2.32k likes | 2.56k Views
Требования к защите информации. Духан Е.И., Синадский Н.И., 2003-2008. Руководящие документы. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ ГТК РФ. – М., 1992.
E N D
Требования к защите информации Духан Е.И., Синадский Н.И., 2003-2008
Руководящие документы • Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ ГТК РФ. – М., 1992. • Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации: Руководящий документ ГТК РФ. – М., 1992.
Международные стандарты • ГОСТ 15408-02 «Критерии оценки безопасности информационных технологий». – М., 2002. • Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. – М.: Гостехкомиссия России, 2002. • ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью
Требования «из жизни» • только зарегистрированные в КС пользователи и только в разрешенное для каждого из них время могут включить компьютер (загрузить операционную систему); • без регистрацииникто не должен получать доступ к конфиденциальной информации и информации, хранящейся на защищаемых носителях; • пользователь, обрабатывающий конфиденциальные данные должен иметь возможность удостовериться в «чистоте» компьютерной системы, а именно в неизменности системного и прикладного программного обеспечения, пользовательских данных, в отсутствии вредоносных программ; • пользователи должны получать доступ только к тойинформации и с теми возможностями по ее обработке, которые соответствуют их функциональным обязанностям; • пользователям при обработке защищаемой информации разрешается применение только тех программных средств, которые необходимы им для выполнения своих функциональных обязанностей;
Требования «из жизни» • для хранения конфиденциальных данных должны использоваться только учтенные носители информации, возможность копирования информации на внешние или сетевые носители определяется уровнем конфиденциальности информации, уровнем допуска сотрудника и уровнем конфиденциальности носителя; • конфиденциальная информация, обрабатываемая пользователем, в том числе ее фрагменты в виде «технологического мусора», без соответствующего разрешения не должна прямо или косвенно быть доступнаиному субъекту; • в целях профилактики и расследования возможных инцидентов автоматически должна вестись регистрация в специальных электронных журналах наиболее важных событий, связанных с доступом пользователей к защищаемой информации и компьютерной системе в целом; • при печати документов на бумажные носители автоматически должен фиксироваться факт распечатки в специальном журнале и автоматически выводиться соответствующий штамп на сам документ;
Требования «из жизни» • в компьютерной системе должен быть администраторбезопасности, который обязан воплощать в жизнь политику безопасности и, следовательно, имеет право устанавливать порядок доступа пользователей к КС и документам, разрешения (ограничения), пароли и т.д.; • все перечисленные требования должны обеспечиваться средствами самой компьютерной системы автоматически. Каждый сотрудник предприятия должен быть вынужден гарантированно выполнять требования политики безопасности не под воздействием силы приказов и распоряжений начальников. На предприятии должен быть организован такой режим функционирования КС, который просто не позволит пользователю работать с конфиденциальными данными в незащищенном режиме.
Методы защиты информации в компьютерных системах: • Ограничение доступа • Идентификация и аутентификация • Разграничение доступа • Аудит (контроль и учет доступа) • Управление политикой безопасности • Криптографическая защита • Антивирусная защита • Архивирование и резервирование данных • Сетевая защита
Ограничение физического доступа к информации на ПК • Режимное помещение (ТСО)
ТСО : • Комплекс организационных мер • Техническая укрепленность • Средства охранной сигнализации • Телевизионные системы наблюдения • Системы управления доступом
Ограничение физического доступа к информации на ПК • Режимное помещение (ТСО) • Применение специализированных «запорных» устройств • Опечатывание системного блока • Использование съемных НЖМД • Использование специальных функций BIOS
Ограничение возможности загрузки ПК • Установка парольной защиты в BIOS • Запрет загрузки с внешних носителей (дискеты, CD-ROM, USB-носителей) • Пароль на загрузку системы • Совмещать с паролем на экранную заставку
В меню Security (Password) осуществляется установка ввода пароля на: • Антивирусный контроль MBR • вход в Bios Setup (Supervisor)
Установка порядка загрузки ОС ПК осуществляется как правило в меню Advanced CMOS Features
Этапы управления доступом • Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов • Идентификатор - уникальный признак субъекта или объекта доступа • Аутентификация - проверка подлинности объекта • Авторизация - предоставление объекту полномочий
СПОСОБЫ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ • Парольные системы • Биометрические признаки (в т.ч. программные – клавиатурный почерк) • Физические носители кодов паролей
Требования к паролям • Min 8-10 символов • Не слово • Не QWERTY • Не IVAN, не PAROL, не gfhjkm • Использование в пароле различных групп символов Aa1; + Alt+цифр. клав • Rz23Sa5v • Влрё,Влор☺
КЛАВИАТУРНЫЙ ПОЧЕРК • Набор ключевой фразы • Набор свободного текста
Аутентификация по отпечаткам пальцев (дактилоскопия) 100мм
Аутентификация по цвету радужной оболочки и узору сетчатки глаз
ФИЗИЧЕСКИЕ НОСИТЕЛИ КОДОВ ПАРОЛЕЙ • Ключевые дискеты • Механические ключи повышенной секретности • Пластиковые карточки (Смарт-карты) • ”Touch-memory” (Dallas iButton) • Ключи для портов ПЭВМ (e-tokenUSB-ключ, PCMCIA - карты) • Проксими-ключи и карты
Современные тенденции в решении задачи защиты информации • Применение СЗИ, дополняющей механизмы ОС Windows 2000, XP • Разработка собственной защищенной ОС MCBC 3.0 • Доработка защитных механизмов ОС Windows XP на основе российских алгоритмов шифрования
МСВС 3.0 • Встроенные средства защиты от НСД, удовлетворяющие требованиям Руководящего документа ГосТехКомиссии при Президенте РФ по классу 2 средств вычислительной техники • Средства защиты включают мандатное управление доступом, списки контроля доступа, ролевую модель и развитые средства аудита
Компьютерная система Субъекты (пользователи, внешние коммуникации) Объекты (ресурсы, файлы, диски, устройства) Процессы субъектов
Монитор безопасности Ядро системы Про- цессы Субъекты Объекты Надстройки Монитор безопасности Защищенная система Монитор безопасности реализует модели защиты информации на основе принципов (моделей) разграничения доступа: • одноуровневая модель • многоуровневая модель • модель тематического РД
Тип доступа Тройки доступа (субъект-тип-объект) Субъекты Объекты Одноуровневая модель (на основе дискреционного (избирательного) принципа разграничения доступа) пространство разрешений на доступ 1. Для любого объекта существует владелец 2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту 3. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно 4.Существует привилегированный пользователь, имеющий возможность обратиться к любому объекту по любому методу доступа
Назначение пользователям учетных записей
Включение учетных записей в группы
Субъекты Объекты 1-я (высшая) степень допуска 1-й (высший) уровень конфиденциальности 2-я степень допуска 2-й уровень конфиденциальности 3-я степень допуска 3-й уровень конфиденциальности Обозначения: - тип доступа "чтение", "модификация", "удаление" - тип доступа "создание" Многоуровневая модель Белла-ЛаПадулы (на основе мандатного принципа разграничения доступа) Определение системы допусков субъектов по степени благонадежности Категорирование объектов по уровню конфиденциальности Установление полномочий субъектов с определенными допусками к объектам определенной категории Иерархический принцип управления доступом
Классы защищенности по Оранжевой книге
Схема групп и классов защищенности АС от НСД Первая (высшая) группа Класс 1А Класс 1Б Класс 1В Класс 1Г Вторая группа Класс 1Д Класс 2А Класс 2Б Третья группа Класс 3А Класс 3Б Классификация АС и требования по защите информации Многопользовательские АС с информацией различного уровня конфиденциальности и различным уровнем полномочий пользователей Многопользовательские АС с информацией различного уровня конфиденциальности и одинако- вым уровнем полномочий пользователей Однопользовательские АС с информацией одного уровня конфиденциальности
Дискреционная ОС Windows NT/2000 OC Novell NetWare ОС семейства Linux Мандатная ОС Trusted Xenix ОС МСВС СУБД TrustedOracle СУБД Линтер Примеры использования моделей РД для платформы Intel Мандатная на основе дискреционной • СЗИ Secret Net для ОС Windows NT/2000 • СЗИDallas Lock для ОС Windows NT/2000 • СЗИ Аккорд-АМДЗ для ОС Windows NT/2000 и OC Novell NetWare
Модель тематического РД • Классификация сущностей КС по какому-либо основанию (критерию) • Организация доступа осуществляется на основе тематических классификаторов • Сотрудники получают доступ к документам определенной тематики согласно функциональным обязанностям
Требования к программно-аппаратным средствам защиты информации
СЗИ создаваемый аппаратно-программными средствами • непрерывный, • многоуровневый, • универсальный, • комплексный рубеж, препятствие причинению ущерба КИ.