Вы находитесь в разделе Типовых решений систем безопасности
Политики хранения и ввода ключевой информации шифрования данных. требования к системе защиты данныхНа сегодняшний день задача шифрования конфиденциальной информации, обрабатываемой вычислительными средствами в составе автоматизированной системы предприятия, в частности, баз данных, становится одной из ключевых задач защиты информации (достаточно проанализировать существующие сегодня “на рынке” предложения всевозможных баз данных, содержащих конфиденциальную инфоромацию). Учитывая же тот факт, что по разным оценкам от 60 до 80% хищений конфиденциальной информации осуществляется санкционированными пользователями (т.е. пользователями, обрабатывающими эту информацию), средства защиты информации от несанкционированного доступа (НСД) и, уж тем более, средства контроля доступа для решения этой задачи мало эффективны. Как следствие, для эффективного решения данной задачи остается одна возможность – использование средств криптографической защиты. Однако, в предположении, что именно санкционированный пользователь несет в себе угрозу хищения данных, принципиально меняются требования к средству криптографической защиты, в частности, к политике хранения и ввода ключевой информации хранения данных. Данная статья посвящена исследованию возможностей и изложению предлагаемых нами подходов к решению данной задачи, апробированных при создании системы защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/200 Введение При создании и использовании средств шифрования данных (защиты данных), важнейшим вопросом является реализация ключевой политики, включающей в себя правила хранения и ввода ключевой информации, используемой для преобразования данных и, как правило, для идентификации пользователя, с целью получения им доступа к данным (если в системе реализуется разграничение прав доступа к файловым объектам на основе ключевой информации). При разработке ключевой политики (соответственно, и реализующего ее средства защиты) необходимо учитывать следующие, отчасти исключающие друг друга, факторы:
В данной работе мы рассмотрим подходы, основанные на использовании запатентованного нами технического решения, позволяющие разрешить рассмотренные выше противоречия, что обеспечивает возможность принципиально расширить функции средств защиты данных, в части устранения критичной уязвимости (незащищенности) конфиденциальной информации со стороны санкционированных пользователей. Политики хранения и ввода ключевой информации Локальные политики 1. Политика использования одного ключа шифрования. Это наиболее широко используемая сегодня на практике ключевая политика. Суть ее состоит в следующем. Ключ шифрования присваивается файловому объекту (на наш взгляд, целесообразен именно такой подход – присвоение ключа не пользователю, а объекту, т.к. это позволяет использовать возможность шифрования данных, как дополнительный атрибут доступа к файловым объектам), при доступе к которому, сохраняемые/считываемые в нем/из него файлы автоматически преобразуются с использованием данного ключа. Также данный ключ может использоваться для идентификации пользователя, с целью предоставления запрашиваемого им доступа к файловому объекту (функция контроля доступа). Следуя тому, что ключ шифрования не должен храниться вместе с зашифрованными им данными, ключ должен располагаться на каком-либо внешнем носителе, например, на Flash-устройстве, подключаемом при доступе к объекту, либо вводиться пользователем с клавиатуры. К недостаткам (уязвимостям) данной политики можно отнести следующее:
Политики использования двух или более ключей шифрования Суть данных политик состоит в том, что для шифрования (расшифрования) данных используются два ключа – основной и дополнительный. При этом основной ключ предназначен для шифрования (расшифрования) собственно данных, дополнительный – для шифрования (расшифрования) основного ключа. Рассмотрим эти политики в соответствии с их назначением:
Вывод. Реализация данной локальной политики не позволит санкционированному пользователю несанкционированно (в частности, на другом компьютере) прочитать данные, при условии, что пользователь имеет ключ шифрования (дополнительный), зашифрованные данные, собственно средство (ПО) защиты данных. В рассматриваемых предположениях данная политика уязвима при хищении собственно компьютера, на котором осуществляется обработка защищаемых данных (так как основной ключ хранится на этом компьютере). Сетевая политика Суть данной политики также состоит в том, что для шифрования (расшифрования) данных используются два ключа – основной и дополнительный, однако, при этом основной ключ предназначеный для шифрования (расшифрования) собственно данных, располагается на удаленном компьютере в сети, дополнительный, предназначенный для шифрования (расшифрования) основного ключа – у пользователя. Рассмотрим эту политику:
Вывод. Реализация сетевой политики не позволит санкционированному пользователю несанкционированно (в частности, на другом компьютере) прочитать данные, при условии, что пользователь имеет ключ шифрования (дополнительный), зашифрованные данные, собственно средство (ПО) защиты данных. В рассматриваемых предположениях данная политика не уязвима и при хищении собственно компьютера, на котором осуществляется обработка защищаемых данных (так как основной ключ хранится на другом компьютере – на сервере). Требования к системе защиты данных, в части корректной реализации рассмотренных политик хранения и ввода ключевой информации В части реализации рассмотренных политик хранения и ввода ключевой информации, существует следующая проблема. Основной ключ (правда, в зашифрованном виде) хранится в файле (локальном, либо разделенном в сети). При этом, с одной стороны, необходимо обеспечить к этому файлу доступ пользователю на чтение (ключ ему необходимо сосчитать), с другой стороны, пользователь не должен иметь возможности раскрытия ключа, в противном случае, он будет иметь оба ключа, что сделает уязвимой со стороны санкционированного пользователя рассмотренные ключевые политики с двумя ключами шифрования. Очевидно, что встроенными в ОС средствами контроля доступа к файловым объектам подобное противоречие не разрешить. Основу предлагаемого нами механизма контроля доступа процессов к ресурсам, использование которого позволяет разрешить рассмотренное противоречие, составляет включение в схему разграничения прав доступа к ресурсам, наряду с субъектом доступа пользователь, субъекта доступа процесс, в предположении, что права доступа этих субъектов могут не совпадать (напомним, что в системе процесс запускается с правами пользователя, его запустившего). Предлагаемое нами запатентованное решение (Патент № 220761 состоит в следующем. В общем случае при управлении доступом к ресурсам следует различать два самостоятельных субъекта доступа – пользователь и процесс. При этом предлагается управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс, причем могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
В нашем случае, как видели, должен использоваться третий режим, при котором доступ к файловому объекту, содержащему основной ключ, разрешается пользователю (если ему разрешено право доступа – после идентификации для доступа к соответствующему объекту) и только соответствующим процессом системы защиты данных, поэтому пользователь не может ни похитить ключ (прочитать содержимое файла), ни его модифицировать (подобных возможностей процесс системы защиты ему не предоставляет). Внимание. Рассмотренные политики хранения и ввода ключевой информации, основанные на использовании двух ключей, один из которых хранится в локальном или удаленном файловом объекте, могут быть корректно реализованы только в случае применения запатентованного нами решения по реализации контроля доступа к ресурсам для субъекта процесс, т.е. не могут быть реализованы иными производителями средств защиты). В заключение дадим краткое описание назначения, состава и возможностей разработанной нами системы защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/2003, в которой реализованы рассмотренные в статье подходы. 1. Назначение и состав системы Система предназначена для защиты конфиденциальных данных, обрабатываемых на автономных компьютерах и на компьютерах в составе корпоративной сети; сохраняемых на локальных и удаленных (разделенных в сети) жестких дисках и внешних устройствах, передаваемых по сети при доступе к удаленным (разделенным) ресурсам. Система реализована программно, содержит в своем составе системный драйвер и интерфейсный модуль. Все возможности защиты, предоставляемые СЗД, реализованы собственными средствами СЗД (не использованы встроенные механизмы ОС). 2. Основные механизмы защиты данных СЗД реализует кодирование (шифрование) данных на лету, автоматическое гарантированное удаление остаточной информации, разграничение прав доступа к защищаемым объектам, скрытие защищаемых объектов файловой системы. 3. Основное отличительное свойство системы Защищаемыми объектами являются любые файловые объекты – логические диски, каталоги, подкаталоги, файлы (для задания объектов может использоваться механизм масок), как на жестком диске, так и на внешних носителях, как локальные, так и удаленные (разделенные в сети). Читайте далее: Методологическая основа сравнительного анализа средств защиты конфиденциальной информации ,часть 1, Методологическая основа сравнительного анализа средств защиты конфиденциальной информации ,часть 2 Особенности использования видеокомпрессии mpeg-4 в сетевом видеонаблюдении Дурная наследственность Система мониторинга арм пользователей фракталь-экран 2 Дурная наследственность-ii Основы работы с videocad часть 3 Автоматизация и безопасность объектов оао ржд Дурная наследственность-iii Ip–революция Ip–революция iii Профессиональные системы cvs с внешними матричными коммутаторами
|