявляются три требования:
– изолированность – означает, что монитор должен быть защищен от отслеживания своей работы.
– полнота – предполагает, что монитор вызывается при каждом обращении, причем не должно быть способов его обхода.
– верифицируемость – требует, чтобы монитор был компактным, и его можно было проанализировать и протестировать, при наличии, конечно, уверенности в полноте тестирования.
В случае, если коммуникационные каналы поддерживают конфиденциальность и целостность передаваемой информации, и мониторы обращений каждого из компонентов сетевой операционной системы поддерживают согласованную политику безопасности, то общий монитор всей сетевой конфигурации образуется как совокупность мониторов отдельных компонентов сетевой операцинной системы.
Таким образом, сетевые конфигурации могут подразделяться на компоненты, предоставляющие определенные виды сервиса и отслеживающие обращения к своим объектам, и на коммуникационные каналы, защищенные надежными сетевыми сервисами, использующими, как правило, криптографические механизмы.
Оценка компонентов производится по обычным критериям “Оранжевой книги” с одной важной оговоркой, а именно: каждый компонент, вообще говоря, не обязан поддерживать все перечисленные выше аспекты политики безопасности. В таком случае к нему нужно применять соответствующее подмножество критериев. Компоненты, поддерживающие лишь часть аспектов политики безопасности, должны обладать программными и/или протокольными интерфейсами, чтобы получить недостающие им сервисы от других компонентов (предоставляющих такую возможность).
Критерии безопасности Министерства обороны США предусматривают оценку по следующим классам безопасности.
Класс D. Минимальная защита. Зарезервирован для систем, которые не удовлетворяют требованиям, предъявляемым к более высоким классам информационной безопасности.
Класс С1. Дискреционная защита. Обеспечивает надежное разделение пользователей по правам их доступа к объектам различных типов.
Класс С2. Контролируемый доступ. Механизмы защиты класса С1 дополняются механизмами регистрации действий пользователя (усовершенствованный механизм идентификации и аутентификации, аудит, изоляция ресурсов).
Класс В1. Применение меток доступа. Наряду с механизмами класса С2 используются метки доступа и механизмы мандатного управления доступом к объектам.
Класс В2. Структурированная защита. К требованиям класса В1 добавляется требование наличия меток доступа у всех объектов. Усиливаются требования к механизмам аутентификации. Должны присутствовать механизмы управлениями контроля конфигурации. Система относительно безопасна против проникновения извне.
Класс В3. Домены безопасности. Должен быть реализован механизм монитора ссылок, который поддерживает контроль за всеми обращениями к объектам на уровне кодов. Аудит доведен до контроля элементарных событий. Возможно восстановление состояния системы. Высокая степень защиты от проникновения извне.
Класс А. Верифицируемое проектирование. Не содержит дополнительных требований по сравнению с классом В3. Требует наличия формализованной модели безопасности системы, позволяющей доказать выполнение системой требований по безопасности математическими методами.