8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Противодействие внешним it-угрозам. задачи и способы решения ,часть 1.,



На сегодняшний день уже мало кто ставит под сомнение необходимость дополнительной защиты современных ОС семейства Windows. Однако возникают вопросы: какие задачи должно решать дополнительное средство защиты, в какой части и каким образом следует усиливать встроенные механизмы ОС, как оценить эффективность средства добавочной защиты?Все многообразие угроз компьютерной безопасности можно свести к двум большим группам: внутренние и внешние ИТ-угрозы.

Появление понятия внутренних ИТ-угроз для ОС Windows связано с началом использования ОС семейства Windows для обработки конфиденциальной информации в корпоративных приложениях. Конфиденциальная информация априори является потенциальным объектом несанкционированного доступа (НСД), т.к. обладает потребительской стоимостью для злоумышленников, т.е. является товаром. С учетом же того, что в основе архитектуры защиты современных универсальных ОС семейства Windows (не будем забывать, что это универсальные ОС, изначально созданные как персональные для домашнего использования) лежит принцип ПОЛНОГО ДОВЕРИЯ К ПОЛЬЗОВАТЕЛЮ. Так как некоторые ключевые механизмы защиты, встроенные в современные ОС Windows, по этой причине не могут обеспечить эффективного противодействия внутренним ИТ-угрозам – угрозам НСД к информации со стороны санкционированных пользователей (инсайдеров) – пользователей, допущенных к обработке конфиденциальной информации в рамках выполнения своей служебной деятельности), именно санкционированные пользователи и несут в себе наиболее вероятную угрозу хищения конфиденциальных данных с предприятия. Как следствие, эта задача сегодня не решается встроенными механизмами защиты ОС Windows, поэтому ее решение должно быть возложено на добавочные средства защиты.

Понятие внешних ИТ-угроз для ОС Windows появилось гораздо раньше, но опять же в полной мере проявилось с началом использования ОС семейства Windows для обработки конфиденциальной информации в корпоративных приложениях, что опять же связано с высокой потребительской стоимостью для злоумышленников конфиденциальных данных. И здесь ключевой причиной, на наш взгляд, является исторический подход к созданию универсальных ОС. Не смотря на то, что архитектура защиты при переходе от версии к версии претерпевает заметные изменения, однако она и по сей день имеет принципиальные архитектурные недостатки (например, ошибки в приложениях уж никак не должны сказываться на уровне безопасности информации, защиту которую осуществляет ОС). Другая проблема здесь кроется в систематически обнаруживаемых ошибках программирования. Здесь, вообще говоря, получается некий замкнутый круг. Необходимо кардинально менять архитектуру защиты, что требует времени и серьезной проработки решений, но рынок требует обратного – необходимо максимально быстро создавать и поставлять на рынок новые решения с новыми потребительскими свойствами, а это возможно лишь при условии максимального использования уже существующего программного кода. Когда же речь заходит о потребительских свойствах, то в первую очередь разработчиком расширяются те свойства продукта, которые максимально востребованы (если изделие максимально ориентируется на использование частными лицами, то отнюдь не обеспечиваемый уровень информационной безопасности становится его основным потребительским свойством).

В результате получаем следующую статистику уязвимости ОС Windows. В минувшем (200 году в ОС Windows было выявлено 812 дыр (исследования US-CERT). Специалисты из McAfee отмечают, что из 124 дыр, обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и осталось не устраненными, что дало компании основание присвоить Windows статус критически опасной ОС (материал был взят из новостей, опубликованных на сайте www.cnews.ru от 12.01.0 . Ведь действительно, наличие уязвимостей (или дыр) в системе делает ее защиту просто бесполезной – что толку в том, сколько и каких механизмов защиты реализовано, есть известный канал НСД к информации?

Вывод. На сегодняшний день в корпоративных приложениях при защите конфиденциальной информации в равной мере актуальны задачи противодействия и внутренним, и внешним ИТ-угрозам.

Таким образом, на основании данного вывода можно заключить, что добавочное средство защиты конфиденциальной информации, используемое в корпоративных приложениях, должно быть комплексным – должно решать задачи защиты информации в части противодействия как внутренним, так и внешним ИТ-угрозам.

Не смотря на это очевидное требование, сегодня на рынке средств защиты появляется все больше систем, ориентированных на решение частных задач, в первую очередь, призванных оказывать противодействие внутренним ИТ-угрозам. Однако, с одной стороны, эти средства далеко не самодостаточны, т.к. призваны противодействовать только одной группе угроза, с другой стороны, этот эффект порою может достигаться за счет снижения эффективности противодействия внешним ИТ-угрозам, что, на наш взгляд, недопустимо.

Данную работу мы посвятим рассмотрению задач противодействия внешним ИТ-угрозам, рассмотрим предлагаемые нами подходы к их решению, апробированные в КСЗИ Панцирь-К для ОС Windows 2000/XP/200 Кроме того, в рамках рассматриваемых вопросов, попытаемся проиллюстрировать, насколько задачи противодействия внутренним и внешним ИТ-угрозам, как в самой постановке, так и в подходах к их решению могут противоречить друг другу, что, как нам кажется, подтверждает наш тезис – эффективную защиту информации может обеспечить только комплексная система защиты, построенная с учетом противодействия как внутренним, так и внешним ИТ-угрозам.Введение

В общем случае именно процесс следует рассматривать в качестве источника возникновения внешней ИТ-угрозы. Тому может быть несколько причин, что следует из приведенной классификации известных типов вирусов, положим их в основу классификации процессов, которая нам далее понадобится при изложении материала:
  • Несанкционированные (сторонние) процессы. Это процессы, которые не требуются пользователю для выполнения своих служебных обязанностей и могут несанкционированно устанавливаться на компьютер (локально, либо удаленно) с различными целями, в том числе, и с целью осуществления несанкционированного доступа (НСД) к информации;
  • Критичные процессы. К ним мы отнесем две группы процессов: к процессам первой группы отнесем те, которые запускаются в системе с привилегированными правами, например, под учетной записью System, к процессам второй группы те, которые наиболее вероятно могут быть подвержены атакам, например, это сетевые службы. Атаки на процессы первой группы наиболее критичны, что связано с возможностью расширения привилегий, в пределе – получения полного управления системой, атаки на процессы второй группы наиболее вероятны;
  • Скомпрометированные процессы – процессы, содержащие ошибки (уязвимости), ставшие известными, использование которых позволяет осуществить НСД к информации. Отнесение данных процессов в отдельную группу обусловлено тем, что с момента обнаружения уязвимости и до момента устранения ее разработчиком системы или приложения, может пройти несколько месяцев. В течение этого времени в системе находится известная уязвимость, поэтому система не защищена;
  • Процессы, априори обладающие недекларированными (документально не описанными) возможностями. К этой группе мы отнесем процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов). Данные процессы также можем классифицировать, что очень важно, и далее нами будет использовано. Предметом классификации здесь будет способ хранения исполняемого кода, который может храниться либо в виде отдельного файла (например, файлы с расширением bat), либо в составе документа, в частности, макросы. С учетом этого, для запуска исполняемого кода соответствующему процессу необходимо либо прочитать (заметим, не выполнить – это не исполняемый файл) скриптовый файл, либо прочитать документ, содержащий макрос.


С учетом сказанного, может быть сформулирована следующая концепция антивирусной защиты. Ввиду того, что именно процесс несет в себе уязвимость, используемую для несанкционированного доступа к информации, т.е. именно процесс следует рассматривать в качестве источника возникновения внешней ИТ-угрозы, антивирусная защита может быть реализована по средством реализации разграничительной политики доступа к ресурсам для субъекта процесс, что позволяет локализовать внешнюю ИТ-угрозу, путем локализации прав доступа к ресурсам процессов. Целью же локализации прав доступа процессов является защита системных ресурсов вычислительного средства и обрабатываемых на нем конфиденциальных данных.

Чаcть Антивирусная защита

Универсальные и специализированные средства защиты информации могут принципиально различаться, причем в самой сути реализуемых ими решений - в реализуемых ими технологиях защиты. Это обусловливается тем, что специализированные средства позволяют учитывать конкретную специфику обработки информации, характерную для тех или иных приложений. Не случайно, что механизмы защиты, реализуемые в современных универсальных ОС и в специализированных средствах, ориентированных на корпоративного потребителя (защита конфиденциальной информации на предприятии), как правило (конечно, при соответствующей квалификации разработчика специализированного средства), обладают совершенно различными функциональными возможностями (не составляет труда показать, сколь мало эффективны механизмы защиты большинства современных универсальных ОС в корпоративных приложениях, и, заметим, речь здесь не идет об их уязвимостях, связанных с ошибками программирования, доминируют здесь вопросы архитектурных решений). В полной мере это будет проиллюстрировано в данной части документа, где мы рассмотрим вопросы антивирусной защиты.

Рассмотрим укрупненную классификацию известных типов вирусов и основополагающие требования к антивирусной защите.
  1. Вредоносные программы (трояны и т.п.). Отдельные программы, которые выполняют те или иные деструктивные/несанкционированные действия.
  2. Вирусы. Программы, обычно не имеющие собственного исполняемого модуля и живущие (как правило, заражение осуществляется по средством их присоединения к исполняемому файлу) внутри другого файлового объекта или части физического носителя.
  3. Черви. Разновидность 1,2,4, использующая сетевые возможности для заражения.
  4. Макро-вирусы (скриптовые вирусы) - программы, для исполнения которых требуется определенная среда выполнения (командный интрепретатор, виртуальная машина и т.п.). В эту же группу можем отнести и офисные приложения, позволяющие создавать и подключать макросы.
Основополагающими требованиями к антивирусной защите, которые должны быть реализованы соответствующими техническими средствами, являются:
  • Решение задачи антивирусной защиты в общем виде. Средство защиты не должно оказывать противодействие конкретному вирусу или группе вирусов, противодействие должно оказываться в предположениях, что вирус может быть занесен на компьютер и о вирусе (о его структуре (в частности, сигнатуре) и возможных действиях) ничего не известно (невыполнение данного условия делает систему защиты просто бессмысленной);
  • Решение задачи антивирусной защиты в реальном времени. Средство защиты, в части эффективного противодействия вирусной атаке, должно априори обладать возможностью противодействия любой атаке, не требующего выявления структуры (в частности, сигнатуры) и возможных действий вируса (невыполнение данного условия предполагает анализ вируса (либо сигнатурный, либо поведенческий), что приводит к невозможности решения задачи защиты в общем виде (часть вирусных атак будет пропущено), а средство защиты оказывает существенное влияние на загрузку вычислительного ресурса.


Противодействие макро-вирусам на основе вероятностного контроля доступа к ресурсам

Наиболее очевидным и универсальным решением этой задачи является поиск макро-вирусов на основе сигнатурного анализа. Однако данное решение априори нельзя признать удачным (позволяет обнаруживать лишь известные вирусы, после выявления их сигнатуры), если в принципе корректно говорить о таком подходе, как о возможном решении задачи (по крайней мере, в общем виде). В данном разделе рассмотрим предлагаемое и реализованное нами решение, ориентированное, в первую очередь, на корпоративное использование (для защиты конфиденциальной информации на предприятии), состоящее в соответствующей реализации контроля доступа к ресурсам (механизма разграничения прав доступа к ресурсам). Заметим, что это специализированное решение в полной мере отражает подходы к построению комплексной системы защиты, в частности иллюстрирует, что реализация полномочного контроля доступа и антивирусной защиты вступают в противоречие, поэтому данные задачи не могут решаться по отдельности (как частные задачи защиты информации).

Назначение механизма контроля доступа к ресурсам.

Ключевым механизмом защиты информации является контроль доступа к ресурсам, основанный на задании и реализации правил разграничения доступа к ресурсам для пользователей. Задаваемые правила доступа всегда могут быть представлены соответствующей моделью (или матрицей доступа).

Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа Сi, i = 1,…,k рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа (заметим, что на практике это могут быть как различные пользователи, так и один и тот же пользователь, обладающий различными правами доступа при различных режимах обработки информации), соответственно, в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа. Пусть S = {0,Чт,Зп} – множество прав доступа, где 0 обозначает отсутствие доступа субъекта к объекту, Чт – разрешение доступа для чтения объекта, Зп – разрешение доступа для записи в объект.

Каноническую модель контроля доступа (модель контроля доступа, реализующая базовые требования к механизму защиты) можно представить матрицей доступа D, имеющей следующий вид:


Определение. Под канонической моделью контроля доступа для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой Зп/Чт – задают право полного доступа субъектов к объектам, остальные элементы 0 – задают запрет доступа субъектов к объектам.

Заметим, что каноническая модель контроля доступа описывает режим изолированной обработки информации, при котором объекты не могут служить каналами взаимодействия субъектов.

Один из широко сегодня используемых на практике способов назначения (формализации отношения) каналов взаимодействия субъектов является полномочный контроль доступа. Широкое его практическое использование обусловлено тем, что в корпоративных приложениях, как правило, на одном и том же компьютере обрабатывается различная по уровню конфиденциальная информация, что позволяет ее категорировать (открытая, конфиденциальная, строго конфиденциальная и т.д.), при этом необходимо обеспечить различные режимы обработки информации различных категорий, на основе задания соответствующих полномочий субъектам доступа (откуда и название) к категорированным объектам.

Основу полномочного контроля доступа составляет способ формализации понятий группа пользователей и группа объектов, на основании вводимой шкалы полномочий. Наиболее широко на практике используется способ иерархической формализации отношения полномочий, состоящий в следующем. Иерархическая шкала полномочий вводится на основе категорирования данных (открытые, конфиденциальные, строго конфиденциальные и т.д.) и прав допуска к данным пользователей (по аналогии с понятием формы допуска). Будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}). Соответствующая формализация правил доступа субъектов к объектам при этом, как правило, сводится к следующему:
  • Субъект имеет право доступа Зп/Чт к объекту в том случае, если полномочия субъекта и категория объекта совпадают;
  • Субъект имеет право доступа Чт к объекту в том случае, если полномочия субъекта выше, чем категория объекта;
  • Субъект не имеет прав доступа к объекту в том случае, если полномочия субъекта ниже, чем категория объекта.


Матрица доступа D, описывающая полномочную модель контроля доступа, имеет следующий вид.



Таким образом, видим, что основная задача, решаемая при реализации данного способа контроля доступа, состоит в предотвращении возможности понижения категории информации при ее обработке. Это необходимо, т.к. информация соответствующих категорий предполагает и соответствующие режимы ее обработки (возможность сохранения на мобильные накопители, печати, передачи по сети и т.д.). Естественно, что чем категория выше, тем эти режимы жестче. Все эти действия направлены на предотвращение возможности хищения конфиденциальной информации из корпоративной сети предприятия в предположении, что на вычислителдьных средствах может обрабатываться как открытая, так и конфиденциальная информация.

Иногда дополнительно вводится правило, разрешающее запись информации более низкой категории в объекты более высокой категории, что также не противоречит идеи противодействия понижению категории информации, матрица доступа D, описывающая полномочную модель контроля доступа при этом, имеет следующий вид.


Возможность работы одного и того же пользователя с данными различных категорий большинством известных реализаций полномочного контроля доступа обеспечивается тем, что в системе реализуются динамические полномочия пользователя, изменяемые применительно к тому, с документом какой категории пользователь работает. Корректность реализации полномочного контроля здесь обеспечивается тем, что разрешается изменять категорию лишь в сторону ее повышения (Ck Ck-1 ... ... С1) – после чтения открытого документа пользователю разрешается сохранять данные в объект категории открыто, после чтения конфиденциального документа пользователю разрешается сохранять данные в объект категории конфиденциально, причем все открытые ранее документы категории открыто также разрешается сохранять только в объект категории конфиденциально. На первый взгляд, красивое решение – задача решается корректно, понижение категории документа невозможно.

Подход к решению задачи антивирусной защиты в корпоративных приложениях.

Классически, задача защиты информации состоит не только в защите от нарушения ее конфиденциальности, но и в обеспечении ее доступности и целостности. А в этой части особое внимание следует обратить на противодействие возможному ее заражению макро-вирусами.

Проиллюстрируем, в чем состоит особенность рассматриваемых приложений.

Обработка категорированной информации (например, конфиденциально и открыто) априори предполагает, что, в первую очередь, объектом защиты является информация более высоких категорий (в частности, в первую очередь, следует защищать конфиденциальную информацию, работа с открытой информацией в данных приложениях является опциональной, и ее защита не столь важна).

Обработка категорированной информации (например, конфиденциально и открыто) априори предполагает различные режимы создания, обработки и хранения информации различных категорий, причем, чем выше категория информации, тем более жесткие ограничения накладываются на ее обработку (в частности, конфиденциальную информацию, как правило, разрешается создавать только на вычислительных средствах предприятия, причем определенным набором приложений, хранение и обмен данной информацией по сети, либо с использованием мобильных накопителей, также осуществляется между вычислительными средствами корпоративной сети, которые должны быть защищены, что требует обработка конфиденциальных данных, открытая же информация может поступать из непроверенных источников, не предполагающих реализации каких-либо регламентов по ее созданию, обработке и хранению). Как следствие, вероятность того, что заражен макро-вирусом открытый документ на порядки выше, чем конфиденциальный, соответственно, чем выше категория документа (жестче регламенты на режимы его обработки), тем меньше вероятность того, что документ заражен макро-вирусом.

Из всего сказанного можем сделать очень важный вывод – чем меньше категория документа, тем менее он нуждается в защите от заражения, что, в том числе, сказывается на реализуемых режимах его обработки, как следствие, тем большей вероятностью быть зараженным он характеризуется.

С учетом же того, что на одном и том же компьютере обрабатывается, как открытая (которая имеет большую вероятность заражения), так и конфиденциальная (которую необходимо защищать от заражения) информация, может быть сформулирована задача антивирусной защиты в следующей постановке - обеспечить защиту конфиденциальных данных от макро-вирусов, которыми с большой вероятностью могут быть заражены открытые документы, т.е. предотвратить распространение вируса на конфиденциальные данные. В общем же случае (при наличии нескольких категорий конфиденциальности) задача может быть сформулирована следующим образом – предотвратить распространение вируса на данные более высокой категории конфиденциальности.

Для решения этой задачи предлагается реализация контроля доступа к ресурсам, где правила доступа субъектов к объектам формируются, исходя из значений (либо качественной оценки) вероятности заражения документов различных категорий макро-вирусами, целью которого является предотвращение возможности заражения документов более высокой категории макро-вирусами, априори хранящимися с определенной вероятностью в документах более низкой категории.

Модель вероятностного контроля доступа к ресурсам.

Как и ранее, будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}). Обозначим же через Pi вероятность того, что документ i-й категории заражен макро-вирусом, при этом (как было сказано выше) априори имеем: P1 < P2 <…< Pk. Беря во внимание тот факт, что макро-вирус начинает действовать (что может нести в себе угрозу заражения) лишь после прочтения его соответствующим приложением, и что предотвращать следует возможность заражения документа более высокой категории макро-вирусом из документа более низкой категории (после его прочтения приложением), получаем следующую матрицу доступа F, описывающую вероятностную модель контроля доступа, реализуемую для антивирусного противодействия:



Видим, что при реализации данной модели контроля доступа разрешается запись документов, имеющих меньшую вероятность заражения макро-вирусом в объекты, документы в которых имеют большую вероятность заражения макро-вирусом – обратное запрещено, т.е. предотвращается повышение вероятности заражения документов более высокой категории конфиденциальности, за счет того, что одновременно с ними на одном и том же компьютере могут создаваться, обрабатываться и храниться документы более низкой категории, вероятность заражения макро-вирусом которых выше.

Видим, что при реализации данной схемы вероятность заражения документа более высокой категории, например, O1 (P не изменяется в связи с тем, что на том же компьютере обрабатывается информация более низкой категории, например, Ok (Pk). При этом будем понимать, что режимы обработки информации различных категорий могут кардинально различаться (например, при обработке на одном компьютере открытой Оk и конфиденциальной информации О1, имеем: Pk >> P1, причем в зависимости от реализованных правил и организационных мер по обработке конфиденциальных данных это отношение может составлять сотни, тысячи и более раз, т.е. именно во столько раз можно снизить вероятность заражения конфиденциальных данных макро-вирусами, хранящимися в открытых данных, для которых, порою, Pk = .

Комплексный подход к реализации контроля доступа к ресурсам в корпоративных приложениях.

Сравним матрицы D и F. Видим, что они полностью противоречат друг другу, т.е. требования к реализации полномочного контроля доступа при решении альтернативных задач защиты информации не то чтобы были различны – они противоречивы.

Вывод. С точки зрения антивирусной защиты практическое использование механизмов полномочного контроля доступа недопустимо.

Замечание. Этот сделанный нами вывод имеет крайне важное значение, особенно вследствие того, что в качестве основного механизма контроля доступа к файловым объектам при защите секретной информации, нормативными документами в области защиты информации регламентируется мандатный механизм контроля доступа (полномочный механизм, реализованный на основе меток безопасности, или мандатов), практическое использование которого, как мы показали выше, априори приводит к катастрофическому снижению защиты секретной информации от возможного нарушения ее целостности и доступности.

В порядке замечания отметим, что данный тезис (но на тот момент без соответствующих обоснований) нами декларировался в части 1.1 работы.

Чтобы ответить на вопрос, как же быть – как совместить несовместимое (одновременно обеспечить раскрытие конфиденциальности и нарушению ее доступности и целостности, при одновременной обработке на одном компьютере открытой и конфиденциальной информации), рассмотрим, какую информацию мы категорируем, применительно к решению задачи антивирусной защиты. Естественно, что качественное отличие в обработке имеет открытая информация и конфиденциальная информация, т.е. можем выделить две основные категории открыто и конфиденциально. При этом обработка конфиденциальной информации различных категорий, в части вероятности быть исходно зараженной макро-вирусом, уже отличается не столь существенно. С учетом сказанного, на практике, прежде всего, имеет смысл рассматривать следующее отношение вероятностей того, что документ i-й категории заражен макро-вирусом, обозначив категорию открыто, как k, имеем: P1 =P2 =…=Pk-1<
Естественно, что если мы не можем разрешить ни чтения, ни запись (т.к. эти требования противоречивы в матрицах доступа), то остается лишь одно решение, связанное с полным запретом доступа. С учетом сказанного, получаем модель полномочного контроля доступа, реализация которой позволяет решать рассмотренные альтернативные задачи в комплексе, описываемую матрицей доступа D(F):



Заметим, что по сути, при таком подходе к реализации полномочного контроля доступа обработка открытых данных полностью изолируется от обработки конфиденциальных данных. Результатом такого решения, никак не противоречащего идее обработки данных на основе полномочий пользователей и категорий объектов, является то, что повышение вероятности заражения макро-вирусом открытых данных никак не сказывается на вероятности заражения макро-вирусом конфиденциальных данных, что определяется условием: P1 =P2 =…=Pk-1<
Вывод. Матрица D(F) иллюстрирует тот факт, что при обработке на компьютере информации только двух категорий (“открыто” и “конфиденциально” – наиболее распространенный случай), использование полномочного контроля доступа недопустимо в принципе.

В порядке замечания отметим, что в общем случае, используя рассмотренный подход (запрещая соответствующие права доступа) можно формировать различные правила контроля доступа (различные варианты защиты от “заражения” макро-вирусом конфиденциальных данных). Один из примеров соответствующей матрицы (изолируется обработка данных, наивысшей категории) доступа представлен ниже:



Соответственно при условии: P1 << P2 <<…<< Pk-1 << Pk должна быть реализована каноническая модель контроля доступа..

Видим, что при реализации комплексного подхода к решению, на наш взгляд, уже не целесообразна какая-либо жестко заданная формализация отношений на основе меток безопасности, в данном случае (при реализации комплексного решения) целесообразно задание правил разграничения доступа субъектов к объектам на основе матрицы доступа, что позволяет гибко настраивать разграничительную политику доступа к ресурсам.

Противодействие процессам (программам), априори обладающим недекларируемыми возможностями, в общем виде. Доверительный контроль доступа

Задача защиты компьютерных ресурсов и данных от программ, априори обладающих недекларируемыми возможностями, характеризуется повышенной сложностью, что обусловливается следующим. К этой группе мы относим процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов). Сложность реализации антивирусной защиты в данном случае обусловливается тем, что исходно возможности подобных программ неизвестны, и они проявляются лишь после прочтения соответствующих данных (скрипта, апплета или макроса). С учетом этого строить защиту необходимо в предположении, что действия подобных процессов (приложений) в общем случае могут быть любыми, т.е. изначально их выявить и проанализировать невозможно. Упрощает решение задачи то, что процессы (приложения), по крайней мере, широко используемые, являющиеся средой исполнения, известны, что позволяет реализовать схему доверительного контроля доступа, состоящую в наделении процессов (приложений) правами доступа, формируемыми на основе доверия к процессу (приложению).

Принципиальным отличием постановки задачи доверительного контроля доступа в данном случае является то, что мера доверия к процессу определяется доверием к читаемому им объекту (например, к документу, который может исполняться после его прочтения процессом). Можно выделить два случая. Первый характеризуется тем, что меру доверия к документу невозможно как-то категорировать. Например, это использование Java-машины при работе с ресурсами сети Интернет – какое здесь может быть доверие к документам, расположенным на сайтах общего доступа? Это получение почтовых сообщений из открытой сети и т.д. Невозможность категорировать документы по степени доверия к ним, требует рассматривать задачу защиты в предположении полного недоверия к документам, как следствие, полного недоверия к процессу, призванному обрабатывать эти документы, т.е. в предположении, что процесс после чтения документа содержит исполняемый объект, который выполняется под именем этого процесса, и в общем случае от лица процесса может осуществить любое несанкционированное действие.

Подход к защите при полном недоверии к обрабатываемым документам (к процессу) Данный случай характеризуется тем, что исходно предполагается, что процесс после чтения документа выполняет несанкционированные действия, поэтому данный процесс никаким образом не должен получить возможность доступа (модификации) к документам (по крайней мере, к конфиденциальным документам), хранящимся на компьютере, и к системным ресурсам - к значимым ветвям и ключам реестра ОС, к системным ресурсам (в частности, к системному диску), прежде всего, на запись. Чтобы обеспечить защиту хранящихся на компьютере данных от возможных деструктивных действий соответствующего процесса (приложения), следует выделить для работы с ним отдельный файловый объект (например, каталог), и только с этим файловым объектом разрешить взаимодействовать данному критичному процессу, установив соответствующие правила разграничения доступа для процесса. Другими словами, файловые объекты следует подразделять, на объекты, предназначенные для хранения данных пользователей, и объекты, предназначенные для работы с критичными процессами. Для копирования же данных из одного объекта в другой (если такая возможность необходима) может быть использован проводник, не несущий в себе соответствующей угрозы (не критичный процесс). В этих условиях обработка данных критичным процессом может быть осуществлена по одной и двух схем, приведенных на Рис.1 (где ОХД – объект хранения данных, ООД – объект обработки данных, КП- критичный процесс, П – программа-проводник).



Схемы, представленные на Рис.1, отличаются тем, что в первом случае доступ критичного процесса к объектам хранения данных пользователей запрещен, во второму случае – разрешен только на чтение (соответствующим образом задаются и права доступа для некритичного процесса-проводника, осуществляющего копирование данных между соответствующими файловыми объектам). Выбор схемы обработки определяется тем, каковы функции критичного процесса, и что вкладывается в понятие НСД к информации. Например, если критичным процессом является почтовый клиент, то обработку данных критичным процессом следует выполнять по первой схеме, в противном случае имеем угрозу несанкционированного чтения данных пользователей из ОХД во внешнюю сеть.

Вывод. Задача защиты при полном недоверии к процессу (приложению) сводится к следующему: к выделению для работы приложения отдельной папки, к которой ему разрешается доступ, в запрете доступа приложению к файловым объектам, в которых хранятся обрабатываемые на компьютере данные, в частности, конфиденциальные, в запрете доступа критичному процессу (прежде всего, на запись) к системному диску и к значимым объектам реестра ОС.

На примере рассмотрим возможность применения данного подхода. Пусть требуется обрабатывать документы (получать доступ к хостам внешней сети) с использованием Java-машины. Выделим отдельный каталог – ООД (соответственно, для различных пользователей это могут быть различные каталоги), только в который разрешим доступ процессам Java-машины, запретив им право модификации реестра ОС и системного диска - соответствующим образом зададим правила разграничения доступа для процесса-проводника. При этом несанкционированные возможности процессов Java-машины становятся не критичными не только по отношению к ресурсам компьютера, включая системные ресурсы, но и по отношению к данным пользователей, хранящихся на компьютере – информация пользователей.

Таким образом, можем сделать вывод, что в данном случае информация и компьютерные ресурсы защищены, как от несанкционированного доступа с целью хищения (нарушение конфиденциальности), так и от возможности их несанкционированной модификации (нарушение доступности и целостности) критичными процессами в общем виде.

Для решения рассматриваемой задачи при управлении доступом к ресурсам следует различать два самостоятельных субъекта доступа – пользователь и процесс. При этом необходимо управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс, причем могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
  • Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу);
  • Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю);
  • Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешается, если он разрешен и пользователю, и процессу).


Вывод. Таким образом, в качестве субъекта доступа может рассматриваться либо только пользователь, либо только процесс, либо пара – процесс и пользователь.

Основные принципы реализации механизма контроля доступа к объектам реестра ОС (содержит критичные системные ресурсы, в первую очередь, настройки ОС и приложений) должны быть те же, что и механизма контроля доступа к объектам файловой системы.

Подход к защите на основе категорирования доверия к обрабатываемым документам (как следствие, к критичному процессу)

Данный случай предполагает, что в некоторых приложениях можно ввести категории доверия к обрабатываемым документам. В первую очередь, это относится к защите от макросов, где в качестве критичных процессов могут рассматриваться офисные приложения. Действительно, всегда можно разделить документы, хранящиеся и обрабатываемые на компьютере, на те, которые мы создали самостоятельно и те, которые каким-либо образом внесены из-вне, например, с дискеты, из сети и т.д. Естественно доверие к этим документам различно. Создавая новый документ, в предположении, что офисное приложение само каким-либо образом не модифицировано (но в противодействии этому нам поможет механизм обеспечения замкнутости программной среды, описанный далее), мы можем быть уверены, что в нем вируса нет. Получая же документ из каких-либо внешних источников, мы уже не имеем к нему такого же доверия. Однако источники получения документа также могут быть различны, одно дело – мы получаем документ на носителе в рамках выполнения производственных задач (от сотрудника нашего предприятия, причем мы знаем, например, что этот документ создан лично им, и в нем не может быть макроса, либо этот макрос безвреден), и, совсем другое дело, если документ мы скачиваем по сети интернет из неизвестных нам источников. Вот уже получаем три уровня (категории) доверия: личные документы, корпоративные документы, внешние документы. И этот ряд можно продолжить.

Естественно, что процесс (в частности, офисное приложение) при чтении документа какого-либо уровня доверия приобретает уровень доверия этого документа (он с той вероятностью будет совершать несанкционированное действие после чтения документа, с которой в прочтенном приложением документе находится макрос, являющийся исполняемым кодом данного несанкционированного действия). Получаем постановку задачи, решаемой с использованием вероятностного подхода.

Вывод. Задача защиты при возможности категорирования доверия к обрабатываемым документам (как следствие, к процессу (приложению)) в части защиты документов, характеризуемых высоким уровнем доверия (как правило, конфиденциальных, обработка которых регламентируется) сводится к применению вероятностного подхода.

Вывод. При обработке на защищаемом компьютере данных с использованием критичных процессов должна также осуществляться защита системных ресурсов, состоящая в запрете доступа критичному процессу (прежде всего, на запись) к системному диску и к значимым объектам реестра ОС.




Читайте далее:
Анализ российского рынка систем охранного телевидения
Анализ рынка безопасности ,июнь 2005 года,
3. самые успешные компании 2007 года ,часть 1,
Ах ты, камбала - не вобла...
Ежегодный анализ тайваньского рынка безопасности.
Комментарий к security 50
04 - 10 февраля 2008 года
Созидающая волоконная оптика
08 - 09 марта 2008 года
14 - 20 апреля 2008 года ,рынок it,
28 - 30 апреля 2008 года ,рынок безопасности,
01. 04. 2008
05 - 11 мая 2008 года ,рынок безопасности,
12 - 18 мая 2008 года ,рынок it,
26 - 31 мая 2008 года ,рынок it,