Модернизация системы информационной безопасности БТИ

Способ взаимодействия лиц, использующих технологию IPSec, принято  определять термином «защищенная ассоциация» - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.  
Другие стандарты включают протокол PPTP (Point to Point Tunneling Protocol), развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый Cisco, - оба для удаленного доступа. Microsoft и Cisco работают совместно с IETF, чтобы соединить эти протоколы в единый стандарт L2P2 (Layer 2 Tunneling Protocol) с целью использования IPSec для туннельной аутентификации, защиты частной собственности и проверки целостности/16/.

Виртуальная локальная вычислительная сеть (VLAN)

Это группа подключенных к сети компьютеров, логически объединенных в домен рассылки широковещательных сообщений по какому- либо признаку. Например, группы компьютеров могут выделяться в соответствии с организационной структурой предприятия (по отделам и подразделениям) или по признаку работы над совместным проектом либо задачей/38/.

Использование VLAN дает три основных преимущества:

• значительно более эффективное использование пропускной способности, чем в традиционных ЛВС;
• повышенный уровень защиты передаваемой информации от несанкционированного доступа;
• упрощение сетевого администрирования.

Так как при  использовании VLAN вся сеть логически  разбивается на широковещательные домены, информация передается членами VLAN только другим членам той же VLAN, а не всем компьютерам физической сети. Таким образом, широковещательный трафик (обычно генерируемый серверами, сообщающими о своем присутствии и возможностях другим устройствам сети) ограничивается предопределенным доменом, а не передается всем станциям сети. Этим достигается оптимальное распределение пропускной способности сети между логическими группами компьютеров: рабочие станции и серверы из разных VLAN “не видят” друг друга и не мешают один одному.

Поскольку обмен  данными ведется только внутри конкретной VLAN, компьютеры из разных виртуальных сетей не могут получать трафик, генерируемый в других VLAN. Применение анализаторов протоколов и средств сетевого мониторинга для сбора трафика в других VLAN, помимо той, к которой принадлежит желающий это сделать пользователь, представляет значительные трудности. Именно поэтому в среде VLAN передаваемая по сети информация гораздо лучше защищена от несанкционированного доступа.

Еще одно преимущество использования VLAN — это упрощение  сетевого администрирования. Особенно это касается таких задач, как  добавление к сети новых элементов, их перемещение и удаление. Например, при переезде какого-либо пользователя VLAN в другое помещение, пусть даже находящееся на другом этаже или в другом здании предприятия, сетевому администратору нет необходимости перекоммутировать кабели. Ему нужно всего лишь со своего рабочего места соответствующим образом настроить сетевое оборудование. Кроме того, в некоторых реализациях VLAN контроль над перемещениями членов VLAN может осуществляться автоматически, не требуя вмешательства администратора. Операции по созданию новых логических групп пользователей, добавлению новых членов в группы сетевой администратор также может осуществлять по сети, не сходя со своего рабочего места. Все это существенно экономит рабочее время администратора, которое может быть использовано на решение других не менее важных задач/39/.

Таким образом, все рассмотренные СЗИ, в комплексе, обеспечивают информационную безопасность АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ».

 

4. Определение требований по защите информации от несанкционированного доступа для АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ»

 

Теперь необходимо проанализировать систему информационной безопасности  ФГУП на соответствия требованиям выставляемым АС класса защищенности от НСД. Для этого необходимо сопоставить СЗИ, используемые на предприятии, с требованиями к подсистемам СЗИ АС от НСД. Более наглядно это будет выглядеть в виде таблицы (таблица 2.5).

 

Таблица 2.5 –  Анализ системы информационно безопасности на ФГУП

Подсистемы  и требования	СЗИ	Компетентность
1. подсистема  управления доступом  1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему:	АD	Удовлетворяет в полной мере
К терминалам, ЭВМ, каналам связи, внешним устройствам  ЭВМ;	АD, Firewаll, Брандмауэр	Удовлетворяет в полной мере
К программам;	АD, Электронные  ключи	Удовлетворяет в полной мере
К томам, каталогам, файлам, записям, полям записей.	АD	Проблемы с  наследованием прав доступа
1.2. Управление  потоками информации	АD, VPN, VLАN, Firewаll, Брандмауэр	+
2. Подсистема регистрации и учета 2.1. регистрация  и учет: входа/выхода субъектов  доступа в/из системы (узла сети);	АD, SERVER 2003	+
Выдачи печатных (графических) выходных документов;	АD, SERVER 2003	+
Запуска/завершения программ процессов (заданий, задач);	АD, SERVER 2003	+
Доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;	АD, SERVER 2003	+
Доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;	АD, SERVER 2003	+
Изменения полномочий субъектов доступа	АD, SERVER 2003	+
2.2. Учет носителей  информации	SERVER 2003	+
2.3. Очистка (обнуление,  обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	SERVER 2003	+
3. Подсистема обеспечения целостности 3.1. Обеспечение целостности программных средств и обрабатываемой информации	Средства ОС	+
3.2. Физическая охрана средств вычислительной техники и носителей информации	Пропускной  режим, Механические  замки, Охранная сигнализация	+
3.3. Наличие администратора (службы) защиты информации в автоматизированной системе обработки данных	Присутствует	+
3.4. Периодическое тестирование средств защиты информации несанкционированного доступа	Отсутствует	–
3.5. Наличие средств восстановления средств защиты информации несанкционированного доступа	Архивирование	+
3.6. Использование сертифицированных средств защиты	Все средства сертифицированы	+

После рассмотрения удовлетворения требований к АСОД  ФГУП от несанкционированного доступа, можно однозначно сказать, что требования выставляемые АС данного класса не удовлетворяются в полной мере, а именно:

1. Уязвимость в подсистеме управления доступом. Контроль доступа субъектов к томам, каталогам, файлам, записям, полям записей, проходит не корректно. Проблемы наследования прав доступа к томам, каталогам, файлам, записям, при создании сетевой папки на файловом сервере конкретного работника АС.
2. Отсутствие периодического тестирования средств защиты информации от несанкционированного доступа. Из данной проблемы вытекает невозможность своевременно определить недостатки системы информационной безопасности.

Из всего  выше представленного можно сделать  вывод, что система информационной безопасности не соответствует требованиям ГТК, по защите информации от несанкционированного доступа, в полной мере для предприятия данного типа. Таким образом, система информационной безопасности ФГУП нуждается в модернизации.

 

2.5 Определение  подхода к повышению уровня  защиты АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ» на основе модернизации ПО разграничения доступа

 

В предыдущем пункте были выявлены следующие несоответствия требованиям ГТК для системы информационно безопасности АСОД ФГУП:

1. В подсистеме обеспечения целостности: отсутствие периодического тестирования средств защиты информации от несанкционированного доступа.
2. В подсистеме управления доступом: контроль доступа субъектов к томам, каталогам, файлам, записям, полям записей осуществляется не соответствующим образом.

Таким образом, возникла необходимость модернизации системы информационной безопасности предприятия.

Первый недостаток системы не так существенен, для  его решения достаточно установить надлежащее ПО для тестирования СЗИ.

Для решения второй проблемы необходимо рассмотреть возникновение недостатка СЗИ обеспечивающего контроля доступа субъектов к томам, каталогам, файлам, записям и полям записей. Данный контроль выполняет служба каталогов АD.

Данный недостаток заключается в следующем: для безопасной работы с информацией в ФГУП используется единый файловый сервер, на котором хранится вся обрабатываемая информация, на данном сервере создана структура каталогов, повторяющая структурную организацию предприятия, т.е. для каждого отдела ФГУП создан отдельный каталог, в который входят личные каталоги сотрудников предприятия. Личные каталоги сотрудников есть не что иное как сетевой диск, подключенный под учетной записью сотрудника с его же собственной рабочей станцией. Проблема заключается в том, что при создании сетевого диска права доступа не всегда корректно наследуются на данный ресурс. А это может повлечь за собой ряд уязвимостей данного ресурса, а именно:

Пользователи, не являющиеся владельцем ресурса, получают полные права на данный ресурс, т.е. могут его читать, записывать в него новые документы, изменять ресурс. Данные действия могут привести к модификации, потере информационного ресурса, или даже к незаконному копированию, что в свою очередь приведет к печальным последствиям.

Что бы избежать подобного рода событий необходимо проверять права доступа на каждый каталог на файловом сервере и исправлять несоответствия. Если этих каталогов не больше 10 то этот процесс займет не значительное время, приблизительно один рабочий день, но если их количество около 100, то данный процесс займет большое количество времени. К тому же назначение прав необходимо проводить во время отсутствия запросов к ресурсам, т.е. наилучшим временем является нерабочее время. Поэтому средствами ОС в данном случае не обойтись. Из всего этого возникает необходимость в разработке программного средства обеспечивающего автоматическое разграничение прав доступа пользователей и групп к ресурсам файлового сервера. Необходимо так же учесть что все сотрудники состоят в групповых политиках АD.

 

3. Модернизация программных СЗИ ФГУП «Ростехинвентаризация – Федеральное БТИ» для разграничения доступа.

 

Во второй главе, в соответствии с руководящем  документом ГТК, был выявлен основной недостаток системы информационной безопасности ФГУП, которым является неудовлетворительная работа подсистемы управления доступом. А именно некорректность наследования прав доступа пользователей и групп к сетевым ресурсам. В результате чего было принято решение о модернизации системы информационной безопасности предприятия. Суть модернизации заключается в разработке программного средства, которое обеспечит разграничение доступа пользователям и группа, состоящих в групповых политиках АD, на сетевые ресурсы данных пользователей. Но для разработки программного продукта необходимо сначала разработать модель разграничения доступа пользователей и групп к сетевым ресурсам.

 

1. Разработка модели разграничения доступа

 

В настоящее  время существует большое количество моделей разграничения доступа, но наибольшую популярность получили две – дискреционный, или избирательный (discretionary access control, DAC), и мандатный, или полномочный доступ (mandatory access control, MAC). Надо заметить, что вторая модель стала развитием первой/38/.

Дискреционный контроль доступа  позволяет субъектам определять права доступа к объектам при условии наличия прав собственности на данные объекты. Данный подход обеспечивает гибкость и динамичность в изменении полномочий. При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них – это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок, росту количества уязвимостей и увеличению возможностей доступа к информации со стороны внешних и внутренних нарушителей. Существенным недостатком дискреционных моделей, реализованных в АС, следует указать и то, что в ходе функционирования структура АС изменяется таким образом, что субъекты и объекты могут меняться местами. Так, информационные системы рассматривались ранее как объект управления, в то время как человек-пользователь являлся субъектом управления. Но при включении человека в информационную систему его роли разделились на исполнительную и управляющую. Человек-исполнитель теперь является объектом управления, а человек с ролью управления является субъектом управления АС.

С целью устранения недостатков матричных моделей  были разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла-Падулы, а также решетчатая модель Д. Деннинга. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредством использования, так называемых меток конфиденциальности или мандатов L, назначаемых субъектам и объектам доступа . Метки доступа субъекта  L( ) определяются в соответствии с уровнем допуска лица к информации, а для объекта доступа  L( ) – признаками конфиденциальности информации.

Все возможные уровни допуска L четко определены и упорядочены  по возрастанию секретности. Действуют  два основных правила:

1. Пользователь может читать только объекты с уровнем допуска не выше его собственного:

O ⇔ L ( ) ≥ L ( )         (3.1)

2. Пользователь  может изменять только те объекты,  уровень допуска которых не ниже его собственного:

O ⇔ L ( ) ≤ L ( )          (3.2)

Таким образом, многоуровневая модель предупреждает  возможность преднамеренного или  случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки. То есть, согласно рисунку 3.1, эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.

 

 

Рисунок 3.1 – Cхема мандатного доступа субъектов к объектам АС

 

Практика показывает, что многоуровневые модели защиты находятся  гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели. Данные горизонтальные связи также представлены на рисунке 3.1.

 На основе  многоуровневых моделей возможно  существенное упрощение задачи  администрирования. Данный факт  касается как исходной настройки  разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа/23/.