Главная страница

Безопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска


НазваниеБезопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска
страница12/23
Дата01.04.2016
Размер2.9 Mb.
ТипДокументы
1   ...   8   9   10   11   12   13   14   15   ...   23

5.2 Подходы к решению задачи информационной безопасности в организации


Решение задач начинается, как правило, с уточнения определений. Попытки определения понятий в области защиты информации стоили огромных усилий. Мы обсудим некоторые из понятий.

При объяснении понятий будут упоминаться пользователи Алиса и Макс. Эти имена хорошо известны: они так часто используются компьютерными писателями для объяснения концепций безопасности, что это уже, похоже, становится традицией.

Исторически проблема безопасности имеет три аспекта /Р. Брагг, 2001/:

  • аутентификация

  • авторизация

  • аудит

Этот подход к безопасности получил название «три А системы безопасности».
Приверженцы подхода “трех А” заявляют, что если в структуре информационной системы реализованы средства, обеспечивающие управление в трех указанных выше областях, то о такой компьютерной системе можно сказать, что она надежно защищена. Но есть и полярная точка зрения.
Рассмотрим эти определения.

Аутентификация — это наличие возможности у одной сущности (компьютера, человека или любой другой) доказать свою идентичность другой сущности (компьютеру, человеку или любой другой). Большинство из нас поймет, о чем идет речь, если сказать: "докажите, что вы тот, за кого себя выдаете". Когда Алиса захочет воспользоваться билетом на самолет, ее попросят предъявить паспорт, прежде чем она получит посадочный талон. Ей придется доказать, что именно она является той самой Алисой, на имя которой выписан билет. Иными словами, ей нужно аутентифицировать себя для сотрудника авиакомпании.

Паспорт является хорошим средством такой аутентификации, поскольку представляет собой для авиакомпании надежное доказательство идентичности. При этом происходит еще один процесс аутентификации — сотрудник авиакомпании, прежде чем выдать посадочный талон, сверяет фотографию в паспорте Алисы с ее оригиналом.

В качестве другого примера аутентификации можно привести ситуацию, когда Макс использует Интернет – киоск в аэропорту, чтобы забрать свою почту с удаленного сервера. Для этого он должен ввести идентификатор пользователя (имя) и пароль. Таким образом Макс аутентифицирует себя для почтового сервера, предъявляя ему те средства идентификации, которые данный сервер считает достаточными.

Оба рассмотренных процесса представляют собой примеры аутентификации. Пользователи многих компьютерных систем при доступе к этим системам проходят аутентификацию примерно так, как ее проходил Макс, пытаясь получить свою электронную почту. Обычно каждый пользователь независимо от типа операционной системы должен предоставить для получения доступа к нужной ему службе идентификатор и пароль. Операционная система сравнивает полученный пароль с паролем, который хранится в ее базе данных.

Систему безопасности можно сравнить с часовым, который окликает каждого при6лижающегося к посту ("Стой, кто идет?"), а затем, услышав ответ, задает новый вопрос: "Пароль". Пройти на охраняемую часовым территорию сможет только тот, кому, во-первых, разрешено на нее входить (т.е. часовой знает имя такого человека), и, во- вторых, тот, кто знает пароль. Если человек не знает пароля или говорит неверный пароль, часовой вправе предпринять меры, чтобы не допустить его на охраняемый объект.

Среди других схем аутентификации можно выделить такие, как взаимная аутентификация, аутентификация "компьютер — компьютер" а также использование алгоритмов аутентификации, сертификатов и специальных устройств, например, интеллектуальных пластиковых карт и биометрических устройств.

Взаимная аутентификация. Если у Алисы имеется учетная запись на сервере и Алиса знает пароль доступа, она доказывает свою идентичность серверу, вводя имя учетной записи и пароль. Получив эту информацию, сервер будет считать, что Алиса действительно является тем пользователем, за которого себя выдает. Однако Алиса не всегда может быть уверенной, что она подключилась именно к нужному ей серверу.

Идентичность сервера может быть доказана, если пользователь запросит у него определенный ответ и получит такой ответ, В нашем примере с аэропортом Алиса проверяет идентичность сотрудника авиакомпании, основываясь на том, что он находится за стойкой этой авиакомпании и одет в ее форму. Однако как покупатель веб-магазина, приобретающий, например, книгу, может удостовериться, что он действительно сообщает номер своей пластиковой карты продавцу, а не выдающему себя за продавца мошеннику?

Специальное устройство (веб-броузер) может аутентифицировать сервер компании, у которой пользователь делает покупки, сверяя предоставленную сервером информацию о себе с информацией, которая уже имеется в распоряжении устройства, причем этот процесс может протекать в скрытой от пользователя форме.

Таким образом, в одних случаях выполняется аутентификация клиента сервером, а в других — аутентификация сервера клиентом. Когда в одном и том же соединении используются оба метода, такой процесс называется взаимной аутентификацией.

Взаимная аутентификация в современном мире вычислений играет очень важную роль. С каждым днем граница между безопасной частной сетью организации и враждебным внешним миром в киберпространстве становится все менее четкой. Поэтому даже если приняты меры, обеспечивающие максимальную степень защиты, стопроцентную безопасность гарантировать нельзя. Таким образом, взаимная аутентификация — это один из важнейших рубежей защиты сети.

Аутентификация "компьютер — компьютер". Когда аутентификация выполняется по схеме "компьютер — компьютер", оба компьютера, участвующие в сеансе связи, используют одни и те же конфиденциальные данные. Каждый из них может идентифицировать себя для другого компьютера, предъявляя ему эти данные. При этом один компьютер может выступать в роли клиента, а другой — в роли сервера, либо может выполняться взаимная аутентификация, когда компьютеры аутентифицируют друг друга.

Использование алгоритмов аутентификации. Алгоритмы аутентификации предусматривают сложную (и все более усложняющуюся) процедуру. Смысл этой процедуры состоит в том, что если компьютер Алисы желает получить доступ к компьютеру Макса, то последний отправляет компьютеру Алисы вызов, представляющий собой строку из случайных символов. Компьютер Алисы использует имеющийся у него пароль для шифрования этой строки и предоставляет в итоге компьютеру Макса отзыв. Последний, зная, какие данные содержатся в строке вызова, а также пароль Алисы, может удостовериться в том, что пользователь (Алиса) действительно является Алисой. Таким образом, сам пароль пользователя никогда не пересылается по сети ни в открытом, ни в зашифрованном виде.

Современные алгоритмы аутентификации обеспечивают взаимную и надежную аутентификацию клиентов и серверов посредством обмена рядом сообщений, содержащих запросы и ответы на эти запросы, а также путем нескольких проверок по разным критериям.

Если, однако, злоумышленнику удастся похитить, угадать или каким-либо другим образом получить информацию об идентификаторе и пароле, сервер не сможет отличить его от легального пользователя. Надежность любой системы аутентификации определяется надежностью ее самого слабого звена. В схеме, основанной на применении идентификатора пользователя и пароля, таким звеном является пароль. Если пользователи записывают свои пароли, сообщают их своим коллегам или употребляют простые, легко угадываемые пароли, даже самая сложная система защиты будет находиться под постоянной угрозой взлома. Несколько снизит, но не устранит опасность взлома, взаимная аутентификация, так как она значительно усложняет возможность создания подложного сервера.

Использование сертификатов и специальных устройств. Для того чтобы как-то защитить слишком подверженную угрозе взлома схему аутентификации, основанную на применении пользовательского идентификатора и пароля, было разработано немало других схем и специализированных устройств.

Среди них можно выделить такие, как аутентификация с помощью:

  • сертификатов (специальных структур данных, облегчающих распределение ключей шифрования),

  • интеллектуальных пластиковых карт (ИПК — небольших устройств размером с визитную карточку, представляющих собой корпус из тонкого пластика, в котором находится микросхема с необходимой информацией),

  • биометрических устройств (действие которых основано на измерении при аутентификации уникальных характеристик индивидуума),

  • жетонов безопасности (небольших круглых или прямоугольных жетонов, содержащих дополнительную идентификационную информацию).

Авторизация . В процессе аутентификации система удостоверяется, что пользователь действительно является тем, за кого себя выдает. Однако этого недостаточно — при работе в системе нужно проверить, имеет ли конкретный пользователь право получать доступ к тем или иным ресурсам либо выполнять те или иные операции. Такая проверка называется авторизацией. В мире Windows, например, она может осуществляться при проверке разрешений пользователя (например, разрешений на чтение, запись или удаление) по отношению к какому-то объекту либо при определении, имеет ли он право выполнять какое-то действие (например, добавлять новых пользователей или устанавливать приложения).

Возвращаясь к нашему примеру с аэропортом, можно сказать, что сотрудник авиакомпании, сличая фотографию в паспорте Алисы с ее внешностью, выполняет аутентификацию. Однако этого не достаточно, чтобы попасть на борт самолета; другой сотрудник, отвечающий за контроль посадки, не пропустит ее на борт, если ее имени не будет в списке пассажиров данного рейса, даже если Алиса предъявит посадочный та лон. Хотя в некоторых случаях эти две операции могут выполняться практически одновременно, по своей сути они все же отличаются одна от другой.

Возможны ситуации, когда выполняется аутентификация, но отсутствует авторизация. Например, у пользователя есть идентификатор и пароль, но нет средств получения доступа к файлам. Если администратор полностью контролирует назначение таких средств группе, которой принадлежит пользователь, последний сможет успешно начать сеанс работы в системе, но не сможет ни запускать программы, ни копировать или читать файлы. В нашем примере с аэропортом Алиса может демонстрировать сотруднику авиакомпании свой паспорт сколь угодно долго, но если она заранее не купила билет, она не сможет попасть на рейс.

Аудит . — это наблюдение за тем, происходят ли в системе события должным образом. Для того чтобы обеспечить надлежащий уровень контроля, необходимо иметь средство, с помощью которого можно было бы отслеживать происходящие в системе процессы и события.

Для аудита информационных систем необходимо, чтобы на уровне компьютерной системы велась регистрация событий. Это позволит администраторам, аудиторам информационных систем, а также другим, имеющим соответствующие полномочия должностным лицам определять, какие операции выполнялись тем или иным пользователем либо той или иной системой. Степень детализации событий, регистрируемых в контрольных журналах, зависит от следующего:

  • возможностей системы аудита, основанных на возможностях конкретной операционной системы;

  • работающих средств аудита (некоторые операционные системы не могут функционировать без набора определенных включенных средств аудита).

Контрольные журналы являются эффективным средством для определения действий, выполняемых пользователями. Например, контрольные журналы могут рассказать о том, кто получал доступ к файлам начисления зарплаты, добавлял пользователя к группе администраторов или последним применял принтер для распечатки чеков.

Многие современные операционные системы по умолчанию не включают режима ведения аудита. Однако в них предусмотрены алгоритмы, позволяющие определять тип событий, которые следует заносить в журнал регистрации событий.

Учет особенностей задач информационной безопасности . Сосредоточение внимания на средствах аутентификации, авторизации и контроля («трех А») было характерно в прошлом, когда компьютерные системы работали по принципу централизованной обработки информации. В те времена вопросам защиты данных, пересылаемых с одного компьютера на другой, уделялось мало внимания, так как подключение клиентов к серверу в подавляющем большинстве случаев было прямым. Кроме того, вместо интеллектуальных клиентов (их представителями являются современные ПК) использовались простые терминалы, которые представляли собой лишь монитор с клавиатурой. Именно поэтому основное внимание при разработке средств защиты было сосредоточено на том, чтобы правильно идентифицировать пользователя, определить его привилегии и проконтролировать выполняемые им операции.

Сегодня, когда системы стали распределенными, вычислительная мощность рабочих станций многократно превышает возможности вчерашних серверов, а данные хранятся в распределенной форме, задачи системы безопасности также стали носить распределенный характер. Теперь предметом интересов системы безопасности являются не отдельные компьютеры, а совокупность систем и объединяющих их линий связи. Появление этих систем и развитие торговли через Интернет потребовало разработки таких функций, как неприкосновенность и доступность, а также целостность. При этом, конечно же, сохраняется и необходимость обеспечения «трех А» системы безопасности.

ЗАДАНИЕ 5.2. О конфиденциальности, неприкосновенности и доступности
Прежде чем читать последующий материал, подумайте в течение нескольких минут, чем отличаются эти понятия. Зафиксируйте Ваше понимание в таблице.

Понятие

Комментарий

Конфиденциальность



Неприкосновенность



Доступность



Понятие конфиденциальности близко к понятию секретности. Оно обсуждалось в главе 4, и вернемся к нему еще раз несколько ниже. Понятию неприкосновенности трудно дать строгое определение. Но можно отметить, что неприкосновенность и доступность – это фактически полярные функции: если доступно, то не может быть неприкосновенно. А если неприкосновенно, то как же торговать через Интернет? Поэтому определение функции неприкосновенности должно содержать условия, ограничивающие доступ к данным.

Одна из формулировок звучит так: все данные сохраняются в таком виде, в каком они были оставлены последним лицом, правомочным вносить изменения. В контексте компьютерной безопасности «неприкосновенность» означает защиту от записи. Неприкосновенность данных — это гарантия того, что их не удалит и не изменит кто-то, у кого нет на это права. Неприкосновенность программного обеспечения — это гарантия того, что программы не будут изменены по ошибке, по злому умыслу пользователя или вирусом.

Из определения неприкосновенности видно, что эта проблема аналогична проблеме обеспечения конфиденциальности. Если последняя перекрывает несанкционированный доступ к данным (и программам), то первая предотвращает несанкционированную запись. И фактически обе эти задачи решаются при помощи одних и тех же технологий безопасности (криптографических и организационных).

Доступность традиционно считают третьим китом компьютерной безопасности, хотя на самом деле понятие доступности выходит далеко за рамки этой проблемы. В различных стандартах по обеспечению защиты доступность определяется как «свойство системы, состоящее в том, что ее беспрепятственная эксплуатация возможна, когда это необходимо» или как «свойство системы быть готовой и пригодной к работе по требованию законного пользователя». Их смысл сводится к следующему: мы интуитивно знаем, что подразумеваем под доступностью — нам нужно, чтобы компьютер работал, когда мы того хотим, и так, как мы того хотим.

Конечно, бывает, что программы не работают или работают неправильно, но это — проблемы надежности вычислительных систем и качества программных продуктов и... ни одна из них не имеет отношения к безопасности. В контексте безопасности под доступностью можно понимать гарантию того, что злоумышленник не сумеет помешать работе законных пользователей. В частности, в задачу обеспечения доступности входит исключение возможности атак, вызывающих отказ в обслуживании.

В целом же совместное обеспечение конфиденциальности, доступности и неприкосновенности сводится к контролю доступа. Суть проблемы состоит в обеспечении законным пользователям возможности делать все то, что им дозволено делать и на что остальные не имеют права.

Проблема контроля доступа в действительности намного шире и связана не только с обсуждаемыми понятиями. Кому вообще возможен доступ? Для ответа на этот вопрос нам необходимо ввести два понятия. Речь идет о так называемых субъектах, у которых есть доступ к неким объектам. Часто, хоть и не всегда, субъектом является пользователь, а объектом — компьютерный файл. Субъектом также может быть компьютерная программа или процесс, а объектом — другая компьютерная программа. Объектом может быть запись базы данных. Объектом может быть определенный ресурс, возможно, какая-то часть технического оборудования компьютера или принтер, или часть памяти компьютера. В зависимости от обстоятельств одна и та же компьютерная программа бывает субъектом доступа в одном случае и объектом в другом.

Существует два способа задать условия контроля доступа. Вы можете оговорить, что разрешено делать различным субъектам, или оговорить, что позволено сделать с разными объектами. На самом деле — это взгляд на одну и ту же задачу с двух разных сторон, и у этих подходов есть свои плюсы и минусы. Традиционно операционные системы работали с ресурсами и файлами; таким образом, условия контроля доступа задавали в терминах этих объектов. Современные системы ориентированы на конкретное применение. Они предлагают услуги конечным пользователям, таким как большие системы управления базами данных. В этих системах часто используются те механизмы, которые контролируют доступ субъектов.

Установление доступа не означает «все или ничего»; могут быть различные его виды. Например, в системе UNIX (основа многих операционных систем, но не Windows) три вида доступа предоставляют следующие права: читать, писать и выполнять. Все эти права независимы. Например, кто-то, обладающий правом только на чтение файла, не может изменять этот файл. Тот, у кого есть право только на ввод информации, может изменять файл, но не вправе его прочесть. Тот, у кого есть полномочия и на чтение, и на ввод информации, волен делать и то и другое.

Третий тип права доступа — выполнять — особенно любопытен. Такое право имеет смысл только для компьютерных программ — исполняемых файлов. Субъект, имеющий право только на выполнение определенных файлов, может запустить программу, но ему нельзя ни прочесть код, ни изменить содержимое. При некоторых обстоятельствах это имеет смысл: вообразите программу, хранящуюся в защищенной памяти — устройство цифровой подписи в модуле, снабженном системой защиты от вторжения, — в этом случае действительно возможно выполнение команды без прочтения кода.

Существование различных видов доступа означает, что кто-то имеет возможность решать, кому какие права предоставить. В системе UNIX это владелец файла. Владелец может установить, кому разрешается читать, записывать и выполнять файл. В UNIX принадлежность устанавливается для каждого файла в отдельности и обычно обусловливается каталогом, в котором файл находится.

В системе Windows NT/2000 более сложный набор прав доступа. В ней предусмотрены права читать, писать и выполнять, а также удалять, изменять права доступа и изменять принадлежность. Владелец файла может разрешить кому-то изменять права доступа к этому файлу или менять его принадлежность.
Представьте себе существующую в компьютере сложную систему организации доступа в виде таблицы. По вертикали расположен список всех возможных пользователей, по горизонтали — список всех файлов. В ячейках таблицы находятся условия доступа пользователя к соответствующему файлу. Алиса может иметь право чтения файла А, чтения и записи в файл В и вовсе не иметь доступа к файлу С. Для Макса может быть установлена подобная, не менее сложная схема доступа.

Рассмотрим одну из таких матриц – таблиц.





В этой модели «Чт» означает разрешение на чтение, «Зп/Чт» – разрешение на запись и на чтение: Алиса, например – субъект 01 , Макс – субъект 02 . Они могут все объекты доступа С1 , С2 , С3 , … - читать, но разрешение на запись у Алисы только относительно объекта С1 , а у Макса – только объекта С2.

В случае компьютерной системы любого разумного размера эта таблица быстро становится очень сложной. Поэтому приходится прибегать к упрощениям. Можно установить доступ к файлу таким образом, чтобы только его владелец имел возможность читать, записывать и выполнять его. Можно сделать файл (субъект) общедоступным для чтения, но лишь его владелец будет иметь возможность вносить изменения. Можно создать так называемую «группу», в которую входят несколько человек с одинаковым доступом. В этом случае, если люди, например, работают над одним проектом и должны использовать определенные файлы, только они и никто другой будут иметь необходимый доступ. В системе UNIX это легко осуществимо, причем отдельный пользователь может входить в разные группы.

Один из способов справиться со сложностью контроля доступа состоит в том, чтобы разбить таблицу. В некоторых системах список тех, кто имеет доступ к определенному объекту, хранится вместе с самим объектом. Его часто называют списком контроля доступа. Это обычная практика, и Список часто используется в целях безопасности операционных систем. Хотя существуют и определенные проблемы. Такие списки работают хорошо в простых средах, когда пользователи сами устанавливают права доступа, но несколько хуже в тех случаях, когда доступ устанавливает управляющий персонал. В таких системах, например, не существует простого способа временной передачи прав доступа. Также подобные системы недостаточно хорошо обеспечивают проверку доступа по ходу работы программы. Кроме того, поскольку установка доступа привязана к объектам, а не субъектам, могут возникнуть трудности, когда понадобится лишить доступа определенного субъекта. Если кто-нибудь из сотрудников компании увольняется, система должна перебрать все объекты и исключить этого человека из каждого списка. Наконец, управление системой на основе этого Списка довольно трудоемко, поэтому множество предлагаемых программ предназначено для облегчения этой задачи.

Еще ряд терминов для нас важен. Прежде всего это понятие целостности.
Часто, когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Две эти концепции различаются, но иногда они переплетены. Аутентификация имеет дело с источником данных: кто подписал лицензию на медицинскую практику, кто выпустил в обращение валюту, кто санкционировал закупочный ордер на 200 кг удобрений и 5 тонн дизельного топлива?

Целостность имеет отношение к действительности данных. Верен ли номер этой платежной Ведомости? Были ли данные исследования окружающей среды изменены, с тех пор как я последний раз видел их? Целостность не имеет отношения к источнику данных, к тому, кто создал их, когда и как, но определяется тем, были ли данные изменены с момента их создания.

Целостность — это не то же самое, что достоверность. Достоверность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины к самой себе через какое-то время. Часто они тесно взаимосвязаны.

В любом обществе, где компьютеризированные данные используются для принятия решений, целостность важна. В физическом мире люди используют материальную копию объекта как доказательство целостности. Мы доверяем телефонной книге, настольным справочникам врача и (частично) статистическим отчетам, поскольку это книги, которые выглядят настоящими. Если они фальшивы, значит, кто-то тратит много денег, чтобы они выглядели настоящими. Когда вы снимете с полки роман Льва Толстого и начнете читать его, вы не усомнитесь в его реальности. Если же Вы получаете фотокопию журнальной вырезки, то она только напоминает страницу журнала. Если кто-нибудь перепечатает статью и пошлет ее по электронной почте Вам, тогда.., кто знает. Соблазн подделывать и изменять данные велик. В Сети это сделать просто. В мире, в котором нет возможности потрогать, людям нужен новый способ проверки целостности того, что они видят.
Итак, мы обсудили ряд понятий. Это три «кита» информационной (компьютерной) безопасности: конфиденциальность, неприкосновенность и доступность. А также понятия «аутентификация», «авторизация», «аудит» и «целостность».

Наше понимание этой взаимосвязи представлено на рисунке.





Опираясь на введенные выше понятия, можно теперь попытаться выявить существующие особенности в подходах обеспечения защиты.

 


1   ...   8   9   10   11   12   13   14   15   ...   23