2. Угрозы, уязвимые места, службы и механизмы
Угрозой может быть любое лицо , объект или событие, которое,
в случае реализации, может потенциально стать причиной нанесения
вреда ЛВС. Угрозы могут быть злонамеренными, такими, как умышленная
модификация критической информации, или могут быть случайными, такими,
как ошибки в вычислениях или случайное удаление файла. Угроза может
быть также природным явлением, таким, как наводнение, ураган, молния
и т.п. Непосредственный вред, вызванный угрозой,
называется воздействием угрозы.
Уязвимыми местами являются слабые места ЛВС, которые
могут использоваться угрозой для своей реализации. Например, неавторизованный
доступ (угроза) к ЛВС может быть осуществлен посторонним человеком,
угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом
является плохой выбор пароля, сделанный пользователем. Уменьшение
или ограничение уязвимых мест ЛВС может снизить или вообще устранить
риск от угроз ЛВС. Например, средство, которое может помочь пользователям
выбрать надежный пароль, сможет снизить вероятность того, что пользователи
будут использовать слабые пароли и этим уменьшить угрозу несанкционированного
доступа к ЛВС.
Служба защиты является совокупностью механизмов защиты, поддерживающих
их файлов данных и организационных мер, которые помогают защитить
ЛВС от конкретных угроз. Например, служба аутентификации и идентификации
помогает защитить ЛВС от неавторизованного доступа к ЛВС ,
требуя чтобы пользователь идентифицировал себя , а также подтвердил
истинность своего идентификатора. Средство защиты надежно
настолько, насколько надежны механизмы, процедуры и т.д., которые
составляют его.
Механизмы защиты являются средствами защиты, реализованными
для обеспечения служб защиты, необходимых для защиты ЛВС. Например,
система аутентификации, основанная на использовании смарт-карт (которая
предполагает, что пользователь владеет требуемой смарт-картой),
может быть механизмом, реализованным для обеспечения службы идентификации
и аутентификации. Другие механизмы, которые помогают поддерживать
конфиденциальность аутентификационной информации, могут также считаться
частью службы идентификации и аутентификации.
Этот раздел состоит из двух частей. В первой части обсуждаются угрозы,
воздействия и соответствующие уязвимые места. Угрозы в общем классифицируются
на основании вызванных ими воздействий, имевших место при
реализации угроз. Для каждого типа воздействий здесь обсуждаются
угрозы, которые могут стать причиной данного воздействия, потенциальные
потери от угрозы, и уязвимые места, которые могут быть использованы
угрозами. Вторая часть раздела обсуждает службы защиты ЛВС и возможные
механизмы, которые могут быть реализованы для обеспечения этих служб.
2.1.
Угрозы и уязвимые места
Идентификация угроз предполагает рассмотрение воздействий и последствий
реализации угроз. Воздействие угрозы, которое обычно включает в
себя проблемы, возникшие непосредственно после реализации
угрозы, приводит к раскрытию, модификации, разрушению или
отказу в обслуживании. Более значительные долговременные последствия
реализации угрозы приводят к потере бизнеса, нарушению тайны,
гражданских прав, потере адекватности данных, потере человеческой
жизни или иным долговременным эффектам. Последствия угроз будут
обсуждаться в разделе 3, Управление риском. Подход, описываемый
здесь, состоит в классификации типов воздействий, которые могут
иметь место в ЛВС, так чтобы специфические технические угрозы могли
быть сгруппированы по своим воздействиям и изучены некоторым образом.
Например, такие технические угрозы, реализация которых влечет воздействие
"Компрометация трафика ЛВС", могут быть отделены от тех угроз,
которые влекут воздействие "Нарушение функционирования ЛВС". Следует
понимать, что реализация многих угроз приводит к более чем одному
воздействию, однако в рамках этого обсуждения каждая угроза будет
рассматриваться в связи только с одним воздействием. Воздействия,
которые будут использоваться для классификации и обсуждения угроз
среде ЛВС:
- Неавторизованный доступ к ЛВС - происходит в результате
получения неавторизованным человеком доступа
к ЛВС.
- Несоответствующий доступ к ресурсам ЛВС- происходит
в результате получения доступа к ресурсам ЛВС авторизованным
или неавторизованным человеком неавторизованным способом.
- Раскрытие данных - происходит в результате получения
доступа к информации или ее чтения человеком и возможного раскрытия
им информации случайным или неавторизованным намеренным образом.
- Неавторизованная модификация данных и программ - происходит
в результате модификации, удаления или разрушения человеком данных
и программного обеспечения ЛВС неавторизованным или случайным
образом.
- Раскрытие трафика ЛВС - происходит в результате получения
доступа к информации или ее чтения человеком и возможного ее разглашения
случайным или неавторизованным намеренным образом тогда, когда
информация передается через ЛВС.
- Подмена трафика ЛВС - происходит в результате появлений
сообщений, которые имеют такой вид, как будто они посланы законным
заявленным отправителем, а на самом деле сообщения посланы не
им.
- Неработоспособность ЛВС - происходит в результате
реализации угроз, которые не позволяют ресурсам ЛВС быть
своевременно доступными.
2.1.1.
Неавторизованный доступ к ЛВС
ЛВС обеспечивает совместное использование файлов, принтеров,
файловой памяти и т.п. Поскольку ресурсы разделяемы и не используются
монопольно одним пользователем, необходимо управление ресурсами
и учет использования ресурсов. Неавторизованный доступ к ЛВС
имеет место, когда кто-то, не уполномоченный на использование
ЛВС, получает доступ к ней (действуя обычно как законный пользователь
ЛВС). Три общих метода используются, чтобы получить неавторизованный
доступ: общие пароли, угадывание пароля и перехват пароля. Общие
пароли позволяют неавторизованному пользователю получить доступ
к ЛВС и привилегии законного пользователя; это делается с одобрения
какого-либо законного пользователя, под чьим именем осуществляется
доступ . Угадывание пароля является традиционным способом
неавторизованного доступа. Перехват пароля является процессом, в
ходе которого законный пользователь, не зная того, раскрывает учетный
идентификатор пользователя и пароль. Это может быть выполнено
с помощью программы троянского коня, которая имеет для пользователя
вид нормальной программы входа в ЛВС; однако программа - троянский
конь предназначена для перехвата пароля. Другим методом, обычно
используемым для перехвата пароля, является перехват пароля
и идентификатора пользователя, передаваемых по ЛВС в незашифрованном
виде. Методы перехвата открытого трафика ЛВС, включая пароли, широко
доступны сегодня. Неавторизованный доступ к ЛВС может происходить
с использованием следующих типов уязвимых мест:
- отсутствие или недостаточность схемы идентификации и аутентификации,
- совместно используемые пароли,
- плохое управление паролями или легкие для угадывания пароли,
- использование известных системных брешей и уязвимых мест,
которые не были исправлены,
- однопользовательские ПК, не имеющие парольной защиты
во время загрузки,
- неполное использование механизмов блокировки ПК,
- хранимые в пакетных файлах на дисках ПК пароли доступа
к ЛВС,
- слабый физический контроль за сетевыми устройствами,
- незащищенные модемы,
- отсутствие тайм-аута при установлении сеанса
и регистрации неверных попыток,
- отсутствие отключения терминала при многочисленных неудачных
попытках установления сеанса и регистрации таких попыток,
- отсутствие сообщений "дата/время последнего удачного
сеанса" и "неуспешная попытка установления сеанса" в начале сеанса,
- отсутствие верификации пользователя в реальном времени
(для выявления маскарада).
2.1.2.
Несоответствующий доступ к ресурсам ЛВС
Одна из выгод от использования ЛВС состоит в том, что большое
количество ресурсов легко доступны большому количеству пользователей,
что лучше чем владение каждым пользователем ограниченных выделенных
ему ресурсов. Эти ресурсы могут включать файловую память, приложения,
принтеры, данные, и т.д.. Однако не все ресурсы должны быть доступны
каждому пользователю. Чтобы предотвратить компрометацию безопасности
ресурса (то есть разрушение ресурса, или уменьшение его доступности),
нужно разрешать использовать этот ресурс только тем, кому требуется
использование ресурса. Несоответствующий доступ происходит, когда
пользователь, законный или неавторизованный, получает доступ к ресурсу,
который пользователю не разрешено использовать. Несоответствующий
доступ может происходить просто потому, что права доступа пользователей
к ресурсу не назначены должным образом. Однако, несоответствующий
доступ может также происходить потому, что механизм управления доступом
или механизм назначения привилегий обладают недостаточной степенью
детализации. В этих случаях единственный способ предоставить
пользователю необходимые права доступа или привилегии для выполнения
определенной функции состоит в том, чтобы предоставлять пользователю
больше доступа, чем необходимо, или больше привилегий, чем необходимо.
Несоответствующий доступ к ресурсам ЛВС может происходить при использовании
следующих типов уязвимых мест:
- использование при назначении прав пользователям по умолчанию
таких системных установок, которые являются слишком разрешающими
для пользователей,
- неправильное использование привилегий администратора
или менеджера ЛВС,
- данные, хранящиеся с неадекватным уровнем защиты
или вообще без защиты,
- недостаточное или неправильное использование механизма
назначения привилегий для пользователей, ПК, на которых не используют
никакого контроля доступа на уровне файлов.
2.1.3. Раскрытие
данных
Так как ЛВС используются повсюду в организациях или отделах, некоторые
из хранящихся или обрабатываемых данных в ЛВС могут требовать некоторого
уровня конфиденциальности. Раскрытие данных или программного
обеспечения ЛВС происходит, когда к данным или программному обеспечению
осуществляется доступ, при котором они читаются и, возможно, разглашаются
некоторому лицу, которое не имеет доступа к данным. Это
может производиться кем-либо путем получения доступа к информации,
которая не зашифрована, или путем просмотра экрана монитора или
распечаток информации. Компрометация данных ЛВС может происходить
при использовании следующих типов уязвимых мест:
- неправильные установки управления доступом,
- данные, которые считаются достаточно критичными, чтобы
нужно было использовать шифрование, но хранятся в незашифрованной
форме,
- исходные тексты приложений, хранимые в незашифрованной
форме,
- мониторы, находящиеся в помещениях, где много посторонних
людей
- станции печати, находящиеся в помещениях, где много посторонних
людей
- резервные копии данных и программного обеспечения, хранимые
в открытых помещениях.
2.1.4.
Неавторизованная модификация данных и программ
Поскольку пользователи ЛВС разделяют данные и приложения, изменения
в этих ресурсах должны быть управляемы. Неавторизованная модификация
данных или программного обеспечения происходит, когда в файле или
программе производятся неавторизованные изменения (добавление, удаление
или модификации).
Когда незаметная модификация данных происходит в течение длительного
периода времени, измененные данные могут распространиться по ЛВС,
возможно искажая базы данных, электронные таблицы и другие
прикладные данные. Это может привести к нарушению целостности почти
всей прикладной информации.
Если в программном обеспечении были произведены незаметные изменения,
то все программное обеспечение ЭВМ может оказаться под подозрением,
что приводит к необходимости детального изучения (и возможно переустановки)
всего соответствующего программного обеспечения и приложений. Эти
неавторизованные изменения могут быть сделаны в простых командных
файлах (например, в пакетных файлах ПК), в сервисных программах,
используемых в многопользовательских системах, в главных прикладных
программах, или в любом другом типе программного обеспечения. Они
могут быть сделаны неавторизованными посторонними лицами, а также
теми, кто уполномочен делать изменения в программном обеспечении
(хотя изменения, которые они делают, не разрешены). Эти изменения
могут привести к передаче информации (или копии информации)
другим пользователям, искажению данных при обработке или нанесению
вреда доступности системы или служб ЛВС.
Вирусы на ПК могут оказаться неприятной новостью для любой
организации, которая не обеспечила пользователей ЛВС инструментами
для эффективного обнаружения и предотвращения внедрения вирусов
в ЛВС. В настоящее время вирусы ограничиваются повреждением ПК и
в общем случае не портят серверы ЛВС (хотя вирусы могут использовать
ЛВС для инфицирования ПК). [WACK89] содержит рекомендации
по обнаружению вирусов и предотвращению их проникновения в ЛВС.
Неавторизованная модификация данных и программного обеспечения может
происходить при использовании следующих типов уязвимых мест:
- разрешение на запись, предоставленное пользователям,
которым требуется только разрешение на доступ по чтению,
- необнаруженные изменения в программном обеспечении, включая
добавление кода для создания программы троянского коня,
- отсутствие криптографической контрольной суммы критических
данных,
- механизм привилегий, который позволяет избыточное разрешение
записи,
- отсутствие средств выявления и защиты от вирусов,
2.1.5.
Раскрытие трафика ЛВС
Раскрытие трафика ЛВС происходит, когда кто-то, кому это
не разрешено, читает информацию , или получает к ней доступ другим
способом, в то время, когда она передается через ЛВС.
Трафик ЛВС может быть скомпрометирован при прослушивании и перехвате
трафика, передаваемого по транспортной среде ЛВС (при
подключении к кабелю сети, прослушивании трафика, передаваемого
по эфиру, злоупотреблении предоставленным подключением к сети с
помощью присоединения сетевого анализатора, и т.д.). Большое количество
пользователей понимают важность конфиденциальной информации,
хранимой на их автоматизированных рабочих местах или серверах; однако,
также важно поддерживать эту конфиденциальность при передаче информации
через ЛВС. Информация, которая может быть скомпрометирована таким
образом, включает системные имена и имена пользователей, пароли,
сообщения электронной почты, прикладные данные и т.д. Например,
даже если пароли могут быть зашифрованы при хранении в системе,
они могут быть перехвачены в открытом виде в то время, когда их
посылают от автоматизированного рабочего места или ПК к файловому
серверу. Файлы сообщений электронной почты, к которым обычно имеется
очень ограниченный доступ при хранении в ЭВМ, часто посылаются в
открытом виде по среде передачи ЛВС, что делает их легкой целью
для перехвата. Компрометация трафика ЛВС может происходить при использовании
следующих типов уязвимых мест:
- неадекватная физическая защита устройств ЛВС и среды
передачи,
- передача открытых данных с использованием широковещательных
протоколов передачи,
- передача открытых данных (незашифрованных) по среде ЛВС.
2.1.6.
Подмена трафика ЛВС
Данные, которые переданы по ЛВС, не должны быть изменены неавторизованным
способом в результате этой передачи либо самой ЛВС ,либо злоумышленником.
Пользователи ЛВС должны быть вправе предполагать, что посланное
сообщение будет получено неизмененным. Модификация происходит,
когда делается намеренное или случайное изменение в любой части
сообщения, включая его содержимое и адресную информацию.
Сообщения, передаваемые по ЛВС, должны содержать некоторый вид адресной
информации, сообщающей адрес отправителя сообщения и адрес
получателя сообщения (помимо другой информации). Подмена
трафика ЛВС включает (1) способность получать сообщение, маскируясь
под легитимное место назначения, либо (2) способность маскироваться
под машину-отправитель и посылать сообщения кому-либо. Чтобы
маскироваться под машину-получатель, нужно убедить ЛВС в том,
что данный адрес машины - легитимный адрес машины-получателя. (Получение
трафика ЛВС может также быть осуществлено путем прослушивании сообщений,
поскольку они в широковещательном режиме передаются всем узлам).
Маскировка под машину-отправитель для убеждения машины-получателя
в законности сообщения может быть выполнена заменой своего адреса
в сообщении адресом авторизованной машины-отправителя или посредством
воспроизведения трафика. Воспроизведение предполагает перехват сеанса
между отправителем и получателем и повторную передачу впоследствии
этого сеанса (или только заголовков сообщений с новыми содержаниями
сообщений). Подмена трафика ЛВС или модификации трафика ЛВС может
происходить при использовании следующих типов уязвимых мест:
- передача трафика ЛВС в открытом виде,
- отсутствие отметки даты / времени (показывающей время
посылки и время получения),
- отсутствие механизма кода аутентификации сообщения
или цифровой подписи,
- отсутствие механизма аутентификации в реальном
масштабе времени (для защиты от воспроизведения).
2.1.7.
Разрушение функций ЛВС
ЛВС - инструмент, используемый организацией для совместного использования
информации и передачи ее из одного места в другое. Эта потребность
удовлетворяется функциональными возможностями ЛВС, описанными в
пункте 1.4 Определение ЛВС. Разрушение функциональных
возможностей происходит, когда ЛВС не может своевременно обеспечить
необходимые функциональные возможности. Разрушение может
охватывать как один тип функциональных возможностей, так и группу
возможностей. Разрушение функциональных возможностей ЛВС может происходить
при использовании следующих типов уязвимых мест:
- неспособность обнаружить необычный характер трафика (то
есть намеренное переполнение трафика),
- неспособность перенаправить трафик, выявить отказы аппаратных
средств ЭВМ, и т.д.,
- конфигурация ЛВС, допускающая возможность выхода из строя
из-за отказа в одном месте,
- неавторизованные изменения компонентов аппаратных средств
ЭВМ (переконфигурирование адресов на автоматизированных рабочих
местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),
- неправильное обслуживание аппаратных средств ЛВС,
- недостаточная физическая защита аппаратных средств ЛВС.
2.2.
Службы и механизмы защиты
Служба защиты - совокупность механизмов, процедур и других управляющих
воздействий, реализованных для сокращения риска, связанного
с угрозой. Например, службы идентификации и аутентификации (опознания)
помогают сократить риск угрозы неавторизованного пользователя. Некоторые
службы обеспечивают защиту от угроз, в то время как другие службы
обеспечивают обнаружение реализации угрозы. Примером последних могут
служить службы регистрации или наблюдения. Следующие службы
будут обсуждены в этом разделе:
- идентификация и установление подлинности - является
службой безопасности, которая помогает гарантировать, что в
ЛВС работают только авторизованные лица.
- управление доступом - является службой безопасности,
которая помогает гарантировать, что ресурсы ЛВС используются разрешенным
способом.
- конфиденциальность данных и сообщений - является службой
безопасности, которая помогает гарантировать, что данные ЛВС,
программное обеспечение и сообщения не раскрыты неавторизованным
лицам.
- целостность данных и сообщений - является службой безопасности,
которая помогает гарантировать, что данные ЛВС, программное обеспечение
и сообщения не изменены неправомочными лицами.
- контроль участников взаимодействия - является службой
безопасности, посредством которой гарантируется, что объекты,
участвующие во взаимодействии, не смогут отказаться от участия
в нем. В частности, отправитель не сможет отрицать посылку сообщения
(контроль участников взаимодействия с подтверждением отправителя)
или получатель не сможет отрицать получение сообщения (контроль
участников взаимодействия с подтверждением получателя).
- регистрация и наблюдение - является службой безопасности,
с помощью которой может быть прослежено использование всех
ресурсов ЛВС.
Механизмы, процедуры и рекомендации, предлагаемые в этом разделе,
не должны рассматриваться как нечто обязательное и полное. Этот
документ является рекомендательным, и приведенные здесь меры защиты
должны рассматриваться как возможные, а не обязательные решения.
За определение соответствующих организационных и программно-технических
мер для конкретной среды ЛВС, отвечает каждая организация,
заботящаяся об обеспечении адекватной защиты ЛВС.
2.2.1.
Идентификация и аутентификация
Первый шаг к обеспечению безопасности ресурсов ЛВС - способность
проверить личности пользователей [BNOV91]. Процесс подтверждения(проверки)
личности пользователя назван установлением подлинности (аутентификацией).
Аутентификация обеспечивает основу для эффективного функционирования
других мер и средств защиты, используемых в ЛВС. Например, механизм
регистрации позволяет получить информацию об использовании пользователями
ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм
управления доступом разрешает доступ к ресурсам ЛВС, основываясь
на идентификаторе пользователя. Оба эти средства защиты эффективны
только при условии, что пользователь, использующий службу ЛВС -
действительный пользователь, которому назначен данный идентификатор
пользователя
Идентификация требует, чтобы пользователь был так или иначе
известен ЛВС. Она обычно основана на назначении пользователю
идентификатора пользователя. Однако ЛВС не может доверять заявленному
идентификатору без подтверждения его подлинности . Установление
подлинности возможно при наличии у пользователя, чего - нибудь уникального,
что только пользователь имеет, типа жетона, чего - нибудь единственного,
что только пользователь знает, типа пароля, или чего - нибудь, что
делает пользователя уникальным, типа отпечатка пальца. Чем больше
количество таких уникальных вещей предоставлено пользователем ЛВС,
тем меньше риск , что кто-то подменит законного пользователя.
Требование, определяющее необходимость аутентификации, должно существовать
в большинстве политик безопасности ЛВС. Это требование может
содержаться неявно в политике концептуального уровня , которая подчеркивает
необходимость эффективного управления доступом к информации
и ресурсам ЛВС, или может быть явно выражено в политике относительно
ЛВС, в виде заявления, что все пользователи должны быть уникально
идентифицированы и аутентифицированы.
В большинстве ЛВС используется механизм идентификации и аутентификации
на основе схемы идентификатор пользователя/пароль. В [BNOV91] констатируется,
что "парольные системы могут быть эффективны, если управляются
должным образом [FIPS112], но это бывает редко. Аутентификация,
которая полагается исключительно на пароли, часто не может обеспечить
адекватную защиту для АС по ряду причин. Пользователи имеют тенденцию
создавать пароли, которые являются легкими для запоминания и, следовательно,
легкими для угадывания. С другой стороны, если пользователи должны
использовать пароли, сгенерированные из случайных символов, которые
трудно угадывать, то пользователям также трудно их запомнить . Это
вынуждает пользователя записывать пароль куда-либо, и наиболее вероятно,
в месте, легко доступном при работе". Исследовательские работы
, такие как [KLEIN] , детализируют степень простоты, с которой могут
угадываться пароли. Надлежащий выбор пароля (компромисс между
легкостью для запоминания пользователем и трудностью для угадывания
другим человеком) всегда был проблемой. Генераторы паролей, которые
создают пароли, состоящие из произносимых слогов, позволяют создавать
более запоминающиеся пароли, чем те , что создаются генераторами,
которые производят просто строки из случайных символов. [FIPS180]
определяет алгоритм, который может использоваться для создания случайных
произносимых паролей. Программы проверки паролей - это программы,
которые позволяют пользователю определить, являются ли новые пароли
легкими для угадывания и поэтому недопустимыми. Механизмы с использованием
только паролей, особенно те, которые передают по ЛВС пароль в открытом
виде(в незашифрованной форме) уязвимы с точки зрения наблюдения
и перехвата. Это может стать серьезной проблемой, если ЛВС имеет
неконтролируемые связи с внешними сетями. Организации, решившие
связать свои ЛВС с внешними сетями, особенно с Интернетом, должны
изучить документ [BJUL93] перед тем, как сделать это. Если после
рассмотрения всех вариантов аутентификации, политика ЛВС определяет,
что системы аутентификации только на основе паролей приемлемы, то
самой важной мерой защиты становится надлежащее управление
созданием паролей, их хранением, слежением за истечением срока их
использования, и удалением. Документ [FIPS 112] является руководством
по управлению паролями. [NCSC85] обеспечивает дополнительные рекомендации,
которые также могут быть учтены.
Из-за уязвимых мест, которые все еще существуют при использовании
механизмов на основе только паролей, могут использоваться более
надежные механизмы. [BNOV91] обсуждает новые разработки, которые
были сделаны в области систем аутентификации, основанных на
смарт-картах и использовании биометрии. Механизм, основанный на
интеллектуальных картах, требует, чтобы пользователь владел смарт-картой
и дополнительно может потребовать, чтобы пользователь знал персональный
код идентификации (ПКИ-PIN) или пароль. Смарт-карта реализует аутентификацию
с помощью схемы запрос/ответ, использующей указанные выше параметры
в реальном масштабе времени. Использование параметров в реальном
масштабе времени помогает предотвратить получение злоумышленником
неавторизованного доступа путем воспроизведения сеанса регистрации
пользователя. Эти устройства могут также шифровать сеанс аутентификации,
предотвращая компрометацию информации аутентификации с помощью наблюдения
и перехвата.
Механизмы блокировки для устройств ЛВС, автоматизированных рабочих
мест или ПК, которые требуют для разблокировки аутентификации пользователя,
могут быть полезны для пользователей, кто должен часто оставлять
рабочее место. Эти механизмы блокировки позволяют пользователям
остаться зарегистрированными в ЛВС и покидать их рабочие места (в
течение определенного периода времени, не длиннее заданного), не
делая при этом свое рабочее место потенциально доступным злоумышленникам.
Модемы, которые обеспечивают пользователей доступом к ЛВС, могут
потребовать дополнительной защиты. Злоумышленник, который может
получить доступ к модему, может получить доступ в АС, угадав
пароль пользователя. Доступность модема для использования его законными
пользователями может также стать проблемой, если злоумышленник имеет
постоянный доступ к модему.
Механизмы, которые обеспечивают пользователя информацией об использовании
его регистрационного имени, могут предупредить пользователя, что
его имя использовалось необычным образом (например, возникли
многократные ошибки при регистрации). Эти механизмы включают уведомления
о дате, времени, и местоположении последнего успешного сеанса и
числе предыдущих ошибок при регистрации. Типы механизмов защиты,
которые могли бы быть реализованы, чтобы обеспечить службы идентификации
и аутентификации, приведены в списке ниже:
- механизм, основанный на паролях,
- механизм, основанный на интеллектуальных картах
- механизм, основанный на биометрии,
- генератор паролей,
- блокировка с помощью пароля,
- блокировка клавиатуры,
- блокировка ПК или автоматизированного рабочего места,
- завершение соединения после нескольких ошибок при регистрации,
- уведомление пользователя о "последней успешной регистрации"
и "числе ошибок при регистрации",
- механизм аутентификации пользователя в реальном масштабе
времени,
- криптография с уникальными ключами для каждого пользователя.
2.2.2.
Управление доступом
Эта служба защищает против неавторизованного использования ресурсов
ЛВС, и может быть обеспечена при помощи механизмов управления доступом
и механизмов привилегий. Большая часть файловых серверов и многопользовательских
автоматизированных рабочих мест в некоторой степени обеспечивают
эту службу . Однако, ПК, которые монтируют тома файловых серверов,
обычно не осуществляют такое управление доступом. Пользователи должны
понимать, что файлы из смонтированных дисков, используемые на ПК,
находятся под управлением доступом ПК. По этой причине важно использовать
службы управления доступом, конфиденциальности и целостности для
ПК в максимально возможном объеме. Приложение C описывает некоторые
из проблем, которые нельзя избежать при использовании ПК.
Согласно [NCSC87], управление доступом может быть достигнуто при
использовании дискреционного управления доступом или мандатного
управления доступом. Дискреционное управление доступом - наиболее
общий тип управления доступом, используемого в ЛВС. Основной принцип
этого вида защиты состоит в том, что индивидуальный пользователь
или программа, работающая от имени пользователя, имеет возможность
явно определить типы доступа, которые могут осуществить другие пользователи
(или программы, выполняющиеся от их имени) к информации, находящейся
в ведении данного пользователя. Дискреционное управление доступом
отличается от мандатной защиты, в том, что оно реализует решения
по управлению доступом, принятые пользователем. Мандатное управление
доступом реализуется на основе результатов сравнения уровня
допуска пользователя и степени конфиденциальности информации.
Существуют механизмы управления доступом, которые поддерживают степень
детализации управления доступом на уровне следующих категорий:
владелец информации, заданная группа пользователей и "мира"
(всех других авторизованных пользователей). Это позволяет владельцу
файла (или каталога) иметь права доступа, отличающиеся от прав всех
других пользователей, и позволяет владельцу файла определить особые
права доступа для указанной группы людей, а также для всех остальных
(мира). В общем случае, существуют следующие права доступа: доступ
по чтению, доступ по записи, и доступ для выполнения. Некоторые
операционные системы ЛВС обеспечивают дополнительные права доступа,
которые позволяют модификацию, только добавление и т.д..
Операционная система ЛВС может поддерживать профили пользователя
и списки возможностей или списки управления доступом для определения
прав доступа для большого количества отдельных пользователей
и большого количества различных групп. Использование этих механизмов
позволяет обеспечить большую гибкость в предоставлении различных
прав доступа для различных пользователей, которые могут обеспечить
более строгий контроль доступа к файлам (или каталогам). (Более
гибкие механизмы предотвращают предоставление пользователю больших
прав доступа, чем необходимо, частой проблемы при описанном выше
трехуровневом подходе). Списки управления доступом определяют права
доступа специфицированных пользователей и групп к данному файлу
или каталогу. Списки возможностей и профили пользователя определяют
файлы и каталоги, к которым можно обращаться данным пользователям
(или пользователю).
Управление доступом пользователя может осуществляться на уровне
каталогов или на уровне файлов. Управление доступом на уровне каталога
приводит к тому, что права доступа для всех файлов в
каталоге становятся одинаковыми . Например, пользователь, который
имеет доступ по чтению к каталогу, может читать (и ,возможно, копировать)
любой файл в этом каталоге. Права доступа к директории могут
также обеспечить явный запрет доступа, который предотвращает
любой доступ пользователя к файлам в каталоге.
В некоторых реализациях ЛВС можно управлять типами обращений к файлу.
( Это осуществляется помимо контроля за тем, кто может иметь
доступ к файлу.) Реализации могут предоставлять опцию управления
доступом, которая позволяет владельцу помечать файл как разделяемый
или заблокированный (монопольно используемый). Разделяемые файлы
позволяют осуществлять параллельный доступ к файлу нескольких пользователей
в одно и то же время. Блокированный файл будет разрешать доступ
к себе только одному пользователю в данный момент времени. Если
файл доступен только по чтению, назначение его разделяемым позволяет
группе пользователей параллельно читать его .
Эти средства управления доступом могут также использоваться, чтобы
ограничить допустимые типы взаимодействия между серверами в ЛВС.
Большое количество операционных систем ЛВС могут ограничить тип
трафика, посылаемого между серверами. Может не существовать никаких
ограничений, что приведет к тому, что для всех пользователей будут
доступны ресурсы всех серверов (в зависимости от прав доступа пользователей
на каждом сервере). А могут и существовать некоторые ограничения,
которые будут позволять только определенные типы трафика, например,
только сообщения электронной почты, или более сильные ограничения
, которые запретят трафик между определенными серверами. Политика
ЛВС должна определить, какими типами информации необходимо обмениваться
между серверами. На передачу информации, для которой нет необходимости
совместного использования ее несколькими серверами, должны
быть наложены ограничения.
Механизмы привилегий позволяют авторизованным пользователям игнорировать
ограничения на доступ, или другими словами некоторым способом легально
обходить управление доступом, чтобы выполнить какую-либо функцию,
получить доступ к файлу, и т.д.. Механизм привилегий должен включать
концепцию минимальных привилегий. [ROBA91] определяет минимальные
привилегии как "принцип, согласно которому каждому субъекту в системе
предоставляется наиболее ограниченное множество привилегий, которые
необходимы для выполнения задачи, которую должен решить пользователь."
Например, принцип минимальных привилегий должен применяться при
выполнении функции резервного копирования. Пользователь, кто авторизован
выполнять функцию резервного копирования, должен иметь доступ
по чтению ко всем файлам, чтобы копировать их на резервные носители
информации. (Однако пользователю нельзя давать доступ по чтению
ко всем файлам через механизм управления доступом). Пользователю
предоставляют "привилегию" обхода ограничения по чтению (предписанного
механизмом управления доступом) для всех файлов, чтобы он
мог выполнить функцию резервного копирования. Чем более детальные
привилегии могут быть предоставлены, тем больше будет гарантий,
что пользователю не даны чрезмерные привилегии для выполнения
им авторизованной функции. Например, пользователю, который должен
выполнять функцию резервного копирования, не нужна привилегия обхода
ограничения на запись в файлы, но механизмы привилегий,
которые не обеспечивают такую точность, могут привести к предоставлению
ему такой привилегии. Типы механизмов защиты, которые могли бы быть
использованы для обеспечения службы управления доступом, приведены
в списке ниже:
- механизм управления доступом, использующий права доступа
(определяющий права владельца, группы и всех остальных пользователей),
- механизм управления доступом, использующий списки управления
доступом, профили пользователей и списки возможностей,
- управление доступом, использующее механизмы мандатного
управления доступом,
- детальный механизм привилегий.
2.2.3.
Конфиденциальность данных и сообщений
Служба конфиденциальности данных и сообщений может использоваться,
когда необходима секретность информации. Как передняя линия защиты,
эта служба может включать в себя механизмы, связанные со службой
управления доступом, но может также полагаться на шифрование для
обеспечения большего сохранения тайны. Шифрование информации преобразует
ее в непонятную форму, называемую шифротекстом, а расшифровывание
преобразует информацию обратно в ее первоначальную форму. Критичная
информация может храниться в шифрованной форме, в виде шифротекста.
Таким образом, если служба управления доступом будет обойдена, к
файлу может быть осуществлен доступ, но информация будет все еще
защищена, поскольку находится в зашифрованной форме. (Использование
шифрования может быть критическим на ПК, которые не обеспечивают
службу управления доступом как передней линии защиты.)
Очень трудно управлять неавторизованным доступом к трафику ЛВС,
когда он передается по ЛВС. Многие пользователи ЛВС это осознают
и понимают проблему. Использование шифрования сокращает риск какого-либо
перехвата и чтения проходящих транзитом через ЛВС сообщений, делая
сообщения нечитабельными для тех , кто сможет перехватить их. Только
авторизованный пользователь, который имеет правильный ключ, сможет
расшифровать сообщение после его получения.
Хорошая политика безопасности должна явно указывать пользователям
типы информации, которые считаются критичными настолько, что
для них требуется применение шифрования. Концептуальная политика
безопасности организации может указывать широкие категории
информации, которые должны быть обязательно защищены, в то время
как политика безопасности конкретной АС может детализировать определенные
типы информации и определенные среды работы(ОС), для которых необходима
защита при помощи шифрования. На каком бы уровне политики
безопасности не предписывалось использование шифрования, решение
о его применении должно быть принято лицом в руководстве организации,
ответственным за защиту критической информации. Если в политике
не указывается, какая информация подлежит шифрованию, то владелец
данных полностью отвечает за принятие этого решения.
Криптография может быть разделена на использующую секретные ключи
или использующую открытые ключи. Криптография секретных ключей основана
на использовании единственного криптографического ключа, известного
двум сторонам. Один и тот же ключ используется для шифрования и
расшифровки данных. Этот ключ хранится в тайне обоими сторонами.
Если необходимо шифрование критической, но несекретной информации
(кроме информации, соответствующей поправке Уорнера), требуется
использовать Стандарт Шифрования Данных (DES) FIPS 46-2, если только
главой агентства не наложен запрет на его использование. DES - алгоритм
с секретным ключом, используемый в криптографической системе, которая
может обеспечить конфиденциальность. FIPS 46-2 предусматривает реализацию
DES-алгоритма аппаратными средствами ЭВМ, программным обеспечением,
программируемым оборудованием или некоторой их комбинацией. FIPS
46-2 отличается от FIPS 46-1, который предполагал использование
только аппаратных средств ЭВМ. Краткий обзор DES, информация, описывающая
применимость DES и процедура отказа в его применении приведены в
[NCSL90].
Криптография с открытыми ключами - форма криптографии, которая использует
два ключа: открытый ключ и секретный ключ. Два ключа связаны, но
имеют такое свойство, что по данному открытому ключу в вычислительном
отношении невозможно получить секретный ключ [FIPS 140-1]. В криптосистеме
с открытыми ключами каждая сторона имеет собственную пару
из открытого и секретного ключей. Открытый ключ может быть известен
любому лицу; секретный ключ хранится в тайне. Можно привести
следующий пример обеспечения конфиденциальности: два пользователя,
Скотт и Джефф, желают обменяться критической информацией и сохранить
конфиденциальность этой информации. Скотт может зашифровать информацию
на открытом ключе Джеффа. Конфиденциальность информации сохраняется,
так как только Джефф может расшифровать информацию при помощи своего
секретного ключа. В настоящее время не существует никаких FIPS,
которые бы описывали допустимый алгоритм шифрования на открытых
ключах для обеспечения конфиденциальности. Агентства должны
отказываться от FIPS 46-2, чтобы использовать алгоритм шифрования
на открытых ключах для конфиденциальности. Технология открытых ключей
в форме цифровых подписей может также обеспечить целостность и контроль
участников взаимодействия. Это будет обсуждено в разделе 2.2.4.
Целостность Данных
FIPS 140-1, Требования Безопасности для Криптографических Модулей,
должен использоваться агентствами при определении требований безопасности,
необходимых для защиты оборудования, которое используется для
шифрования. Этот стандарт определяет требования, такие, как аутентификация,
физическое управление доступом и правильное управление ключами,
для всего оборудования, которое используется для шифрования. К системам,
которые реализуют шифрование в программном обеспечении, выдвигаются
дополнительные требования, описанные в FIPS 140-1. Серверы ЛВС,
ПК, платы шифрования, модемы шифрования, и все другое оборудование
ЛВС и сетей передачи данных, которое имеет возможность шифрования,
должно соответствовать требованиям FIPS 140-1. Типы механизмов
безопасности, которые могли бы быть реализованы, чтобы обеспечить
службу конфиденциальности сообщений и данных, приведены в списке
ниже.
Механизмы
- технология шифрования файлов и сообщений,
- защита резервных копий на лентах, дискетах, и т.д.,
- физическая защита физической среды ЛВС и устройств,
- использование маршрутизаторов, которые обеспечивают фильтрацию
для ограничения широковещательной передачи (или блокировкой, или
маскированием содержания сообщения).
2.2.4.
Целостность данных и сообщений
Служба целостности данных и сообщений помогает защитить данные
и программное обеспечение на автоматизированных рабочих местах,
файловых серверах и других компонентах ЛВС от неавторизованной модификации.
Неавторизованная модификация может быть намеренной или случайной.
Эта служба может быть обеспечена при помощи криптографических контрольных
сумм, и очень детальных механизмов управления доступом и привилегий.
Чем больше точность управления доступом или механизма привилегий,
тем менее вероятна возможность неавторизованной или случайной модификации.
Служба целостности данных и сообщений также помогает гарантировать,
что сообщение не изменено, не удалено или не добавлено любым способом
в течение передачи. (Некорректная модификация пакета сообщения обрабатывается
на уровне управления доступом к среде, осуществляемого в рамках
протокола ЛВС.) Большинство из методов защиты, доступных сегодня,
не могут предотвратить модификацию сообщения, но они могут обнаружить
модификацию сообщения (если сообщение не удалено полностью).
Использование контрольных сумм обеспечивает возможность обнаружения
модификации. Код Аутентификации Сообщения (Message Authentication
Code - MAC), разновидность криптографической контрольной суммы,
может защитить против как случайной, так и намеренной , но неавторизованной,
модификации данных. MAC первоначально рассчитывается путем применения
криптографического алгоритма и секретного числа, называемого ключом,
к данным. Начальный MAC сохраняется. Позже данные проверяются с
применением криптографического алгоритма и того же самого секретного
ключа к данным для вычисления другого MAC; затем этот MAC сравнивается
с начальным MAC. Если два MAC равны, тогда данные считаются подлинными.
В противном случае предполагается неавторизованная модификация.
Любая сторона, которая пробует изменить данные, но не знает
при этом ключ, не будет знать, как вычислить MAC, соответствующий
измененным данным. FIPS 113, Аутентификация Компьютерных Данных,
определяет Алгоритм Аутентификации Данных, основанный на DES, который
используется для вычисления MAC. См. [SMID88] для более
подробной информации относительно использования MAC.
Также могут использоваться электронные подписи для обнаружения модификации
данных или сообщений. Электронная подпись может быть создана при
помощи криптографии с открытыми или секретными ключами. При использовании
системы с открытыми ключами документы в компьютерной системе подписываются
с помощью электронной подписи путем применения секретного
ключа отправителя документа. Полученная электронная подпись и документ
могут быть затем сохранены или переданы. Подпись может быть
проверена при помощи открытого ключа создателя документа. Если подпись
подтверждается должным образом, получатель может быть уверен
в том, что документ был подписан с использованием секретного ключа
его создателя и что сообщение не было изменено после того, как оно
было подписано. Поскольку секретные ключи известны только их владельцам,
это делает также возможным проверку личности отправителя сообщения
третьим лицом. Поэтому электронная подпись обеспечивает две различных
службы: контроль участников взаимодействия и целостность сообщения.
FIPS PUB 186, Стандарт Электронной Подписи, определяет алгоритм
электронной подписи, который должен использоваться ,когда требуются
целостность данных и сообщений.
Код аутентификации сообщения (MAC), описанный выше, также может
использоваться, чтобы обеспечить возможность электронной подписи.
MAC рассчитывается на основании содержания сообщения. После передачи
рассчитывается другой MAC на основании содержания полученного сообщения.
Если MAC, связанный с сообщением, которое посылалось, отличается
от MAC, связанного с сообщением, которое было получено, тогда имеется
доказательство того, что полученное сообщение не соответствует посланному
сообщению. MAC также может использоваться, чтобы идентифицировать
для получателя лицо, подписавшее информацию. Однако реализация этой
технологии по существу не совсем обеспечивает контроль участников
взаимодействия, потому что и отправитель информации и ее получатель
используют один и тот же ключ. Типы механизмов защиты, которые могли
бы быть реализованы, чтобы обеспечить службу целостности данных
и сообщений, представлены в списке ниже.
Механизмы
- коды аутентификации сообщения, используемые для программного
обеспечения или файлов,
- использование электронной подписи, основанной на секретных
ключах,
- использование электронной подписи, основанной на открытых
ключах,
- детальный механизм привилегий,
- соответствующее назначение прав при управлении доступом
(то есть отсутствие ненужных разрешений на запись),
- программное обеспечение для обнаружения вирусов,
- бездисковые автоматизированные рабочие места (для предотвращения
локального хранения программного обеспечения и файлов),
- автоматизированные рабочие места без накопителей для
дискет или лент для предотвращения появления подозрительного программного
обеспечения,
2.2.5.
Контроль участников взаимодействия
Служба контроля участников взаимодействия помогает гарантировать,
что субъекты взаимодействия не смогут отрицать участие во
всем взаимодействии или какой-либо его части. Когда главной функцией
ЛВС является электронная почта, эта служба безопасности становится
очень важной. Контроль участников взаимодействия с подтверждением
отправителя дает получателю некоторую степень уверенности
в том, что сообщение действительно прибыло от названного отправителя.
Службу контроля участников взаимодействия можно обеспечить
с помощью криптографических методов с использованием открытых
ключей, реализующих электронную подпись. См. раздел 2.2.4 Целостность
Данных и Сообщений для описания и использования электронных
подписей. Механизм защиты, который мог бы быть реализован для обеспечения
службы контроля участников взаимодействия, приведен ниже.
Механизм
- использование электронных подписей с открытыми ключами.
2.2.6.
Регистрация и наблюдение
Эта служба исполняет две функции. Первая - обнаружение возникновения
угрозы. (Однако обнаружение не происходит в режиме реального времени,
если не используются какие-либо средства для наблюдения в реальном
масштабе времени.) Для всех обнаруженных случаев нарушения безопасности
должна иметься возможность проследить действия нарушителя во всех
частях системы, что зависит от масштабов регистрации. Например,
в случае вторжения злоумышленника в систему, журнал должен указывать,
кто проводил сеанс с системой в это время, все критичные файлы,
для которых имелись аварийно завершившиеся попытки доступа, все
программы, которые запускались, и т.д.. Он должен также указывать
критичные файлы и программы, к которым были успешные обращения в
этот период времени. Может оказаться уместным иметь в некоторых
областях ЛВС (автоматизированных рабочих местах, файловых серверах,
и т.д.) какую-либо разновидность службы регистрации.
Вторая функция этой службы - обеспечить системных и сетевых
администраторов статистикой, которая показывает, что система и сеть
в целом функционируют должным образом. Это может быть сделано при
помощи механизма аудирования, который использует файл журнала
в качестве исходных данных и перерабатывает его в информацию
относительно использования системы и ее защиты. Могут также использоваться
средства наблюдения за ЛВС, которые помогали бы обнаружить проблемы
с ее доступностью по мере их возникновения. Типы механизмов защиты,
которые могли бы использоваться, чтобы обеспечить службу регистрации
и наблюдения, приведены в списке ниже.
Механизмы
- регистрация информации о сеансах пользователей(включая
исходящую машину, модем, и т.д.),
- регистрация изменений прав пользователей для управления
доступом,
- регистрация использования критичных файлов,
- регистрация модификаций, сделанных в критическом программном
обеспечении,
- использование инструментов управления трафиком ЛВС,
- использование средств аудирования
|