Основы защиты систем

В основе создания защищенных систем лежит четкое осознание целей за­щиты, преследуемых разработчиком (заказчиком) системы и условий функцио­нирования, при которых заявленные цели достигаются при приемлемых эконо­мических и эксплуатационных ограничениях.

Выбор системно-технических решений разработки или применения защи­щенных ИС определяется компромиссом между стоимостью компонентов и условной стоимостью эквивалентных, замещающих механизмы защиты ИС, ор­ганизационно-технических мероприятий.

Цели и условия защищенного функционирования, а также правила защиты от НСД информации в системе устанавливаются в политике безопасности (ПБ).

Для выполнения политики безопасности проектировщик системы на основа­нии данных, предоставленных заказчиком, разрабатывает модель защиты и дока­зательства того, что данная модель соответствует требованиям ПБ. Несмотря на многообразие систем и решаемых ими задач политика безопасности может быть очень точно описана совокупностью параметризованных моделей, включающих модели мандатного (МАС) и дискреционного ФАС управления доступом, иден­тификации и аудита.

Параметризация означает «закладку» в стандартную модель защиты специ­фичных ограничений функционирования системы. В случае если реализуемая модель полностью покрывает требования ПБ, остаточный риск НСД определяет­ся вероятностью возможных отклонений условий функционирования системы (реальных условий, в которых будет эксплуатироваться система) от требований модели защиты.

Возможны три варианта защиты сетей, в числе которых:

  • ограничение функциональной среды — то есть использование меха­низмов СЗИ ОС и обеспечение физической безопасности сетевых станций и кабельной сети;
  • шифрование трафика — оснащение рабочих станций ЛВС средствами шифрования данных;
  • многоуровневая коммутация — использование коммутатора ЛВС, изо­лирующего потоки данных разных пользователей.

Каждое из решений обладает своими достоинствами и недостатками, и вы­бор одного из них определяется технологией работы пользователей и ограниче­ниями режима секретности.

Ограниченная функциональная среда — предусматривает наиболее жесткие требования к технологии работы пользователей, но при этом не требу­ет затрат на разработку дополнительных компонентов СЗИ. На практике слож­ность выполнения всех ограничений режима секретности может оказаться слишком высокой. При этом взлом СЗИ хотя бы на одной ПЭВМ либо скрытое (неучтенное) внедрение в ЛВС посторонней ПЭВМ приводит к полной компро­метации всей циркулирующей в сети информации.

Шифрование трафика ЛВС — не зависит от большинства компонентов сетевых станции и СЗИ ОС. Кроме того, исключается перехват информации из, ЛВС за счет скрытого внедрения ПЭВМ нарушителя в ЛВС. Однако это наибо­лее дорогостоящее решение, требующее кроме всего прочего создания системы управления криптографическими ключами в масштабе ЛВС.

Многоуровневая коммутация — оптимальный вариант защиты, когда на каждой рабочей станции обрабатывается информация только одной категории допуска и исключается несанкционированное подключение к ЛВС на физиче­ском уровне. При этом требования физической безопасности предъявляются то­лько для сетевого оборудования.

Для выбора оптимального варианта защиты заказчик, в интересах которого создается ЛВС, должен четко понять две вещи: во-первых, какие условия функци­онирования ЛВС для него приемлемы и, во-вторых, сколько он согласен заплатить за разработку системы защиты ЛВС с заданными гарантиями безопасности.

Из вышерассмотренного примера построения защищенной ЛВС естествен­ным образом вытекает задача построения модели нарушителя — точного опре­деления возможностей потенциального нарушителя в части использования им тех или иных угроз для НСД.

Модель нарушителя представляет исходные данные для выбора модели за­щиты системы. Она должна быть конструктивной, но не слишком вдаваться в детали, поскольку в реальных системах условия функционирования и ресурсы могут меняться под действием трудно учитываемых факторов.