КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 33УТВЕРЖДЕН 11.53262993.00003-01 13- ЛУ КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ «ПАНЦИРЬ» для ОС Windows 95/98/NT/2000 (КСЗИ «ПАНЦИРЬ») Описание программы 11.53262993.00003-01 13 Листов 159 Санкт-Петербург 2001 1 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 2 АННОТАЦИЯ Документ содержит описание программы «Комплексная система защиты информации «Панцирь» для ОС Windows 95/98/NT/2000» (КСЗИ «Панцирь»). В разделе «Общие сведения» указаны обозначение и наименование программы, кратко описаны: концепция защиты, реализованная КСЗИ, решаемые КСЗИ задачи, реализованные подходы при проектировании КСЗИ, варианты комплектации КСЗИ; рассмотрено программное обеспечение, необходимое для функционирования программы, языки программирования, на которых написана программа. В разделе «Функциональное назначение» указаны назначение программы и классы решаемых задач, сведения о функциональных ограничениях на применение. В разделе «Описание логической структуры» указаны алгоритм программы, используемые методы, структура программы с описанием функций составных частей и связи между ними, приведено описание диспетчера доступа, формализованная модель диспетчера доступа, представленные непротиворечивые правила разграничения доступа. В разделе «Используемые технические средства» указаны типы вычислительных средств (требования к вычислительным средствам), с которыми функционирует программа. В разделе «Вызов и загрузка» указаны способы загрузки программы (клиентской и серверной частей), описаны процедуры вызова программы. В разделах «Входные данные» и «Выходные данные» указаны способы организации входных и выходных данных, способ их кодирования и представления. В разделе «Перечень патентов на изобретение ЗАО «НПП «ИТБ», использованных в КСЗИ» приводится перечень патентов сотрудников предприятия, которые использованы при создании КСЗИ. На сегодняшний день по техническим решениям, внедренным в КСЗИ, подано 16 заявок на изобретение, получено 9 патентов. ЗАО «НПП «ИТБ» имеет исключительное авторское право практически на все основные оригинальные решения, использованные при создании системы защиты. Использование новых запатентованных технических решений принципиальным образом отличает данную систему от аналогичных систем, представленных на рынке средств защиты информации. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 3 СОДЕРЖАНИЕ 1. ОБЩИЕ СВЕДЕНИЯ .......................................................................................................................4 1.1. Задачи СЗИ НСД. Концепция защиты информации от НСД, реализуемая КСЗИ ................4 1.2. Концептуальные задачи защиты информации, решаемые КСЗИ ..........................................10 1.3. Основные подходы к проектированию сложных технических систем, реализованные при разработке КСЗИ ...............................................................................................................................21 1.4. Состав и варианты комплектации КСЗИ ..................................................................................22 2. ФУНКЦИОНАЛЬНОЕ НАЗНАЧЕНИЕ .....................................................................................28 3. ОПИСАНИЕ ЛОГИЧЕСКОЙ СТРУКТУРЫ ...........................................................................32 3.1. Общая схема КСЗИ. Общее описание принципов работы .....................................................32 3.2. Общая модель КСЗИ. Назначение уровней защиты ..............................................................37 3.3. Описание механизмов защиты, реализуемых КСЗИ ...............................................................43 3.4. Модель защиты (модель диспетчера доступа) ......................................................................96 3.4.1. Структура диспетчера доступа ...........................................................................................96 3.4.2. Непротиворечивые правила изменения прав разграничения доступа ............................98 1) Правила изменения прав дискреционного разграничения доступа ......................................98 Дискреционный метод разграничения доступа к временным каталогам ............................112 Дискреционный метод разграничения доступа к реестру ОС ...............................................113 2) Правила изменения прав мандатного разграничения доступа ............................................116 3.4.3. Правила работы с устройствами ввода /вывода ..............................................................132 3.4.4. Формальная модель диспетчера доступа ......................................................................134 3.5. Алгоритмы программы ............................................................................................................143 4. ИСПОЛЬЗУЕМЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА ...............................................................149 5. ВЫЗОВ И ЗАГРУЗКА ..................................................................................................................150 5.1. Вызов и загрузка клиентской части ........................................................................................150 5.2. Вызов и загрузка серверной части ..........................................................................................153 6. ВХОДНЫЕ ДАННЫЕ .................................................................................................................154 7. ВЫХОДНЫЕ ДАННЫЕ .............................................................................................................156 8. ПЕРЕЧЕНЬ ПАТЕНТОВ НА ИЗОБРЕТЕНИЕ ЗАО «НПП «ИТБ», .................................158 ИСПОЛЬЗОВАННЫХ В КСЗИ .....................................................................................................158 9. СПИСОК СОКРАЩЕНИЙ .........................................................................................................159 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 4 1. ОБЩИЕ СВЕДЕНИЯ «Комплексная система защиты информации «Панцирь» для ОС Windows 95/98/NT/2000» (КСЗИ «Панцирь) - далее КСЗИ, обозначение 11.53262993.00003-01 (свидетельство об официальной регистрации программы для ЭВМ РОСПАТЕНТом №2002611971, правообладатель ЗАО «НПП «ИТБ», сертификат Гостехкомиссии России №850 от 16.02.2004) , предназначена для реализации защиты рабочих станций и информационных серверов, функционирующих под управлением операционных систем Windows 95/98/NT/2000, функционирующих как в составе ЛВС, так и автономно. КСЗИ является развитием «Комплексной системы защиты информации (КСЗИ) «ПАНЦИРЬ». Версия 1.0. Для ОС Windows 95/98/NT» (сертификат Гостехкомиссии России №489 от 22.08.2001). КСЗИ представляет собою автоматизированную систему защиты информации в локальной вычислительной сети (ЛВС) предприятия с выделенным рабочим местом администратора безопасности ЛВС, либо защиты автономных компьютеров. 1.1. Задачи СЗИ НСД. Концепция защиты информации от НСД, реализуемая КСЗИ Прежде всего, определим цели создания КСЗИ. Для этого рассмотрим, действительно ли механизмам защиты современных универсальных ОС присущи столь значительные недостатки, что необходимы добавочные СЗИ НСД. Рассмотрим лишь один (правда, следует отметить, один из самых важных) механизм защиты – механизм управления доступом к ресурсам, в частности к файловым объектам. В современных универсальных ОС (семейство ОС Windows, естественно технология NT), реализуется дискреционный (избирательный) механизм управления доступом к ресурсам. Рассмотрим особенности его реализации в ОС. Замечание. Здесь и далее, говоря о недостатках встроенных в ОС механизмов защиты, естественно имеем ввиду семейство ОС Windows, построенных по технологии NT, т.к. в ОС Windows 9X механизмы защиты отсутствуют как таковые. Прежде всего, обратим внимание на то, что современные универсальные ОС реализуют не индуктивную модель безопасности (напомним, что модель безопасности принято называть индуктивной, если для системы, однажды установленной в безопасное состояние, гарантируется нахождение системы в безопасном состоянии в последующие моменты времени), основывающуюся на предоставлении доступа к объектам «владельцами» (в терминологии ОС) этих объектов (заметим, не собственниками информации, а лицами, ее обрабатывающими), т.е. пользователь является субъектом администрирования механизмов защиты - сам устанавливает права доступа на создаваемые им файлы, сам выбирает программы, которые может запускать и 5 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» т.д.). Как следствие, это приводит к высокой вероятности ущерба от неправомерных действий собственного персонала предприятия. С реализацией подобной модели защиты связана и проблема реализации важнейших организационных мероприятий защиты информации – действительно, какова роль администратора безопасности в системе, в которой пользователь самостоятельно назначает права доступа к обрабатываемым им на компьютере документам, как распределить ответственность за защиту информации и за хищение информации в распределенной схеме управления безопасностью? Замечание. Требование к реализации индуктивной модели безопасности формулируется и в соответствующих нормативных документах в области защиты информации, так среди требований уже к СВТ шестого класса защищенности имеет место следующее: «Право изменять права разграничения доступа должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.)». Один из наиболее критичных недостатков реализации (принципов построения) дискреционного механизма управления доступом к ресурсам современных ОС состоит в том, что ОС не обеспечивают возможности разграничения доступа для системных процессов (в частности ОС разделяет процессы на системные и пользовательские, системные процессы в ОС Windows (технология NT) запускаются от имени виртуального пользователя «System»). ОС позволяет разграничивать доступ для пользователя «System» (и то не в общем случае), однако для различных системных процессов, как правило, требуются различные разграничения, что делает подобную возможность на практике бесполезной. Проблема защиты здесь состоит в том, что большинство сетевых служб и иных приложений в системе запускаются как системные процессы (например, как служба ОС в Windows). Как следствие, данные процессы, ввиду отсутствия каких-либо для них разграничений (в общем случае невозможно задать подобные, как правило, различающиеся разграничения для одного пользователя «System»), имеют полный доступ ко всем ресурсам вычислительной системы. С данным недостатком встроенной защиты ОС связано подавляющее количество успешных атак на защищаемые ресурсы. Другой важнейший недостаток встроенных в современные ОС механизмов защиты состоит в невозможности обеспечить замкнутую среду исполнения для пользователя. Механизм замкнутости программной среды состоит в предоставлении возможности пользователю запускать лишь некоторый ограниченный его профессиональной деятельностью набор программ. Невозможность запуска любой иной программы является важнейшим условием противодействия большинству из известных на сегодняшний день угроз компьютерной информации. Дело в том, что чтобы воспользоваться какой-либо известной уязвимостью (например, ошибкой в приложении), злоумышленнику, как правило, необходимо запустить собственную программу, реализующую известную ему уязвимость. Данный механизм также призван полностью 6 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» противодействовать возможности запуска троянских программ (даже при их наличии, например, при получении по почте), всевозможных программ-сниферов и т.д. Теперь рассмотрим, чем определяется недостаток реализации данного механизма в современных универсальных ОС. Атрибут «Исполнение» в ОС Windows может устанавливаться только на объекты файловой системы, причем только на файлы (естественно, рассматриваем NTFS), не может устанавливаться на папки (каталоги, подкаталоги) и устройства ввода. К чему это приводит: с дискеты, с CD-ROM диска, с иных устройств ввода пользователь может запустить любую программу и ОС не может этому воспрепятствовать. Также, если пользователь имеет возможность записи в каталог (а как иначе организовать его работу при централизации схемы администрирования?), на который невозможно установить атрибут исполнение, пользователь может создать в каталоге, открытом ему для записи, исполняемый файл и запустить этот файл. Рассмотрим еще несколько недостатков. Атрибуты доступа к объектам устанавливаются в ОС не пользователям (пользователям задаются привилегии), а на объекты – это приводит, вопервых, к сложности администрирования (на все объекты системы нужно установить разграничения прав доступа), во-вторых, не позволяет разграничить доступ к вновь созданному пользователем объекту, например, к Flash-памяти и т.д. Другой недостаток связан с невозможностью разграничить между пользователями доступ к общим объектам, создаваемым некоторыми приложениями сторонних по отношению к ОС разработчиков ПО, например, при реализации в них функции автосохранения. Отдельно следует рассмотреть механизмы ОС, предоставляющие сервис по реализации функций защиты приложениям. Суть проблемы здесь следующая – ОС предоставляет разработчикам приложений некоторый набор механизмов защиты и некоторый набор возможностей, при этом защита будет реализована корректно ровной в той мере, в которой корректно разработано собственно приложение, другими словами, задача защиты здесь уже возлагается на разработчиков приложений, а ошибки в приложениях делают уязвимой ОС. Особое место здесь занимают предоставляемые ОС возможности по расширению привилегий. С учетом сказанного можем сформулировать следующие требования к добавочным СЗИ НСД, к реализуемым ими механизмам защиты – цели создания КСЗИ. В частности, в рамках рассмотренных нами недостатков ОС, они могут быть сформулированы следующим образом: Реализация индуктивной модели управления доступом к ресурсам, иначе не может быть обеспечена централизация схемы администрирования защитой информации и возложение ответственности за ее хищение на отдельного доверенного сотрудника, например, на администратора безопасности; Реализация разграничений доступа для системных процессов и служб, тогда даже при получение системных прав (например, при некорректном решении задачи олицетворения 7 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» контекста защиты приложением), злоумышленник получит доступ лишь в рамках заданных для соответствующего системного процесса разграничений; Реализация обеспечения замкнутости программной среды, при выполнении требований к корректности и полноте разграничений этим механизмом будет оказано противодействие всем атакам, требующим от злоумышленника запуска собственной программы, а также полное противодействие запуску на защищаемом компьютере троянских программ и программ-сниферов, в частности снифера клавиатуры, снифера канала и т.д. Здесь отметим, что данный механизм может быть реализован, как заданием списка разрешенных к запуску программ, что реализуется некоторыми СЗИ НСД и, что весьма сложно в администрировании, так и созданием отдельных каталогов для хранения программ, с разрешением запуска программ только из данных каталогов, при запрете их модификации пользователями; Реализация назначения прав доступа не объектам доступа, а субъектам (в общем случае пользователям и процессам), при реализации разрешительной разграничительной политики доступа к ресурсам – «все, что не разрешено (явно не прописано), то запрещено»; Реализация механизма разделения между пользователями общих для ОС и приложений файловых объектов. В двух словах остановимся еще на одной проблеме – проблеме возможного внесения СЗИ НСД собственных уязвимостей безопасности. Это связано с тем, что, как по причине отсутствия исходных текстов на коммерческие ОС, так и по причине необходимости выполнения лицензионных соглашений разработчиков ОС и приложений, основные модули СЗИ НСД представляют собою драйверы, включаемые в цепочку обработки запросов доступа к ресурсам между приложением и ядром ОС (реализованы не в составе ядра ОС). Неполное знание (в частности, неполнота исследований) разработчиком специфики работы ОС и может привести к возникновению ошибок в реализации СЗИ НСД. Проиллюстрируем сказанное простым примером. При реализации СЗИ НСД для ОС Windows следует учитывать то, что при использовании длинных имен файловых объектов, к ним можно обращаться и по длинному, и по короткому имени, например к каталогу “\Program files\” можно обратиться по короткому имени “\Progra~1\”. Необходимо также учитывать, что имена (каталогов, файлов), заданные русскими (либо в иной кодировке) буквами, также имеют короткое имя, которое формируется с использованием кодировки Unicode (внешне они могут существенно различаться), например, короткое имя для каталога “C:\Documents and Settings\USER1\Главное меню” выглядит как “C:\Docume~1\USER1\5D29~1\”. Если средствами СЗИ НСД реализовать разграничения к объекту, идентифицируемому соответствующим механизмом защиты только по его длинному имени (которое мы увидим в «проводнике»), то остается возможность получить доступ к данному 8 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» объекту, обратившись к нему по короткому имени (вне заданных разграничений), т.е. обойти механизм защиты СЗИ НСД (если в СЗИ НСД не реализована разрешительная разграничительная политика доступа к ресурсам – «все, что не разрешено (явно не прописано), то запрещено»). Остановимся также и на более общей проблеме применения СЗИ НСД. Как отмечалось, СЗИ НСД представляет собою внешнее, по отношению к ОС, ПО, как следствие, данное ПО, в отличие от собственных компонент, не защищается ОС. В частности, компоненты СЗИ НСД при определенных усилиях в процессе функционирования системы могут быть переведены пользователем в пассивное состояние. Поэтому, на наш взгляд, в списке задач, решаемых СЗИ НСД, целесообразно рассматривать задачу контроля активности ее компонент в процессе функционирования системы. Естественно, что контроль активности СЗИ НСД должен осуществляться внешними субъектами, например, дополнительной аппаратной компонентой (платой), либо удаленно – с сервера безопасности (не имеет смысла одной программой контролировать активность другой программы). Заметим, что при решении подобной задачи аппаратной компонентой в общем виде решается и задача защиты от загрузки системы с внешних носителей (аппаратная компонента должна предотвращать возможность работы компьютера при не активности, соответственно, не загруженности СЗИ НСД). Отметим, что при решении данной задачи реализация всех механизмов защиты СЗИ НСД может быть перенесена на программный уровень, а аппаратная компоненты защиты не реализует ни одного механизма, регламентируемого нормативными документами в области защиты информации. Итак, на основании всего изложенного можем сделать следующие выводы: 1. Основной задачей, решаемой разработчиком при создании СЗИ НСД, на наш взгляд, должно являться исследование архитектурных (концептуальных) причин уязвимости современных ОС и приложений, и их устранение механизмами защиты СЗИ НСД. 2. Потребительские же свойства СЗИ НСД (позволяющие осуществить выбор в пользу той или иной СЗИ НСД), на наш взгляд, определяются именно тем, в какой мере она может противодействовать, как известным, так и потенциально возможным угрозам (задача защиты информации должна решаться в общем виде, а не применительно к противодействию конкретной атаке, например, связанной с конкретной ошибкой в приложении), и насколько корректно реализована сама СЗИ НСД, что определяется возможностью внесения СЗИ НСД собственных уязвимостей, определяемых ошибками разработчиков в реализации. Ключевым моментом обеспечения информационной безопасности на предприятии можно считать обеспечение концентрации функций реализации разграничительной политики доступа к защищаемым ресурсам в одних «руках» - у администратора безопасности, что, кстати говоря, в 9 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» явном виде требуется нормативными документами в области защиты информации, начиная с 6 класса защищенности СВТ: Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.); Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ. Однако в полном объеме данная возможность не обеспечивается встроенными механизмами защиты ОС семейства Windows. Пояснения. В рамках принятой для ОС Windows концепции разграничительной политики доступа к ресурсам, разграничения для файла приоритетнее, чем для каталога, а в общем случае – разграничения для включаемого файлового объекта приоритетнее, чем для его включающего. Это приводит к тому, что пользователь, создавая файл, и соответственно являясь его «владельцем» (невозможно организовать работу на компьютере таким образом, чтобы «владельцем» файла являлся администратор, иначе администратор должен устанавливать права доступа на каждый создаваемый пользователем файл), может назначить любые атрибуты доступа к этому файлу (т.е. разрешить к нему доступ любому иному пользователю). При этом обратиться к этому файлу может пользователь (которому назначил права доступа «владелец») вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл. Выводы. 1. Средствами добавочной защиты должна изменяться собственно концепция разграничительной политики доступа к ресурсам, концепция, выполняющая требования Руководящих документов в области защиты информации. 2. Недопустимо в средствах добавочной защиты использовать встроенные механизмы управления доступом к ресурсам. Следствие. Основной целью применения добавочных механизмов защиты является не усиление отдельных механизмов и решение отдельных частных задач, а принципиальное изменение самой концепции реализации разграничительной политики доступа к ресурсам на защищаемом компьютере, за счет предоставления исключительной роли задания и реализации добавочными механизмами защиты информации разграничительной политики доступа к ресурсам ответственному лицу предприятия – администратору безопасности. Таким образом, в рамках данной концепции именно администратор безопасности, с учетом делегированных ему прав (и соответствующей ответственности) предприятием, может 10 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» рассматриваться в качестве «владельца» информации, имеющего права управлять к ней доступом пользователей. Реализация же данной концепции на практике требует принципиального пересмотра задач, решаемых механизмами защиты и, как следствие, реализуемых ими моделей защиты и подходов к их реализации. Принципиальным также является и то, что конечный пользователь в рамках данной концепции меняет свой статус «доверенного лица» на статус «потенциального злоумышленника» (естественно, что осуществить защиту от стороннего сотрудника предприятия (здесь все задачи защиты можно свести к надежной авторизации пользователя) куда проще, чем от непосредственного пользователя, имеющего доступ к компьютеру). Основными положениями концепции защиты, реализуемой КСЗИ «Панцирь» для ОС Windows 9x/NT/2000, являются: Все права по назначению и изменению прав доступа к защищаемым ресурсам должны принадлежать администратору безопасности, являющемуся доверенным и одновременно ответственным за обеспечение компьютерной защиты лицом со стороны предприятия, являющегося собственником информации (либо со стороны иных собственников обрабатываемой на предприятии информации); Механизмы защиты должны обеспечивать невозможность модификации и распространения прав доступа к ресурсам, назначенным администратором безопасности, конечными пользователями; Конечный пользователь, как сотрудник предприятия, не являющийся собственником обрабатываемой им информации, при администрировании средств защиты должен рассматриваться в части наиболее вероятного потенциального злоумышленника, так как механизмы защиты наиболее уязвимы именно для конечного пользователя, обладающего доступом к защищаемому компьютеру. 1.2. Концептуальные задачи защиты информации, решаемые КСЗИ 1. Задача обеспечения требований к корректности и полноте реализации разграничительной политики доступа к ресурсам в рамках реализации индуктивной модели безопасности. Решение данной задачи предполагает: Корректную реализацию механизмов управления доступом к ресурсам с выделением администратора безопасности в качестве единственного субъекта задания и изменений прав доступа пользователей к ресурсам (в КСЗИ реализованы дискреционный и мандатный механизмы управления доступом к ресурсам); 11 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Реализацию механизмов централизации задачи администрирования в иерархических системах, содержащих механизмы защиты на различных уровнях иерархии – ОС, СУБД, приложения, где ключевым (концентрирующим задачи администрирования) звеном задания разграничительной политики доступа к ресурсам является администратор безопасности, соответственно механизмов противодействующих распространению пользователями назначенных им прав доступа на уровне СУБД и приложений; Реализацию свойства полноты разграничительной политики доступа к ресурсам, предполагающего наличие в системе только санкционированных каналов взаимодействия пользователей информацией. Пояснения. 1. Средствами ОС не в полном объеме реализуется дискреционная модель доступа, в частности, это вызвано следующими причинами: не могут разграничиваться права доступа для пользователя «System». В ОС присутствуют не только пользовательские, но и системные процессы, которые запускаются непосредственно системой. При этом доступ системных процессов не может быть разграничен, соответственно все запускаемые системные процессы имеют неограниченный доступ к защищаемым ресурсам (с этим недостатком системы защиты связано множество известных атак, в частности несанкционированный запуск собственного процесса с правами системного); не могут разграничиваться права доступа к каталогам, создаваемым общими для всех пользователей рядом приложений (средствами ОС к ним невозможно разграничить доступ пользователям). 2. Средствами ОС не в полном объеме реализуется дискреционная модель доступа к внешним устройствам, в частности к устройствам ввода (например, дисковод) – для них (в отличие от объектов файловой системы) невозможно запретить запуск программ (отсутствует атрибут «исполнение»). Поэтому пользователь может отсюда (например, с дискеты) может запустить любую собственную программу. Поэтому невозможно реализовать механизм обеспечения замкнутости программной среды (обеспечивающий запрет запуска пользователем несанкционированных программ) в принципе. А необходимость данного механизма не только регламентируется требованиями соответствующих нормативных документов – для класса 1Г защищенности АС данное требование имеет вид: должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной cреды, но и обусловливается достаточно очевидными соображениями – чтобы получить НСД к информации злоумышленнику необходимо совершить какие-либо действия, что, как правило, возможно лишь при запуске им собственной программы. Данный механизм защиты, не реализуемый встроенными в ОС 12 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» механизмами можно позиционировать, как основной механизм противодействия скрытым угрозам (не явным действиям пользователя), в том числе, и угрозам, связанным с возможными ошибками в приложениях. Отсутствие данного механизма защиты в ОС Windows, на сегодняшний день, является наиболее «узким местом», с чем связано большинство известных успешных атак на ОС. 3. Средствами ОС в принципе не реализуется мандатная модель доступа, призванная упростить задачу администрирования разграничений доступа к ресурсам. Формально (руководящими документами) требование к реализации мандатной модели формулируется для СВТ, начиная с четвертого класса, и для АС, начиная с класса 1В. На практике данная модель применима не только при защите секретных данных, но и при обработке конфиденциальной информации, т.к. практически всегда можно классифицировать (присвоить метки) данным, располагающимся на компьютере, по крайней мере, это данные пользователя и администратора безопасности (в частности, настроечные данные КСЗИ). Отметим, что при реализации идуктивной дискреционной модели управления досту3пом к ресурсам, мандатную модель следует рассматривать лишь как механизм, упрощающий задание и изменение разграничительной политики доступа к защищаемым ресурсам, за счет формализации задания прав доступа на основе меток (мандатов) – мандатный механизм в этом случае является подмножеством дискреционного механизма, жестко формализующий иерархию прав доступа (в общем случае мондатная модель может быть получена через соответствующие настройки индуктивного дискреционного механизма). С возможностью реализации мандатной модели связаны следующие противоречия: Метка безопасности должна быть присвоена каждому объекту доступа (иначе доступ к данному объекту невозможен). Возникает проблема разметки иерархических объектов доступа, в частности файловых объектов – например, функционально должна быть присвоена метка файлу, но файл располагается в каталоге, который находится на логическом диске, как размечать последние; Как разграничить доступ пользователей к системному диску, если к нему на запись и чтение обращаются процессы, запускаемые под различными пользователями (в частности системные процессы) – для пользователей разграничить доступ невозможно, т.к. не будут работать приложения, если же не задавать разграничения, не выполняются требования мандатной модели. 4. Серьезные проблемы возникают при построении схемы администрирования приложений, которые требуют настроек собственным администратором (ввиду сложности и специфики их администрирования) и которые имеют встроенные механизмы защиты информации. В качестве примера таких приложений можно рассмотреть СУБД. С одной стороны, возлагать функции по 13 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» администрированию СУБД на администратора безопасности, наверное, нецелесообразно. С другой стороны, СУБД вносит новый объект доступа – «ТАБЛИЦА», разграничение к которому реализуется встроенными механизмами защиты СУБД. Особенность построения баз данных может быть такова, что все таблицы, к которым доступ должны иметь различные пользователи, могут располагаться в одном файле. При этом разграничить доступ к ним средствами ОС невозможно, т.е. в системе должно быть несколько администраторов безопасности, каждый из которых решает задачи защиты на своем уровне иерархии системы (что противоречит требованиям к централизации администрирования) 2. Задача локализации возможностей пользователей, как потенциальных злоумышленников по преодолению механизмов защиты. Постановка и решение данной задачи, в рамках реализуемой КСЗИ концепции защиты, связано с отличием возможностей по взлому системы защиты злоумышленником-пользователем от злоумышленника стороннего сотрудника предприятия, состоящих в возможностях пользователя легально запускать программы на защищаемом компьютере (сторонний сотрудник не имеет санкицонированного доступа к защищаемому компьютеру в принципе). Решение данной задачи предполагает: Корректную реализацию механизма обеспечения замкнутости программной среды, регламентирующих возможность запуска пользователем только программ (процессов), разрешенных ответственным за безопасность лицом – администратором безопасности (этим, по существу, злоумышленник-пользователь лишается инструмента взлома системы защиты, т.к., чтобы осуществить взлом, как правило, необходим какой-нибудь инструмент, в нашем случае – программа); Упрощение администрирования механизма обеспечения замкнутости программной среды. Важность решения данной задачи (обеспечение замкнутости программной среды) состоит в том, что при корректной реализации механизма осуществляется противодействие всем скрытым (неизвестным на момент создания и внедрения системы защиты) угрозам пользователя, связанным с запуском им собственной программы (а это и есть основной способ НСД). Пояснения. 1. Корректность реализации механизма обеспечения замкнутости программной среды связана с полнотой разграничений и наличием встроенных интерпретаторов команд в приложения: По сути, механизм обеспечения замкнутости программной среды представляет собою механизм разграничения доступа «на исполнение» к файлам с выполнением требований по однозначной идентификации исполняемого файла и невозможности его модификации (замены, подмены, запуска своей программы под именем легальной) пользователем, однако лишь при выполнении требований к полноте разграничений (т.е. данные разграничения должны 14 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» устанавливаться на все ресурсы, откуда возможен запуск программы). Пример неполноты реализации для ОС Windows – невозможность запретить запуск программы с устройства ввода (например, с дискеты), из каталога, а также невозможность задания программ, разрешенных к запуску полнопутевыми именами в опциональном соответствующем механизме технологии NT; ОС Windows позволяет использовать программы, имеющие встроенные интерпретаторы команд, так называемые виртуальные машины, обладающие встроенными средствами программирования. К ним можно отнести офисные приложения, ВМ Java и др. Суть проблемы в следующем. При запуске программы Word отображающийся запущенный процесс winword.exe (именно этот процесс можно разрешить, либо запретить пользователю на исполнение). Но программа Word имеет встроенный интерпретатор команд и свои средства программирования – создание макросов. Т.е. при запуске программы Word ее функции абсолютно не декларируемы (не возможно предположить, какие макросы – какая программа, подключены к документу). При этом, какие бы задачи не решались макросом, все равно отображается процесс winword.exe. Если же данную программу использует администратор, то ему, а, следовательно, и программе Word в этом случае разрешен доступ ко всем ресурсам компьютера; В общем случае в ОС Windows исполняемый файл характеризуется не типом расширения, а признаком команды в его структуре, т.е. если, например, файл с расширением .doc (не исполняемый по расширению файл), то ОС он может быть запущен. Когда речь идет о корректности реализации механизма, исполняемые файлы должны идентифицироваться не расширением, а наличием у них признака команды. Однако это не относится к скриптам - для запуска скрипта виртуальная машина выполняет не операцию исполнение, а операцию чтение и скрипт не содержит в своей структуре признака исполняемого файла. Кроме того, из виртуальной машины скрипт может быть запущен с любым расширением или же вообще без расширения. 2. Задача упрощения администрирования механизма обеспечения замкнутости программной среды обусловлена тем, что большинством средств добавочной защиты данный механизм реализуется по средством задания полнопутевых имен исполняемых файлов, разрешенных к запуску. Но, как с заданием, так и изменением списка подобных файлов связаны большие проблемы, во-первых, их может быть достаточно много (а это сразу потери производительности), во-вторых, включать в список (соответственно удалять из списка), как правило, требуется не один исполняемый файл, а также и исполняемые файлы порождаемых программой процессов. 15 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 3. Задача добавления механизмов отсутствующих (полностью, либо частично) в ОС. Руководящими документами достаточно обснованно регламентируется для защиты информации определенного уровня конфиденциальности определенный набор механизмов защиты, полностью, либо частично отсутствующих в ОС. К таким механизмам могут быть отнесены гарантированное удаление остаточной информации на диске (заметим, что при удалении информации штатными средствами, информация не удаляется, производится переразметка диска, поэтому данная информация не является объектом – к ней невозможно получить доступ штатаными средствами, соответственно и разграничить права доступа, однако существуют программы, позвоялющие получить доступ к остаточной информации на диске, поэтому, если не активирован механизм обеспечения замкнутости программной среды (не позволяющий при настройке запускать подобные программы), либо существует угроза хищения диска, остаточную информацию целесообразно удалять средствами добавочной защиты), контроль целостности, в частности программ перед запуском и др. Отдельно здесь можно рассмотреть задачу шифрования – это механизм, не являющийся основным при построении системы защиты от НСД и применяемый в тех случаях, когда защита от НСД по каким-либо причинам ослаблена (задача механизма криптографической защиты не дать прочитать уже похищенную информацию). Естественно, что применение шифрование для ОС Windows целесообразно, в первую очередь, для ОС Windows 9x, где на уровне реализации ядра вообще не предусмотрено каких-либо средств защиты (возможно здесь защита от НСД уже вторична), для защиты компьютеров, которые могут быть похищены (либо похищен винчестер) ввиду недостаточной физической защиты, либо малых габаритов, для защиты информации передаваемой по каналу связи корпоративной сети. Кстати говоря, на наш взгляд, осуществить сколько-нибудь гарантированную защиту ОС Windows 9x невозможно в принципе, поэтому данный класс ОС, на наш взгляд, недопустимо использовать при обработке критичной к хищению информации, не говоря уже об информации, относящейся к секретной. 4. Задача противодействия использованию злоумышленником ошибок и закладок в системном ПО. Наверное, обнаружить в программном обеспечении такой сложности, как ОС допущенную разработчиком ошибку, а уж тем более установленную разработчиком закладку (не ошибку, а сознательно реализованные недекларируемые возможности, при этом следует учесть, что устанавливающий закладку позаботится и о предотвращении возможности ее обнаружения) едва ли кому-то под силу. Кроме того, как уже отмечалось, ряд задач защиты ОС возлагается на приложение (например, отождествление контекста защиты), поэтому в общем случае следует говорить об ошибках и закладках и прикладного ПО, которые могут привести к НСД к информации. Вместе с тем, никто не сможет поручиться и в отсутствии ошибок и закладок в ПО, прежде всего, зарубежного производства (не говоря уже о свободно распространяемом ПО). При 16 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» этом с ошибками в ОС и в приложениях связана весьма существенная группа известных атак. Естественно же, что при такой интенсивности выпуска новых, кардинально различающихся версий ОС, как Windows, и приложений, по крайней мере, ошибок в них всегда будет хватать. Таким образом, КСЗИ должна противодействовать потенциальным ошибкам и закладкам (не известным исходно), причем, как собственно в ОС, так и в приложениях. Подобное противодействие связано с реализацией следующих мероприятий: Противодействие использованию злоумышленником ошибок в системном и прикладном ПО, связанное с мониторингом корректности функционирования механизмов, реализующих разграничительную политику доступа к ресурсам (причем, как встроенных в ОС, так механизмов добавочной защиты КСЗИ); Противодействие возможности запуска злоумышленником собственной программы (замкнутость программной среды). Как показали исследования, подавляющая часть успешных атак, связанных с обнаруженной ошибкой в системе или приложении, требовала от злоумышленника запуска собственной программы для использования обнаруженной им некорректности; Разграничение доступа к ресурсам системных процессов, что необходимо для противодействия большой группе атак, связанных с наличием ошибок в приложениях, запускаемых с системными правами (доступ которых к ресурсам не разграничивается ОС), в частности это так называемые «exploit»-ы – атаки, связанные с некорректностью приложений в реализхации процедуры олицетворения контеста безопасности (как отмечали, данная задача защиты ОС возлагается на приложение); И, наконец, мы должны понимать, что противодействие использованию злоумышленником ошибок в системном ПО, а также закладок, может быть оказано только в том случае, если все механизмы защиты выполнены добавочными средства (КСЗИ в штатном режиме функционирования не должна использовать встроенные в ОС механизмы защиты). 5. Задача противодействия дополнительным угрозам, привносимым при включении в систему механизмов добавочной защиты. Здесь необходимо понимать, что защита осуществляется лишь в том случае, если система защиты активная (запущена). Пояснения. Система защиты содержит в своем составе драйверы и приложения внешние, по отношению к ОС, т.е. они не защищаются от снятия или перевода в пассивное состояние пользователем непосредственно ОС. А подобное действие можно осуществить не только загрузкой ОС с альтернативного носителя (от чего защищают, так называемые, «Электронные замки»), но и множеством других способов, например, загрузившись в режиме Safe Mode (в ОС Windows это может сделать пользователь после авторизации), в котором при загрузке могут отключаться 17 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» внешние по отношению к ОС драйверы и приложения. Поэтому к данной задаче в общем случае относится мониторинг активности механизмов добавочной защиты (контроль их функционирования и возможности выполнять свои функции) не только при загрузке ОС, но и в процессе всего времени функционирования защищаемого объекта, с выполнением функции запрета функционирования компьютера при переводе системы защиты в пассивное состояние (в незащищенном виде). Отметим, что это является задачей защиты в общем виде, возлагаемой на аппаратную компоненту – дополнительную плату. 6. Задача резервирования механизмов защиты, решаемая с целью повышения вероятности защищенности компьютерной информации (коэффициента готовности системы защиты отражать атаки на информационные ресурсы), в предположении, что в механизмах защиты находятся уязвимости и до их устранения разработчиком (на что требуется время, тем большее, чем сложнее ПО) систему защиту можно считать отказавшей – не способной выполнять своего функционального назначения. Пояснения. Для системы защиты понятие «отказ» может трактоваться совсем иначе, чем при рассмотрении любого иного технического средства, т.к. с отказом связан не только переход системы защиты в состояние неработоспособности (данная составляющая «отказа» присуща любому техническому средству), но и обнаружение в системе защиты уязвимости. Действительно, пусть обнаружена ошибка в механизме защиты, использование которой злоумышленником прямо, либо косвенно приводит к НСД. Это можно трактовать как отказ системы защиты, т.к. до тех пор, пока подобная ошибка не будет исправлена, система защиты не выполняет своих функций, и в данной ситуации существует канал НСД. Кстати говоря, неважно, что на какой-то момент времени для системы известен только один (единственный) канал НСД к информации. Этого вполне достаточно, чтобы говорить об отказе системы защиты в целом, т.к. характеристикой защиты является вероятность отражения ею атак на защищаемый объект, которая в данном случае имеет нулевое значение. Среднее время восстановления – это одна из основных характеристик надежности функционирования системы защиты. Определяется она тем, насколько предприятие-разработчик системы защиты оперативно исправляет обнаруживаемые каналы НСД. Причем при использовании встроенных механизмов защиты этим разработчиком является сам разработчик ОС (приложения). Отметим, что характеристика «время восстановления» объективно зависит от сложности системы. Действительно, зачастую исправление одной ошибки требует тестирования практически всех функциональных модулей системы вновь, поскольку в сложной технической системе все функциональные модули сильно взаимосвязаны. Кстати говоря исправление одной ошибки может привести к появлению других ошибок. Поэтому исправление ошибок в ОС и 18 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» сложных приложениях требует реализации соответствующей технологии внесения исправления. Эта технология предполагает серьезное тестирование ПО практически по всем функциям, что может составлять месяцы. Например, для ОС семейства Windows данный параметр можно охарактеризовать, как половину среднего интервала времени между выходами в свет доработок ОС – Servisе Pack. С позиций надежности эксплуатационные свойства системы защиты можно охарактеризовать коэффициентом готовности: K г T /(T Tв ) Коэффициент готовности, во-первых, характеризует долю времени, в течение которого система защиты работоспособна, а во-вторых, характеризует вероятность того, что в любой произвольный момент времени система защиты работоспособна. Соответственно получаем долю времени, в течение которого объект находится в незащищенном состоянии, а также вероятность того, в любой момент времени объект незащищен: K нг 1 K г Проведем грубую оценку характеристики «коэффициент готовности» чтобы оценить, насколько критична характеристика «время восстановления» при построении системы защиты. Примем интенсивность обнаружения ошибки, которая может привести к НСД к информации, равной 1 в год (практика показывает, что она для ряда ОС и приложений значительно выше). В табл.1.1 показано изменение коэффициента готовности системы (вероятности нахождения системы в защищенном виде) при различных значениях характеристики времени восстановления. Таблица 1.1 Время 3 месяца 1 месяц 2 недели 1 неделя 3 дня 1 день 0,96 0,98 0.992 0,997 восстановления Коэффициент 0,8 0,92 готовности Требования к надежности вычислительной системы на практике определяются, как правило, значением коэффициента готовности не ниже 0,99 (в большинстве случаев – 0,999 и выше). Соответственно, на основе представленных в таблице исследований мы можем сделать вывод, что, время восстановления системы защиты должно определяться днями, а не месяцами, 19 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» которые имеем на практике при использовании встроенных в ОС (и приложения) защитных механизмов. При этом отметим, что нами исследовался наиболее благоприятный случай, когда интенсивность отказов принималась равной 1 в год. А если их будет два и более, какова будет вероятность защищенности системы? Из сказанного могут быть сделаны следующие выводы: 1. Усиление средств защиты целесообразно с целью повышения надежности системы защиты – уменьшения времени восстановления системы при обнаружении канала НСД к информации. В этом случае следует говорить о целесообразности замещения всех встроенных механизмов защиты на механизмы систем защиты отечественной разработки. Возможность же существенного снижения характеристики времени восстановления при этом обусловливается двумя причинами, во-первых, объективной – система защиты как таковая имеет на порядки меньшую сложность, чем ОС в целом (исправление ошибки в ней потребует на порядки меньших трудозатрат, чем аналогичные исправления в ОС), вовторых, субъективной – отечественные производители могут с большей оперативностью обеспечить взаимодействие с конечным потребителем средств защиты, в частности, в части распространения исправленной версии ПО. 2. К разработчику системы защиты, при ее внедрении в практическое использование, должно выдвигаться требование к времени восстановления системы защиты – устранения каналов НСД к информации. Так как время восстановления системы защиты, с целью достижения высокого уровня ее отказоустойчивости, должно определяться днями, что на практике невозможно (при этом исправленная система не может подвергнуться необходимому тестированию, т.е. уже встает проблема надежности собственно ПО), то при построении системы защиты должны решаться вопросы резервирования. 3. Недопустимо использовать средства добавочной защиты, не поддерживаемые конкретным предприятием-разработчиком (в частности, свободно распространяемые и др.), а также распространяемые предприятием, не способным обеспечить необходимой оперативности восстановления системы защиты при обнаружении канала НСД к информации (здесь, прежде всего, речь идет о применении средств защиты зарубежного производителя). Таким образом, требования к времени восстановления системы защиты очень высоки даже при использовании на защищаемом объекте средства защиты отечественного производителя. Для увеличения надежности любой вычислительной системы применяется резервирование. Любое резервирование основывается на включении в состав системы защиты избыточных средств – в нашем случае – дополнительных механизмов защиты. Причем в отличие от классических способов резервирования средств вычислительной техники, предполагающих параллельное включение резервного оборудования однотипного с резервируемым оборудованием, в данном 20 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» случае резервные механизмы (дополнительные механизмы защиты) Требование к реализации механизмов защиты различными способами и средствами обусловлено необходимостью резервного противодействия угрозе, в случае преодоления злоумышленником основного механизма защиты. То есть одна и та же угроза должна распространяться либо на резервируемый, либо на резервный механизмы, в противном случае факт резервирования отсутствует, как таковой. Таким образом, использование в системе защиты дополнительных механизмов можно рассматривать не только с целью расширения функций встроенных механизмов защиты, но и с целью их резервирования. Если надежность системы защиты характеризуется вероятностью p безотказной работы за время t и определяется для встроенных средств защиты надежностью p0: p p0 то при использовании дополнительных механизмов защиты, обеспечивающих резервирование встроенных механизмов, и характризуемых надежностью p1, имеем: p (1 (1 p0 )(1 p1 )) Заметим, что резервирование приводит не только к увеличению характеристики вероятности безотказной работы системы защиты, но и к снижению требований к времени восстановления. В общем случае можно выделить три режима резервирования системы защиты дополнительными механизмами защиты: Горячий резерв, при котором основные и дополнительные механизмы защиты настроены и включены. В этом случае ограничений на время восстановления системы практически не накладывается (естественно, в разумных пределах). Этот подход обеспечивает наиболее высокий уровень защиты, т.к. при преодолении основного механизма защиты противодействие угрозе оказывает резервный механизм (в предположении, что угроза в равной мере не распространяется на основной и резервный механизмы защиты). Для систем защиты информации, критичной к НСД, следствием сказанного будет вывод о целесообразности резервной реализации основных механизмов защиты от НСД, прежде всего, механизма идентификации и аутентификации, и механизма управления доступом к рсурсам, дополнительными механизмами защиты с их включением в режиме «горячего резерва» совместно со встроенными механизмами защиты. Активный холодный резерв, при котором основной и дополнительный механизмы защиты настроены, но включен только один из них. В этом случае время восстановления определяется продолжительностью запуска резервной системы при отказе основной. Как 21 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» правило, это время составляет несколько часов. Однако, по сравнению с горячим резервирование здесь достигается снижение влияния системы защиты на загрузку вычислительного ресурса защищаемого объекта. Пассивный холодный резерв, при котором только одно из средств защиты (основное или дополнительное) настроено и включено. В этом случае время восстановления определяется продолжительностью настройки и запуска резервной системы при отказе основной. Обычно это составляет от нескольких часов до несколько дней. Однако, по сравнению с активным холодным резервирование здесь достигается упрощение администрирования системы защиты, как при ее внедрении, так и в процессе функционирования. Таким образом, в части решения задачи резервирования механизмов защиты к системе защиты выдвигаются следующие требования (реализованные в КСЗИ): Все механизмы защиты (по крайней мере, основные, реализующие разграничительную политику доступа к ресурсам – механизм авторизации пользователя и механизмы управления доступом) в системе защиты должны быть реализованы собственными средствами (недопустимо использование в системе защиты встроенных в ОС механизмов защиты); Система защиты должна не заменять встроенные в ОС механизмы, а добавлять их, позволяя функционировать одновременно встроенным в ОС и добавочным механизмам защиты (причем они должны включаться в схему обработки запроса последовательно), при этом должны предусматриваться все варианты резервирования; Добавочные механизмы защиты должны быть реализованы максимально иным способом, нежели встроенные в ОС, чтобы обнаруженная ошибка в основном механизме не позволяла преодолеть и резервный механизм защиты. 1.3. Основные подходы к проектированию реализованные при разработке КСЗИ сложных технических систем, При разработке КСЗИ были реализованы следующие основные подходы к проектированию средств защиты информации от НСД. 1. Подход к решению задачи противодействия угрозам в общем виде (решение задачи в общем случае). Недопустим подход к построению системы защиты, в основу которого положено решение частных задач противодействия конкретным угрозам, что имеет место на практике. Жизненный цикл подобных систем будет весьма ограничен, т.к. потребуется непрерывная модернизация системы защиты, ее модификация под каждую новую угрозу (возможно сразу после установки на защищаемый объект). Задачи противодействия угрозам должны решаться в общем 22 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» виде, где должна рассматриваться цель атаки на защищаемый компьютер (число которых, вообще говоря, весьма ограничено), а не конкретный способ осуществления атаки (приведем в качестве примера требования к реализации некоторых механизмов - механизм обеспечения замкнутости программной пользователем среды, должен какой-либо противодействовать программы, всем механизм атакам, связанным противодействия с запуском использования злоумышленником ошибок в ПО, не должен требовать их выявления, механизм защиты от перевода системы защиты в пассивное состояние, для которого должен быть неважен способ атаки на добавочное средство защиты информации и другие). 2. Комплексный подход к созданию системы защиты. Данный подход следует рассматривать в двух аспектах, во-первых, нельзя обеспечить сколько-нибудь эффективной защиты отдельно взятым механизмом, т.е. противодействие любой атаке предполагает комплексное использование совокупности механизмов защиты в системе, во-вторых, в комплексной системе защиты один механизм может частично, либо полностью создавать условия невозможности осуществления атаки, противодействие которому призван оказывать другой механизм защиты. Таким образом, комплексная система защиты – представляет собою совокупность реализованных в ней механизмов, которая должна обеспечить условия необходимости и полноты защиты компьютерной информации. Другими словами, набор механизмов в комплексной системе защиты должен быть функционально полным, но не избыточным, по кроайней мере, активированные механизмы не должны вносить избыточность, что связано со снижением производительности системы (не рассматривая вопросы резервирования). Поэтому характеристикой комплексной (включающей в себя совокупность механизмов) системы защиты является не набор реализуемых ею механизмов защиты с определенными свойствами, а обеспечиваемые ею свойства защиты, которые и определяют необходимый и достаточный набор механизмов защиты, который должен быть активирован в СЗИ НСД. 1.4. Состав и варианты комплектации КСЗИ КСЗИ реализует все механизмы защиты собственными техническими средствами для всех рассматриваемых платформ (ОС). КСЗИ реализована как программный комплекс по технологии клиент-сервер, содержит: Клиентскую часть, решающую собственно задачи защиты информации и устанавливаемую на защищаемые объекты информатизации: рабочие станции, и серверы, функционирующие под управлением операционных систем Windows 95/98/NT/2000, Серверную часть (рабочее место администратора безопасности), устанавливаемую на выделенном компьютере администратора безопасности, с целью удаленного управления 23 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» клиентскими частями, функционирующем под управлением операционных систем Windows 95/98/NT/2000. Важнейшей отличительной особенностью реализации КСЗИ является наличие одного вида клиентской части, устанавливаемой на рассматриваемые платформы Windows 95/98/NT/2000 (одна и та же клиентская часть может быть установлена на любую из ОС Windows 95/98/NT/2000). Смена ОС на защищаемом объекте не приводит к необходимости замены клиентской части КСЗИ. Также к важным особенностям реализации КСЗИ можно отнести открытый интерфейс администратора безопасности, обеспечивающий: Возможность задания произвольных реакций на факты НСД (задаются посредством подключения соответствующих командных файлов), что позволяет применять одну и туже КСЗИ при различных политиках информационной безопасности предприятия; Возможность альтернативных представлений защищаемых объектов и пользователей в интерфейсе сервера безопасности. Для дополнительной (опциональной) защиты может использоваться аппаратная компонента КСЗИ (плата), размещаемая в свободном слоте ISA или PСI шины, а также электронный ключ (аппаратный идентификатор) i-Button для ввода пароля. Замечание. Для защиты собственно сервера администратора безопасности на него также устанавливается клиентская часть КСЗИ. В КСЗИ реализован принцип дублирования настроек. Настройки клиентских частей КСЗИ могут осуществляться как удаленно - с рабочего места администратора безопасности, так и локально, собственно из интерфейсной части клиента КСЗИ. Соответственно ведутся локальная и центральная базы данных настроек механизмов защиты (реализован механизм их синхронизации). Это позволяет использовать КСЗИ в режиме автономной защиты объектов информатизации - рабочих станций и информационных серверов (без серверной компоненты системы защиты) и в режиме сетевой защиты – рабочих станций и серверов в составе ЛВС. Замечание. При локальном администрировании клиентских частей КСЗИ, необходимо запустить интерфейсный модуль клиентской части. КСЗИ обеспечивает уровень защищенности ОС Windows NT/2000 по 3 классу и ОС Windows 95/98 по 5 классу в соответствии с Руководящим документом Гостехкомиссии России «СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ». В части выполнения соответствующих требований к системе защиты в КСЗИ реализованы следующие группы механизмов защиты от НСД: Механизмы реализации разграничительной политики доступа к ресурсам объекта 24 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» информатизации в соответствии с заданными параметрами контекста безопасности, Механизмы контроля целостности программ и данных, Механизмы аудита и регистрации доступа к ресурсам объекта информатизации. Клиентская и серверная части КСЗИ написаны на языке Visual C++5.0. Внимание. 1. Все механизмы защиты КСЗИ (за исключением контроля доступа к рабочему столу Windows для ОС Windows 95/98, который реализует управление системными функциями ОС) собственные (не использованы встроенные возможности обеспечения информационной безопасности ОС Windows NT/2000). Для возможности удаленного управления встроенными в ОС механизмами защиты дистрибутив КСЗИ содержит специальную программу удаленного администрирования ОС. 2. Все механизмы защиты КСЗИ могут применяться для любой из ОС Windows 95/98/NT/2000 (за исключением механизмов, реализованных исключительно для ОС Windows 95/98 – «защита загрузки», «запрет отображения запущенных процессов мониторами приложения», контроль доступа к рабочему столу Windows). Варианты комплектации (условия применения) КСЗИ Основу построения КСЗИ составляет реализация принципов универсальности и гибкости, в части возможности выбора комплектации. Универсальность построения КСЗИ состоит в следующем: существует только один тип клиентской части - одна и та же клиентская часть КСЗИ может устанавливаться на различные платформы Windows – Windows 9x/NT/2000; клиентская часть КСЗИ может функционировать как автономно, так и в составе сетевой системы защиты – с выделенным сервером безопасности (СБ) КСЗИ (причем интерфейсы настроек клиентской части КСЗИ локально и удаленно (с СБ) полностью совпадают). Гибкость построения КСЗИ состоит в реализации ряда мер, позволяющих потребителю использовать различные варианты комплектации клиентской части КСЗИ, в зависимости от особенностей защищаемого объекта (компьютера), важности (уровня конфиденциальности) обрабатываемой на компьютере информации, стоимостных затрат на построение системы защиты. При этом потребителю предоставляется возможность выбора как архитектуры КСЗИ (распределенная – без использования сервера безопасности (СБ) – серверной части КСЗИ или централизованно-распределенная – с использованием СБ КСЗИ), так и набора компонент клиентской части КСЗИ. В состав клиентской части КСЗИ могут быть включены следующие компоненты: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» программная компонента защиты информации (обязательная компонента); электронный ключ i-Button «таблетка» (внешний электронный идентификатор). В 25 состав комплекта входит собственно ключ i-Button «таблетка», адаптер, кабель с разъемом; аппаратная компонента защиты (плата, соответственно, подключаемая к ISA или PCI шине). Возможны следующие комплектации клиентской части КСЗИ: Только программная компонента защиты информации (минимальная комплектация). Программная компонента защиты информации и электронный ключ i-Button «таблетка». Программная и аппаратная компоненты защиты информации. Программная и аппаратная компоненты защиты информации, электронный ключ i- Button «таблетка». Внимание. Сертификат распространяется на программное средство защиты КСЗИ «Панцирь». Аппаратная компонента может использоваться опционально, т.к. она не реализует ни одного механизма защиты, из регламентируемых соответствующими нормативными документами в области защиты информации. Для возможности альтернативной комплектации клиентской части КСЗИ предусмотрены следующие меры: Все механизмы защиты КСЗИ реализованы программно; Аппаратная компонента решает задачи противодействия удалению, либо переводу в пассивное состояние программной компоненты защиты (запуску и функционированию системы без программной компоненты КСЗИ, которая собственно и реализует механизмы защиты); Предусмотрены дополнительные программные механизмы защиты КСЗИ, противодействующие удалению, либо переводу в пассивное состояние программной компоненты защиты; Предусмотрен механизм усиления аутентификации при входе пользователя в систему с использованием дискеты; Реализовано подключение адаптера для усиления аутентификации при входе пользователя в систему с использованием электронного ключа i-Button “таблетки” не к аппаратной компоненте защиты (плате), а к последовательному порту компьютера. Условия использования только программной компоненты защиты информации (минимальная комплектация) Для данной комплектации (в отличие от использования КСЗИ в комплектации с аппаратной компонентой) актуальным является противодействие следующим группам угроз: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Угроза загрузки системы без программной компоненты КСЗИ; Угроза загрузки системы с усеченными функциями программной компоненты Удаление или перевод программной компоненты КСЗИ в пассивное состояние в 26 КСЗИ; процессе функционирования системы. Первая группа угроз связана со следующим: 1. Система, при загрузке которой в штатном режиме загружается как служба ОС и КСЗИ, может загружаться с внешних носителей, в частности, с дисковода или CD-ROM, в этом случае КСЗИ не будет загружена. Возможность противодействия этому без использования аппаратной компоненты (платы) может состоять в следующем: Использование пароля на BIOS (для современных BIOS инженерные пароли не обнаружены) с установкой режима загрузки с винчестера. При этом, с целью предотвращения сброса настроек BIOS в исходное состояние (первоначальная загрузка с дисковода) программным способом, обязательно должен быть активирован механизм обеспечения замкнутости программной среды, предотвращающий запуск внешней программы сброса настроек BIOS в исходное состояние. 2. С винчестера может загружаться система MS-DOS, в этом случае КСЗИ не будет загружена. С целью предотвращения подобной возможности в КСЗИ предусмотрена блокировка запуска BOOT меню (способа загрузки). В рассматриваемой конфигурации данная опция обязательно должна быть активирована (опция «Защита загрузки» в настройках клиентской части КСЗИ»). Вторая группа угроз связана с возможностью загрузки, как самой ОС, так и КСЗИ не в полном объеме. Это может быть достигнуто в двух случаях: 1. Загрузка системы в режиме Safe Mode, при котором загружаются не все драйверы, как ОС, так и КСЗИ. 2. Модификация собственно ОС. Для противодействия угрозе загрузки в режиме Safe Mode в КСЗИ реализован механизм аутентификации перед загрузкой в данном режиме собственными средствами, при этом подобную загрузку может осуществить только привилегированный пользователь («Администратор») после прохождения процедуры аутентификации. Для противодействия угрозе модификации ОС механизмом разграничения доступа КСЗИ реализован механизм, позволяющий запрещать доступ пользователей «на запись» к системному диску - это достигается с применением механизма разграничения доступа для привилегированных процессов. 27 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Третья группа угроз связана с возможностью удаления или перевода в пассивное состояние КСЗИ в процессе функционирования системы (данные угрозы, прежде всего, актуальны для ОС Windows 9X). Подобная угроза вызвана тем, что некоторые приложения, например, оболочка Far, имеют встроенный монитор запущенных процессов, позволяющий отображать все запущенные процессы и их завершать. Для противодействие данной угрозе, в КСЗИ реализован механизм, препятствующий отображению процессов, которые следует скрывать и, как следствие, их завершению. Данный механизм для рассматриваемой комплектации КСЗИ обязательно должен быть активирован, а в качестве скрываемых (не отображаемых) процессов должны быть занесены соответствующие процессы КСЗИ. Таким образом, механизмы защиты, реализованные в КСЗИ, позволяют противодействовать всем группам угроз и без применения аппаратной компоненты защиты. Кроме того, рассматриваемая комплектация КСЗИ обеспечивает и возможность усиления пароля (в тех случаях, когда пароль пользователь не должен вводиться с клавиатуры) с использованием дискеты, в качестве внешнего средства хранения пароля. Реализация рассмотренных условий позволяет использовать только программную компоненту защиты информации в качестве минимальной комплектации КСЗИ. Использование в комплектации КСЗИ электронного ключа i-Button «таблетка» Данная комплектация может рассматриваться как альтернатива предыдущей, в части хранения пароля на дискете (что может рассматриваться как мероприятие, реализуемое исключительно для удобства пользователя). Использование в комплектации КСЗИ аппаратной компоненты Данный вариант комплектации снимает большинство из проблем, рассмотренных выше. Это обусловлено тем, что аппаратная компонента позволяет штатно функционировать компьютеру только в том случае, когда программная компонента КСЗИ загружена и активна (находится в штатном режиме функционирования), в дополнение к этой функции аппаратная компонента предотвращает возможность загрузки системы с внешних носителей (с дискеты или CD-ROM диска). Аппаратная компонента оказывает противодействие всем группам угроз, рассмотренных выше, при этом плата выключает компьютер, отправляя его в режим перезагрузки (выдает сигнал “RESET”), при несанкционированном удалении КСЗИ, либо переводе КСЗИ в пассивное состояние, что позволяет (при определнных настройках ОС), с учетом реализованного механизма восстановления программной компоненты КСЗИ из резервной копии при старте системы, автоматически восстанавливаться системе в штатном защищенном виде. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 28 2. ФУНКЦИОНАЛЬНОЕ НАЗНАЧЕНИЕ КСЗИ представляет собою средство вычислительной техники (СВТ), предназначенное для обеспечения защиты информационных и технических ресурсов в автоматизированных системах обработки данных, построенных на основе операционных систем WINDOWS 95/98/NT/2000, обеспечивая уровень защиты в соответствие с 3 классом для ОС WINDOWS NT/2000, с 5 классом для ОС WINDOWS 95/98 по требованиям Руководящего документа Гостехкомиссии России «СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ», М., 1992. КСЗИ (что задает условия по функциональному применению программы) является программным средством, включающим в свой состав клиентскую и серверную части. Клиентская часть реализует механизмы защиты и устанавливается на защищаемый объект информатизации, серверная часть служит для удаленного администрирования клиентской части, мониторинга активности КСЗИ и контроля действий пользователя в системе, устанавливается на рабочем месте администратора безопасности. Механизмы защиты КСЗИ могут администрироваться, как локально – с консоли защищаемого объекта информатизации, так и удаленно, поэтому КСЗИ может применяться для решения задач защиты, как автономно функционирующих компьютеров, так и компьютеров, включенных в сеть, с реализацией функций выделенного рабочего места администратора безопасности. Отдельные компоненты (модули) КСЗИ – клиентские и серверная части, взаимодействуют между собой через сеть передачи данных по протоколам стека TCP/IP. КСЗИ реализует следующую совокупность механизмов защиты: Подсистема управления доступом Аутентификация пользователей и администратора безопасности осуществляется при доступе в систему (включая режим Safe Mode, который может запустить лишь пользователь «Администратор»), при запуске интерфейса настроек КСЗИ, при запуске меню настроек наиболее критичных механизмов защиты (на клиентской части). При доступе пользователей в систему аутентификация может осуществляться с консоли, с дискеты, либо с использованием аппаратного аутентификатора (электронного ключа) i-Button, остальные задачи управления доступом предполагают ввод пароля с консоли; Аутентификация ответственного лица (в общем случае идентификатор и пароль отличны от соответствующих учетных данных пользователей) при запуске сетевых служб (приложений) и иных программ, например, для обеспечения контролируемого ответственным лицом доступа в сеть Internet; 29 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Мандатное и дискреционное разграничение прав доступа пользователей к локальным логическим дискам, каталогам и файлам, включая “системный диск”; Мандатное и дискреционное разграничение прав доступа пользователей к исполняемым файлам (к запуску программ); Мандатное и дискреционное разграничение прав доступа пользователей к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft; Мандатное и дискреционное разграничение прав доступа пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Мандатное и дискреционное разграничение прав доступа пользователей к общим для пользователей файловым объектам (каталоги TMP, TEMP, “Корзина”, “Мои документы” и т.д.); Дискреционное разграничение прав доступа процессов к локальным логическим дискам, каталогам и файлам, включая “системный диск”, к исполняемым файлам (к запуску программ), к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft, пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Дискреционное разграничение прав доступа пользователей и процессов к управляющему реестру ОС; Дискреционное разграничение прав доступа пользователей к локальным и сетевым принтерам; Дискреционное разграничение прав доступа пользователей и процессов к сетевым ресурсам по протоколу TCP/IP, мандатное разграничение доступа к виртуальным каналам связи сети TCP/IP; Разграничение прав доступа пользователей к рабочему столу “Windows» (WINDOWS 95/98). Подсистема регистрации и учета Регистрация входа/выхода субъектов доступа; Регистрация доступа пользователей и процессов (для механизмов защиты, предусматривающих реализацию разграничительной политики доступа для процессов) к защищаемым ресурсам; Регистрация проводимых администратором мероприятий по изменению настроек механизмов защиты; 30 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Регистрация нарушений в файловой системе, в целостности программной среды, в настройках механизмах защиты; Удаленное оповещение о попытках НСД на защищаемых объектах информатизации и возможность оперативного управления механизмами защиты со стороны администратора безопасности. Подсистема обеспечения целостности Контроль целостности файловой системы: Контроль целостности файлов и каталогов по расписанию; Контроль целостности файлов и каталогов по командам администратора; Контроль целостности файлов и каталогов по наличию вторичных признаков в программной среде (по сообщению ОС, по нарушению списков запрещенных субъектов доступа, по нарушению настроек механизмов защиты); Контроль целостности программ перед запуском; Контроль целостности управляющего реестра ОС; Контроль целостности списка разрешенных пользователю для разделения ресурсов (общих папок); Контроль целостности системных и пользовательских таблиц СУБД Oracle 8i/ MS SQL 6.5, 7.0. Контроль целостности вычислительной среды: Задание и контроль неизменности списков (разрешенных, либо запрещенных) к запуску процессов (программ); Задание и контроль каталогов пользователей, откуда им разрешается запускать программы; Сетевой контроль (мониторинг) активности клиентской части КСЗИ со стороны серверной части (администратора безопасности); Локальный контроль (мониторинг) активности КСЗИ – программной компоненты, со стороны аппаратной компоненты (платы); Противодействие отображению запущенных процессов в системных мониторах (WINDOWS 95/98); Противодействие загрузки в режимах MS DOS и Safe Mode (WINDOWS 95/98). Подсистема противодействия ошибкам и закладкам в системном и функциональном программном обеспечении Механизм «Сквозной санкционированных защиты информации» событий, нарушение – непрерывный контроль списков которых необходимо злоумышленнику для осуществления НСД к информации; Разграничение доступа к хостам сети по протоколу TCP/IP; КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Защита от запуска деструктивных программ на защищаемом объекте 31 информатизации, посредством обеспечения замкнутости программной среды - ограничения для пользователя (либо компьютера) разрешенных к запуску процессов (программ). Маркировка документов Механизм автоматической маркировки документов при печати из программы MS Word 97, 2000 (другие программы печати в этом режиме средствами КСЗИ запрещены). Могут вводиться произвольные реквизиты печати. Очистка памяти Механизмы гарантированной очистки освобождаемой внешней памяти, оперативной памяти, гарантированного стирания файлов, запускаемые, как автоматически (ОС, либо собственно КСЗИ), так и по команде пользователя (либо администратора). Изоляция модулей в оперативной памяти ЭВМ при ОС Windows 95/98 программы разных пользователей защищены друг от друга по определению, т.к. ОС Windows 95/98 – однопользовательская – всегда в системе функционирует только один пользователь, т.е. одновременно программы нескольких пользователей не могут находиться в оперативной памяти. Программы нескольких пользователей могут быть запущены лишь несанкционированно - при активизации деструктивного процесса (соответственно, не принадлежащего санкционированному пользователю). Для этого случая изоляция модулей реализуется посредством механизма обеспечения замкнутости программной среды; Для защиты рабочих станций при ОС Windows NT/2000, допускающих многопользовательский режим обслуживания (в системе одновременно могут быть зарегистрированы несколько авторизуемых пользователей) КСЗИ реализует режим «запрет повторной регистрации» сводит ОС к одногопользовательской (в части авторизуемых пользователей – для доступа в систему которых необходима аутентификация). При этом вход нового пользователя возможен лишь после полной перезагрузки системы, при которой очищается оперативная память. В данном режиме, являющемся основным режимом функционирования рабочей станции, в системе всегда может присутствовать только один авторизируемый пользователь, т.е. проблема изоляции модулей решается в общем виде. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 32 3. ОПИСАНИЕ ЛОГИЧЕСКОЙ СТРУКТУРЫ 3.1. Общая схема КСЗИ. Общее описание принципов работы Функциональная структура КСЗИ определяет распределение реализуемых функций защиты и контроля информации, а также контроля действий пользователей в системе по отдельным функциональным подсистемам. Функциональная подсистема КСЗИ состоит модулей, реализующих набор механизмов из нескольких защиты, необходимых для покрытия требований данной подсистемы. Функциональный модуль определяется как структурный элемент, реализующий механизм защиты или используемый для вспомогательных целей (организации взаимодействия между другими модулями в рамках решения всего комплекса задач). На рис.1. представлена функциональная схема КСЗИ с указанием информационных и управляющих связей между модулями в пределах одной функциональной подсистемы, а также между отдельными функциональными подсистемами КСЗИ. Выделяются следующие типы функциональных подсистем: 1. Подсистема защиты рабочих станций и информационных серверов (клиентская часть КСЗИ); 2. Подсистема удаленного контроля рабочих станций и информационных серверов; 3. Подсистема удаленного управления механизмами защиты рабочих станций и серверов (серверная часть КСЗИ - сервер безопасности); Подсистема защиты рабочих станций и информационных серверов (клиентская часть КСЗИ) является структурообразующим элементом и содержит в себе следующие основные функциональные модули: 1. Модуль аутентификации. 2. Модуль управления доступом. 2. Модуль регистрации. 3. Модуль контроля целостности. 4. Модуль противодействия ошибкам и закладкам в системном и функциональном программном обеспечении. 5. Модуль очистки памяти и изоляции программных модулей. Данные модули решают задачи, описанные выше. 6. Модуль управления режимами решает задачи инициализации механизмов при доступе к защищаемым ресурсам. 33 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Подсистема удаленного контроля рабочих станций и информационных серверов реализует, в дополнение к перечисленным функциям защиты, контроль служебной деятельности сотрудников и информации, располагаемой на защищаемом объекте. Данная подсистема состоит из следующего набора функциональных модулей; 1. Модуль сканирования клавиатуры и монитора. Модуль сканирования клавиатурного буфера удаленной консоли осуществляет копирование информации, набираемой на клавиатуре видеотерминала, с целью последующего архивирования и передачи на рабочее место администратора безопасности в синхронном режиме - по расписанию, либо в асинхронном режиме по внешним запросам администратора безопасности. Предварительное накопление информации по результатам контроля состояния осуществляется в специальной защищенной от просмотра области внешнего диска, либо в виде, не пригодном для непосредственного просмотра и удаления пользователями. Режим функционирования модуля определяется согласно установке соответствующих параметров локальной базы данных КСЗИ по сигналам от модуля управления режимами. Команды управления режимами инкапсулируются в кадрах протокола управления сетевыми соединениями КСЗИ и непосредственно передаются модулю управления режимами. Модуль сканирования видеобуфера удаленной консоли реализует аналогичные контролирующие функции по отношению к видеотерминалу удаленной консоли. В дополнение к перечисленному, данным модулем осуществляется автоматическое архивирование полученной информации непосредственно перед передачей на рабочее место администратора безопасности. Период выполнения контролирующих функций данного вида определяется необходимостью выборочного контроля пользователей. 2. Модуль сканирования файловой системы реализует функции удаленного просмотра файловой системы защищаемого объекта. Кроме того, реализуется возможность удаленного создания, записи, удаления файла (каталога) на защищаемом объекте, запрета доступа пользователей к удаленно создаваемому файлу. 4. Модуль управления режимами решает задачи инициализации механизмов при запуске функций контроля. Подсистема удаленного управления механизмами защиты рабочих станций и серверов (серверная часть КСЗИ - сервер безопасности) обеспечивает централизацию управления техническими средствами клиентской части защиты КСЗИ и контроля (по соответствующим журналам) со стороны серверной части в удаленном режиме. Функциональные возможности подсистемы обеспечиваются следующим набором модулей: 1. Модуль обработки сетевых соединений предоставляет интерфейс служб представительского уровня МОС/ВОС для подсистемы автономной защиты КСЗИ и интерфейс сеансового уровня для подсистемы контроля рабочих станций и информационных серверов. Межсетевое взаимодействие 34 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» реализуется на основе служб транспортного протокола TCP и сетевого протокола IP. В качестве транспортного интерфейса для организации передачи команд и ответов реализуется закрытый протокол КСЗИ. Для организации сетевых соединений и мониторинга подключения рабочих станций используется интерфейс сокетов высокого уровня. При установлении виртуального канала и передаче данных используется сеансовая аутентификация агентов и контроль целостности соединений по последовательным номерам команд-ответов и таймерам ожидания/блокировки соединения. Передача кадров протокола реализуется с использованием внешних подключаемых алгоритмов маскирования и шифрования информации. Модуль непосредственно взаимодействует с модулем доступа к базе данных администратора безопасности при выполнении репликации (согласования) элементов учетных записей централизованной базы данных и локальных сегментов баз данных удаленных узлов. Модуль инициализируется при запуске сервера безопасности и остается активен до момента остановки серверной части. 2. Модуль доступа базы данных администратора безопасности используется для хранения, предварительной обработки (сортировки, фильтрации) и выборки информации следующих типов: регистрационные записи журнальных файлов, параметры конфигурации и настройки КСЗИ, сообщения об ошибках (журналы ошибок). 3. Модуль графического интерфейса администратора безопасности используется для доступа к базе данных выделенного сервера администратора безопасности и осуществления прямого контроля удаленных узлов в режиме реального времени, включая выдачу команд чтения буферов клавиатуры и видеотерминала, проверки подключения пользователя к сети с использованием команды PING, команд обновления конфигурации и опроса статуса КСЗИ удаленного узла. Интерфейс реализуется в удобной для использования форме, базирующейся на стандартных для WINDOWS приложений графических примитивах. При этом предлагаются различные способы группирования объектов контроля в различные уровни иерархии, включая: Группирование пользователей в функциональные группы по особенностям служебной деятельности; Группирование пользователей в функциональные группы в соответствии с особенностями физического их расположения на территории предприятия; Группирование узлов в сетевые сегменты в соответствии с особенностями физического их расположения и способов подключения к ресурсам сети; Группирование узлов в информационные (автоматизированные) системы в соответствии с их принадлежностью к системам обработки данных; КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Комбинированное группирование, с учетом перечисленных возможностей. По соображениям удобства 35 мониторинг объектов контроля осуществляется с применением одного из указанных представлений. 4. Модуль управления режимами решает задачи инициализации режимов мониторинга и управления. Функционирование КСЗИ осуществляется в двух режимах в зависимости от наличия активного соединения клиентской части с сервером безопасности. При работе в автономном режиме (серверная часть отсутствует) функционирование КСЗИ начинается с загрузки операционной системы на защищаемом сервере или рабочей станции, после чего в качестве сервиса ОС автоматически загружается КСЗИ с заданными настройками параметров механизмов защиты. При работе в сетевом варианте (с сервером безопасности) после загрузки клиентской части КСЗИ осуществляется автоматический поиск сервера безопасности (по его заданному IP адресу или имени), подключение к серверу по протоколу TCP/IP на заданный порт. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Подсистема защиты (клиентская часть) Модуль управления доступом …. .. Модуль управления режимами 36 Подсистема удаленного управления Модуль обработки сетевых соединений Модуль аутентификации Модуль Контроля целостности Модуль регистрации Подсистема удаленного контроля Модуль сканирования клавиатуры и монитора Модуль управления режимами Модуль управления режимами Модуль базы данных администратора безопасности Модуль графического интерфейса администратора безопасности Модуль сканирования файловой системы Рис.1. Функциональная структура КСЗИ 37 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 37 3.2. Общая модель КСЗИ. Назначение уровней защиты Функционально КСЗИ построена как иерархическая система защиты - могут быть выделены несколько уровней иерархии защиты. Реализуемая КСЗИ уровневая модель защиты представлена на рис.2. Ресурс 1 Польз овате ль Уровень авторизации пользователя при доступе к ресурсам системы Уровень управления доступом (разграничения прав доступа) пользователя к ресурсам системы Уровень контроля (мониторинга) доступа пользователя к ресурсам Ресурс М Уровень мониторинга активности КСЗИ Рис.2. Уровневая модель защиты информации Назначение уровней защиты Уровень авторизации пользователя при доступе к ресурсам системы К пользователям, в рамках уровневой модели защиты, могут быть отнесены как пользователи приложений, решающие с использованием данного средства соответствующие производственные задачи, так и администратор безопасности, являющийся пользователем СЗИ. Уровень авторизации пользователя обеспечивает проверку учетных параметров пользователя при доступе в систему и к КСЗИ. Уровень управления доступом (разграничения прав доступа) пользователя к ресурсам Уровень разграничения прав доступа реализует собственно разграничительную схему доступа пользователей к ресурсам СВТ в рамках политики информационной безопасности. К ресурсам, требующим разграничения доступа, в КСЗИ могут быть отнесены: Файловые объекты (логические диски, каталоги, файлы), КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 38 Устройства со сменными носителями (в частности дисковод и CD-ROM), Отчуждаемые физические носители информации, Общие для пользователей файловые объекты (каталоги TMP, TEMP, «Корзина» и т.д.), Разделяемые сетевые ресурсы (по протоколу NetBios для сети Microsoft), к которым относятся разделяемые файловые объекты, устройства со сменными носителями (виртуальные каналы связи сети Microsoft), Локальные и сетевые принтеры, Сетевые ресурсы по протоколу TCP/IP (хосты, протоколы), виртуальные каналы связи сети TCP/IP, Процессы (программы), в том числе приложения и сетевые службы, Настройки ОС (для ОС Windows – реестр ОС), Настройки «рабочего стола» ОС и т.д. Разграничительная политика рассматривается как в части доступа к ресурсам, так и в части функций, реализующих разрешенный доступ, в частности чтение, запись, исполнение. Решение задач разграничения доступа пользователей к ресурсам предполагает и реализацию процедур возврата коллективно используемого ресурса в исходное состояние для предоставления другому пользователю (например, очистка оперативной и внешней памяти). Уровень контроля (мониторинга) доступа пользователя к ресурсам В задачи уровня контроля доступа пользователя к ресурсу входит контроль (мониторинг) корректности выполнения разграничительной политики доступа, реализуемой на предыдущем уровне, в частности контроль разрешенных событий (например, запущенных процессов), настроек ОС, КСЗИ, СУБД списка зарегистрированных в системе пользователей и т.п., контроль корректности работы КСЗИ по реализации разграничительной политики доступа к ресурсам. В том числе, на этом уровне решается задача распределения функций администрирования безопасностью системы между пользователями, системным (сетевым) администратором, администраторами СУБД и приложений, администратором безопасности. Решается задача централизации схемы администрирования безопасностью – изменение настроек безопасности на различных уровнях иерархии системы может осуществляться только при непосредственном контроле со стороны администратора безопасности. К этому уровню также относится и контроль целостности программ и данных, в частности контролируемых объектов файловой системы. В отличие от двух предыдущих уровней, где соответствующие механизмы (программные модули КСЗИ) защиты запускаются асинхронно по факту запроса в системе на доступ к ресурсу, данный уровень реализует синхронную процедуру контроля – контролирует необходимые настройки периодически. Уровень мониторинга активности КСЗИ КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 39 В задачи данного уровня входит контроль активности КСЗИ с функцией блокировки работы компьютера при удалении КСЗИ, либо при переводе КСЗИ злоумышленником в пассивное состояние. Наличие данного уровня в модели защиты обусловлено тем, что защита объекта осуществляется до тех пор, пока установленная на нем клиентская часть КСЗИ активна (при переводе в пассивное состояние, либо при удалении КСЗИ объект становится незащищенным). В рамках данного уровня реализуются две возможности анализа активности КСЗИ – локальная (с использованием аппаратной компоненты – платы), сетевая – анализ активности осуществляется администратором с сервера безопасности. Особенностью реализованной модели защиты с точки зрения построения подсистемы удаленной регистрации (аудита) является введение в системе двух уровней аудита: Аудит первого уровня, осуществляемый уровнем авторизации пользователя при доступе к ресурсам системы и уровнем разграничения прав доступа пользователя к ресурсам системы модели защиты. На этих уровнях ведется полный аудит действий пользователя системы – фиксируются все действия, связанные, как с правомерными, так и неправомерными попытками доступа пользователя к ресурсам защищаемого объекта. Регистрируемыми фактами НСД здесь являются неправомерные (противоречащие реализуемой политикой информационной безопасности) действия пользователя, как ошибочные, так и сознательные, которые предотвращены механизмами защиты рассматриваемых уровней. Аудит второго уровня, осуществляемый уровнем контроля доступа пользователя к ресурсу модели защиты, уже фиксирует не все действия пользователя, включая НСД, а только критичные факты НСД, связанные с преодолением злоумышленником (здесь уже речь идет не об ошибках пользователя, а об осознанных действиях нарушителя) механизмов защиты первых двух уровней рассматриваемой модели, т.к., по существу, на данном уровне осуществляется мониторинг корректности функционирования разграничительных механизмов защиты. Таким образом, реализация уровневой модели защиты позволяет ввести уровневую модель аудита. При этом принципиально различается функциональное назначение уровней аудита - на первом уровне регистрируются все действия пользователей, в том числе и попытки НСД, причем как сознательные (нарушения), так связанные с ошибками пользователей, на втором уровне регистрируются только факты НСД, обусловленные сознательными нарушениями пользователей, причем связанные с преодолением защиты первых двух уровней модели защиты (либо с некорректным функционированием данных уровней защиты). Другими словами, реализованный подход позволяет разделить регистрируемые события на некритичные (аудит первого уровня) и критичные (аудит второго уровня). При этом совершенно различаются, как требования к оперативности обработки регистрационной информации КСЗИ «Панцирь» © ЗАО «НПП ИТБ» уровней аудита, так и вероятность регистрируемых событий на данных уровнях, и объемы регистрируемой информации. Так на первом уровне аудита ведется непрерывная регистрация событий, т.е. накапливаются большие объемы некритичной к оперативности обработки регистрационной информации. Подобную информацию администратор может получать на сервер по своему запросу (в моменты минимальной нагрузки на опорную сеть), соответственно, обрабатывать ее в рамках проведения расследований по факту НСД. Напротив, на втором уровне аудита чрезвычайно редко регистрируется критичная к оперативности обработки информация по фактам НСД. Данные этого уровня аудита поступают администратору безопасности (на сервер ошибок – специальную программу сервера безопасности) немедленно и обрабатываются в реальном времени. В части же мониторинга функционирования КСЗИ отметим, что здесь также реализуются два уровня мониторинга – мониторинг корректности выполнения КСЗИ своих функций и мониторинг активности КСЗИ (возможности КСЗИ выполнения своих функций). Основу модели защиты КСЗИ составляют модель управления доступом к защищаемым ресурсам и модель контроля (мониторинга) доступа пользователей к защищаемым ресурсам. Модель управления доступом к защищаемым ресурсам представлена на рис.3. Контроль доступа к системе Контроль доступа к рабочему столу Windows Контроль доступа к данным – локальные и разделяемые сетевые объекты (Логические диски, файлы и каталоги, устройства ввода/вывода, носители) Контроль доступа к процессам (программам), сетевым службам Контроль доступа к принтерам Контроль доступа к сетевым ресурсам (виртуальные каналы сети TCP/IP) Рис.3. Модель управления доступом к защищаемым ресурсам 40 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 41 Модель определяется как формализованная иерархическая схема управления доступом к защищаемым ресурсам и соответствующей регистрации событий, проводимой в рамках данного контроля. Модель контроля (мониторинга) доступа пользователей к защищаемым ресурсам представляет собою модульную формализованную иерархическую схему, задающую уровни контролируемых событий – первичных признаков (контроль зарегистрированных пользователей, запущенных процессов, настроек КСЗИ, ключей реестра – настроек ОС, настроек СУБД) и вторичных признаков – контроль данных – файловой системы (также реализована двухуровневая модель контроля). Модель приведена на рис.4. Важным элементом данного уровня является выработка автоматической реакции на критичные факты НСД. В КСЗИ определены как стандартные реакции, которые могут быть заданы из списка на каждое контролируемое событие администратором безопасности, так и открытый интерфейс для подключения командного файла – внешней программы реакции, которая будет автоматически запускаться по ошибкам контролируемых событий. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Модуль выработки управляющих воздействий (реакций) Инициализация параметров и запуск модулей Модуль контроля пользователей … ……… …. 42 … Модуль контроля процессов Модуль контроля целостности файловой системы Рис.4. Модель контроля (мониторинга) доступа пользователей к защищаемым ресурсам КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 3.3. Описание механизмов защиты, реализуемых КСЗИ 3.3.1. Механизмы управления доступом КСЗИ реализует развитую систему парольной защиты, основу которой составляет собственный диспетчер контроля доступа. Основные механизмы, реализуемые диспетчером контроля доступа КСЗИ предназначены для: идентификации и аутентификации пользователя при попытке его доступа в систему, в том числе, в режиме Safe Mode, где доступ после аутентификации может получить только пользователь «Администратор», аутентификации администратора безопасности при попытке его доступа в КСЗИ (как при локальном, так и при удаленном администрировании), аутентификации администратора безопасности при попытке его локального доступа к настройкам основных механизмов разграничительной политики (с целью введения нескольких уровней локального администрирования клиентской части КСЗИ), аутентификации клиентской части КСЗИ при установлении соединения с серверной частью, аутентификации ответственного лица (например, руководителя подразделения) при запуске критичных сетевых служб (например, для обеспечения контроля доступа к сети Internet). Для идентификации и аутентификации пользователя при его доступе в систему реализованы три механизма парольной защиты: вход в систему по паролю с консоли (набор пароля на консоли), вход в систему по ключевому диску с паролем (пароль в преобразованном виде записывается на дискету, с которой он вводится в систему), вход в систему с использованием апаратного аутентификатора i-Button. При доступе в КСЗИ (как к интерфейсу клиентской части, так и к интерфейсу сервера безопасности), к локальным настройкам важнейших механизмов разграничения доступа (к файловой системе, разделяемым сетевым ресурсам, к реестру, к сети) пароль вводится с консоли. При установлении соединения клиентской части КСЗИ с серверной частью (при подключении клиента к серверу по сети) осуществляется автоматическая аутентификация клиентской части КСЗИ с использованием сеансового пароля – случайного числа, преобразуемого на клиентской и серверной частях по единому (заданному) алгоритму. 43 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 44 1) Доступ в систему. Вход по паролю с консоли КСЗИ реализует контроль доступа пользователей к рабочей станции и регистрацию входа в ОС собственным диспетчером доступа. В КСЗИ реализована следующая технология авторизации пользователя при входе в систему. Существует два режима авторизации пользователя при входе в систему - одноуровневая и двухуровневая, отличающиеся тем, что в режиме одноуровневой авториазации после авторизации пользователя в окне КСЗИ, КСЗИ осуществляет автоматическую эмуляцию ввода консольного пароля пользователя для входа в ОС. В настройках КСЗИ отдельно задается пароль для ввода в КСЗИ и для ввода в штатном окне авторизации ОС. Если пароли ОС для входа в систему в настройках КСЗИ и в настройках ОС совпадают (условие одноуровневой авториазции), пользователь, авторизовавшись в КСЗИ, сразу входит в систему (окно авторизации ОС при этом не выводится). Если не совпадают, то после авторизации пользователя в КСЗИ, ему будет предложено авторизоваться в системе – ввести учетные данные для входа в систему в штатном окне ОС – пользователь должен ввести пароль, заведенный в настройках ОС. Режим двухуровневой авторизации может использоваться для усиления парольной защиты при использовании аппаратных аутентификаторов, например, дискеты с паролем; при использовании на защищаемом объекте приложений, требующих проведения собственной авторизации и т.д. Режим двухуровневой авторизации не может использоваться при защите ПЭВМ c ОС Windows 95/98, не укомплектованной сетевой платой. Таким образом, возможны два режима авторизации пользователя: Режим одноуровневой авторизации, когда пароль при входе в систему требуется ввести только в окне КСЗИ (системная авторизация ОС автоматически реализуется КСЗИ), Режим двухуровневой авторизации, когда после авторизации в окне КСЗИ пользователю предлагается пройти авторизацию в системном окне (в окне авторизации ОС). В КСЗИ ведется список разрешенных пользователей для входа в систему, который может быть изменен администратором безопасности. Данный список должен совпадать со списком пользователей ОС, вводимым штатными средствами настройки ОС. Минимальная длина пароля КСЗИ для входа пользователя в систему ограничена шестью буквенно-цифровыми символами. КСЗИ предоставляет следующие возможности по усилению консольного пароля для входа в систему: Увеличение длины пароля (пароль может содержать от 6 до 20 символов), Ограничение на срок действия пароя (в днях) после первого входа по паролю, либо после задания пароля, Ведение истории паролей (до 9 значений) – не позволяет повторно задавать тот же пароль, Установка блокировки доступа пользователя, после заданного числа (до 9) неверных КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 45 попыток ввода им пароля. Ограничений на пароль ОС средствами КСЗИ не устанавливается. Усиление консольного пароля, в случае необходимости, для входа в ОС, может устанавливаться штатными средствами ОС Windows NT/2000. Также администратором может быть разрешена, либо запрещена возможность смены пароля КСЗИ для входа в систему пользователем (в этом случае пароль пользователя может быть установлен только администратором), и может быть заблокирован пароль пользователя – заблокирована учетная запись (разблокирование пароля осуществляется администратором). 2)Доступ в систему. Вход по ключевому диску с паролем или аппаратному аутентификатору Альтернативным вариантом контроля доступа пользователей в систему является аутентификация пользователя по ключевому диску с паролем (дискета) или аппаратному аутентификатору (электронному ключу). Внимание. На одном защищаемом компьютере для всех пользователей одновременно может устанавливаться один способ авторизации при входе в систему (либо с консоли, либо с дискеты, либо по аппаратному аутентификатору - электронному ключу). Это обусловливается тем, что в случае, если для защищаемого компьютера приобретен комплект аппаратной аутентификации, то для этого компьютера уже не имеет смысла устанавливать иных способов входа в систему (отметим, что основные затраты связаны не с приобретением лишнего ключа – таблетки, а с приобретением адаптера). 3)Доступ администратора к интерфейсу настроек КСЗИ Интерфейсная часть КСЗИ защищена паролем, поэтому для запуска интерфейсной части КСЗИ (как клиентской, так и серверной частей) требуется ввести пароль. Пароль вводится с консоли. Задано ограничение на длину пароля – не менее 6 символов. 4)Доступ администратора к настройкам диспетчеров разграничения прав доступа к ресурсам КСЗИ реализует дополнительную авторизацию администратора при запуске из клиентской части КСЗИ меню настроек важнейших механизмов разграничительной политики доступа – разграничение прав доступа к файловой системе, разграничение прав доступа к реестру ОС, разграничение прав доступа к сменным накопителям, разграничение прав доступа к разделяемым сетевым ресурсам по протоколу Net Bios, разграничение прав доступа к сетевым ресурсам по протоколу TCP/IP. При этом на запуск меню настроек каждого из этих механизмов КСЗИ «Панцирь» © ЗАО «НПП ИТБ» из интерфейса клиентской части КСЗИ устанавливается отдельный пароль (пароль вводится с консоли). Задано ограничение на длину пароля – не менее 6 символов. Данная возможность позволяет разделить задачи локального администрирования КСЗИ между различными администраторами, в частности ввести иерархию задач администрирования, соответственно, администраторов безопасности. Например, нижний уровень иерархии администраторов может отвечать лишь за решение задач контроля и аудита, верхний уровень, кроме того, может решать задачи реализации разграничительной политики доступа к ресурсам. 5) Доступ пользователей к сетевым службам КСЗИ обеспечивает контролируемый доступ пользователей к сетевым службам (приложениям осуществляющих доступ в сеть, прежде всего, в сеть Internet). При установки данной возможности запуск сетевых служб, таких как telnet, ftp и т.п. с рабочей станции или информационного сервера возможен только по разрешению ответственного за безопасность сетевых служб лица (например, начальника подразделения). При запуске сетевой службы пользователем производится запрос полномочий ответственного лица: имени и пароля (пользователю пароль ответственного лица должен быть не известен). Пока не будет проведена авторизация ответственного лица, запуск сетевой службы невозможен. Данный механизм позволяет осуществлять доступ к сетевым службам только в присутствии ответственного лица и при его непосредственном контроле. Механизм целесообразно использовать при ограничении доступа к Internet, как в целом, так и с использованием отдельных служб, не отключая физически рабочую станцию от сети Internet, а так же к сете6вым ресурсам ЛВС, взаимодействующих по протоколу TCP/IP, с целью логической сегментации сетевого трафика. Замечание. Данная возможность может использоваться и для контролируемого доступа к запуску любого процесса (программы). Задано ограничение на длину пароля ответственного лица – не менее 6 символов. 6) Аутентификации клиентской части КСЗИ при установлении соединения с серверной частью При установлении соединения клиентской части КСЗИ с серверной частью (при подключении клиента к серверу безопасности по сети) осуществляется автоматическая аутентификация клиентской части КСЗИ с использованием сеансового пароля – случайного числа, преобразуемого на клиентской и серверной частях по единому (заданному) алгоритму. 46 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 47 3.3.2. Механизмы разграничения прав доступа Внимание. КСЗИ реализует в части решения задачи разграничения прав доступа индуктивные модели безопасности, причем, как для мандатного, так и для дискреционного механизмов управления доступом к ресурсам. Индуктивность модели безопасности достигается следующим: В механизмах управления доступом понятие «владелец» объекта (обладающий правом назначения и изменения прав дроступа к объекту) исключено как таковое. Привилегия по назначению и изменению прав доступа принадлежат одному пользователю – администнратору безопасности. Поэтому права доступа не может в процессе работы системы ни на один ресурс, в том числе, файловый объект, изменить никто, кроме администратора безопасности; Атрибуты (права) доступа устанавливаются не на объект (ресурс), а присваиваются субъектам, что обеспечивает при задании разрешительной политики доступа к ресурсам («все, что явно не несанкционированного разрешено, доступа к то запрещено») неразмеченным невозможность (не внесенным получения в список разграничений) объектам, в том числе, вновь создаваемым или подключаемым к системе, в том числе и сетевым в процессе работы системы; С учетом того, что единственным субъектом назначения прав доступа является администратор безопасности (пользователю данные права не делигируются) - основу разграничительной политики доступа КСЗИ составляет разграничение для папок (дисков, каталогов, подкаталогов), принципиально изменен приоритет разграничений – для КСЗИ разграничения на включающий элемент (например, каталог), выше, чем на включаемый (например, файл). Включаемый элемент «по умолчанию» наследует разграничения включающего элемента, если для него не прописано иное; С учетом того, что единственным субъектом назначения прав доступа является администратор безопасности (пользователю данные права не делигируются) в КСЗИ реализованы две группы атрибутов – устанавливаемые (изменяемые) администратором и устанавливаемые «по умолчанию». Изменяемыми являются основные атрибуты: «Запись», «Чтение», «Выполнение». Устанавливаемыми «по умолчанию» являются: «Создание», «Удаление», «Переименование», «Обзор» к объектам, к которым разрешается доступ на «Запись». При этом предусмотрено две политики – если пользователю разрешается на «Запись» доступ к папке (например, к каталогу), для этой папки автоматически устанавливается запрет на переименование, удаление, а также на КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 48 создание новой папки данного уровня иерархии объектов, при этом пользователю разрешается полный доступ («Выполнение» не рассматриваем) к объектами, расположенными внутри папки (он может создавать, переименовывать, удалять включающие элементы, например, файлы). Если объектом разграничения является файл (пользователю разрешен доступ на «Запись» к файлу), то удалить, переименовать, создать новый файл пользователь не может. «Обзор» автоматически пользоватею не разрешается тех включающих объектов, к которым ему не разрешен доступ. Данная схема (с автоматическим назначением атрибутов прав доступа) существенно упрощает задачу администрирования, позволяя администратору работать только с основными атрибутами доступа «Запись», «Чтение», «Выполнение»; Другой важный аспект индуктивности модели разграничения прав доступа – это полнота реализуемой разграничительной политики, определяющая, что механизм управления доступом к ресурсам должен обеспечивать возможность разграничивать доступ всех субъектов ко всем объектам, другими словами, в системе не должно быть ни субъектов, в том числе, и системных (не авторизируемых пользователей, прежде всего «System») для которых нельзя разграничить права доступа, ни объектов, к которым невозможно разграничить права доступа – в противном случае модель не индуктивно, т.к. содержит каналы несанкционированного доступа к информации. В части реализации индуктивной модели КСЗИ обеспечивает: Включение в схему управления доступом к ресурсам субъекта процесс с возможностью разграничивать права доступа для процессов наряду с пользователями. Данная возможность позволяет разграничивать права доступа для любых пользователей, как авторизуемых, так и системных. Кроме того, данная возможность позволяет запрещать на «Запись» системный диск, предотвращая возможность модификации ОС, всем пользователям, разрешая запись лишь необходимым системным процессам в необходимые файловые объекты. Внимание. Возможности основных механизмов разграничения прав доступа к ресурсам в КСЗИ значительно расширены – основные механизмы позволяют разграничивать права не только для пользователей, но и для процессов (т.е. в качестве субъектов доступа к ресурсам в КСЗИ отдельно рассматриваются, как пользователь, так и процесс), причем разграничения могут осуществляться только по процессам, только по пользователям, а также по процессам в рамках разграничений пользователей. Использование данных возможностей КСЗИ позволяет гибко настраивать разграничительную политику доступа к ресурсам и получать принципиально новые свойства защиты. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 49 Разделение средствами КСЗИ между пользователями неразделяемых системой и приложениями ресурсов – общих папок. КСЗИ реализует широкие возможности по разграничению прав доступа к ресурсам на уровне конкретного пользователя (не на уровне компьютера), для большинства механизмов – и на уровне процесса. Все механизмы разграничения прав доступа реализуются собственными диспетчерами контроля доступа КСЗИ. КСЗИ реализует следующую совокупность механизмов разграничения прав доступа: Мандатное и дискреционное разграничение прав доступа пользователей к локальным логическим дискам, каталогам и файлам, включая “системный диск”; Мандатное и дискреционное разграничение прав доступа пользователей к исполняемым файлам (к запуску программ); Мандатное и дискреционное разграничение прав доступа пользователей к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft; Мандатное и дискреционное разграничение прав доступа пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Мандатное и дискреционное разграничение прав доступа пользователей к общим для пользователей файловым объектам (каталоги TMP, TEMP, “Корзина”, “Мои документы” и т.д.); Дискреционное разграничение прав доступа процессов к локальным логическим дискам, каталогам и файлам, включая “системный диск”, к исполняемым файлам (к запуску программ), к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft, пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Дискреционное разграничение прав доступа пользователей и процессов к управляющему реестру ОС; Дискреционное разграничение прав доступа пользователей к локальным и сетевым принтерам; Дискреционное разграничение прав доступа пользователей и процессов к сетевым ресурсам по протоколу TCP/IP, мандатное разграничение доступа к виртуальным каналам связи сети TCP/IP; Разграничение прав доступа пользователей к рабочему столу “Windows” для ОС Windows 95/98. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 50 Важнейшие механизмы разграничительной политики доступа (к файловой системе, к сменным накопителям, к реестру ОС, к сетевым ресурсам по протоколам Net Bios и TCP/IP), отличающиеся сложностью администриарования, предусматривают процедуру автоматизации по включению в КСЗИ нового пользователя – реализованы профили пользователей и профили процессов, при этом подключение нового пользователя (процесса) возможно к профилю, с передачей прав на доступ к ресурсам подключаемому пользователю, соответствующих профилю, к которому пользователь подключается (функция группирования пользователей и процессов). Разграничение прав доступа к файловой системе Недостатком подхода к разграничению прав доступа к файловой системе с использованием только субъекта доступа «Пользователь», не позволяющего выявлять системные процессы и определенным образом обрабатывать их запросы, является невозможность разграничения прав доступа к системному диску – системным каталогам и файлам жесткого диска (каталогам и файлам собственно ОС). Это обусловлено следующим. ОС Windows9X не осуществляют различий между системным и пользовательским процессом, т.е. все обращения к файловой системе осуществляются от имени пользователя. Поэтому, если запретить пользователю обращение к системному диску “на запись”, а при загрузке и функционировании ОС и приложений системные процессы обязательно должны иметь данную возможность, то ОС даже не сможет загрузиться, соответственно приложение не сможет нормально функционировать. ОС WindowsNT/2000 позволяет на системном уровне различать пользовательские и системные процессы, однако не позволяет разраничивать права доступа для системных пользователей и процессов. Невозможность запретить доступ к системному диску «на запись» приводит и к невозможности корректного выполнения требований Руководящих документов. Действительно, системный диск является таким же (если не более важным) объектом файловой системы, как и все остальные - пользовательские логические диски, каталоги и файлы, к которому не может быть в полном объеме реализован дискреционный механизм разграничения прав доступа. Да и вообще, о какой защите можно говорить, если могут быть модифицированы файлы ОС, что в принципе делает невыполнимым еще одно требование к механизмам защиты - требование к неизменности программной среды (основа программной среды – каталоги и файлы собственно ОС, могут быть беспрепятственно модифицированы). С невозможностью корректной реализации разграничения доступа к системному диску, в рамках реализации рассматриваемого подхода, связана и некорректная реализация ряда других КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 51 механизмов защиты, в частности, механизма обеспечения замкнутости программной среды – одного из ключевых механизмов. Под замкнутостью программной среды понимается обеспечение работы пользователя только с санкционированным администратором безопасности набором программ. Это необходимо для исключения возможности запуска пользователем разного рода снифферов, троянов, программ взлома или подбора паролей, инструментальных средств и т.п. При реализации данного механизма создается список разрешенных к запуску процессов (программ) и КСЗИ разрешается запуск процессов только из данного списка. С целью предотвращения возможности запуска несанкционированного процесса с параметрами легального, анализируется полный путь запускаемого процесса. Естественно, что запуск системных процессов (собственно ОС и приложений) запретить невозможно – они должны войти в список разрешенных для запуска процессов (в противном случае, опять же ОС и приложения не смогут нормально функционировать). При этом невозможность запретить доступ к системному диску «на запись», где располагается большинство системных процессов, которые должны быть разрешены на запуск, создает угрозу вместо системного процесса (по тому же полному пути) расположить несанкционированный (собственный) процесс и запустить его (механизм обеспечения замкнутости программной среды не сможет в этом случае отличить несанкционированный процесс от легального системного процесса). Для исключения рассмотренных проблем в механизмы защиты КСЗИ вводится еще один субъект доступа к файловой системе – «Процесс», с возможностью разграничивать права доступа к файловой системе данному субъекту, наряду с субъектом – пользователь. При этом следует различать два вида субъекта процесс – пользовательский и системный (привилегированный), соответственно, должны реализовываться следующие возможности по разграничению прав доступа к файловой системе для включенной в систему защиты совокупности субъектов доступа: Разграничение прав доступа к файловой системе процессов вне разграничений пользователей (это должно быть реализовано для привилегированных – системных процессов); Разграничение прав доступа к файловой системе пользователей, вне разграничений процессов; Разграничение прав доступа к файловой системе процессов в рамках заданных разграничений пользователей (совместное разграничение доступа процессов и пользователей). При этом возможны два режима проверки прав процесса: вместе с правами пользователя и эксклюзивно. Таким образом, обеспечивается возможность динамически модифицировать список прав процесса, в зависимости от того, какой пользователь работает в системе. В общем случае можно трактовать права пользователя, как права процесса по умолчанию. Процесс КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 52 идентифицируется именем, которое не является полным путевым именем файла программы, но однозначно зависит от последнего. При настройке механизма разграничения прав доступа необходимо: Выделить для установленного типа ОС и используемых приложений совокупность привилегированных процессов (системных процессов) – тех процессов, которые должны иметь доступ к системному диску «на запись» для нормального функционирования системы и приложений. Создать список привилегированных процессов – данным процессам разрешить полный доступ («на запись», «на чтение», «на запуск») к системному диску. Установить для привилегированных процессов режим эксклюзивной (вне прав пользователей) обработки запросов доступа к файловой системе; Запретить доступ пользователей «на запись» к каталогам и файлам, где располагаются привилегированные процессы (соответствующие исполняемые файлы – исполняемый файл от файла данных отличается видом расширения); Разграничить доступ пользователей и процессов “на чтение” системного диска; Реализовать разграничение пользовательским логическим разграничительной политики дискам, доступа доступа для каталогам процессов и (соответственно, файлам и в реализуя пользователей рамках к реализуемой дискреционный или мандатный механизм разграничения доступа к файловой системе). 1)Дискреционный механизм контроля доступа к файловой системе КСЗИ реализует собственный диспетчер управления доступом к файловой системе и позволяет устанавливать разграничения доступа пользователей и процессов к файлам и каталогам на диске, а также к логическим дискам в целом. КСЗИ контролирует доступ пользователей и процессов к объектам файловой системы (файлам, каталогам, логическим дискам). Для каждой пары пользователь-объект в явном виде задаются типы доступа (читать, записывать, запускать). Таким образом, можно установить доступ только на чтение, запись, исполнение (соответственно их совокупности) программ или полный доступ к файлам и каталогам с подкаталогами для отдельных пользователей и процессов. Для выполнения данной функции требуется занести требуемые каталог или файлы в списки соответствующих категорий прав. Для установки параметров доступа для нескольких файлов или полному диску можно задавать маску файлов. Так как любой процесс рассматривается подсистемой разграничения прав доступа как еще один самостоятельный субъект доступа, становится возможным управлять именно его (процесса) правами, использование этого механизма обеспечивает возможность обработки КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 53 некоторых файлов только с помощью специальных программ. Данная возможность может быть широко использована на практике. Например, в части противодействия несанкционированным действиям виртуальных машин, например Java. При запуске виртуальной машины все ее внутренние процессы запускаются под именем процесса виртуальной машины, что не позволяет обеспечить замкнутость программной среды в части процессов, запускаемых под именем виртуальной машины. Однако можно разграничить доступ к каталогам и файлам для процесса виртуальной машины, что не позволит ей получить доступа к защищаемой (например, конфиденциальной) информации. То же относится и к макросам, запускаемым под именем процессов офисных приложений, существенно могут быть ограничены права доступа сетевых служб, что снижает последствия сетевых атак и т.д. КСЗИ предоставляет право назначать и изменять права доступа только администратору безопасности (либо иному ответственному лицу), после его авторизации (что не реализуется встроенными в ОС механизмами защиты). Механизм обеспечивает реализацию одной из двух политик задания разграничений – разрешительная («все, что явно не разрешено, то запрещено») и запретительная («все, что явно не запрещено, то разрешено»). Разработчиками рекомендуется использовать для настройки дискреционного механизма управления доступом разрешительную политику, т.к. именно она реализует индуктивную модель безопасности. Запретительную политику рекомендуется использовать в дополнение к мандатному механизму управления доступом, с целью разделения доступа к ресурсам при совпадении у пользователей или объектов доступа меток (мандатов). Атрибуты (права) доступа устанавливаются не на объект (ресурс), а присваиваются субъектам, что обеспечивает при задании разрешительной политики доступа к ресурсам («все, что явно не разрешено, то запрещено») невозможность получения несанкционированного доступа к неразмеченным (не внесенным в список разграничений) объектам, в том числе, вновь создаваемым или подключаемым к системе, в том числе и сетевым в процессе работы системы. С учетом того, что единственным субъектом назначения прав доступа является администратор безопасности (пользователю данные права не делигируются) - основу разграничительной политики доступа КСЗИ составляет разграничение для папок (дисков, каталогов, подкаталогов), принципиально изменен приоритет разграничений – для КСЗИ разграничения на включающий элемент (например, каталог), выше, чем на включаемый (например, файл). Включаемый элемент «по умолчанию» наследует разграничения включающего элемента, если для него не прописано иное. С учетом того, что единственным субъектом назначения прав доступа является администратор безопасности (пользователю данные права не делигируются) в КСЗИ реализованы две группы атрибутов – устанавливаемые (изменяемые) администратором и КСЗИ «Панцирь» © ЗАО «НПП ИТБ» устанавливаемые «по умолчанию». 54 Изменяемыми являются основные атрибуты: «Запись», «Чтение», «Выполнение». Устанавливаемыми «по умолчанию» КСЗИ являются: «Создание», «Удаление», «Переименование», «Обзор» и «Наследование прав». При этом предусмотрено две политики – если пользователю разрешается доступ на «Запись» к папке (например, к каталогу), для этой папки автоматически устанавливается запрет на переименование, удаление, а также на создание новой папки данного уровня иерархии объектов, при этом пользователю разрешается полный доступ («Выполнение» не рассматриваем) к объектами, расположенными внутри папки (он может создавать, переименовывать, удалять включающие элементы, например, файлы). Если объектом разграничения является файл (пользователю разрешен доступ на «Запись» к файлу), то удалить, переименовать, создать новый файл пользователь не может. «Обзор» автоматически пользоватею не разрешается тех включающих объектов, к которым ему не разрешен доступ. «Наследование прав» от включающих элементов иерархи к включаемым (например, от каталогов к файлам) обеспечивается тем, что КСЗИ обеспечивает приоритет разграничений для включающего элемента. Все права доступа установленные на включающий элемент, наследуются включаемым. Исключение из этой схемы при реализации разрешительной политики доступа к ресурсам достигается тем, что могут быть заданы отдельно разграничения на ключаемый элемент (например, на файл), тогда доступ к к данному объекту будет разграничиваться вне разграничений, заданных на ключающий элемент (например, на каталог). Реализуемая КСЗИ концепция задания прав доступа (с автоматическим назначением ряда атрибутов прав доступа) существенно упрощает задачу администрирования, позволяя администратору работать только с основными атрибутами доступа «Запись», «Чтение», «Выполнение», и существенно снижает вероятность ошибки при администрировании С этой целью разработан и интерфейс задания разграничений, позволяющий в одном окне увидеть все разграничения, заданные для субъекта (а не «собирать» их, анализируя заданные разграничения для файловых объектов, как, например, для ОС Windows). Кроме того, с целью снижения вероятности ошибок администрирования механизмов защиты, КСЗИ позволяет отобразить (с возможностью фильтрации) и распечатать в структурированном виде все настройки, введенные администратором в КСЗИ, что позволяет сравнить листинги требуемых и реально заданных в КСЗИ настроек механизмов защиты. Дискреционный механизм защиты должен учитывать тот аспект, что к объектам, имеющим длинные имена, можно обратиться как по длинному, так и по соответствующему ему короткому имени (эта возможность в ОС связана с ограничениями на длину имени объекта, присутствующем еще в ОС DOS, и сохраненная в ОС Windows разработчиками для возможности функционирования DOS-приложений). Приведем простой пример. Короткое имя для каталога “C:\Documents and Settings\USER1\Главное меню” выглядит как КСЗИ «Панцирь» © ЗАО «НПП ИТБ» “C:\Docume~1\USER1\5D29~1\” (т.е. внешне короткое и длинное имя могут существенно различаться). Естественно, что ОС имеет встроенные средства преобразования имен, поэтому, достаточно установить разграничение прав доступа к объекту, заданному полным именем, при этом, при обращении к объекту по короткому имени, доступ можно получить лишь в рамках заданного разграничения. Другое дело, добавочное СЗИ НСД. Если оно само каким-либо образом не умеет фильтровать запросы доступа к объекту по длинным и коротким именам, то к объекту можно обратиться, минуя разграничения добавочного СЗИ НСД, в частности по короткому имени, т.е. появляется «дыра» в защите. В КСЗИ реализован способ решения рассматриваемой проблемы (способ, использующий встроенные возможности ОС по преобразованию длинных имен в короткие), позволяющий автоматически при задании настроек механизма защиты получить короткое имя для любого длинного имени объекта. При этом следует, либо назначить разграничения доступа к объекту, как по длинному, так и по короткому имени (при этом появляется новое свойство защиты – можно блокировать доступ к объекту DOS-приложений, обращающихся к ресурсам по длинным именам), либо задать маску объекта (КСЗИ маску формирует автоматически при выборе объекта с длинным именем), покрывающую оба имени, и уже назначить разграничения для объекта, имя которого задается соответствующей маской. 2) Мандатный механизм контроля доступа к файловой системе КСЗИ реализует механизм мандатного управления доступом к файловой системе, основу которого составляет использование классификационных меток, вводимых в соответствии с уровнем конфиденциальности информации и привилегий (уровня допуска) пользователей. Посредством назначения этих меток субъектам (пользователям) и объектам (логическим дискам, каталогам, файлам) и их сравнения при доступе к ресурсу реализуются принципы разграничения прав доступа. Реализация мандатного механизма доступа представляет собой одноуровневую иерархическую структуру разграничения доступа к файловой системе. В рамках мандатных разграничений могут задаваться дискреционные разграничения доступа. Таким образом, имеется несколько уровней доступа (меток конфиденциальности) младший из которых имеет права доступа к более важной информации. Каждый уровень доступа может иметь список субъектов доступа (список пользователей) и объектов доступа (список каталогов и список файлов), для которых могут быть установлены права доступа к объектам доступа для субъектов (пользователей) этого уровня иерархии и более старшего уровня на чтение. 55 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 56 Любому пользователю из старшего уровня иерархии (с большими правами) могут быть назначены права доступа к каталогам и файлам младшего уровня иерархии (с меньшими правами) только для чтения. Права доступа на чтение и запись (изменение) к каталогам и файлам могут быть назначены только для пользователей соответствующего (с той же меткой конфиденциальности) уровня доступа. Для пользователей младшего уровня иерархии доступ к объектам старшего уровня иерархии запрещен и не может быть назначен. В части записи объектов на более высокий уровень конфиденциальности, КСЗИ позволяет пользователю изменять метку собственного объекта (в сторону уменьшения метки – увеличения уровня), предоставляя пользователю возможность копирования файла, при условии, что пользователь имеет права доступа к файлу «на запись» (модификацию) – метка файла должна совпадать с меткой пользователя, в каталоги, имеющие меньшую метку (более высокий уровень конфиденциальности). При этом КСЗИ предотвращает возможность затирания существующих в данных каталогах файлов, копируемыми файлами. После копирования файла в каталог с меньшей меткой, файл автоматически получает метку каталога, т.е. становится недоступным пользователю, осуществившему копирование. Для реализации данной возможности КСЗИ содержит в своем составе собственную прикладную программу копирования SaveUp2, которая должна быть отнесена к привилегированным (не помечается) ей должен быть присвоен исключающий признак «0», т.е. она должна иметь доступ к объектам вне мандатных разграничений. Таким образом, КСЗИ позволяет записывать пользователям объекты более высокого уровня конфиденциальности, предотвращая при этом возможность модификации данных, обладающих меньшей меткой. В КСЗИ реализован диспетчер мандатного доступа, который реализует управление настройками сервиса, осуществляющего перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданными правами разграничения доступа (метками конфиденциальности). Реализация мандатного механизма разграничения прав доступа предусматривает возможность сопровождения - изменения классификационных уровней субъектов и объектов специально выделенным субъектом - администратором. Каждый субъект (которому мандатным механизмом разрешается доступ) и каждый объект (к которому разрешается доступ) должен быть «помечен» – присвоена мандатная метка. Не помеченные субъекты и объекты не имеют доступа к ресурсам и соответственно не доступны. В мандатном механизме реализована возможность обработки доступа субъектов и объектов, минуя мандатные разграничения доступа. С этой целью включен исключающий признак «0», присвоение которого субъекту и объекту означает обработку для них запросов КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 57 доступа без мандатных разграничений (при этом дискреционные разграничения реализуются). Признак «0» следует присваивать привилегированным процессам, а также субъектам и объектам, доступ которых (к которым) следует разграничивать только дискреционным механизмом при включенном механизме мандатного разграничения. Внимание. При исключении привилегированных процессов (системных процессов, которые должны обращаться к системному диску «на запись») из схемы мандатного управления доступа (с целью запрета доступа пользователей к системному диску «на запись») обязательно должен быть активным механизм обеспечения замкнутости программной среды, т.к. мандатный механизм управления доступом определяет процесс только по имени, в то время, как механизм обеспечения замкнутости программной среды – по полнопутевому имени. Кроме того, механизмом дискреционного управления доступа системным процессам следует назначить права полного доступа к системному диску (к остальным дискам доступ системным процессам целесообразно запретить). Значительной проблемой при реализации мандатного механизма управления доступом к ресурсам является назначение меток безопасности объектам, имеющим иерархическую структуру. Для иллюстрации этого посмотрим, как возможно реализовать мандатный механизм через встроенный в ОС дискреционный, и к чему это приведет. С этой целью рассмотрим отдельно взятый уровень «n”, пусть ему присвоена некоторая метка безопасности M. Рассмотрим включающий уровень, например «n-1». Если этому уровню присвоить метку М-1, то пользователь с меткой М не сможет получить никакого доступа к уровню n, если присвоить уровню n-1 метку М+1, то пользователь с меткой М получит доступ к уровню n (на основании правил мандатных разграничений) только на чтение. Отсюда можно сделать вывод, что все уровни иерархии должны обладать одинаковой меткой, т.е. той меткой, которая устанавливается на логический диск. Как следствие, под каждый уровень иерархии (в пределе – под каждого пользователя, если их категории различны) необходимо создавать свой логический диск, соответственно отсутствует возможность в создании какой-либо разветвленной иерархии объектов (в частности, файловой системы). К сожалению, такой подход реализован в некоторых известных нам СЗИ НСД. Однако, при этом, не имеет никакого смысла в мандатном механизме, служащем для упрощения администрирования разграничительной политики доступа к ресурсам (администрирование сводится к установке разграничений на логический диск). В КСЗИ при реализации мандатного управления доступом принципиально меняются правила назначения меток безопасности иерархическим объектам доступа, состоящие в том, что включающему объекту присваивается метка безопасности, превышающая (имеющая меньшую категорию) метки безопасности всех включаемых в него объектов, если метки включаемых объектов совпадают с метками, присвоенными пользователям, в противном случае КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 58 включающему объекту присваивается метка безопасности, совпадающая (имеющая ту же категорию) с большей меткой безопасности включаемых в него объектов, при этом метки безопасности одного уровня иерархии (включаемые в один объект) могут различаться. Примеры разметки иерархических объектов, реализуемые предлагаемым способом, представлены в табл. 3.1. В первом случае введена трехуровневая иерархия объектов, размеченные следующим образом: первый уровень (логический диск) имеет метку 5, второй уровень (каталог) имеет метку 5, третий уровень (подкаталоги, либо файлы, в зависимости от способа разметки – это те объекты, к которым собственно и разграничивается доступ пользователей, имеют метки 1,2,3,4). Второй пример отличается тем, что включающие элементы второго уровня иерархии имеют различные метки. Таблица 3.1. Уровень иерархии 1 Уровень иерархии 2 Уровень иерархии 3 1 2 3 4 1 2 3 4 5 5 5 1) Уровень иерархии 1 Уровень иерархии 2 6 3 Уровень иерархии 3 1 2 4 5 6 2) Рассмотрим работу механизма с заданным примером разметки. Пусть запрос осуществляет пользователь с меткой 1. Рассмотрим случай 1 разметки объектов (см. Табл. 3.1). В этом случае он сможет прочитать логический диск (метка 6) – увидеть структуру каталогов, но не сможет создать новый объект на логическом диске, сможет прочитать любой из каталогов на этом диске (каталог имеет метку 5), т.е. увидит структуру подкаталогов (либо файлов, в зависимости от реализуемой разметки), имеющих метку не меньше 1, но не сможет создать новый объект в каталоге. Теперь рассмотрим два случая. Пусть третий уровень – это файлы. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 59 Тогда пользователь с меткой 1 получит полный доступ к файлу, помеченному меткой 1, и доступ на чтение к остальным файлам (если бы у пользователя была иная метка, например 3, он получил бы полный доступ к файлу с меткой 3 и доступ на чтение к файлу с меткой 4 – к файлам с метками 1 и 2 он доступ не получит). При этом отметим, что пользователь не сможет создать нового файла. Другой случай – третий уровень иерархии – подкаталог. В этом случае файлы в подкаталоге наследуют метку подкаталога, т.к. к файлам в подкаталоге можно обратиться только в соответствии с меткой подкаталога (что обеспечивает реализуемый способ разметки иерархических объектов – назначения меток безопасности). Отличие данного случая состоит в том, что в подкаталоге пользователь может создавать файлы, которым автоматически будет присваиваться метка пользоваться (наследоваться метка подкаталога, к которому пользователь имеет право на запись, т.е. метка пользователя). Не будем отдельно анализировать случай 2 разметки (см. Табл. 3.1), он иллюстрирует различные возможности создания иерархии объектов (могут использоваться комбинации обоих подходов, а также иные подходы). Дискреционный механизм, в дополнение к мандатному, рекомендуется использовать следующим образом: С использованием запретительной разграничительной политики разграничить доступ на «Запись» (при необходимости, и на «Чтение») между пользователями, имеющими одинаковые метки, а также к ресурсам, имеющим одинаковые метки; разграничить доступ для субъектов или объектов, которым присвоен исключающий признак «0» (исключены из схемы мандатного управления); Так как мандатный механизм не предполагает разграничений по атрибуту «Исполнение», то с использованием разрешительной разграничительной политики разграничить доступ на «Исполнение», чем реализовать настройки механизма обеспечения замкнутости программной среды (см. ниже). 3) Механизм разграничения прав доступа к системному диску В КСЗИ, за счет введения субъекта доступа процесс, реализован механизм привилегированных процессов. Суть данного механизма состоит в том, что некоторым процессам (привилегированным – системным процессам и процессам КСЗИ) предоставляются эксклюзивные права доступа к ресурсам (разрешен доступ к файловым объектам с собственными разграничениями, поэтому их доступ «на запись» разрешается вне зависимости от заданных разграничений доступа для пользователей). Для остальных процессов (если для них необходимо разграничивать права доступа) права доступа задаются совместно с правами доступа пользователей (доступ разрешается в том случае, если он разрешен и для процесса, и КСЗИ «Панцирь» © ЗАО «НПП ИТБ» для пользователя). При этом пользователям запрещается доступ «на запись» к системному диску, т.е. только системные процессы могут обращаться «на запись» к данной области жесткого диска, что не позволяет пользователю модифицировать файлы ОС. Невозможность модификации привилегированного процесса, запуска под его именем другого процесса, запуска привилегированного процесса с изменением его полного пути расположения реализуется механизмом обеспечения замкнутости программной среды (см. ниже). Отметим, что число привилегированных процессов не так велико и для различных ОС, включая офисные приложения, колеблется не превышает двух десятков. Так как данный список не изменяется (без необходимости включения иных приложений, обращающихся к системному диску при функционировании системы), появляется возможность, реализованная в КСЗИ, задания данного списка «по умолчанию» в соответствующем профиле процессов, для которых не следует разграничивать права доступа к файловой системе, что существенно упрощает задачу администрирования КСЗИ. При установке нового приложения требуется выявить привилегированные процессы и внести их в соответствующий профиль, что не является сложной задачей для администратора (для этого может использоваться встроенная в механизм опция аудита доступа процессов к файловой системе). Механизм разграничения прав доступа к системному диску может использоваться в рамках реализации мандатного и дискреционного механизмов разграничения доступа. КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. 4) Механизм разграничение прав доступа пользователей и процессов к исполняемым файлам (к запуску программ) В рамках разграничения прав доступа к файловой системе может разграничиваться доступ к исполняемым файлам (исполняемый файл определяется расширением и наличием признака исполнение в структуре файла, с целью противодействия запуска файла с расширением, отличным от расширения исполняемого файла), для разграничения доступа к ним устанавливается атрибут «Исполнение». С учетом того, что в КСЗИ кроме субъекта доступа пользователь включен в настройку разграничительной политики доступа к ресурсам субъект доступа процесс, может задаваться не только какой пользователь, какую программу может запустить (запустить соответствующий исполняемый файл), но и то, какой процесс, какой исполняемый файл может запустить. Появляется возможность задания последовательности запуска программ, жесткое регламентирование того из какой программы какую программу можно запускать. 60 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 61 КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. Мандатное и дискреционное разграничение прав доступа пользователей к общим для пользователей файловым объектам (каталоги TMP, TEMP, «Корзина», «Мои документы» и т.д.) Данный механизм тесно связан с механизмами управления доступом к файловой системе и обеспечивает корректную реализацию последних. Дело в том, что существуют каталоги: TMP, TEMP, «Корзина», «Мои документы» и др. (многие приложения создают аналогичные каталоги, реализуя в них сохранение информации), доступ к которым пользователям не может быть разграничен ни ОС, ни приложением (если запретить какому-либо пользователю доступ к подобному каталогу, то система, либо приложение не сможет функционировать). Невозможность разграничить доступ хотя бы к одному каталогу, делает систему защиты уязвимой – появляется общий ресурс файловой системы доступный всем пользователям на запись и чтение (о реализации мандатного механизма разграничения доступа в этом случае вообще говорить не приходится по определению данного механизма). КСЗИ реализует следующий механизм разграничения прав доступа к подобным каталогам. Для каждого пользователя средствами КСЗИ реализуется соответствующий собственный каталог, например, помимо каталога «Корзина», заводятся каталоги «Корзина 1» для первого пользователя, «Корзина 2» для второго пользователя и т.д. При записи информации системой или приложением в каталог (соответственно, чтении из каталога) КСЗИ перенаправляет информацию в (из) соответствующий каталог текущего пользователя. Например, если текущим пользователем является первый пользователь, то при сохранении информации в каталог «Корзина» данная информация будет сохранена в каталоге «Корзина 1». При этом средствами механизмов разграничения прав доступа к файловой системе разграничиваются права доступа к каталогам, куда перенаправляется информация, например, доступ к каталогу «Корзина 1» следует разрешить только первому пользователю, остальным – запретить. В результате данный механизм позволяет обеспечить отсутствие общих ресурсов файловой системы для пользователей. Замечание. Собственно в каталогах TMP, TEMP, «Корзина», «Мои документы» и т.д., доступ к которым переадресован, информация сохраняться не будет, т.е. данные каталоги становятся в системе виртуальными. С учетом того, каким образом разграничивается доступ к каталогам, к которым осуществляется переадресация, механизм может использоваться в рамках мандатного или КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 62 дискреционного разграничения доступа (переадресация запроса осуществляется до анализа разграничений прав доступа). Мандатное и дискреционное разграничение прав доступа сменными носителями к устройствам со (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации КСЗИ позволяет осуществлять мандатное и дискреционное разграничение доступа к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации. Здесь в полном объеме реализована вся совокупность возможностей, описанная для механизмов разграничения доступа к файловой системе. Также реализованы два субъекта доступа – пользователь и процесс (для мандатного механизма – только пользователь), объектами доступа является как собственно устройство, так и каталоги, и файлы, расположенные на сменном носителе (т.е. объекты отчуждаемого физического носителя информации). Отметим, что включение субъекта доступа «процесс» позволяет задавать не только какому пользователю, но и каким процессом (программой) можно обращаться к устройствам со сменными носителями, как для записи, так и для чтения информации. Возможность разграничения доступа к запуску программ позволяет запретить запуск программ со сменных носителей, например, с дискеты. Администратор безопасности может разграничиваться доступ не ко всему устройству (например, к дисководу), а к конкретным каталогам, например, заведенным на дискете – помечать носитель, создавая на нем объекты. В этом случае, мандатным механизмом разграничения доступа к файлам может быть разрешена запись (считывание) конкретному пользователю информации в конкретный каталог на дискете, причем с использованием конкретной программы. Т.е. на дискете могут быть сформированы каталоги для хранения информации соответствующего уровня конфиденциальности, при этом пользователем в них могут помещаться файлы только данного уровня конфиденциальности, соответственно, считываемые с них файлы могут помещаться на жесткий диск только в каталоги, имеющие соответствующий уровень конфиденциальности. Устройства и носители могут быть «помеченными» (на которые распространяются разграничения доступа), либо произвольно используемыми. Устройствам, «не помечаемым» при мандатном разграничении доступа», должен быть присвоен признак исключения «0». КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Мандатное и дискреционное разграничение прав доступа к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft КСЗИ позволяет осуществлять мандатное и дискреционное разграничение прав доступа пользователей и процессов к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - логическим дискам, каталогам, файлам, устройствам, накопителям. Для мандатного механизма данную возможность сетевой защиты в составе ЛВС можно рассматривать как мандатное разграничение доступа к виртуальному каналу связи сети Microsoft. Под виртуальным каналом здесь понимается следующий ресурс: локальный ресурс пользователя (локальный объект файловой системы) – разделенный сетевой ресурс (удаленный объект файловой системы), объединенные физической линией связи. Каждый подобный канал может быть размечен, для него администратором безопасности могут быть установлены мандатные правила разграничения доступа, в рамках которого заданы дискреционные права разграничения доступа (полностью аналогично тому, как это осуществляется для объектов локальной файловой системы). Здесь в полном объеме реализована вся совокупность возможностей, описанная для механизмов разграничения доступа к файловой системе. Также реализованы два субъекта доступа – пользователь и процесс (для мандатного разграничения – только пользователь), объектами доступа являются разделяемые сетевые логические диски, каталоги, и файлы, расположенные на любом компьютере ЛВС. Отметим, что включение субъекта доступа «процесс» позволяет задавать не только какому пользователю, но и каким процессом (программой) можно обращаться к разделяемым сетевым ресурсам ЛВС, как для записи, так и для чтения информации. Соответственно, при присвоении меток конфиденциальности разделяемому сетевому ресурсу можно обеспечить доступ в соответствии с уровнями конфиденциальности – управлять потоками при доступе к общим для пользователей файловым ресурсам ЛВС. КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. Дискреционное разграничение прав доступа пользователей и процессов к реестру ОС КСЗИ реализует собственный диспетчер дискреционного управления доступом к реестру ОС и позволяет устанавливать ограничение доступа пользователей и процессов к ветвям и ключам реестра – таким образом, обеспечивается защита одного из основных объектов ОС – управляющего реестра ОС, содержащего настройки, как самой ОС, так и установленных в системе приложений. С точки зрения обеспечения безопасности реестра, в части возможной его 63 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 64 несанкционированной модификации, с целью обеспечения корректности функционирования собственно ОС и приложений, данный механизм также важен, как и механизм разграничения доступа к системному диску. КСЗИ контролирует доступ пользователей и процессов к объектам реестра ОС (ветвям, ключам), позволяя разграничивать не только доступ к реестру пользователям, но и процессам (программам). При соответствующей настройке механизма в системе не сможет быть несанкционированно инсталлировано ни одно приложение, т.к. практически любое приложение при инсталляции требует модификации соответствующей ветви реестра. Для каждой пары пользователь-объект в явном виде задаются типы доступа (читать, записывать, полный доступ). Таким образом, можно установить доступ только на чтение, запись или полный доступ к ветвям и ключам реестра ОС для отдельных пользователей и процессов. Для выполнения данной функции требуется занести требуемые ветви или ключи реестра ОС в списки соответствующих категорий прав файлов. КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. Дискреционное разграничение прав доступа пользователей к локальным и сетевым принтерам КСЗИ реализует собственный диспетчер дискреционного управления доступом пользователей к локальным и сетевым принтерам, при этом могут быть заданы либо запрещенные, либо разрешенные для пользователя принтеры. Соответственно, осуществление пользователем печати на принтере, запрещенном ему для доступа, невозможна. КСЗИ предоставляет право изменять права доступа администратору безопасности. При этом может изменяться как список пользователей, так и список объектов – локальных и сетевых принтеров. Дискреционное разграничение прав доступа пользователей и процессов к сетевым ресурсам по протоколу TCP/IP, мандатное разграничение доступа к виртуальным каналам связи сети TCP/IP КСЗИ реализует механизм защиты ввода и вывода информации по каналу связи сети TCP/IP. В общем случае канал может рассматриваться как произвольно используемый, либо как «помеченный», в этом случае к нему разграничивается доступ. КСЗИ решает задачу разграничения прав доступа пользователей и процессов к сетевым ресурсам, причем как внешним, так и внутренним, для этого в КСЗИ реализован собственный диспетчер разграничения доступа к сетевым ресурсам. Разграничение доступа к внешним сетевым КСЗИ «Панцирь» © ЗАО «НПП ИТБ» ресурсам предназначено для защиты доступа к сети Internet и Intranet. В данном режиме зарегистрированным в системе пользователям и запускаемым процессам по ряду параметров разрешается или запрещается доступ к внешним по отношению к защищаемой системе ресурсам (серверам). КСЗИ обеспечивает возможность разграничения доступа к сети Internet и Intranet на уровне IP адресов и ТСР портов (сетевых служб), по существу, реализуя распределенный пакетный фильтр (распределенный межсетевой экран на сетевом и транспортном уровнях). Возможно динамическое изменение списка доступных адресов по: пользователям; процессам; времени доступа; по службам доступа (TCP портам); политики безопасности (запрещенные/разрешенные IP адреса). Возможно применение одного из вариантов политики безопасности: использование списка запрещенных IP адресов и ТСР портов; использование списка разрешенных IP адресов и ТСР портов. Другое применение данного механизма защиты - для виртуальной сегментации сетевого пространства внутренней защищаемой сети, посредством разграничения прав доступа к внутренним серверам и рабочим станциям. Здесь также разграничение осуществляется на уровне пользователей и процессов, что принципиально выделяет данный подход логического деления сети на подсети от способов, предполагающих использование дополнительных технических средств физической сегментации на подсети - маршрутизаторов, межсетевых экранов и т.д. Другое принципиальное отличие состоит в реализации логического (виртуального) деления внутренней сети на подсети, инвариантного к структуре сети. Для подобного деления нет необходимости в доработке структуры сети, реализация осуществляется программным комплексом КСЗИ, устанавливаемым на рабочие станции и сервера. Могут быть следующие варианты решения данного вопроса: Разграничение доступа осуществляется только на рабочих станциях. Условием эффективной реализации данного подхода будет реализация данного механизма на всех рабочих станциях, включенных в единое (логически разделяемое) сетевое пространство, Разграничение доступа осуществляется только на серверах. Для реализации такого подхода механизм должен быть реализован на всех серверах, включенных в единое (логически разделяемое) сетевое пространство, Комбинированное разграничение доступа, предполагающее, что частично данная задача решается на рабочих станциях, частично на серверах, 65 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Полное разграничение доступа - механизм реализуется - на всех рабочих станциях и всех серверах, включенных в единое (логически разделяемое) сетевое пространство. Разграничение доступа для данного варианта реализации осуществляется по тем же параметрам, что и при разграничении доступа к ресурсам внешних сетей. Интерфейс КСЗИ позволяет гибко настраивать политику безопасности сети организации. КСЗИ обеспечивает независимые настройки защиты исходящего (из защищаемого объекта) и входящего (в защищаемый объект) трафика. При этом задается: Какими пользователями защищаемого объекта может быть осуществлен доступ к TCP/IP сети; С какими компьютерами (по их IP адресам) может взаимодействовать какой пользователь защищаемого объекта; С использованием какого сетевого протокола может осуществляться взаимодействие (по номеру TCP порта); Какой сетевой службой (процессом) может быть осуществлен доступ к TCP/IP сети; В какой интервал времени может быть осуществлен доступ к TCP/IP сети (для различных интервалов времени разграничительная политика доступа к сети может различаться). В дополнение к данным возможностям механизмом авторизации доступа к сетевым службам может быть реализован доступ к сети (запуск сетевой службы) только в присутствии ответственного лица. КСЗИ предоставляет право изменять права доступа администратору безопасности, после его авторизации. Разграничение прав доступа пользователей к рабочему столу “Windows» (для ОС Windows 95/98) В КСЗИ реализована возможность настройки встроенных в ОС механизмов по разграничению доступа пользователей к различным ресурсам ОС и элементам ее управления. Реализуются следующие настройки Windows для пользователя - запретить доступ к: «Группе настроек Сеть: (Network:)» - установка этого флага запрещает доступ пользователю к настройке всех параметров сети ОС. «Доступ к файлам (Access to Files)» - установка этого флага запрещает установку доступа по сети к файлам и принтерам рабочей станции или информационного сервера (кнопка «Доступ к файлам и принтерам» не доступна). «Обзору сети (Net Neigbourhood)» - установка этого флага запрещает обзор сети с помощью ярлыка на рабочем столе «Сетевое окружение». «Группе настроек Экран: (Display:)» - установка этого флага запрещает доступ 66 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» пользователю к настройке всех параметров экрана ОС. «Группе настроек Пароли: (Passwords:)» - установка этого флага запрещает доступ пользователю к управлению паролями ОС. Группе настроек Система (System): «Устройства (Devices)» - установка этого флага запрещает доступ пользователю к закладке «Устройства» в группе настроек «Система» ОС. «Профили оборудования (Configuration)» - установка этого флага запрещает доступ пользователю к закладке «Профили оборудования» в группе настроек «Система» ОС. «Файловая система (File System)» - установка этого флага запрещает доступ пользователю к настройкам файловой системы в группе настроек «Система» ОС. «Виртуальная память (Virtual Memory)» - установка этого флага запрещает доступ пользователю к настройкам виртуальной памяти в группе настроек «Система» ОС. Системным возможностям: «Изменению реестра и запуска его редактора» - установка этого флага запрещает пользователю доступ к реестру путем запрещения запуска его редактора, входящего в стандартную поставку Windows, но не запрещает запуск редакторов сторонних производителей. «Списку задач (NT) (Task Manager)» - установка этого флага запрещает пользователю доступ к списку задач в диспетчере задач Windows NT. «Упр. пит. дисков W95 (Power:Disks)» - установка этого флага запрещает пользователю доступ к настройке управления питанием дисков (при питании от сети перевод дисков в состояние с пониженным питанием, через заданное время, если нет работы с диском). Элементам панели задач(Explorer): «Команде Выполнить ... (Run...)» - установка этого флага запрещает доступ пользователю к команде «выполнить» в панеле задач Windows. «Меню Поиск Файлов и ... (Find Files and ..)» - установка этого флага запрещает доступ пользователю к меню «Поиск» в панели задач Windows. «Меню Завершение работы (Exit Windows)» - установка этого флага запрещает доступ пользователю к меню «Завершение работы» в панели задач Windows. «Контекстному меню кнопки Пуск» - установка этого флага запрещает доступ пользователю к контекстному меню кнопки «Пуск» в панели задач Windows. «Панели управления и принтерам» - установка этого флага запрещает доступ пользователю к «Панели управления» и настройке «Принтеров» в меню настройка панели задач Windows. «Скрыть ярлыки на рабочем столе (reboot)» - установка этого флага скрывает все 67 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 68 ярлыки на рабочем столе Windows. «Запуск консольных прилож. DOS» - установка этого флага запрещает пользователю запуск консольных и MS-DOS приложений в Windows. «Запуск прилож. в реж. эмуляции DOS» - установка этого флага запрещает пользователю запуск старых приложений в режиме эмуляции MS-DOS. Системным возможностям: «Добавлению принтера (Add Printer)» - установка этого флага запрещает пользователю добавлять новые принтеры в ОС. «Удалению принтера (Delete Printer)» - установка этого флага запрещает пользователю удаление ранее установленного принтера в ОС. «Дисководу в «Мой компьютер» (Disk 3,5 A:)» - установка этого флага удаляет ярлык Дисковода A: в стандартном окне «Мой компьютер» и проводнике Windows, что не запрещает доступ к диску А: из других, в том числе и МS-DOS приложений. 3.3.3. Механизмы обеспечения замкнутости программной среды Механизм обеспечения замкнутости программной среды является одним из важнейших (если не самым важным) в части обеспечения противодействия скрытым угрозам (несанкционированным действиям пользователя с применением собственной программы, функции которой предсказать невозможно). Без использования данного механизма о какой-либо защите системы вообще говорить не приходится, т.к. если пользователь может запустить собственную (несанкционированную) программу, то он тем самым получает дополнительные возможности по преодолению механизмов защиты Обеспечение замкнутости программной среды предназначено для решения следующих двух задач: локализация функционального и программного прикладного обеспечения ПО) и на компьютере невозможность запуска (системного, пользователем несанкционированного процесса (программы), реализуемая с целью обеспечения действий пользователя на компьютере жестко в рамках своих функциональных обязанностей и инструкций (в рамках списка санкционированных действий), что противодействует запуску пользователем на своей рабочей станции несанкционированных программ, в том числе программ, которые могут использоваться для сбора информации о компонентах и настройках сети (например, пассивных программ-снифферов, которые позволяют определять пароли, передаваемые по каналу в сегменте сети, IP адреса и другую служебную информацию), программ-тестеров, для получения информации для осуществления попыток КСЗИ «Панцирь» © ЗАО «НПП ИТБ» несанкционированного доступа (например, активных программ-сканеров, к которым относятся программы подбора пароля и др.), программ взлома, инструментальных средств и т.д.; защита от запуска при проникновении (прежде всего из внешней сети, например, Internet) на компьютере (рабочей станции или сервере) деструктивных программ (троянов и т.д.). Заметим, что это является основой антивирусной защиты, т.к. именно всевозможные троянские программы несут в себе наибольший вред при их запуске на защищаемом компьютере (по сравнению с макровирусами и т.д.). Корректность реализации механизма обеспечения замкнутости программной среды тесно связана с реализацией механизма запрета доступа к системному диску. При реализации данного механизма создается список разрешенных к запуску процессов (программ) и КСЗИ разрешается запуск процессов только из данного списка. С целью предотвращения возможности запуска несанкционированного процесса с параметрами легального, анализируется полный путь запускаемого процесса. Естественно, что запуск системных процессов (собственно ОС и приложений) запретить невозможно – они должны войти в список разрешенных для запуска процессов (в противном случае, ОС и приложения не смогут нормально функционировать). При этом невозможность запретить доступ пользователю к системной области диска "на запись", где располагается большинство системных процессов, которые должны быть разрешены на запуск, позволяет пользователю вместо системного процесса (по тому же полному пути) расположить несанкционированный (собственный) процесс и запустить его - механизм обеспечения замкнутости программной среды не сможет в этом случае отличить несанкционированный процесс от легального системного процесса. Для механизма обеспечения замкнутости программной среды, опирающегося на разграничения типа "пользователь-файл", необходимо сопоставлять с каждым пользователем свой собственный список разрешенных к запуску программ (либо задавать ограничение программной среды общим для всех пользователей – для системы в целом). Такой подход интуитивно понятен, но имеет существенные недостатки. Главным из них является необходимость перечислять в этих списках все процессы, разрешенные к запуску пользователем, в том числе и процессы, порождаемые уже разрешенными процессами. Таким образом списки разрешенных процессов могут становиться громоздкими, что существенно снижает производительность системы, за счет больших затрат времени на анализ таких списков при каждом обращении к объекту файловой системы, представляющего собой программу. Сильно усложняется администрирование подобного механизма, так как администратору безопасности приходится составлять такие списки для каждого пользователя, а при добавлении новых программ, изменять списки у каждого пользователя. Соответственно при удалении некоторой программы, приходится удалять из множества списков не только саму программу, но 69 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 70 и исполняемые файлы всех процессов, порождаемых удаляемой программой. Кроме того, возникает проблема, связанная с необходимостью введения в список разрешенных некоторому пользователю процессов отладочных и иных программ, которые необходимо запускать эксплуатационным службам при работе некоторого пользователя в системе. С другой стороны необходимо исключить возможность прямого запуска этих отладочных программ пользователем. Для исключения подобных ситуаций необходимо различать субъекты доступа к файловой системе пользователь или процесс, и назначать процессу свои собственные списки программ, или динамически изменять список разрешенных процессов у пользователя. Механизм обеспечения замкнутости программный среды реализуется дискреционным механизмом управления доступом к исполнению файлов - к запуску процессов. Однако он должен обеспечивать управление запуском процессов со всех ресурсов защищаемого объекта (откуда может быть запущен процесс): файловые объекты, устройства ввода, сетевые объекты (разделяемые в сети папки и устройства). В КСЗИ реализованы два принципиально различных подхода к реализации данного механизма (в части обеспечения защищенности они равнозначны, но существенно различаются по сложности администрирования): обеспечение замкнутости программной среды заданием списков процессов, разрешенных пользователям на запуск; обеспечение замкнутости программной среды заданием каталогов, из которых пользователям разрешен запуск программ. Первый подход реализуется заданием списков разрешенных к запуску процессов (исполняемых файлов (определяются по расширению), на которые устанавливается атрибут «Исполнение») для каждого пользователя, с возможностью запуска только тех процессов (анализируются их полные пути), которые отнесены к разрешенным. Для данной реализации механизма средствами механизма контроля доступа к файловой системе для каждого пользователя задаются все исполняемые файлы – программы, которым разрешен запуск (остальным программам при такой настройке запуск пользователем будет запрещен). В разрешенные программы должен войти и список системных программ (привилегированных процессов), соответственно доступ пользователю «на запись» ко всем разрешенным к запуску процессам (исполняемым файлам) должен быть запрещен. Для настройки механизма необходимо выполнить следующие действия: - Средствами механизма разграничения доступа к файловой системе (см. выше) разрешить пользователям к исполняемым файлам программ, которые им разрешено запускать (исполняемые файлы задаются полнопутевыми именами, что предотвращает запуск под именем КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 71 исполняемых файлов, располагаемых в ином месте), “Чтение” и “Запуск” (при этом запрещается их модификация «Запись» пользователями). Заметим, что при задании полнопутевых имен исполняемых файлов следует предусмотреть, чтобы программы можно было запускать только с жесткого диска; - Настроить привилегированные процессы, которым разрешить (вне прав пользователей) доступ (при необходимости с собственными разграничениями) к системному диску средствами разграничения доступа к файловой системе; - Средствами механизма разграничения доступа к файловой системе разрешить пользователям к системному диску доступ только “на чтение”. Отметим, что здесь, за счет включения в субъекты доступа субъекта процесс, можно задавать не только списки разрешенных к запуску процессов (программ), но и последовательности запускаемых процессов – можно указать какие процессы каким процессом могут быть запущены. Второй подход позволяет существенно упростить процедуру настройки механизма и заключается в реализации совершенного иной технологии – технологии задания разгранимчений (атрибут «Исполнение») не на процессы, а на каталоги. Суть подхода состоит в следующем. Каждому пользователю выделяется раздел (каталог) диска, из которого ему разрешается запускать исполняемые файлы (программы) – файлы с соответствующим расширением. При этом пользователям запрещается в данные каталоги что-либо записывать (средствами разграничения доступа к файловой системе). Администратор может создать фиксированный список программ, которые может запускать каждый пользователь, занеся их (инсталлировав штатными средствами ОС) в соответствующий каталог. Существенное упрощение администрирования здесь состоит в том, что, во-первых, администратор задает не процессы (с их полными путями), а, как известно, каждый процесс может порождать множество иных процессов, а программы, по средством простой их инсталляции в заданные каталоги, вовторых, упрощается реализация разграничений по запуску программ для различных пользователей (для них создаются различные каталоги с исполняемыми файлами), в том числе и для пользователей группы эксплуатации, в-третьих, существенно упрощается процедура модификации списков разрешенных пользователям для запуска программ (состоит в деинсталляции, соответственно, инсталляции программ в каталоги штатными средствами). Кроме того, существенно повышается производительность системы, т.к. не требуется анализа больших списков разрешенных к запуску процессов. Для настройки механизма необходимо выполнить следующие действия: - Средствами механизма разграничения доступа к файловой системе указать каталоги, откуда запрещается запускать программы (эти каталоги, либо файлы будут использоваться для КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 72 хранения данных). Средствами механизма разграничения доступа к файловой системе разрешить пользователям к данным каталогам, либо файлам доступ на запись и чтение «доступ на «Исполнение» должен быть запрещен); - Сформировать каталоги, откуда пользователям разрешен запуск программ (для каждого пользователя может быть свой каталог запуска программ, данные каталоги должны располагаться на жестком диске). Инсталлировать в эти каталоги необходимые для пользователя программы; - Средствами механизма разграничения доступа к файловой системе разрешить пользователям к данным каталогам, либо файлам доступ на «Исполнение” (доступ на запись должна быть запрещена); - Настроить привилегированные процессы, которым разрешить (вне прав пользователей) доступ к системному диску средствами разграничения доступа к файловой системе; - Средствами механизма разграничения доступа к файловой системе разрешить пользователям к системному диску доступ только на «Чтение”. Внимание. Настройка механизмов обеспечения замкнутости программной среды реализует дискреционным механизмом управления доступом к ресурсам с применением разрешительной политики доступа для атрибута «Исполнение»! Признак исполняемого файла (помимо обращения на исполнение, генерируемого системой по запросу приложения) определяется посредством анализа КСЗИ структуры файла на наличие признака того, что файл является исполняемым (ни в коем случае не по типу его расширения). Теперь в нескольких словах остановимся на вопросе обеспечения замкнутости программной среды для скриптов. Проблема задесь состоит в том, что при запуске виртуальной машиной скрипта виртуальная машна формирует запрос не на исполнение файла, а на его чтение, кроме того, скрипт, как файл, не содержит в своем составе признака исполняемого файла. Для удобства разграничений запуска скриптов КСЗИ позволяет задавать список расширений файлов (например: bat, cmd и т.д.). Затем к этим файлам разграничивается доступ как к исполняемым файлам, с использованием атрибута «Исполнение». При перехвате обращения по чтению к файлу с заданным расширением, КСЗИ интерпретирует данное обращение как запрос на исполнение. 3.3.4. Механизмы контроля целостности информации Контроль целостности информации является важнейшим механизмом для КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 73 автоматизированной системы защиты, т.к., в конечном счете, в большой степени именно с целью обеспечения целостности обрабатываемой и хранящейся на компьютере информации и строится система защиты информации. К контролируемым КСЗИ на целостность объектам относятся: Каталоги и файлы данных; Исполняемые файлы; Файлы собственно КСЗИ; Таблицы баз данных. 1) Контроль целостности каталогов и файлов данных С реализацией данного механизма связаны следующие большие проблемы - регламентируемым способом контроля целостности информации является синхронный контроль - контроль файлов по расписанию. Однако на практике данный механизм может рассматриваться лишь как вспомогательный механизм. Это объясняется тем, что контроль файлов, где располагается обрабатываемая информация, в общем случае весьма продолжительная процедура и может длиться минуты. Т.е. все это время компьютер не будет выполнять функциональные задачи, а будет работать на собственную защиту - с точки зрения реализуемой информационной технологии - это время простоя - потеря производительности системы. Однако однократным контролем решить задачу обеспечения целостности информации невозможно, при периодическом контроле возникает проблема задания периода проверок. Если их задать небольшими - сопоставимыми с продолжительностью проверки - будет иметь место потеря производительности системы в разы. Если же периоды проверок задать большими теряется смысл в подобном контроле целостности информации в принципе. Необходимо помнить, что злоумышленник, совершив несанкционированный доступ к системе, пытается максимально быстро получить от предоставленного доступа к информации результат, т.е. максимально использует время до момента обнаружения факта НСД. Поэтому при синхронном контроле целостности не только не обсуждается возможность предотвращения искажения информации, но и вопрос оперативности обнаружения факта ее искажения. В КСЗИ, наряду с синхронным контролем целостности информации, реализована технология асинхронного контроля. При этом возникновение сигнала на запуск проверки целостности данных может обусловливаться двумя причинами: обнаружением искажений системных настроек, несанкционированных событий в системе – нарушение либо обнаружением целостности одного из списков санкционированных событий. Здесь сигнал на запуск контроля целостности информации может выдаваться при нарушении целостности следующих событий: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» списка зарегистрированных в системе 74 пользователей (регистрация несанкционированного пользователя), списка разрешенных к запуску процессов (запуска неразрешенного процесса), списка настроек ОС (ключей реестра), списка настроек КСЗИ. Контроль целостности информации по заданным событиям можно рассматривать как одну из реакций, используемых механизмом сквозной защиты (описан ниже). Заметим, что, используя данный механизм, можно не только констатировать нарушение целостности информации, но и предотвратить подобное нарушение. Контроль целостности здесь осуществляется для проверки того, успел ли злоумышленник, после искажения какого-либо списка санкционированных событий нарушить целостность какого-либо файла (при этом реакция на подобное нарушение санкционированного события принимается сразу же). использованием сообщения ОС об искажении параметров одного из файлов (ОС непрерывно контролирует встроенными средствами параметры хранящихся на компьютере файлов и выдает сообщение об обнаружении нарушении целостности, которое и воспринимается КСЗИ как асинхронный сигнал для запуска процедуры контроля целостности информации). В дополнение реализован и механизм синхронного контроля целостности, позволяющий контролировать целостность каталогов и файлов по расписанию, либо в заданные моменты времени. 2) Контроль целостности исполняемых файлов (программ) Другой, не менее важной задачей, решаемой КСЗИ в рамках реализации механизмов контроля целостности, является контроль целостности исполняемых файлов (программ) перед запуском. Данный механизм позволяет восстанавливать исполняемые файлы (программы) из эталонной копии перед их запуском при обнаружении искажения целостности исполняемого файла. Перед каждым запуском контролируемого исполняемого файла он проверяется на целостность, при необходимости, перед запуском восстанавливается из резервной копии. 3) Контроль целостности файлов КСЗИ Кроме перечисленных, в КСЗИ реализуется механизм контроля целостности файлов собственно КСЗИ при старте системы с восстановлением КСЗИ из резервной копии при обнаружении нарушения целостности, контроль целостности информации в заданное время, возможность восстановления задаваемых файлов после обнаружения нарушения их КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 75 целостности. 3) Контроль целостности таблиц баз данных КСЗИ позволяет создавать резервные копии таблиц данных при использовании на защищаемом объекте СУБД (Oracle 8i, MS SQL 6.5, 7). При этом КСЗИ синхронно (периодически, с заданным интервалом времени) осуществляет контроль целостности контролируемых таблиц. В случае обнаружения нарушения целостности таблицы данных КСЗИ позволяет сформировать сообщение на сервер ошибок администратора, а также восстановить контролируемую таблицу из резервной копии. В качестве реакции КСЗИ на ошибки целостности предусмотрены: запись в журнал безопасности; посылка сообщения на сервер безопасности; блокирование консоли - запуск диалогового окна с установленным паролем, который может ввести только администратор; выполнение сценария заданного администратором командного файла. 3.3.5. Механизм «Сквозной защиты информации» Механизм сквозной защиты информации, реализуемый КСЗИ, основан на следующем утверждении - в случае несанкционированного доступа к информации (от которого и осуществляется защита КСЗИ), злоумышленником должны быть осуществлены какие-либо, не регламентированные для функционирования операционной системы (ОС) или КСЗИ действия, например, изменены какие-либо настройки ОС, КСЗИ или СУБД, запущена какая-либо дополнительная программа и т.д. Если подобных действий не произведено при доступе к информации - доступ является санкционированным, т.е. пользователь получил доступ к информации в рамках регламентированных для него ОС, КСЗИ и СУБД прав. При этом необходимо учитывать следующие особенности построения и эксплуатации общесистемных средств: Ряд настроек встроенных функций защиты ОС и СУБД могут изменяться собственно пользователем. Например, пользователем могут создаваться разделяемые сетевые ресурсы, пользователем может разрешаться другим пользователям доступ к создаваемым им таблицам баз данных (это противоречит общему принципу администрирования, когда в систему защиты вводится центральное управление безопасностью – администратор безопасности), В защищаемой автоматизированной системе может присутствовать иерархия КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 76 администраторов – системный (или сетевой) администратор, администратор СУБД и приложений, администратор безопасности. При этом все они в той или иной мере управляют механизмами защиты, встроенными в общесистемные средства. При функционировании КСЗИ должна обеспечиваться жесткая централизованная модель администрирования безопасности, в рамках которой ни один администратор и ни один пользователь не должны иметь возможности бесконтрольно изменять настройки безопасности. При этом, так как администратор безопасности управляет КСЗИ, данная функция должна быть технически реализована КСЗИ. Механизм сквозной защиты информации, реализуемый КСЗИ, состоит в непрерывном (либо в необходимые моменты времени) контроле совокупности санкционированных событий, изменение которых возможно при попытке несанкционированного доступа, с выработкой реакции КСЗИ (противодействия) на попытку несанкционированного доступа к информации, регистрируемую по факту изменения какого-либо списка санкционированных событий (либо их группы). Модель сквозной защиты информации представлена на рис.5. Контроль целостности 1-го уровня Контроль целостности 2-го уровня Контроль целостности Nго уровня ……. КСЗИ Реакция КСЗИ Запуск процедур контроля целостности и выработка реакций Переход процедур контроля целостности Рис.5. Модель «Сквозной защиты информации» КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 77 Контроль неизменности списка санкционированных событий реализуется контролем его целостности. Каждый уровень - это отдельный список или компонента сквозной защиты информации. Каждая компонента настраивается независимо, поэтому существует возможность адаптировать данную схему под конкретное применение КСЗИ. Последняя N-ая компонента - это контроль файловой системы. Здесь реализуется возможность асинхронного контроля целостности файлов - команда на контроль целостности файлов подается в случае обнаружения искажения какого-либо списка санкционированных событий. Данный подход позволяет использовать синхронный контроль, как вторичный, что позволяет эффективно решить задачу контроля целостности файлов в принципе (метод асинхронного контроля целостности описан выше). В качестве компонент механизма сквозной защиты информации (списки санкционированных событий) в КСЗИ используются: Список запускаемых в системе процессов (программ); Список зарегистрированных в системе пользователей; Список настроек ОС (список контролируемых ключей реестра ОС); Список разделяемых сетевых ресурсов; Список настроек СУБД; Список настроек КСЗИ. Отличительной особенностью механизма сквозной защиты информации является то, что в принципе неважно, каким образом злоумышленник пытается осуществить несанкционированный доступ к информации, в том числе и с использованием знания об ошибках и закладках в системном, функциональном и прикладном программном обеспечении. Механизм сквозной защиты информации позволяет противодействовать использованию злоумышленником ошибок и закладок в системном, функциональном и прикладном программном обеспечении без необходимости выявления последних! Таким образом, настройками противодействовать данного угрозе механизма администратор несанкционированного доступа безопасности к может информации с использованием ошибок и закладок в системном и прикладном программном обеспечении. 1) Компоненты «Сквозной защиты информации» Контроль запускаемых в системе процессов КСЗИ осуществляет непрерывный контроль запускаемых процессов (по своей сути – это механизм обеспечения замкнутости программной среды, реализованный на прикладном уровне – в дополнение к соответствующему механизму, реализованному на уровне драйвера). В списке КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 78 КСЗИ отображаются не только пользовательские приложения, но и системные процессы и сервисы. Кроме этого указывается исполняемый модуль процесса и полный путь к этому исполняемому модулю, таким образом, список разрешенных для запуска процессов может быть указан с указание их полного пути (рекомендуется администратору безопасности), что исключает запуск запрещенного процесса после его переименования в разрешенный для запуска процесс. Реализованы два варианта контроля запускаемых процессов. В первом ведется список запрещенных процессов. Все процессы, не попавшие в этот список, считаются разрешенными. Во втором ведется список разрешенных процессов, все остальные считаются запрещенными. Этот вариант обеспечивает большую безопасность, но требует больших усилий со стороны администратора безопасности для составления списка разрешенных процессов. При использовании варианта со списком разрешенных процессов предусмотрен режим сбора статистики запускаемых процессов. Этот режим целесообразно применять на этапе внедрения системы. По результатам сбора статистики формируется список разрешенных процессов (достаточный для штатного функционирования пользователей). Любой иной процесс КСЗИ запустить не позволит. Контроль регистрации пользователей в системе Данная функция позволяет просматривать список пользователей, зарегистрированных в системе и завершить сеанс работы незарегистрированных в КСЗИ пользователей. Если ЭВМ не подключена к сети, в списке можно видеть только одного пользователя. Возможны различные варианты завершения сеанса пользователя, от выключения питания машины (если используется расширенное управление питанием - ATX), блокировки работы компьютера аппаратной компонентой (если последняя используется для защиты компьютера), до вывода приглашения ввести имя и пароль нового пользователя (по желанию заказчика). Контроль пользователей ведется системой постоянно. В случае обнаружения запрещенного пользователя возможны различные реакции системы. Контроль настроек ОС Данная функция позволяет осуществлять проверку системного реестра на предмет вхождения в него недопустимых, с точки зрения безопасности, установок (все контролируемые ключи должны быть занесены администратором безопасности). Механизм реализуется в дополнение к механизму контроля доступа пользователей и процессов к реестру ОС. Системный реестр, содержит скомпилированную информацию о настройках программ и ОС, и КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 79 их ресурсах, хранящихся в древовидной структуре. Ключ реестра представляет собой параметр (переменную), содержащую определенное значение. Изменение ключа может повлечь за собой неправильную работу ОС, компьютера (открыть доступ к данным). В большинстве случаев изменять реестр вручную не приходится, поскольку данные реестра изменяются программным образом. Возможны несколько вариантов проверки ключей реестра. Варианты задаются путем выбора следующих флагов: «Проверять при старте» - проверка реестра будет производиться только при старте КСЗИ «Проверять всегда» - проверка реестра будет производиться постоянно сервисом ПК. Контроль настроек разделяемых сетевых ресурсов КСЗИ позволяет создавать списки разрешенных (или запрещенных) для разделения сетевых ресурсов (доступ к ресурсам по протоколу Net Bios) и контролировать их в процессе функционирования. В случае, если пользователь попытается создать общий ресурс на своем рабочем месте, не зарегистрированный в списке, КСЗИ обнаружит расхождение с эталонным списком разрешенных для разделения ресурсов и восстановит текущий список из эталона. Таким образом, пользователь получает возможность разделять (делать доступными из сети по протоколу Net Bios) только те ресурсы компьютера, которые разрешены для разделения администратором безопасности. Контроль настроек СУБД и приложений При использовании на объекте защиты СУБД (Oracle 8i, MS SQL 6.5, 7) КСЗИ позволяет создавать администратору безопасности эталонные списки настроек (системных таблиц) разграничительной политики доступа к ресурсам и контролировать их в процессе функционирования. В случае, если администратор СУБД, либо пользователь попытается изменить настройки системных таблиц (права доступа к ресурсам в рамках СУБД), КСЗИ обнаружит расхождение с эталонным списком системных таблиц и восстановит текущий список из эталона. Таким образом, администратор безопасности имеет возможность контролировать действия администратора СУБД и пользователей по реализации разграничительной политики доступа к ресурсам на уровне СУБД. При этом решается очень важная сопутствующая задача – задача распределения функций администрирования безопасности в системе, когда без разрешения (соответственно контроля) со стороны администратора безопасности не может быть изменена настройка безопасности на уровне СУБД администратором СУБД. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 80 Контроль настроек КСЗИ КСЗИ производит контроль целостности своих настроек при старте сервиса. Такой режим реализован в виду того, что они считываются КСЗИ один раз - при старте. Перед использованием настроек производится проверка их контрольной суммы. В случае обнаружения изменения настроек производится запись в журнал безопасности, передается сообщение на сервер безопасности и блокируется консоль пользователя, выводится окно блокировки системы. 2) Мониторинг механизмов защиты, сигнализация о событиях НСД В рамках реализации механизма «сквозной защиты информации» КСЗИ, кроме решения рассмотренных выше задач, осуществляет мониторинг корректности функционирования механизмов защиты, реализующих разграничительную политику доступа к защищаемым ресурсам. Здесь - на прикладном уровне, контролируется правильность функционирования основных механизмов защиты, реализованных в КСЗИ на системном уровне, в частности, обеспечения замкнутости программной среды, доступа к реестру ОС и т.д. В случае обнаружения некорректностей (ошибок), например, вопреки заданным разграничениям, запущен процесс, запрещенный для запуска, данный уровень защиты позволяет предотвратить обнаруженную ошибку, например, завершить запрещенный процесс. Реализация данного уровня позволяет ввести двухуровневый аудит (описание которого приведено в описании модели защиты). Данным механизмом реализуется аудит второго уровня – обнаруживаются не попытки пользователя совершить НСД (случайные, либо преднамеренные, регистрируемые механизмами защиты, реализующими разграничительную политику доступа к ресурсам), а факты ошибок соответствующих реализации механизмов разграничительной защиты политики злоумышленником). доступа КСЗИ (факты обхода предоставляется возможность передачи сообщения о данных ошибках на сервер безопасности (специальную программу последнего - сервер ошибок) в реальном масштабе времени. Заметим, что на сервере ошибок также могут выдавать сообщения об ошибках целостности файлов данных и исполняемых файлов (программ). Сигнализация о событиях изменения контролируемых компонентов защиты компьютера на сервер безопасности осуществляется в реальном масштабе времени, при условии установки флага «сообщить на сервер» и наличии сервера безопасности в сети. Происходит немедленная выдача сообщения соответствующих событий НСД на сервер безопасности администратора. Данная опция введена в дополнение к механизму получения и обработки журналов аудита по запросу администратора безопасности. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» В качестве реакции КСЗИ на ошибки функционирования механизмов защиты могут устанавливаться: запись в журнал безопасности; посылка сообщения на сервер безопасности; блокирование консоли - запуск диалогового окна с установленным паролем, который может ввести только администратор; выполнение сценария заданного администратором командного файла. Внимание. Для того чтобы реакция запустилась с правами администратора, необходимо в качестве исполняемого файла для реакции использовать процесс win32 executable (а не командный файл) и занести его в привилегированные процессы. 3.3.6. Механизмы защиты от загрузки системы без КСЗИ и от несанкционированного удаления КСЗИ 1) Защита загрузки с дискеты в Setup Для исключения возможности удаления КСЗИ с диска в режиме MS-DOS необходимо запретить загрузку с отчужденных носителей: дискет или накопителей CD-ROM. Для этого могут использоваться два подхода: Использование встроенного в BIOS пароля (в современных BIOS инженерные пароли не обнаружены); Использование аппаратной компоненты (см. ниже). 2) Отключение системного меню ОС Windows 95/98 Для исключения возможности удаления КСЗИ с диска в режиме MS-DOS, предусмотрена возможность отключения системного меню ОС Windows 95/98. 3) Защита от загрузки в режиме «Safe Mode» В КСЗИ предусмотрена установка защиты режима «Safe Mode» (блокирована возможность его запуска) Windows 95/98, что предотвращает возможность удаления КСЗИ с диска в режиме MS-DOS или «Safe Mode». Одновременно с этой защитой устанавливается защита доступа к диспетчеру задач встроенному в ОС (пользователь не сможет завершить никакую задачу). Для ОС Windows NT/2000 в КСЗИ предусмотрена установка парольной защиты доступа в режиме «Safe Mode» (учетные записи пользователей блокируются, разрешается доступ только 81 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» администратору после его авторизации). 4) Защита от отображения запущенных процессов системными мониторами Многие приложения, в частности оболочка Far, имеют встроенные системные мониторы, позволяющие просмотреть список запущенных процессов и в ОС Windows 95/98 завершить любой из запущенных процессов. Подобным образом может быть завершен и процесс системы защиты. В КСЗИ для ОС Windows 95/98 предусмотрена возможность задания процессов (прежде всего, это должны быть собственно процессы КСЗИ), которые не будут отображаться как запущенные в системных мониторах приложений, и которые невозможно завершить, даже зная их имена. 3.3.7. Механизмы очистки памяти КСЗИ позволяет осуществлять очистку оперативной и внешней памяти. Очистка производится путем записи маскирующей информации в память при ее освобождении (перераспределении). В КСЗИ реализовано несколько вариантов очистки внешней и оперативной памяти, в том числе, очистка, осуществляемая под управлением пользователя и автоматическая очистка. Для реализации функций очистки памяти в состав дистрибутива КСЗИ включены две утилиты «delsec.exe» и “clearam.exe”, при этом возможны различные варианты их запуска. Утилита «delsec.exe» осуществляет гарантированное стирание файлов и очистку свободного пространства на диске. Очистка осуществляется n-кратной записью маскирующей информации в указанный файл или свободное пространство указанного в командной строке диска - после параметра «-n» можно указать число проходов очистки. Для гарантированного стирания файла следует запустить утилиту «delsec.exe» с параметром – именем файла, который следует стереть. Для очистки свободного пространства на определенном диске, утилиту «delsec.exe» следует запускать с параметром «-cD:» или «-cd:», где «d: » имя очищаемого диска (может быть любое), ключом «-nX», где X число от 0 до 9 можно задавать количество проходов очистки. Утилита “clearam.exe” осуществляет очистку оперативной памяти. Утилита “clearam.exe” имеет несколько параметров запуска: -s – дополнительная очистка; -CT – очистка буфера обмена путем записи в него маскирующей информации; -MM – очистка memory mapping; -ET- очистка области редактирования. 82 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 83 Варианты автоматического запуска программ очистки оперативной и дисковой памяти. 1. По расписанию. С помощью программы ОС "Назначение задания" (или службы AT) - вносится запуск программ очистки оперативной и дисковой памяти (с соответствующими параметрами) в расписание автоматически запускаемых программ. 2. При входе (идентификации) нового пользователя а) Запуском утилиты операционной системой. Возможны несколько вариантов (рассмотрим два из них). Первый вариант. Утилиты очистки оперативной и дисковой памяти (с соответствующими параметрами) вносятся в ветвь реестра, где перечислены программы, запускаемые ОС при входе нового пользователя. Например: В ветви реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run создается строковый параметр "clearam" со значением "c:\client\clearam.exe -c" (задается полный путь расположения утилиты). Второй вариант. Создается командный (bat) файл для запуска программ очистки оперативной и дисковой памяти (с соответствующими параметрами) и этот файл помещается в каталог автозагрузки (соответствующий установленной ОС). Например: "C:\WINDOWS\Главное меню\Программы\Автозагрузка\" в) Запуском утилиты КСЗИ. Программы очистки оперативной и дисковой памяти (с соответствующими параметрами) помещаются в командный файл "nulog.bat" (входящий в дистрибутив клиентской части КСЗИ). При идентификации пользователя КСЗИ будет автоматически запускать данные программы. В дополнение к рассмотренным подходам к очистке памяти КСЗИ позволяет обеспечивать гарантированную очистку оперативной памяти по завершению работы пользователя, посредством запрета повторной регистрации (завершение сеанса работы пользователя возможно только при полной перезагрузке ОС, при которой – при отключении компьютера – очищается оперативная память). Возможны два способа очистки внешней памяти (остаточной информации) и гарантированное удаление файлов вручную, первый из которых состоит в запуске из командной строки локально (либо с сервера безопасности) утилит очистки. Второй способ предполагает КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 84 использование специальной прикладной программы с соответствующим пользовательским интерфейсом. С учетом того, что при активности механизма обеспечения замкнутости программной среды (а он всегда должен быть активен, иначе защита отсутствует как таковая) пользователь не имеет средств просмотра остаточной информации (не может запустить соответствующую программу) механизмы очистки памяти теряют свою актуальность. В этом случае данный механизм можно запускать как реакцию на обнаружение в системе несанкционированного процесса – потенциально программы, которая может использоваться злоумышленников для просмотра дисковой или оперативной памяти. 3.3.8. Механизмы маскирования (шифрования) трафика клиент- серверного взаимодействия КСЗИ 1) Автоматическое кодирование или шифрование данных КСЗИ, передаваемых между клиентскими частями и сервером безопасности Все данные, передаваемые между клиентскими и серверной частями КСЗИ, могут передаваться как в открытом виде, так и в преобразованном (маскированном), либо шифрованном виде. Маскирование трафика осуществляется с использованием функции XOR. Для шифрования трафика между клиентскими частями КСЗИ и сервером безопасности используется возможность КСЗИ по подключению внешнего алгоритма шифрования, который подключается на уровне DLL. При установлении соединения клиент-сервер КСЗИ осуществляется сеансовая авторизация клиентской части. 2) Подключение и смена внешнего алгоритма шифрования При использовании внешнего алгоритма шифрования, КСЗИ используется динамическая библиотека «encr_dll.dll», внутри которой находится реализация алгоритма шифрования. Для того, чтобы подключить (изменить) алгоритм шифрования, необходимо заменить данную библиотеку на собственную, реализующую необходимый алгоритм шифрования. Для этого необходимо создать динамическую библиотеку, экспортирующую следующие функции: __declspec(dllexport) BOOL WINAPI Crypt (char * );//8-bytes __declspec(dllexport) BOOL WINAPI DeCrypt (char *);//8-bytes Строки, передаваемые в качестве параметров, должны иметь размер в восемь байт. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Функция «Crypt» соответственно должна зашифровывать передаваемую строку, а функция «DeCrypt» расшифровывать. Вся реализация алгоритма шифрования, выбор длины ключей, места их хранения и т.п. возлагается на эту библиотеку. Пример библиотеки для (VC 5.0): файл «encr_dll.cpp»: #include <windows.h> __declspec(dllexport) BOOL WINAPI Crypt (char *);//8-bytes __declspec(dllexport) BOOL WINAPI DeCrypt (char *);//8-bytes BOOL WINAPI DllMain (HINSTANCE hDLLInst, DWORD fdwReason, LPVOID pvReserved) { switch (fdwReason) { case DLL_PROCESS_ATTACH: break; case DLL_PROCESS_DETACH: break; case DLL_THREAD_ATTACH: break; case DLL_THREAD_DETACH: break; } return (TRUE); } __declspec(dllexport) BOOL WINAPI Crypt (char* crypted_symb)//8-bytes { // шифруем строку … return TRUE; } __declspec(dllexport) BOOL WINAPI DeCrypt (char* crypted_symb)//8-bytes { // расшифровываем строку … return TRUE; } файл «encr_dll.def»: LIBRARY ENCR_DLL HEAPSIZE 4096 CODE PRELOAD MOVEABLE DISCARDABLE EXPORTS Crypt @40 DeCrypt @50 3.3.9. Механизм регистрации печати 85 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 86 КСЗИ реализует режим контролируемого доступа к печати из редактора Microsoft Word 97, 2000 (печать из иных приложений пользователям в этом режиме запрещается) и автоматической регистрации параметров конфиденциальной печати с маркировкой документов - при выводе защищаемой информации на документ в начале и в конце проставляется штамп и заполняются его реквизиты (в общем случае реквизиты могут быть произвольными - создаются администратором безопасности). В контролируемом режиме выдачи документов из Microsoft Word 97, 2000 печать сопровождается автоматической маркировкой каждого листа документа (сверху справа) и реквизитами с указанием на последнем листе названия файла документа, общего числа страниц, даты выдачи и имени пользователя. Данный режим может использоваться как для локального, так и для сетевого принтеров. В журнал безопасности записываются следующие параметры регистрации: дата и время выдачи (обращения к подсистеме вывода) твердой копии; наименование файла документа и уровень конфиденциальности пользователя; спецификация устройства выдачи (логическое имя внешнего устройства); идентификатор субъекта доступа, запросившего документ; объем фактически выданного документа (количество листов). Если выполняется печать активного документа в режиме конфиденциальной печати, то все остальные открытые документы (не активные) будут автоматически закрыты с сохранением. Режим печати реквизитов реализуется только для локального принтера, при использовании этого режима доступ соответствующих пользователей к сетевым принтерам должен запрещаться механизмом управления доступом к принтерам. 3.3.10. Механизмы мониторинга активности КСЗИ 1) Сетевой мониторинг активности КСЗИ В КСЗИ реализована технология удаленного контроля активности КСЗИ на защищаемом компьютере с сервера безопасности (СБ). На СБ отображается состояние защищаемого объекта – выделяются три состояния: штатный режим функционирования с включенным компьютером, когда компьютер включен, на нем установлена и активно КСЗИ, компьютер подключен к сети; штатный режим функционирования с отключенным компьютером, когда, либо компьютер не включен по питанию, либо отключен от сети (два этих события различить невозможно); нештатный режим функционирования (опасный режим), когда компьютер включен, находится в сети, но на нем удалена, либо не активна КСЗИ. Состояния защищаемого объекта в реальном времени отображаются на СБ. Использование данной технологии позволяет удаленно (с СБ) в КСЗИ «Панцирь» © ЗАО «НПП ИТБ» реальном времени выявить наиболее опасный режим 87 – режим возможных несанкционированных действий пользователя в сети. 2) Локальный мониторинг активности КСЗИ Реализуется возможность аппаратной защиты КСЗИ, противодействующая возможности загрузки ОС без КСЗИ (с отчуждаемого носителя) и возможности несанкционированного удаления КСЗИ в процессе функционирования системы. Аппаратной компонентой – платой, устанавливаемой в свободный слот ISA или PCI шины, обеспечивается непрерывный контроль активности сервисной части КСЗИ. Внешние устройства ввода информации физически платой отключены (с них невозможно загрузиться) до момента поступления на плату соответствующего сигнала (парольного слова) от КСЗИ. Посыл парольного слова КСЗИ на плату осуществляется периодически в процессе функционирования системы. Не получение платой данного слова, означает перевод КСЗИ в пассивное состояние (защита компьютера не осуществляется, либо реализуется не в полной мере), на что плата реагирует переводом компьютера в режим перезагрузки. В процессе перезагрузки КСЗИ может быть восстановлена из резервной копии и система может перейти в штатный режим функционирования. 3.3.11. Механизм задания реакций на ошибки Для достижения универсальности в части реализации различных вариантов политики информационной безопасности, в КСЗИ предусмотрена возможность собственного задания администратором безопасности реакций на события. На важнейшие события безопасности администратор может сформировать исполняемый файл (создать собственную программу), который автоматически запустится, при обнаружении КСЗИ заданного события безопасности. Данная возможность существует и для задания реакции на клиентской части КСЗИ, и для задания на СБ – здесь запуск исполняемого файла возможна при поступлении на сервер ошибок (в реальном времени) определенного сообщения об ошибке. 3.3.12. Возможности КСЗИ по обработке журналов аудита 1) Возможности ротации журналов В КСЗИ реализована программа ротации журналов безопасности, позволяющая настраивать максимальную величину каждого журнала (файла, хранящего соответствующий журнал), способ и порядок сохранения данных при переполнении журналов. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 88 2) Возможности фильтрации событий КСЗИ реализует следующие возможности фильтрации событий: Все события формируются в различных (по функциональному признаку) журналах аудита, выбор типа анализируемого события осуществляется выбором соответствующего журнала аудита; В каждом журнале можно осуществить фильтрацию событий по дате и времени; В каждом журнале можно осуществить поиск события по ключевому слову (ключевым словам), В каждом журнале можно осуществить фильтрацию событий по фактам НСД. 3.3.13. Дополнительные возможности КСЗИ 1) Антивирусные проверки КСЗИ реализует механизм управления запуском с серверной части выбранной администратором безопасности и подключенной к клиентской части КСЗИ антивирусной программы, хранящейся на защищаемом компьютере. Данная функция проводит антивирусную суточную проверку файлов, установленным ранее ПО (любой антивирусной программой), в заданное администратором время. В течение суток антивирусная проверка может производиться несколько раз. Результаты антивирусной проверки можно удаленно получить на сервер безопасности КСЗИ. КСЗИ механизмом обеспечения замкнутости программной среды обеспечивает собственными средствами противодействие возможности запуска несанкционированных, в частности, троянских программ. Эта атака наиболее критична (в отличие, например, от макровирусов) в части возможных последствии для защищаемых ресурсов. 2. Синхронизация времени В КСЗИ предусмотрена возможность синхронизации системных часов защищаемых компьютеров. В качестве эталонного времени и даты задаются параметры серверной части КСЗИ (передаваемые на клиентские части КСЗИ при установлении соединения с сервером безопасности), при этом блокируется доступ пользователей к системным часам. 3.Синхронизация баз данных настроек КСЗИ В КСЗИ реализуется синхронизация баз данных настроек (локальных, хранящихся на клиентских частях КСЗИ, и центральной, хранящейся на серверной части КСЗИ) механизмов защиты при установлении соединения клиентских частей с сервером безопасности. Это необходимо ввиду того, что настройки клиентских частей КСЗИ могут осуществляться как КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 89 локально – с консоли защищаемого объекта, так и удаленно – с сервера безопасности. При установлении соединения клиентской части КСЗИ с сервером безопасности сравниваются содержимое локальной и центральной баз и при их несовпадении, администратору выдается запрос о том, какие настройки принять к действию (локальные, либо центральные), т.е. синхронизация баз осуществляется под управлением администратора. 4) Отображение настроек КСЗИ После проведения настроек механизмов защиты КСЗИ администратором, он может, как на клиентской части (локально), так и удаленно на СБ отобразить данные настройки – создать соответствующий структурированный текстовый файл и вывести данные настройки на экран (на печать). Существует возможность фильтрации (по пользователям, по процессам, общие настройки) настроек и их редактирование. Данная возможность преследует две цели: Проверка администратором осуществленных настроек вручную; Создание администратором с последующей выдачей пользователю (может это осуществить в бумажном и электронном – удаленно - с СБ КСЗИ виде) его прав доступа к ресурсу защищаемого компьютера. 5) Анализ корректности настроек КСЗИ позволяет автоматически осуществлять, как на клиентской части, так и удаленно - с СБ, анализ корректности (непротиворечивости) осуществленных настроек основных механизмов защиты КСЗИ с выдачей в соответствующем окне рекомендаций по изменению настроек. Ниже описано, какие проверки производятся в части анализа корректности настроек механизмов защиты КСЗИ (основные задачи анализа корректности настроек связаны с анализом настроек, влияющих на корректность функционирования системы, т.е., прежде всего, настроек привилегированных процессов – процессов ОС и КСЗИ): "Парольный вход в систему". Производится проверка настроек механизма авторизации пользователя: - является ли модуль авторизации (модуль "Epsw.exe") разрешенным к запуску процессом; - установлено ли ограничение срока действия пароля пользователя; - включено ли обеспечение уникальности паролей пользователей; - включен ли механизм блокировки учетной записи пользователей; - включен ли механизм блокировки пользователей КСЗИ после неверного ввода пароля. "Проверка пользователей". Производится проверка заведенных в КСЗИ пользователей: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» - на не пустой список пользователей, заведенных в КСЗИ; - пользователя для конфиденциальных сетевых служб 90 (на совпадение имени ответственного за запуск сетевой службы лица с именем одного из пользователей, заведенных в КСЗИ). "Проверка процессов". Производится проверка настройки механизма контроля запущенных процессов: - внесены ли процессы КСЗИ, в список разрешенных для запуска процессов, если установлен режим контроля разрешенных для запуска процессов; - внесены ли конфиденциальные сетевые службы (на которые установлен пароль ответственного лица), в список разрешенных для запуска процессов, если установлен режим контроля разрешенных для запуска процессов; - внесены ли процессы ОС (привилегированные), в список разрешенных для запуска процессов, если установлен режим контроля разрешенных для запуска процессов; - не внесены ли процессы КСЗИ, в список запрещенных для запуска процессов, если установлен режим контроля запрещенных для запуска процессов; - не внесены ли сетевые службы, в список запрещенных для запуска процессов, если установлен режим контроля запрещенных для запуска процессов; - не внесены ли процессы ОС (привилегированные), в список запрещенных для запуска процессов, если установлен режим контроля запрещенных для запуска процессов. "Проверка разграничений доступа к ФС". Производится проверка разграничений пользователей к исполняемым файлам КСЗИ и ОС: - совпадают ли списки пользователей в модуле разграничения доступа к ФС со списком пользователей, заведенных в КСЗИ; - разрешен ли для пользователей доступ к исполняемым файлам КСЗИ, и исполняемым системным файлам на чтение; - запрещен ли для пользователей доступ к файлам КСЗИ, и системным файлам на запись; - разрешен ли для пользователей доступ к файлам КСЗИ, и системным файлам на исполнение; - установлена ли при механизме мандатного разграничения доступа мандатная метка «0» для привилегированных процессов. "Проверка разграничений доступа к Сети". Производится проверка доступности сервера безопасности КСЗИ: - есть ли адрес сервера безопасности в списке разрешенных для доступа сетевых адресов; - нет ли адрес сервера безопасности в списке запрещенных для доступа сетевых адресов. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 91 "Другие проверки". Производится проверка: - используется ли контроль общих папок (разделяемых сетевых ресурсов); - используется ли режим конфиденциальной печати (печать с реквизитами). "Проверка привилегированных процессов". Производится проверка возможности запуска привилегированных процессов: - внесены ли процессы КСЗИ как привилегированные в список разрешенных для исполнения процессов и установлены ли соответствующие разграничения; - внесены ли процессы ОС как привилегированные, в список разрешенных для исполнения процессов и установлены ли соответствующие разграничения; - не внесены ли процессы привилегированные процессы КСЗИ в список запрещенных для исполнения процессов; - не внесены ли процессы привилегированные процессы ОС в список запрещенных для исполнения процессов. 6) Контекстная помощь Каждое окно настроек КСЗИ, как на клиентской, так и на серверной части, содержит контекстную подсказку по настройкам механизмов безопасности, которая из меню может быть вызвана на экран администратором. 7) Отображение прав доступа к объекту для пользователя КСЗИ позволяет пользователю из проводника Explorer просмотреть права его доступа к файловым объектам и к устройствам ввода/вывода (к накопителям), если соответственно доступ по чтению к данным объектам ему не запрещен. КСЗИ по запросу пользователя отображает установленную мандатную метку объекта и установленные дискреционные разграничения доступа к объекту для пользователя. 3.3.14. Механизмы контроля действий пользователя в системе 1) Контроль консоли В КСЗИ встроена функция ведения журнала клавиатурных сообщений пользователя, т.е. при запуске данного механизма в течение всей работы пользователя сервис КСЗИ будет записывать в журнал клавиатурных сообщений все алфавитно-цифровые нажатые клавиши, что даст возможность позже просмотреть процесс работы пользователя на рабочей станции или информационном сервере. Для удобства последующего анализа, консольные данные формируются в отчеты в структурированном виде с указанием приложения, в котором работал КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 92 пользователь. Администратор безопасности имеет возможность контролировать действия пользователя на рабочей станции при возникновении подобной необходимости. Замечание. Данная возможность может отключаться локально, без возможности ее удаленного включения администратором с сервера безопасности, что реализована для возможности ограничения контролирующих функций администратором. 2) Контроль экранных копий монитора В КСЗИ встроена функция получения экранных копий изображения с контролируемого компьютера на сервер КСЗИ. Возможны различные форматы файла получаемого изображения BMP, PNG, или JPG. Замечание. Данная возможность может отключаться локально, без возможности ее удаленного включения администратором с сервера безопасности, что реализована для возможности ограничения контролирующих функций администратором. 3) Проверка занятых TCP портов КСЗИ позволяет администратору безопасности проверить занятость TCP портов на защищаемом компьютере. Этот механизм полезен для защиты компьютера от внешнего доступа, т.к. несанкционированное занятие порта предполагает возможность несанкционированного запуска соответствующей ему программы-обработчика (например, по протоколу Telnet и т.п.). Проверка осуществляется по команде администратора. 4) Контроль запущенных процессов КСЗИ позволяет администратору безопасности проверить запущенные процессы на защищаемом компьютере и завершить любой из них. Так же администратор имеет возможность запустить любой процесс на защищаемом компьютере, в том числе, и скрытно для пользователя. 5) Контроль файловой системы В КСЗИ реализована функция проводника, позволяющая получить доступ администратора ко всей файловой системе на защищаемом компьютере, в том числе переписать на СБ любой файл пользователя, записать на защищаемый компьютер любой файл, в частности программу и затем запустить соответствующий процесс, блокировать с СБ доступ пользователя к любому файлу. 3.3.15. Механизмы, упрощающие осуществление настроек безопасности КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 93 КСЗИ В КСЗИ реализована совокупность механизмов, позволяющих существенно упрощать администратору проведение настроек механизмов защиты, к ним относятся: Механизм сохранения и ввода типовых настроек; Механизм подключения пользователя к группе (профилю). В КСЗИ, как локально, так и удаленно (на СБ) могут быть сохранены и автоматически введены типовые настройки. На клиентской части настройки могут сохраняться на дискете, затем с дискеты загружаться на этом или ином защищаемом объекте. На СБ ведется база данных настроек, в том числе и база данных типовых настроек. Подобные настройки удаленно с СБ могут быть установлены на любой защищаемый КСЗИ объект (рабочую станцию или сервер). В КСЗИ могут быть выделены механизмы, отличающиеся сложностью администрирования, к которым относятся: разграничение (мандатное и дискреционное) доступа к файловой системе, сменным накопителям, разделяемым сетевым ресурсам (доступ к которым осуществляется по протоколу Net Bios), дискреционное разграничение доступа к реестру ОС, к сетевым ресурсам по протоколу TCP/IP и др. (остальные настройки являются общими для защищаемого компьютера, и их задание, при включении нового пользователя в систему, не вызывает сложности). Для данных настроек реализована возможность, упрощающая подключение к системе нового пользователя (или разрешение нового процесса). Каждая из этих настроек предполагает объединение пользователей и процессы в группы (профили), при этом подключение нового пользователя к системе (или разрешение для запуска нового процесса) сводится к включению пользователя (процесса) в соответствующую группу (профиль). 3.3.16. Возможности КСЗИ по удаленной настройке механизмов защиты Настройки механизмов защиты КСЗИ с локальной консоли и удаленно (с сервера безопасности) практически полностью совпадают. Для реализации возможностей по осуществлению настроек с сервера безопасности, на сервере реализованы следующие средства обзора защищаемых ресурсов: - Удаленный обзор локальной файловой системы; - Удаленный обзор локального реестра ОС; - Обзор разделяемых сетевых ресурсов. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 94 Используя данную совокупность обзоров, администратор с сервера удаленно может получить любую информацию о локальных и сетевых защищаемых ресурсах, в частности, о защищаемых объектах файловой системы, устройствах, принтерах (названия локальных принтеров могут быть получены из реестра ОС), общих папках и сетевых принтерах и т.д. Функции обзора локальной файловой системы существенно расширены, с использованием данной функции администратор может удаленно создавать и удалять файловые объекты, копировать их на сервер безопасности и с сервера, блокировать доступ к файловым объектам и т.д. КСЗИ содержит практически только собственные механизмы защиты, которые могут использоваться либо вместо, либо в дополнение к встроенным в ОС (Windows NT/2000) механизмам защиты. Для возможности удаленного управления с сервера безопасности встроенными в ОС механизмами защиты, а также для удаленного осуществленния настроек самой ОС, в состав КСЗИ включена отдельная программа – программа удаленной консоли рабочей станции, позволяющая выполнять удаленно все действия по ее управлению, что и действия, выполняемые с локальной консоли рабочей станции. Программа содержит клиентскую и серверную части, соответственно, клиентские части устанавливаются на защищаемые объекты (рабочие станции и серверы), серверная часть – на сервер безопасности. Применение данной программы также полезно и в том случае, когда функции администратора безопасности и системного администратора совмещены в одном лице. При установлении соединения клиентской и серверной частей программы, осуществляется аутентификация сервера безопасности (пароль вводится администратором на серверной части данной программы с консоли). Используется собственный сетевой протокол взаимодействия, что предотвращает возможность проведения анализа настроек по информации, получаемой из сети, например, с использованием программ Sniffer. При осуществлении удаленных настроек администратор безопасности имеет возможность средствами программы удаленного блокирования органов управления (клавиатуры и мыши) на защищаемом объекте. 3.3.17. Механизмы аудита 1) Основные функции регистрации КСЗИ осуществляет регистрацию основных событий при функционировании защищаемого объекта: использование механизмов авторизации, запрос и получение доступа к защищаемым ресурсам (локальным и сетевым), КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 95 создание и уничтожение объектов доступа, действия по переназначению прав разграничения доступа и т.д. Для каждого из этих событий регистрируется следующая информация: дата и время, субъект, осуществляющий регистрируемое действие, тип события, результат выполнения и т.д. КСЗИ содержит средства выборочного ознакомления с регистрационной информацией при помощи соответствующих журналов (каждый журнал формируется для соответствующего события или группы событий) как при локальном администрировании (из интерфейса клиентской части КСЗИ), так и удаленно, из интерфейса серверной части КСЗИ. 2) Двухуровневая модель аудита Особенностью реализованной модели защиты с точки зрения построения подсистемы удаленной регистрации (аудита) является введение в системе двух уровней аудита: Аудит первого уровня, осуществляемый механизмами контроля доступа пользователя в систему и механизмами разграничения прав доступа пользователя (и процессов) к ресурсам системы. Этими механизмами ведется полный аудит действий пользователя системы (процесса) – фиксируются все действия, связанные, как с правомерными, так и неправомерными попытками доступа пользователя к ресурсам защищаемого объекта. Регистрируемыми фактами НСД здесь являются неправомерные (противоречащие реализуемой политикой информационной безопасности) действия пользователя, как ошибочные, так и сознательные, которые предотвращены механизмам защиты рассматриваемых уровней. Аудит второго уровня, осуществляемый механизмами контроля целостности и “сквозной защиты информации”, уже фиксирует не все действия пользователя, включая НСД, а только критичные факты НСД, связанные с преодолением злоумышленником (здесь уже речь идет не об ошибках пользователя, а об осознанных действиях нарушителя) механизмов контроля и разграничения прав доступа, т.к., по существу, данными механизмами осуществляется мониторинг корректности функционирования разграничительных механизмов защиты. Таким образом, реализация уровневой модели защиты позволяет ввести уровневую модель аудита. При этом принципиально различается функциональное назначение уровней аудита - на первом уровне регистрируются все действия пользователей, в том числе и попытки НСД, причем как сознательные (нарушения), так связанные с ошибками пользователей, на втором уровне регистрируются только факты НСД, обусловленные сознательными нарушениями пользователей, причем связанные с преодолением защиты первых двух уровней КСЗИ «Панцирь» © ЗАО «НПП ИТБ» модели защиты (либо с некорректным функционированием данных уровней защиты). Другими словами, реализованный подход позволяет разделить регистрируемые события на некритичные (аудит первого уровня) и критичные (аудит второго уровня). При этом совершенно различаются, как требования к оперативности обработки регистрационной информации уровней аудита, так и вероятность регистрируемых событий на данных уровнях, и объемы регистрируемой информации. Так на первом уровне аудита ведется непрерывная регистрация событий, т.е. накапливаются большие объемы некритичной к оперативности обработки регистрационной информации. Подобную информацию администратор может получать на сервер по своему запросу (в моменты минимальной нагрузки на опорную сеть), соответственно, обрабатывать ее в рамках проведения расследований по факту НСД. Напротив, на втором уровне аудита чрезвычайно редко регистрируется критичная к оперативности обработки информация по фактам НСД. Данные этого уровня аудита, в дополнение к регистрации в соответствующих журналах, поступают (если установлена соответствующая настройка) администратору безопасности (на сервер ошибок – специальную программу сервера безопасности) немедленно и обрабатываются в реальном времени. 3.4. Модель защиты (модель диспетчера доступа) 3.4.1. Структура диспетчера доступа Структура диспетчера доступа, реализованного в КСЗИ, приведена на рис.6. Реализуются следующие механизмы управления доступом – каждый механизм реализуется своим диспетчером: Аутентификация пользователей и администратора безопасности осуществляется при доступе в систему, при запуске интерфейса настроек КСЗИ, при запуске меню настроек наиболее критичных механизмов защиты (на клиентской части). При доступе пользователей в систему аутентификация может осуществляться с консоли, с дискеты, либо с использованием аппаратного аутентификатора (электронного ключа) i-Button, остальные задачи управления доступом предполагают ввод пароля с консоли; Аутентификация ответственного лица (в общем случае пароль отличен от паролей пользователей) при запуске сетевых служб (приложений), например, для обеспечения контролируемого ответственным лицом доступа в сеть Internet; 96 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 97 Мандатное и дискреционное разграничение прав доступа пользователей к локальным логическим дискам, каталогам и файлам, включая “системный диск”; Мандатное и дискреционное разграничение прав доступа пользователей к исполняемым файлам (к запуску программ); Мандатное и дискреционное разграничение прав доступа пользователей к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft; Мандатное и дискреционное разграничение прав доступа пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Мандатное и дискреционное разграничение прав доступа пользователей к общим для пользователей файловым объектам (каталоги TMP, TEMP, “Корзина”, “Мои документы” и т.д.); Дискреционное разграничение прав доступа процессов к локальным логическим дискам, каталогам и файлам, включая “системный диск”, к исполняемым файлам (к запуску программ), к разделяемым сетевым (по протоколу Net Bios) ресурсам в сети MS Microsoft - к виртуальным каналам связи сети Microsoft, пользователей к устройствам со сменными носителями (дисковод, CD-ROM и т.д.) и к отчуждаемым физическим носителям информации; Дискреционное разграничение прав доступа пользователей и процессов к управляющему реестру ОС WINDOWS 95/98/NT/2000; Дискреционное разграничение прав доступа пользователей к локальным и сетевым принтерам; Дискреционное разграничение прав доступа пользователей и процессов к сетевым ресурсам по протоколу TCP/IP, мандатное разграничение доступа к виртуальным каналам связи сети TCP/IP; Разграничение прав доступа пользователей к рабочему столу “Windows” для ОС Windows 95/98. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 98 Диспетчер доступа КСЗИ Диспетчер контроля доступа поль зова тель адм ини стра тор авторизация Диспетчеры разграничения доступа к объектам файловой системы, включая «системный диск», к общим для пользователей файловым объектам, к устройствам со сменными носителями, к отчуждаемым физическим носителям, к исполняемым файлам (запуску программ), к разделяемым сетевым ресурсам (по протоколу Net Bios) - к виртуальным каналам связи сети Microsoft, к виртуальным каналам связи сети TCP/IP ман дат ный Диспетчер доступа к реестру ОС Диспетчер доступа к сети (сетевым ресурсам) по протоколу TCP/IP Диспетчер доступа к локальным и сетевым принтерам Диспетчер доступа к рабочему столу Windows диск реци онн ый диск реци онн ый диск реци онн ый дис кре цио нн ый диск рец ион ный Рис.6. Структура диспетчера доступа КСЗИ 3.4.2. Непротиворечивые правила изменения прав разграничения доступа 1) Правила изменения прав дискреционного разграничения доступа В КСЗИ реализованы гибкие возможности по заданию разграничительной политики доступа к ресурсам. Гибкость достигается тем, что для каждого пользователя в отдельности и для каждой категории доступа (запись, чтение, запуск – это «чтение» исполняемого файла, задаваемого соответствующим расширением) может задаваться вид доступа, как «разрешенные для», так и «запрещенные для», что позволяет реализовывать для пользователя (для категории доступа) «мягкую», либо «жесткую» политику разграничения доступа. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 99 Внимание. Для каждой категории доступа (чтение, запись, запуск) может быть задан только один вид доступа, либо «разрешенные для», либо «запрещенные для». Внимание. Если выбран какой-либо тип доступа, например, “разрешенные” для какой-либо категории доступа, например, “запись”, чем задается вид разграничения, для примера - “разрешенные для записи”, то только этот вид разграничения может устанавливаться на все элементы иерархии файловой системы – логический диск, каталог, подкаталог, файл (нельзя одновременно установить разичные виды разграничений, например, “разрешенные для записи” и “запрещенные для записи” для различных элементов иерархии файловой системы, например, на каталог и на файл). Поэтому, если устанавливается какой-либо вид разграничения на какой-либо включающий элемент, например, каталог, этот вид разграничения наследуется всеми включаемыми элементами, например, файлами (аналогичный вид разграничения устанавливать на включаемые элементы не имеет смысла). Таким образом, при задании разграничительной политики доступа к файловым объектам следует выбрать иерархию элементов, на которые устанавливается разграничение – файлы или подкаталоги или каталоги или логические диски (между элементами данной иерархии доступ пользователей должен разграничиваться), затем выбрать вид разграничения, затем установить данные разграничения для выбранного иерархического объекта файловой системы, например, на подкаталоги. Внимание. При использовании механизма дискреционного разграничения прав доступа к файловой системе для каждого пользователя и для каждой категории доступа (чтение, запись, запуск) в отдельности можно настроить один из двух режимов разграничения доступа “мягкий” или “жесткий”, причем разграничения устанавливаются на один выбранный иерархический элемент файловой системы - файлы или подкаталоги или каталоги или логические диски. В “мягком” режиме (устанавливается вид доступа «запрещенные для») пользователю (категории доступа) доступны все соответствующие иерархические объекты файловой системы, кроме тех, которые указаны как запрещенные для записи/чтения. Поэтому, если пользователь указывает каталоги или файлы, как запрещенные для записи/чтения, то он имеет возможность создания новых каталогов и файлов, на которые не распространяются исходно заданные администратором безопасности разграничения прав доступа. В “жестком” режиме (устанавливается вид доступа «разрешенные для») пользователю (категории доступа) доступны только те иерархические объекты файловой системы, которые указаны как разрешенные для записи/чтения. Поэтому, если в данном режиме пользователь указывает каталоги или файлы как разрешенные для записи/чтения, все КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 100 создаваемые пользователем файловые объекты (каталоги, подкаталоги и подпадают под исходно заданные администратором безопасности файлы) ограничения, пользователь не может, работая в данном режиме, создать файловый объект вне рамок заданных разграничений. То же относится и для категории доступа “запуск” (исполнение). Внимание. Вся совокупность разграничений доступа задается тремя категориями: «запись», «чтение», «запуск» (или «исполнение»), с целью упрощения настроек механизма. При этом другие виды операций при обращении к файловым объектам разграничиваются «по умолчанию» заданными типами разграничений следующим образом: - при запрете на чтение запрещается любой доступ к указываемому файлу, т.е. операции открытия, чтения, записи, удаления, переименования, поиска, чтения; - при запрете на запись запрещается любой доступ к указываемому файлу, приводящий к его модификации, т.е. операции открытия для записи, записи, удаления, переименования; - при запрете на запуск (исполнение) запрещается запуск указываемого исполняемого файла (при этом блокируется запуск любого исполняемого файла с расширением, отличным от стандартных расширений исполняемых файлов). Категориями доступа запись, чтение, запуск могут устанавиваться следующие права доступа – “доступ запрещен”, “доступ разрешен только на чтение”, “доступ разрешен на чтение и на запись” (разрешены все дейстия с объектом – переименование и т.д.), “доступ разрешен на чтение и исполнение”, “разрешен полный доступ”. Таким образом категория доступа «разрешеные для записи» не может устанавливаться вне установки категории «разрешенные для чтения» или не “запрещенные для чтения”. Тоесть, если объекту доступа разрешен доступ «разрешенные для записи», то одновременно должен быть разрешен и доступ «разрешенные для чтения» (разграничения должны устанавливаться для обеих категорий доступа), либо данный объект не должен устанавливаться в категории “запрещенные для чтения” (если выбрана эта категория). Аналогично для категории “разрешенные для запуска” объект (исполняемый файл) должне устанавливаться и в категории “разрешенные для чтения”, либо не устанавливаться в категории “запрещенные для чтения” (если выбрана эта категория). Для запрета полного доступа к объекту достаточно установить объекту доступ «запрещенные на чтение», либо не устанавливать его в категории “разрешенные для чтения” (если выбрана эта категория). Для разграничений доступа к исполняемому файлу на исполнение КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 101 обязательно должна устанавливаться категория запуска, т.е. разграничение “разрешение для запуска”, либо “запрет для запуска” (если выбрана эта категория). Требования к заданию разграничений доступа к объектам для различных видов разграничений - «разрешенные для» и «запрещенные для», представлены в табл.3.1. Таблица 3.1 Категория доступа Устанавливаемый вид доступа объекту к Доступ запрещен при Права доступа к объекту Доступ Доступ Доступ разрешен разрешен разрешен только на на чтение на чтение чтение и запись и запуск Разрешен полный доступ задании разграничений Чтение Запись Запуск (исполнение) «Разрешение для чтения» «Запрещение для чтения» «Разрешение для записи» «Запрещение для записи» «Разрешение для запуска» «Запрещение для запуска» _ х + х + х + х + х х + х _ х _ х _ х * _ х + х _ х + х * х + х _ х + х * _ х _ х + х + х * х + х + х х _ _ _ _ Примечание: “х” – обозначает не использование категории доступа; “+” - обозначает обязательное назначение доступа к объекту для устанавливаемого вида доступа при использовании категории доступа; «-» - обозначает обязательное не назначение доступа к объекту для устанавливаемого вида доступа при использовании категории доступа; «*» - обозначает произвольное назначение доступа к объекту для устанавливаемого вида доступа, включая не использование категории доступа. Дискреционный метод разграничения доступа к файловой системе Внимание. Дискреционные разграничения доступа могут устанавливаться в следующих случаях: Если отключен мандатный механизм разграничения доступа – любые разграничения могут быть выставлены на любой субъект и объект доступа; КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 102 Если включен мандатный механизм разграничения доступа, то дискреционные разграничения могут устанавливаться в рамках мандатных разграничений (если они противоречат мандатным, то КСЗИ такие ограничения не будут учтены); Если включен мандатный механизм разграничения доступа и объекту присвоен признак исключения «0», то дискреционные разграничения могут устанавливаться для данного объекта вне мандатных разграничений. КСЗИ реализует механизм дискреционного управления доступом к файловой системе, основу которого составляет использование таблицы разграничений прав доступа. Посредством этой таблицы субъектам (пользователям, процессам) и объектам файловой системы (логическим дискам, каталогам, файлам) устанавливаются настройки разграничения доступа. Особенностью реализации механизма в КСЗИ является включение в субъекты доступа, помимо субъекта «Пользователь», субъекта «Процесс». Разграничение осуществляется заданием пользователя (процесса), для которого устанавливаются разграничение, заданием для пользователя (процесса) объектов, к которым будет реализовано разграничение, заданием прав доступа пользователя (процесса) к объекту. Следует учитывать то, что при использовании длинных имен файловых объектов, к ним можно обращаться и по длинному, и по короткому имени, например к каталогу “\Program files\” можно обратиться по короткому имени “\Progra~1\”, поэтому при указании пути к файлам или каталогам, имеющим длинное имя, следует указывать сокращенный путь (6 символов) со звездочками (маску, покрывающую оба возможных обращения к файловому объекту). Пути “C:\Program Files\Internet Explorer\IEXPLORE.EXE” будет соответствовать путь “C:\PROGRA*\INTERN*\IEXPLORE.EXE” - необходимо указывать звездочки перед каждым знаком “слэш” (для установки доступа к каталогу “C:\Program Files” достаточно указать “C:\Progra” (нет завершающего знака «слэш») звездочку ставить не надо. Внимание. КСЗИ предусматривает возможность при задании разграничений прав доступа автоматического преобразования длинных имен в маски, задаваемые сокращенными путями. Созданная таким образом маска обеспечит разграничение доступа при обращении к файловому объекту и по длинному, и по короткому именам. Для создания маски необходимо в окне ввода ресурса ввести длинное имя ресурса, установить флаг «Маска» и записать результат преобразования в список ресурсов, нажав кнопку «Ок». Правила создания масок Маска является строкой, содержащей в себе вместе с частями имени ресурса, также специальные символы и конструкции. Эти спецсимволы управляют процессом сравнения двух КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 103 строк: маски и имени ресурса. В масках допустимо использование следующих спецсимволов и конструкций: * - обозначает любую последовательность символов (символ может отсутствовать в имени ресурса); ? - обозначает любой символ (символ в имени ресурса должен присутствовать на месте спецсимвола в маске); [набор символов] - обозначает любой символ входящий в набор (символ в имени ресурса должен присутствовать на месте конструкции в маске); [!набор символов] или [^набор символов] - обозначает любой символ не входящий в набор (символ в имени ресурса должен присутствовать на месте конструкции в маске). Набор символов может задаваться как последовательностью (например, [abcdefg]), так и диапазоном (например, [a-g]), а также комбинацией последовательности и диапазона (например, [bde-hxyz]). Примеры задания масок: - маска c:\* покрывает ресурсы с именами c:\, c:\aaa, c:\user\user1\aaa и т.п., - маска *user* покрывает все имена ресурсов, содержащие в себе строку "user", например c:\user1\b, d:\users\user2 и т.п., - маска c:\*asd.txt покрывает все имена ресурсов, начинающиеся строкой "c:\" и заканчивающихся строкой "asd.txt", - маска c:\user?\[!abcg-z]rr.txt покрывает такие имена ресурсов, как c:\user1\drr.txt, c:\user2\frr.txt, c:\users\err.txt и не покрывает такие имена ресурсов как c:\user\drr.txt, c:\user1\arr.txt, c:\user2\krr.txt. Внимание. При установке маски для вида доступа «разрешенные на чтение» следует учитывать особенность работы некоторых программ (например, Explorer) при чтении данных. Эти программы при чтении многократно обращаются к файловой системе по частям имени объекта (диск, диск\каталог, диск\каталог\подкаталог и т.д., полный путь). Поэтому маска должна быть создана таким образом, чтобы она покрывала обращения ко всем частям имени объекта, по которым осуществляется обращение программой. Внимание. После задания маски убедитесь, что она определена верно, и что доступ может быть осуществлен в рамках требуемых разграничений. Необходимо также учитывать, что в ОС Windows NT/2000 имена (каталогов, файлов), набранные русскими буквами, также имеют короткое имя, которое формируется с использованием “C:\Documents кодировки and Unicode. Например, Settings\USER1\Главное короткое меню” имя для выглядит каталога как “C:\Docume~1\USER1\5D29~1\” (внешне они могут существенно различаться). Поэтому КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 104 при использовании русских имен в обозначении файловых объектов, для покрытия всех видов обращения к таким ресурсам, требуется вносить в список ресурсов две строки: первую для покрытия обращений по длинному имени, вторую по короткому, для которых следует задать идентичные права доступа. Например, для разграничения доступа к каталогу “C:\Documents*\USER1\Главное меню\*”, следует внести строки “C:\Documents*\USER1\Главное меню\*” и “C:\Documents*\USER1\5D29~1\*”. Внимание. КСЗИ реализует возможность при задании разграничений прав доступа к объектам с именами, содержащие русские буквы, автоматического преобразования этих имен в имена, задаваемые сокращенными путями. Для этого необходимо ввести имя ресурса дважды, сначала ввести в окне ввода ресурса собственно исходное имя ресурса, содержащее русские буквы, и записать результат, нажав кнопку «Ок», затем вновь в окне ввода ресурса ввести исходное имя ресурса, содержащее русские буквы, и реализовать автоматическое преобразование исходного имени ресурса, установив флаг «короткое имя» в окне ввода ресурса, и записать результат преобразования в список ресурсов, нажав кнопку «Ок». Для рассмотренного выше примера в список ресурсов при этом будет введено два имени ресурса – исходное и имя, в которое автоматически будет преобразовано исходное имя (однозначное преобразование имен осуществляет КСЗИ) “C:\Documents*\USER1\Главное меню\*” и “C:\Documents*\USER1\5D29~1\*. Затем следует установить одинаковые разграничения доступа к обоим сформированным ресурсам из списка, соответствующим одному объекту. Внимание. При внесении объектов, к которым разграничивается доступ, необходимо учитывать способ реализации дискреционного (и мандатного) механизма разграничения доступа – реализован в виде драйвера. То есть механизм обрабатывает запросы на доступ к объектам в том виде, в котором они поступают в драйвер. Особенности представления данной информации состоят в том, что в некоторых комбинациях одноименные объекты различных уровней иерархии файловой системы, входящие в состав одного и того же включающего объекта файловой системы (логического диска, каталога), могут быть драйвером неразличимы - при разграничении доступа к одноименным каталогу и файлу на одном диске (например, при разграничении доступа к файлу на диске D:\USER и к одноименному каталогу D:\USER\….., в драйвер поступает имя объекта D:\USER), к одноименным подкаталогу и файлу на одном диске в одном каталоге и т.д. Проверьте, чтобы таких комбинаций, при разграничении доступа к одноименным объектам с различными правами, не существовало. Внимание. При установке прав пользователя на запуск программ необходимо указывать полный путь к ресурсу, например: C:\far\far.exe. Запись far.exe без указания полного пути КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 105 к месту, где располагается программа (соответствующий исполняемый файл), является некорректной. Для того чтобы запретить или разрешить запуск всех программ с одинаковым названием исполняемого файла, не перечисляя при этом все полные пути к ним, необходимо использовать символ “звездочка”, например: *\far.exe. Кроме разграничений доступа пользователей к файловой системе, КСЗИ позволяет разграничить доступ процессов к логическим дискам, файлам и каталогам. Данный механизм может применяться для решения следующих задач: Для разграничения доступа отдельных процессов в рамках (либо вне рамок) заданных разграничений доступа пользователя. Данный механизм позволяет осуществлять более точные настройки доступа пользователя к ресурсу, в частности, с учетом решаемых пользователем задач (запускаемых процессов или программ); Вторая задача связана с тем, что прикладной процесс, запускаемый на ПЭВМ, обращается к файловым объектам с правами текущего пользователя. Поэтому, если информационная система требует установки клиентской части информационной системы на ПЭВМ, то удаленно - с серверной части данной информационной системы, можно получить доступ ко всем файловым объектам, к которым разрешен доступ текущему пользователю. Для защиты файловых объектов пользователя в КСЗИ для процессов, доступ к файловым объектам которых с правами текущего пользователя может быть критичен, в частности, при реализации сетевых приложений, механизм позволяет задавать перечень файловых объектов, к которым доступ данным процессам разрешен (например, только к системному диску), что не позволяет удаленно получить доступ в рамках данной службы ко всем файловым объектам, к которым разрешен доступ текущему пользователю. При работе с данным механизмом следует задать список процессов, права которых должны разграничиваться. Настройка разграничения доступа процессов осуществляется аналогично настройке разграничения доступа пользователей. Возможны (устанавливается для каждого процесса) следующие способы разграничения доступа процесса к выбранному ресурсу – с правами пользователя (устанавливается режим «вместе с правами пользователя»), либо вне этих прав. В первом случае доступ процесса к ресурсу будет разрешен в случае, если доступ к данному ресурсу разрешен и процессу и пользователю (и заданные правила разграничения доступа для процесса и пользователя не противоречивы), во втором случае права доступа пользователя анализироваться не будут (разграничение доступа для процессов будет осуществляться вне разграничений пользователя). Внимание. При настройке разграничительной политики для процессов имя процесса следует вносить вручную. Это вызвано тем, что опцией “Обзор” для копирования имен процессов в общем случае пользоваться не имеет смысла, т.к. средствами обзора можно КСЗИ «Панцирь» © ЗАО «НПП ИТБ» задать некоторый исполняемые файлы, в то время как 106 процесс, собственно обращающийся к файлу, может порождаться иным процессом (один запущенный процесс может порождать другой процесс, и именно этот порожденный процесс может обращаться к файлам и другим объектам). Чтобы определить процесс, обращающийся к файлу или иному объекту, администратору безопасности следует запустить аудит доступа к файлу или каталогу, установить аудит к данному объекту, осуществить к нему доступ требуемой программой - средствами аудита собрать статистику обращений процессов к файловым объектам. Задавать процесс (вводить имя процесса) следует в том же виде, в котором он будет отображаться при аудите. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к системным файлам Внимание. Корректность настройки данного механизма связана с корректностью функционирования системы. Поэтому данный механизм следует настроить в первую очередь, после чего убедиться в корректности функционирования ОС и КСЗИ с заданными настройками. Механизм разграничения доступа к файловой системе в КСЗИ позволяет осуществлять запрет доступа пользователей к системным файлам “на запись” (разрешается только чтение), что предотвращает возможность модификации данных файлов. Реализация данного механизма возможна вследствие реализованного в КСЗИ метода разграничения прав доступа к файлам, позволяющего разграничивать права доступа отдельно для пользователей и процессов, причем для каждого процесса может задаваться режим доступа – с учетом (либо без учета) заданных прав пользователей. Внимание. Для системных (привилегированных) процессов должен разрешаться полный доступ к системному диску (каталогу) и при этом устанавливаться режим доступа вне рамок разграничения пользователей. Всем пользователям и всем остальным процессам доступ “на запись” к системным каталогам и файлам должен быть запрещен, т.е. только привилегированные процессы получают доступ “на запись” к системному диску (каталогам), причем получают такой доступ всегда, вне зависимости от текущего пользователя и решаемых им задач. Настройка данного механизма осуществляется настройкой механизмов разграничения прав доступа к файловой системе. Внимание. При настройке данного механизма обязательно должны быть заданы расширения файлов, которые используются КСЗИ для идентификации исполняемых файлов (программ и процессов) от файлов данных. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 107 Внимание. Для упрощения настройки механизма разграничения доступа к файловой системе в КСЗИ имеются предустановленные списки привилегированных процессов (имя профиля - привилегированный) реализация разграничения, для которых позволяет обеспечить корректную работу ОС в минимальной конфигурации, т.е. работу собственно ОС, КСЗИ и пакета программ Microsoft Office. Файлы с расширением ini, содержащие списки привилегированных процессов для всех поддерживаемых КСЗИ операционных систем, расположены: /каталог, куда установлена КСЗИ / FILECTRL / INI / filectrl *.ini. Чтобы воспользоваться списком привилегированных процессов, заданным по умолчанию, нужно скопировать соответствующий файл filectrl*.ini (например, для ОС Windows 98 – это filectrl98.ini) в каталог FILECTRL, перезапустить механизм управления доступом к файловой системе и сетевым ресурсам, и в его вкладке “процессы” появится список привилегированных процессов, которым затем необходимо разрешить полный доступ системному диску. Внимание. Если необходимой корректности функционирования ОС при задании привилегированных процессов из списка не обеспечивается, то необходимо расширить исходный список. Для этого следует выявить системные процессы, запускаемые на вашем компьютере и внести их в список. Замечание. Если возникают сложности в доопределении системных процессов, обратитесь к разработчику КСЗИ. Внимание. Всем пользователям следует запретить запись на системный диск. Список привилегированных процессов может быть расширен (в случае необходимости установки программного обеспечения требующего доступ к системным файлам), для этого выбранный вами процесс (привилегированный для нужного вам приложения) должен быть включен в профиль остальных привилегированных процессов. Внимание. Проверьте, чтобы в список привилегированных процессов были занесены процессы КСЗИ. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа пользователей к запуску процессов (программ) Для каждого пользователя или процесса можно задать список программ, которые ему разрешено или запрещено запускать, либо задать каталог, откуда пользователю можно запускать программы. Возможности данного механизма целесообразно использовать для обеспечения замкнутости программной среды. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 108 В КСЗИ возможна реализация альтернативных способов обеспечения замкнутости программной среды. Первый способ состоит в задании списков разрешенных, либо запрещенных процессов с возможностью запуска только тех процессов, которые отнесены к разрешенным (или не отнесены к запрещенным), по средством анализа вхождения запускаемого процесса в соответствующий список. Второй способ состоит в задании каталогов для пользователей, откуда им разрешается запускать программы - исполняемые файлы (с запретом записи в них файлов), т.е. здесь задаются не собственно списки разрешенных к запуску процессов, а каталоги, откуда могут запускаться программы. Внимание. Механизм обеспечения замкнутости программный среды использует механизмы доступа к запуску процессов. Однако он должен обеспечивать управление запуском процессов со всех ресурсов защищаемого объекта (откуда может быть запущен процесс): файловые объекты, устройства ввода, сетевые объекты (разделяемые в сети папки и устройства). Внимание. Корректно решить вопрос обеспечения замкнутости программной среды можно только с запретом доступа пользователей к системному диску, т.к. даже в случае использования метода обеспечения замкнутости программной среды заданием списка разрешенных к запуску процессов с анализом их полных путей, остается угроза модификации (подмены) пользователем исполняемого файла (процесса) на системном диске, с последующим его запуском под видом санкционированного системного процесса. 1) Метод обеспечения замкнутости программной среды заданием списков процессов Механизм предполагает задание для каждого пользователя списка разрешенных ему на запуск процессов, все остальные процессы считаются запрещенными. Внимание. Для реализации данного механизма обязательно должны быть заданы расширения исполняемых файлов, которые используются КСЗИ для идентификации исполняемых файлов (программ и процессов от файлов данных) – только после задания расширений исполняемых файлов может быть установлен атрибут «запуск». Внимание. Внимание, для разрешения запуска программы, кроме разрешения соответствующего исполняемого файла «на запуск», также для соответствующих исполняемых файлов, а также для файлов данных, которыми должна пользоваться соответствующая программа при выполнении, должно устанавливаться «разрешение на чтение». КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 109 Разграничение осуществляется заданием для каждого пользователя атрибута разрешения на «запуск» на необходимые исполняемые файлы (чем формируется список разрешенных для запуска процессов). Внимание. После задания списка разрешенных на запуск процессов запретите соответствующие исполняемые файлы пользователям «на запись», что предотвратит возможность модификации списка. Для настройки механизма необходимо выполнить следующие действия: - Средствами механизма разграничения доступа к файловой системе разрешить пользователям к исполняемым файлам программ, которые им разрешено запускать (исполняемые файлы задаются полнопутевыми именами, что предотвращает запуск под именем исполняемых файлов, располагаемых в ином месте), “чтение” и “запуск” (при этом запрещается их модификация пользователями). Запуск программ должен разрешаться только с жесткого диска; - Настроить привилегированные процессы, которым разрешить (вне прав пользователей) полный доступ к системному диску средствами разграничения доступа к файловой системе; - Средствами механизма разграничения доступа к файловой системе разрешить пользователям к системному диску доступ только “на чтение”. 2) Метод обеспечения замкнутости программной среды заданием ограничений на запуск пользователями программ из каталогов Альтернативный метод состоит в следующем. Для каждого пользователя определяются программы, разрешенные ему к запуску. Данные программы администратором инсталлируются в соответствующих специально создаваемых с этой целью для каждого пользователя каталогах, в том числе и в системном, к которым пользователю должен быть запрещен доступ “на запись”, с целью запрета модификации разрешенных ему на запуск программ. Программы же пользователям разрешается запускать только из соответствующих для них каталогов (из других каталогов, даже если пользователи имеют к ним полный доступ, запустить программу они не смогут). Для настройки механизма необходимо выполнить следующие действия: - Средствами механизма разграничения доступа к файловой системе указать каталоги, откуда запрещается запускать программы (эти каталоги будут использоваться пользователями для хранения данных). Завести список соответствующих расширений. Средствами механизма разграничения доступа к файловой системе разрешить пользователям к данным каталогам доступ на «запись» и «чтение»; - Сформировать каталоги, откуда пользователям разрешен запуск программ (для каждого пользователя может быть свой каталог запуска программ). Запуск программ должен КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 110 разрешаться только с жесткого диска Инсталлировать в эти каталоги необходимые для пользователя программы; Средствами механизма разграничения доступа к файловой системе разрешить пользователям - к данным каталогам доступ на “чтение” и “запуск”; Настроить привилегированные процессы, которым разрешить (вне прав пользователей) - полный доступ к системному диску средствами разграничения доступа к файловой системе; Средствами механизма разграничения доступа к файловой системе разрешить пользователям - к системному диску доступ только “на чтение”; папок). - Внимание. При обеспечении замкнутости программной среды заданием ограничений на запуск пользователями программ из каталогов не забудьте запретить запуск программ со съемных устройств и из разделяемых сетевых папок. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к съемным устройствам (дисковод, CDROM) и к отчуждаемым физическим носителям информации Возможности КСЗИ по разграничению доступа к съемным устройствам полностью совпадают с возможностями разграничения доступа к локальной файловой системе – также в качестве субъектов доступа могут выступать как пользователи, так и процессы, соответственно могут устанавливаться те же атрибуты. Полностью аналогичны и настройки механизмов, осуществляемые в том же порядке и из того же интерфейса. Отличие состоит лишь в определении (способа задания) ресурса. В общем случае устройство может рассматриваться как произвольно используемое, либо как “помеченное”, в этом случае к нему разграничивается доступ. Общий формат определения ресурса выглядит следующим образом: имя съемного устройства\каталог\подкаталог\…\файл – для доступа к файлу или устройству; имя съемного устройства\каталог\подкаталог\…\* - для доступа к каталогу; имя съемного устройства: - для доступа ко всему устройству в целом, которое может содержать каталоги и файлы (например, к устройству ввода данных – дисководу или CDROM). Примеры задания разграничений доступа к ресурсам: A\temp\* - пользователь получит доступ к подкаталогу Temp устройства с именем А: (например, дисковода) (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек; КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 111 A: - пользователь получит доступ к устройству с именем А: (например, к дисководу) (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек. Внимание. Если требуется разграничить доступ не ко всему устройству, предварительно следует разметить носитель (например, дискету), создав на нем объекты (каталоги и файлы), доступ к которым будет разграничиваться. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к разделяемым сетевым ресурсам в сети Microsoft (по протоколу Net Bios) Возможности КСЗИ по разграничению удаленного доступа к сетевым разделяемым ресурсам в сети Microsoft полностью совпадают с возможностями разграничения доступа к локальной файловой системе – также в качестве субъектов доступа могут выступать как пользователи, так и процессы. Полностью аналогичны и настройки механизмов, осуществляемые в том же порядке и из того же интерфейса. Отличие состоит лишь в определении (способа задания разделяемого) сетевого ресурса. Общий формат определения сетевого ресурса выглядит следующим образом: \\имя машины в сети\имя разделяемого сетевого ресурса\каталог\подкаталог\…\файл – для доступа к файлу; \\имя машины в сети\имя разделяемого сетевого ресурса\каталог\* - для доступа к каталогу; \\имя машины в сети\имя разделяемого сетевого ресурса\* - для доступа ко всему сетевому ресурсу, который может содержать каталоги и файлы. Примеры задания разграничений доступа к разделяемым сетевым ресурсам: \\ITB1\C\Windows\* - пользователь получит доступ к подкаталогу Windows каталога С: на машине с именем ITB1 (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек; \\ITB1\С\* - пользователь получит доступ ко всему каталогу С: на машине с именем ITB1 (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек; \\ITB1*- пользователь получит полный доступ ко всем файлам и каталогам на машине с именем ITB1 (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек. Внимание. После задания разграничений доступа к общим ресурсам проверьте, установлен ли запрет на создание пользователем несанкционированных разделяемых в КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 112 сети ресурсов (в том числе общих папок). Соответствующие настройки осуществляются настройкой механизма «Контроль разделения сетевых ресурсов». Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к временным каталогам В КСЗИ реализован механизм перенаправления пользовательских каталогов, т.е. в случае, если какой-либо каталог используется для работы несколькими пользователями (временные каталоги, “Корзина”, каталог “Мои документы” и т.д.), механизм дает возможность задать для каждого из пользователей собственный альтернативный каталог, куда будут перенаправляться его данные вместо сохранения в исходном каталоге. Механизм работает прозрачно для пользователя. При настройке указывается имя (полный путь) каталога, обращение к которому следует переадресовать, и для каждого пользователя имя каталога (полный путь), к которому следует переадресовать исходной обращение. Например, каталогом C:\WINDOWS\TEMP по умолчанию пользуются некоторые офисные и т.п. приложения под различными пользователями. Для того чтобы данные разных пользователей, хранящиеся в этом каталоге, не пересекались, для каждого пользователя имеет смысл назначить собственный каталог (например, D:\TEMP1 для пользователя User1, D:\TEMP2 для пользователя User2 и т.д.), куда эти данные будут перенаправляться (при этом они не будут сохраняться в исходном каталоге C:\WINDOWS\TEMP) – каталог C:\WINDOWS\TEMP становится виртуальным – в него данные не записываются (данные будут записываться в каталоги D:\TEMP1, соответственно D:\TEMP2 и т.д., поэтому нет необходимости в разграничении доступа к исходному каталогу C:\WINDOWS\TEMP). Внимание. Для ОС Windows 95/98 переадресация доступа к каталогам должна осуществляться в пределах одного логического диска. Внимание. После создания каталогов, к которым будут переадресовываться исходные обращения к временным каталогам, механизмом разграничения доступа к файловой системе установите разграничения доступа к этим каталогам. Обработка запросов к временным каталогам устанавливается в цепочке обработки запросов перед обработкой запросов мандатным и дискреционным механизмами разграничения доступа, поэтому разграничение доступа следует устанавливать не на исходный каталог, а на каталоги, к которым переадресуется обращение пользователя, осуществляемое к исходному каталогу. Внимание. Данный механизм управления доступом может применяться и для разграничения доступа к системным каталогам. Если осуществляется рассматриваемое управление доступом к каким-либо системным каталогам (например, для каждого пользователя можно создавать собственные шаблоны макросов при работе с программой КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 113 Word и т.д.), то после создания соответствующих системным каталогов для пользователей (к которым будет осуществляться переадресация), следует переписать в них содержимое исходного системного каталога (после этого содержимое исходного системного каталога можно удалить), которое затем может видоизменяться соответствующим пользователем в соответствующем каталоге. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к реестру ОС Внимание. Корректность настройки данного механизма связана с корректностью функционирования системы. Поэтому, если данный механизм используется, его следует настроить в первую очередь, после чего убедиться в корректности функционирования ОС и КСЗИ с заданными настройками. КСЗИ позволяет разграничивать права доступа к реестру ОС. Разграничение может задаваться как для пользователей, так и для процессов. При этом, разграничение прав доступа процессов может осуществляться как в рамках разграничений прав доступа пользователей, так и вне этих рамок. КСЗИ реализует механизм дискреционного управления доступом к реестру, основу которого составляет использование таблицы разграничений. Посредством этой таблицы субъектам (пользователям, процессам) и объектам (ветвям и ключам реестра) реализуются принципы разграничения доступа. Настройки аналогичны с настройками разграничений доступа к файловой системе. Атрибутами доступа служат «чтение» и «запись». Внимание. Для упрощения настройки механизма разграничения доступа к реестру в КСЗИ имеются предустановленные списки привилегированных процессов (имя профиля привилегированный) реализация разграничения, для которых позволяет обеспечить корректную работу ОС в минимальной конфигурации, т.е. работу собственно ОС, КСЗИ и пакета программ Microsoft Office. Файлы с расширением ini, содержащие списки привилегированных процессов для всех поддерживаемых КСЗИ операционных систем, расположены: /каталог куда установлена КСЗИ / REGCTRL / INI / regctrl *.ini. Чтобы воспользоваться списком привилегированных процессов, заданным по умолчанию, нужно скопировать соответствующий файл regctrl*.ini (например, для ОС Windows 98 – это regctrl98.ini) в каталог REGCTRL, перезапустить механизм управления доступом к реестру, и в его вкладке “процессы” появится список привилегированных процессов, которым необходимо разрешить полный доступ к реестру. Список привилегированных процессов может быть расширен (в случае необходимости установки программного обеспечения требующего доступ к системным файлам), для этого КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 114 необходимый системный процесс (привилегированный для нужного приложения) должен быть включен в профиль остальных привилегированных процессов. Доступ к реестру может быть разграничен в трех режимах: Доступ разрешается при условии, что он одновременно разрешен пользователю и процессу (необходимо установить режим «вместе с правами пользователя»). Доступ разрешается при условии, что он разрешен процессу (вне зависимости от разграничений пользователя). Доступ разрешен пользователю, при условии того, что разграничение на процессы не установлено. Внимание. Не забудьте внести в привилегированные процессы, процессы КСЗИ, для обеспечения возможности их обращения к реестру ОС. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к рабочему столу для ОС Windows 95/98. В КСЗИ предусмотрена настройка встроенных в ОС возможностей по ограничению доступа пользователей к различным ресурсам и элементам ее управления. Каждый флаг в окне “Настройка Windows для пользователя” отвечает за доступ к конкретному элементу графического интерфейса ОС. Эти флаги могут быть установлены для каждого в отдельности пользователя. Внимание. Флаг “Группе настроек Сеть: (Network:)” (установка этого флага запрещает доступ пользователю к настройке всех параметров сети ОС) обязательно должен быть установлен. Внимание. В настройках данного механизма не отображаются установленные ранее на компьютере настройки рабочего стола системными средствами (отображаются только настройки, заведенные из соответствующего интерфейса КСЗИ). При этом, после того, как настройки, введенные из интерфейса КСЗИ, будут активированы, все соответствующие ранее предустановленные системными средствами настройки будут заменены на вводимые из КСЗИ. Чтобы настройки вступили в действие необходимо их применить (даже, если галочки выставлены по умолчанию). Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к локальным и сетевым принтерам КСЗИ позволяет разграничивать права доступа к локальным и сетевым принтерам. Разграничение может задаваться для пользователей. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 115 КСЗИ реализует механизм дискреционного управления доступом к принтерам, основу которого составляет использование таблицы разграничений. Посредством этой таблицы субъектам (пользователям) и объектам (локальным и сетевым принтерам) реализуются принципы разграничения доступа. Атрибутом доступа служит «подключение». Внимание. Разграничение доступа к принтерам осуществляется разграничением доступа пользователей к локальным и сетевым принтерам, драйверы которых установлены на компьютере, для которого осуществляются разграничения. При разграничении доступа к сетевым принтерам не забудьте установить их драйверы на компьютере, для которого настраиваются разграничения доступа. Внимание. По умолчанию разграничений доступа не установлено. Дискреционный метод разграничения доступа к сети TCP/IP КСЗИ позволяет разграничивать права доступа к сети TCP/IP. Разграничение задаются для пользователей и для процессов (сетевых служб), по средством разграничений для пользователей по запуску процессов. В общем случае канал может рассматриваться как произвольно используемый, либо как “помеченный”, в этом случае к нему разграничивается доступ. КСЗИ реализует механизм дискреционного управления доступом к сети, основу которого составляет использование таблицы разграничений. Посредством этой таблицы субъектам (пользователям) и объектам реализуются принципы разграничения доступа. Настройки аналогичны с настройками разграничений доступа к файловой системе. Атрибутами доступа служит «подключение». Объектами доступа являются: - процессы (сетевые службы); - время (интервалы) доступа; - службы доступа (портам); - политика безопасности (запрещенные/разрешенные адреса и порты). Возможно применение одного из вариантов политики безопасности: - использование списка запрещенных IP адресов (портов); - использование списка разрешенных IP адресов (портов). Внимание. Объектами доступа при разграничении доступа к ТСР/IP сети являются IP адреса (компьютеры) и TCP порты (сетевые службы, соответственно, сетевые протоколы). Соответственно, можно разграничивать: С какими компьютерами пользователь в TCP/IP сети; (IP адреса) может взаимодействовать каждый КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 116 Какие сетевые службы (TCP порты) можно разрешать для взаимодействия каждого пользователя с каждым компьютером (для каждого разрешенного IP адреса). Т.е. схема задания разграничений имеет вид: пользователь – для каждого пользователя разрешенные компьютеры (IP адреса) – для каждого разрешенного компьютера разрешенные для взаимодействия сетевые службы (TCP порты). При этом можно отдельно задавать (могут быть различными) параметры исходящих и входящих соединений. В качестве субъектов доступа дополнительно введены процессы (или сетевые службы), с использованием которых пользователь может взаимодействовать с разрешенными компьютерами в рамках разрешенных сетевых служб – TCP портов, соответственно, протоколов и расписание. Расписанием задаются интервалы времени, в течение которых пользователю разрешается доступ к сети. Для различных временных интервалов (расписаний) для каждого пользователя могут быть разрешены свои объекты доступа (IP адреса и TCP порты). Таким образом, полная схема задания ограничений имеет следующий вид: пользователь – процесс (сетевое приложение) – расписание – IP адрес – TCP порт (сетевая служба или протокол). Внимание. При использовании списка разрешенных адресов и портов необходимо указывать локальный адрес 127.0.0.1, также необходимо разрешить взаимодействие компьютера с сервером безопасности КСЗИ (разрешить для взаимодействия (исходящего и входящего) IP адрес сервера безопасности и порт, по которому осуществляется взаимодействие). Внимание. По умолчанию разграничений доступа не установлено. 2) Правила изменения прав мандатного разграничения доступа Мандатный метод разграничения доступа к файловой системе КСЗИ реализует механизм мандатного управления доступом к файловой системе, основу которого составляет использование классификационных меток, вводимых в соответствии с уровнем конфиденциальности информации. Посредством этих меток субъектам (пользователям) и объектам файловой системы (логическим дискам, каталогам, файлам) реализуются принципы разграничения доступа. Внимание. Мандатный дискреционным механизм механизмом. При предполагает этом сначала функционирование анализируются совместно с разграничения, задаваемые мандатным механизмом, затем (уже в рамках данных разграничений) КСЗИ «Панцирь» © ЗАО «НПП ИТБ» осуществляется анализ дискреционных разграничений 117 (если дискреционные разграничения противоречат мандатным, они не будут учтены при разграничении доступа – корректность противоречивости настроек мандатного и дискреционного механизмов осуществляется автоматически КСЗИ). Реализация мандатного механизма доступа представляет собой одноуровневую иерархическую структуру разграничения доступа к файловой системе. Таким образом, имеется несколько (число которых практически не ограничено) уровней доступа (меток конфиденциальности) младший из которых имеет большие права доступа. Каждый уровень доступа может иметь список субъектов доступа (список пользователей) и объектов доступа (список логических дисков, список каталогов и список файлов) для которых могут быть установлены права доступа к объектам для субъектов (пользователей, процессов). Любому пользователю из старшего уровня иерархии (с большими правами – меньшей меткой) могут быть назначены права доступа к каталогам и файлам младшего уровня иерархии (с меньшими правами) только для чтения. Права доступа на чтение и запись (изменение) к каталогам и файлам могут быть назначены только для пользователей соответствующего (с той же меткой конфиденциальности) уровня доступа. Для пользователей младшего уровня иерархии доступ к объектам старшего уровня иерархии запрещен и не может быть осуществлен. В части записи объектов на более высокий уровень конфиденциальности, КСЗИ позволяет пользователю изменять метку собственного объекта (в сторону уменьшения метки – увеличения уровня), предоставляя пользователю возможность переназначить пользователю самостоятельно метку (в сторону ее уменьшения – повышения уровня конфиденциальности объекта) собственного объекта, при условии, что пользователь имеет права доступа к объекту «на запись» (модификацию) – метка объекта должна совпадать с меткой пользователя. Переназначив метку объекту, пользователь предотвращает к нему доступ на запись (модификацию) всех пользователей, имеющих метку больше (права ниже), чем новая метка объекта, в том числе, после назначения метки данный объект становится недоступным и пользователю, переназначившему метку. Таким образом, КСЗИ позволяет записывать пользователям объекты более высокого уровня конфиденциальности, предотвращая при этом возможность модификации данных, обладающих меньшей меткой. Мандат-целое число (для КСЗИ определенное в диапазоне от характеризует номер иерархического уровня (метку) 1 до мандатного 42949667295), (полномочного) разграничения прав доступа субъектов (пользователей) к объектам файловой системы. Назначение мандата субъектам осуществляется полномочным лицом – администратором КСЗИ «Панцирь» © ЗАО «НПП ИТБ» безопасности. Пользователю предоставляется возможность изменения 118 метки объекта, имеющего метку, совпадающую с меткой пользователя (т.е. объект доступен пользователю «на запись») в части уменьшения значения метки (запись на более высокий уровень), при этом гарантируется невозможность модификации существующих объектов более высокого уровня. Номера мандатным уровням назначаются в указанном диапазоне с любым целым шагом изменения от одного уровня к другому. Правила назначения меток. КСЗИ позволяет реализовать политики «жесткого» и «мягкого» задания мандатных разграничений. При реализации политики «жесткого» задания мандатных разграничений субъекты с номером уровня К обладают следующими правами: - чтение объектов, описанных на уровнях K+J, здесь J изменяется от 1 до 42949667295-K, и соответственно запуск исполняемых файлов (процессов), хранимых в файлах и каталогах, описанных на этих уровнях; - полный доступ –для всех объектов, описанных на текущем уровне K ; - запрет доступа субъектов уровня K к объектам уровней K-J, здесь J изменяется от 1 до K-J. Другими словами, сотрудник предприятия, которому сопоставлена некая метка (уровень), не может создавать объект иного уровня (например, если сотрудник должен работать с конфиденциальной информацией, созданный им не конфиденциальный объект не может обладать меткой, отличающейся от метки конфиденциального уровня, а объект большего уровня он не может создать по определению). В случае, если сотрудник предприятия должен обрабатывать информацию различных уровней, может быть реализована политика «мягкого» задания мандатных разграничений. Это осуществляется следующим образом: - Сотруднику, который может обрабатывать информацию различных уровней, назначается несколько имен (идентификаторов) для входа в систему, по числу уровней создаваемых им объектов. Идентификаторы различаются указанием метки объектов в имени пользователя, например, «User 1», «User 2», «User 3» (размечаются). Для всех идентификаторов, используемых сотрудником, устанавливается один и тот же пароль для входа в систему и КСЗИ; - Для заведенных сотруднику пользователей (соответственно, «User 1», «User 2», «User 3») устанавливаются необходимые разграничения, в соответствии с назначенным мандатом пользователя; - При входе в КСЗИ (систему) санкционированному пользователю требуется указать, с данными какого уровня он собирается работать, в частности объекты какого уровня создавать (КСЗИ осуществляет запрос у санкционированного пользователя классификационной метки КСЗИ «Панцирь» © ЗАО «НПП ИТБ» создаваемых данных). Сотрудник, введя свое имя 119 (например, «User»), указывает классификационную метку данных, с которыми собирается работать, в том числе и вновь создаваемых объектов, вводя полный идентификатор, содержащий имя пользователя и метку данных, например, «User 2»; - После этого сотрудник получает полный доступ к объектам с соответствующей меткой, например, 2, соответственно, право создавать новые объекты с меткой 2 (в частности, создавать новые файлы в каталоге с меткой 2), в соответствии с заданным мандатным разграничением доступа для пользователя, например, «User 2». Таким образом, при реализации политики «жесткого» назначения мандатных разграничений сотрудникам предприятия, сотрудник может обрабатывать объекты и создавать новые объекты, обладающие только одним уровнем (соответствующим его мандату), при этом объекты более низкого уровня ему доступны только для чтения (создавать объекты более низкого уровня ему не разрешено – это противоречит принципам мандатного разграничения). При реализации политики «мягкого» назначения мандатных разграничений сотрудникам предприятия, один и тот же сотрудник может обрабатывать объекты и создавать новые объекты, обладающие различными уровнями, причем при работе с каждым уровнем выполняется мандатное разграничение доступа к ресурсам соответствующее данному уровню (сотрудник не имеет возможности перенести (осуществить запись) объект более высокого уровня – с меньшей меткой, в более низкий уровень – с большей меткой). Вместе с тем, используя механизм повышения уровня конфиденциальности объекта, либо копирования объекта в каталог более высокого уровня, сотруднику предоставляется возможность переноса данных (в сторону уменьшения метки) между уровнями, т.е. обрабатывать одни и те же данные при входе в систему с различными правами. Достоинством «мягкого» назначения мандатных разграничений сотрудникам предприятия является то, что, с одной стороны, при вводе сотрудником новых данных не требуется назначать метку создаваемому объекту санкционированным пользователем (администратором), что существенно упрощает технологию работы с данными – назначение метки осуществляется автоматически по запросу КСЗИ (КСЗИ запрашивает с данными какого уровня будет работать пользователь), с другой стороны, при создании нового объекта гарантируется невозможность несанкционированного перемещения объектов между уровнями в сторону их уменьшения (увеличения метки). Внимание. Максимальный уровень заведенных для сотрудника предприятия пользователей не должен превосходить уровня сотрудника (метка должна быть не меньше). КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 120 Рассмотрим пример настройки механизма. Пусть сотруднику с уровнем 2 (метка 4) требуется создавать объекты, располагаемые в уровне 4 (метка 2). Для этого для сотрудника следует ввести двух пользователей, соответственно с именами «User 2» и «User 4». Затем для пользователя User 4 (эта метка соответствует сотруднику) следует установить необходимые мандатные разграничения. Для пользователя User 2 разграничения создаются следующим образом. Вводится каталог с меткой 2, куда пользователю мандатным механизмом разрешается записывать данные (также ему разрешается и чтение данных из этого каталога, т.к. в противном случае большинство приложений не сможет нормально функционировать с данным каталогом). Всем остальным пользователям с меткой 2 дискреционным механизмом (в дополнение к мандатному) запрещается запись в данный каталог (в противном случае будут нарушены требования мандатного механизма) – разрешается только доступ «на чтение». Пользователю User 2 дискреционным механизмом запрещается доступ ко всем другим объектам с меткой 2 и 3. В результате сотрудник может войти в систему под пользователем User 4, тогда ему будет разрешен штатный режим работы с меткой 4, а также под пользователем User 2, в этом случае сотрудник в дополнение к штатному (с меткой 4) режиму обработки данных, получает возможность создания объектов в уровне 2, которыми затем могут воспользоваться сотрудники уровня 4 (пользователи с меткой 2 в штатном режиме обработки данных). При этом сотрудники уровня 4 (пользователи с меткой 2) не могут переносить свои данные не могут переносить свои данные на уровень с меткой 4 (т.е. записывать информацию на более низкий уровень). Достоинством данного подхода является то, что пользователь, создавая новый объект, не может модифицировать данные, относящиеся к уровню выше (метка меньше), чем уровень пользователя. Таким образом, реализованный механизм мандатного контроля доступа позволяет работать с данными, как при «жестком», так и при «мягком» назначении мандатных разграничений сотрудникам предприятия. При режиме «мягкого» назначения мандатных уровней сотрудникам предприятия, сотрудник может создавать новые объекты с меткой, как выше, так и ниже метки сотрудника без нарушения требований мандатного механизма разграничения прав доступа к защищаемым ресурсам. При создании сотрудником нового объекта, КСЗИ запрашивает метку создаваемого объекта у пользователя, введение которой позволяет переходить сотруднику в режим обработки данных и создания нового объекта с различными метками. Далее правила задания меток конфиденциальности будем рассматривать на примере таблицы, проиллюстрированной в табл. 3.2. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 121 Таблица 3.2 Метка Субъекты доступа Объекты доступа 1 User 1 D:\ 2 User 2 E:\ конфиденциальности ………. Задание меток конфиденциальности при настройке механизма осуществляется отнесением субъекта (пользователя) и объекта доступа к соответствующей метке (расположением в соответствующей строке таблицы). Следует учитывать то, что при использовании длинных имен файловых объектов, к ним можно обращаться и по длинному, и по короткому имени, например к каталогу “\Program files\” можно обратиться по короткому имени “\Progra~1\”, поэтому при указании пути к файлам или каталогам, имеющим длинное имя, следует указывать сокращенный путь (6 символов) со звездочками (маску, покрывающую оба возможных обращения к файловому объекту). Пути “C:\Program Files\Internet Explorer\IEXPLORE.EXE” будет соответствовать путь “C:\PROGRA*\INTERN*\IEXPLORE.EXE” - необходимо указывать звездочки перед каждым знаком “слэш” (для установки доступа к каталогу “C:\Program Files” достаточно указать “C:\Progra” (нет завершающего знака «слэш») звездочку ставить не надо. Внимание. КСЗИ предусматривает возможность при задании разграничений прав доступа автоматического преобразования длинных имен в маски, задаваемые сокращенными путями. Созданная таким образом маска обеспечит разграничение доступа при обращении к файловому объекту и по длинному, и по короткому именам. Для создания маски необходимо в окне ввода ресурса ввести длинное имя ресурса, установить флаг «Маска» и записать результат преобразования в список ресурсов, нажав кнопку «Ок». Правила создания масок Маска является строкой, содержащей в себе вместе с частями имени ресурса, также специальные символы и конструкции. Эти спецсимволы управляют процессом сравнения двух строк: маски и имени ресурса. В масках допустимо использование следующих спецсимволов и конструкций: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 122 * - обозначает любую последовательность символов (символ может отсутствовать в имени ресурса); ? - обозначает любой символ (символ в имени ресурса должен присутствовать на месте спецсимвола в маске); [набор символов] - обозначает любой символ входящий в набор (символ в имени ресурса должен присутствовать на месте конструкции в маске); [!набор символов] или [^набор символов] - обозначает любой символ не входящий в набор (символ в имени ресурса должен присутствовать на месте конструкции в маске). Набор символов может задаваться как последовательностью (например, [abcdefg]), так и диапазоном (например, [a-g]), а также комбинацией последовательности и диапазона (например, [bde-hxyz]). Примеры задания масок: - маска c:\* покрывает ресурсы с именами c:\, c:\aaa, c:\user\user1\aaa и т.п., - маска *user* покрывает все имена ресурсов, содержащие в себе строку "user", например c:\user1\b, d:\users\user2 и т.п., - маска c:\*asd.txt покрывает все имена ресурсов, начинающиеся строкой "c:\" и заканчивающихся строкой "asd.txt", - маска c:\user?\[!abcg-z]rr.txt покрывает такие имена ресурсов, как c:\user1\drr.txt, c:\user2\frr.txt, c:\users\err.txt и не покрывает такие имена ресурсов как c:\user\drr.txt, c:\user1\arr.txt, c:\user2\krr.txt. Внимание. При установке маски для вида доступа «разрешенные на чтение» следует учитывать особенность работы некоторых программ (например, Explorer) при чтении данных. Эти программы при чтении многократно обращаются к файловой системе по частям имени объекта (диск, диск\каталог, диск\каталог\подкаталог и т.д., полный путь). Поэтому маска должна быть создана таким образом, чтобы она покрывала обращения ко всем частям имени объекта, по которым осуществляется обращение программой. Внимание. После задания маски убедитесь, что она определена верно, и что доступ может быть осуществлен в рамках требуемых разграничений. Необходимо также учитывать, что в ОС Windows NT/2000 имена (каталогов, файлов), набранные русскими буквами, также имеют короткое имя, которое формируется с использованием “C:\Documents кодировки and Unicode. Например, Settings\USER1\Главное короткое меню” имя для выглядит каталога как “C:\Docume~1\USER1\5D29~1\” (внешне они могут существенно различаться). Поэтому при использовании русских имен в обозначении файловых объектов, для покрытия всех видов обращения к таким ресурсам, требуется вносить в список ресурсов две строки: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 123 первую для покрытия обращений по длинному имени, вторую по короткому, для которых следует задать идентичные права доступа. Например, для разграничения доступа к каталогу “C:\Documents*\USER1\Главное меню\*”, следует внести строки “C:\Documents*\USER1\Главное меню\*” и “C:\Documents*\USER1\5D29~1\*”. Внимание. КСЗИ реализует возможность при задании разграничений прав доступа к объектам с именами, содержащие русские буквы, автоматического преобразования этих имен в имена, задаваемые сокращенными путями. Для этого необходимо ввести имя ресурса дважды, сначала ввести в окне ввода ресурса собственно исходное имя ресурса, содержащее русские буквы, и записать результат, нажав кнопку «Ок», затем вновь в окне ввода ресурса ввести исходное имя ресурса, содержащее русские буквы, и реализовать автоматическое преобразование исходного имени ресурса, установив флаг «короткое имя» в окне ввода ресурса, и записать результат преобразования в список ресурсов, нажав кнопку «Ок». Для рассмотренного выше примера в список ресурсов при этом будет введено два имени ресурса – исходное и имя, в которое автоматически будет преобразовано исходное имя (однозначное преобразование имен осуществляет КСЗИ) “C:\Documents*\USER1\Главное меню\*” и “C:\Documents*\USER1\5D29~1\*. Затем следует установить одинаковые разграничения доступа к обоим сформированным ресурсам из списка, соответствующим одному объекту. Внимание. При внесении объектов, к которым разграничивается доступ, необходимо учитывать способ реализации дискреционного (и мандатного) механизма разграничения доступа – реализован в виде драйвера. То есть механизм обрабатывает запросы на доступ к объектам в том виде, в котором они поступают в драйвер. Особенности представления данной информации состоят в том, что в некоторых комбинациях одноименные объекты различных уровней иерархии файловой системы, входящие в состав одного и того же включающего объекта файловой системы (логического диска, каталога), могут быть драйвером неразличимы - при разграничении доступа к одноименным каталогу и файлу на одном диске (например, при разграничении доступа к файлу на диске D:\USER и к одноименному каталогу D:\USER\….., в драйвер поступает имя объекта D:\USER), к одноименным подкаталогу и файлу на одном диске в одном каталоге и т.д. Проверьте, чтобы таких комбинаций, при разграничении доступа к одноименным объектам с различными правами, не существовало. Кроме того, следует рассматривать и возможное различие объектов доступа. В качестве объекта доступа (элемента файловой системы, к которому разграничивается доступ) может выступать как файл, содержащий данные, так и исполняемый файл – файл, содержащий КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 124 программу (имеет соответствующее расширение), “чтение” последнего означает запуск соответствующей программы. Внимание. Для механизма мандатного разграничения прав доступа (в отличие от дискреционного) возможен только “жесткий” режим разграничений, когда пользователю доступны только помеченные объекты - те диски и каталоги, которым установлена метка, в соответствии с которой, реализуется разграничение доступа (т.к. при использовании “мягкого” режима все пользователи могут создавать каталоги и файлы, не подпадающие под заданные разграничения). Если объект не помечен, то мандатный механизм не разрешит к нему доступа вообще (выполняется требование мандатного механизма, в соответствии с которым, каждый объект, к которому может разрешаться доступ, должен быть помечен). Правила назначения мандатных меток. 1. Вводится множество мандатных меток M = {M1, …, Ms}, определяемое числом уровней доступа – s (уровней конфиденциальности информации), причем для множества М должно выполняться: M1 < M2 < M3<…<Mk. 2. Мандатные метки из множества M = {M1, …, Ms}, присваиваются объектам доступа (без учета их иерархии), к которым следует разграничивать доступ. Процедура назначение меток безопасности начинается с разметки данных объектов. 3. Мандатные метки из множества M = {M1, …, Ms}, присваиваются субъектам доступа на основе их допуска к конфиденциальной информации. 4. Мандатные метки должны присваиваться всем включающим элементам иерархии, вплоть до элемента, являющегося объектом доступа (к которому разграничивается доступ). Для разметки включающих элементов, не являющихся непосредственно объектами доступа, к которым следует разграничить доступ, вводится метка Ms+1, причем для элементов множества M должно выполняться условие: M1 < M2 < M3<…<Mk < Ms+1. 5. Включаемому элементу может не присваиваться мандатная метка, тогда включаемый элемент наследует мандатную метку (имеет то же значение метки) включающего его элемента. 6. Вводится группа старших (корневых) элементов иерархии, включающих объекты доступа (элемент, к которому разграничивается доступ), данной группе объектов должна присваиваться метка безопасности Ms+1. 7. К группе старших (корневых) элементов иерархии при сопоставлении ей метки Ms+1 разрешается доступ по “чтению”. Рассмотри пример использования описанных правил назначения мандатных меток. Пусть на логическом диске D: вводится два каталога, соответственно, D:\2, D:\3, в каталоге D:\2 расположен объект доступа – файл User 1, который должен иметь метку 2, и пусть в каталоге КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 125 D:\3 присутствуют два объекта доступа – файлы User 2 и User 3, соответствующим образом размечаемые – имеют метки 3 и 4. В этом случае включающим корневым элементом является диск D (объект Os+1) – ему присваивается метка Ms+1 = 5. Иллюстрация назначаемых меток безопасности для рассматриваемого примера приведена в табл. 3.3. Таблица 3.3 Метка конфиденциальности 2 Субъекты доступа Объекты доступа D:\2 3 D:\3\User 2 4 D:\3\User 3 5 D: Замечание. В примере разметки, изложенном в табл. 3.2, элемент D:\3 наследует метку включающего элемента D:, для файла User 1 достаточно назначить метку включающему его каталогу D:\2, которую он наследует. Внимание. По умолчанию разграничений доступа не установлено. Разграничения доступа к системным файлам при мандатном механизме управления доступом Внимание. Для использования механизма защиты системных файлов (системного диска) при мандатном разграничении прав доступа, в КСЗИ реализована следующая технология. Введен признак исключения из схемы мандатного управления - «0», который следует сопоставить субъектам доступа - привилегированные процессы (кроме того, процессам КСЗИ, пользователю «СИСТЕМА», соответственно «SYSTEM» - нерусифицированная версия, а также рекомендуется для создаваемого пользователя «Администратор»). Особенностью данного признака для субъектов доступа является то, что данные субъекты получают полный доступ к объектам всех мандатных уровней (вне мандатных разграничений, дискреционные разграничения установкой признака «0» не отключаются). Системному диску, например, диску C: (как объекту) присваивается минимальный уровень – максимальная метка. При этом все пользователи, кроме администратора и все процессы, кроме привилегированных (системных и процессов КСЗИ), имеют доступ к системному диску только на чтение (субъекты, отмеченные признаком «0» – полный доступ). Пример задания меток конфиденциальности приведен в табл. 3.4. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 126 Таблица 3.4 Метка Субъекты доступа Объекты доступа Привилегированные процессы, процессы КСЗИ, пользователь “СИСТЕМА” (“SYSTEM”), пользователь “Администратор” Субъекты доступа Объекты доступа (не помеченные) Субъекты доступа Объекты доступа конфиденциальности Признак исключения «0» 1 Объекты доступа ………. N-k ………. N = 42949667295 C: Внимание. Системному диску должна быть присвоена метка конфиденциальности 42949667295. Внимание. При использовании ОС Windows NT, для каждого пользователя должен быть разрешен на запись и чтение каталог: /каталог где установлена ОС/profiles/имя пользователя. Например, если ОС установлена в каталог D:/winnt, а имя пользователя – user5, этому пользователю необходимо разрешить полный доступ к каталогу D:/WINNT/profiles/user5. Внимание. Признак исключения «0» может присваиваться и объекту. Присвоение нулевой метки объекту осуществляется в том случае, когда не следует разграничивать доступ к объекту мандатным механизмом (объект не помечается, то к нему доступ невозможен в принципе). При назначении объекту признака “0” доступ к нему будет разграничиваться только дискреционным механизмом. Замечание. Не следует путать два случая – установку объекту признака исключения “0” и не установку объекту доступа метки конфиденциальности. В обоих случаях мандатные разграничения не анализируются (объект выводится из мандатных разграничений), однако в первом случае к объекту мандатным механизмом разрешается полный доступ, во втором случае любой доступ к объекту мандатным механизмом блокируется. Внимание. При исключении привилегированных процессов из схемы мандатного управления обязательно должен быть активным механизма обеспечения замкнутости КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 127 программной среды, т.к. в мандатном механизме процесс идентифицируентся только по имени, в механизме обеспечения замкнутости программной среды – по полнопутевому имени. Внимание. По умолчанию разграничений доступа не установлено. Мандатный метод разграничения доступа к запуску процессов (программ) Для мандатного механизма могут использоваться оба способа обеспечения замкнутости программной среды (заданием списков разрешенных к запуску процессов и каталогов, из которых пользователям разрешается запуск процессов). В рамках мандатного механизма следует выделить каталог (каталоги), откуда пользователям будет разрешен запуск программ. Мандатным механизмом следует запретить модификацию этих каталогов (мандатная метка этих каталогов должна быть больше меток пользователей). Затем следует занести в данный каталог (каталоги) исполняемые файлы (задать разрешенные к запуску программы списками, либо подкаталогами), разрешенные пользователям «на запуск» и осуществить разграничение описанными выше способами (мандатный механизм разрешит читать пользователям соответствующие объекты), дискреционный же механизм обеспечит реализацию механизма замкнутости программной среды. Пример задания меток конфиденциальности приведен в табл. 3.5. Здесь для задания списка разрешенных к запуску процессов (подкаталогов, откуда пользователям разрешен запуск программ), выделен каталог D:\PROG, которому присвоена метка “N». Все пользователи обладают уровнем выше (метка меньше), поэтому только могут читать данный каталог. Ограничения «на запуск» программ из данного каталога устанавливаются настройками соответствующего механизма дискреционного механизма разграничения доступа. Таблица 3.5 Метка Субъекты доступа Объекты доступа Привилегированные процессы, процессы КСЗИ, пользователь “СИСТЕМА” (“SYSTEM”), пользователь “Администратор” Субъекты доступа Объекты доступа (не помеченные) N-1 Субъекты доступа Объекты доступа N __________ C: , D:\PROG конфиденциальности Признак исключения «0» 1 Объекты доступа ………. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 128 Внимание. По умолчанию разграничений доступа не установлено. Мандатный метод разграничения доступа к разделяемым сетевым ресурсам в сети Microsoft (по протоколу Net Bios) - к виртуальным каналам связи сети Microsoft Для мандатного механизма данную возможность сетевой защиты в составе ЛВС можно рассматривать как мандатное разграничение доступа к виртуальному каналу связи сети Microsoft. Под виртуальным каналом здесь понимается следующий ресурс: локальный ресурс пользователя (локальный объект файловой системы) – разделенный сетевой ресурс (удаленный объект файловой системы), объединенные физической линией связи (по протоколу Net Bios). Каждый подобный канал может быть размечен, для него администратором безопасности могут быть установлены мандатные правила разграничения доступа, в рамках которого заданы дискреционные права разграничения доступа (полностью аналогично тому, как это осуществляется для объектов локальной файловой системы). Таким образом, при вводе объекта с “помеченного” виртуального канала (выводе на “помеченный” виртуальный канал) КСЗИ обеспечивает соответствие между меткой вводимого (выводимого) объекта и меткой виртуального канала. Изменения в назначении и разметке виртуальных каналов осуществляться только под контролем КСЗИ, т.к. при этом необходимо изменение настроек мандатного механизма разграничения доступа, что может быть осуществлено только администратором. Виртуальные каналы могут быть как помеченные (на них распространяются разграничения доступа), так и не помеченные. Если доступ к виртуальному каналу, не следует разграничивать, то данному виртуальному каналу (удаленному объекту файловой системы – сетевому разделяемому ресурсу) следует сопоставить признак исключения “0”. При этом к виртуальному каналу будет реализовано только дискреционное разграничение доступа. Если дискреционные разграничения не устанавливаются, то к виртуальному каналу получают полный доступ все пользователи (виртуальный канал не помечен). Внимание. По умолчанию разграничений доступа не установлено. Мандатный метод разграничения доступа к временным каталогам Для мандатного механизма после введения для каждого пользователя соответствующего ему временного каталога, данным временным каталогам следует присвоить метки, соответствующие пользователям. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 129 Пример. Пусть разграничивается доступ к временному каталогу C:\WINDOWS\TEMP для пользователей User 2, User 3, User 4, которым соответственно присвоены метки 2, 3, 4. Для настройки механизма требуется создать соответствующие каталоги, например, С:\TEMP2, С:\TEMP3, С:\TEMP4. После этого рассматриваемым механизмом реализовать переадресацию обращений пользователей к каталогу C:\WINDOWS\TEMP в соответствующие каталоги для соответствующих пользователей C:\TEMP2, C:\TEMP3, C:\TEMP4. Внимание. Переадресация каталогов реализуется в рамках одного логического диска. Затем следует настроить мандатные разграничения доступа. Настройки для рассматриваемого примера представлены в табл.3.6. Таблица 3.6 Метка Субъекты доступа Объекты доступа 2 User 2 С:\TEMP2 3 User 3 С:\TEMP3 3 User 4 С:\TEMP4 конфиденциальности 1 Внимание. Данный механизм управления доступом может применяться и для разграничения доступа к системным каталогам. Если осуществляется рассматриваемое управление доступом к каким-либо системным каталогам (например, для каждого пользователя можно создавать собственные шаблоны макросов при работе с программой Word и т.д.), то после создания соответствующих системным каталогов для пользователей (к которым будет осуществляться переадресация), следует переписать в них содержимое исходного системного каталога (после этого содержимое исходного системного каталога можно удалить), которое затем может видоизменяться соответствующим пользователем в соответствующем каталоге. Внимание. По умолчанию разграничений доступа не установлено. Механизм санкционированного ввода новых данных в систему Для мандатного механизма разграничения прав доступа выдвигается следующее требование - КСЗИ при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные уровни (мандатные метки) этих данных. Подобное требование предполагает, что в систему могут вводиться новые данные, в частности с внешних устройств ввода, например, с дисковода, и что КСЗИ предполагает наличие санкционированного (следовательно, авторизуемого) пользователя, который может назначать КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 130 метки вновь вводимым данным – относить вводимые объекты к соответствующему классификационному уровню. В КСЗИ реализован механизм санкционированного ввода новых данных в систему, основанный на выполнении следующих действий: - В системе устанавливается программа - проводник (например, программа Far, Windows Commander и т.д.), предназначенная исключительно для решения рассматриваемой задачи. Внимание. Чтобы разрешить ввод новых данных в систему под любым текущим пользователем, необходимо, чтобы все пользователи имели право на запуск данной программы (соответствующим образом должны быть реализованы разграничения прав доступа). - Данной программе сопоставляется признак исключения «0» из схемы мандатного управления доступом, т.е. программа получает доступ к ресурсам вне мандатных разграничений (отнесена к привилегированным); - Дискреционным механизмом разграничения доступа для данной программы (соответствующего ей процесса) устанавливаются права доступа к тем файловым объектам, куда могут быть внесены новые данные, и к тем устройствам, с которых могут быть внесены новые данные; - Данная программа вносится в список конфиденциальных сетевых служб – заносится в меню «Сетевые службы». Для ее запуска задается имя и пароль ответственного лица. После задания программы как конфиденциальной сетевой службы запуск ее возможен только после авторизации ответственного лица. Внимание. В механизме «Сетевые службы» имя и пароль ответственного лица в общем случае никак не связан с именами и паролями пользователей, задаваемых для входа в систему и для которых устанавливаются разграничения прав доступа. Поэтому возможность входа ответственного лица в систему вне присутствия пользователей системы определяется администратором безопасности (соответственно, последний может завести, либо не заводить, учетные данные ответственного лица в системе). - При вводе новых данных в систему текущий пользователь должен пригласить ответственно лицо, которое может запустить соответствующую программу проводник после авторизации (сам пользователь запустить данную программу не может). Запущенная программа-проводник в разрешенных дискреционным механизмом разграничения доступа файловых объектах (на каждый из которых администратором безопасности установлена метка) позволяет выполнять разрешенные виды доступа. В общем случае ответственное лицо может создать файловый объект (каталог, файл), КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 131 скопировать данные, например, с устройства ввода в пользовательский каталог, переместить данные из одного пользовательского каталога в другой. При этом, с учетом того, что все файловые объекты имеют метки доступа, то помещение новых данных, например, с дискеты в некоторый каталог, автоматически предполагает назначение новым данным той метки, которая присвоена файловому объекту (например, каталогу), в который помещаются новые данные. Таким образом, присвоение метки вводимым новым данным осуществляется вводом этих данных ответственным лицом в помеченный файловый объект (например, пользовательский каталог), а системный запрос – в какой файловый объект ввести данные, с учетом того, что все файловые объекты размечены (имеют метки конфиденциальности), может рассматриваться как запрос КСЗИ метки у ответственного лица для вводимых новых данных в систему. Замечание. Данный механизм может использоваться и для переназначения меток ответственным лицом. Например, если пользователю необходимо создать файловый объект с меткой, не соответствующей его уровню (выше, либо ниже), пользователь может создать объект, которому будет присвоена его метка, а затем обратиться к ответственному лицу для контролируемого (со стороны ответственного лица) переназначения метки (при этом ответственное лицо должно перенести программой-проводником созданный пользователем файл в файловый объект (например, каталог) с требуемой меткой, что и будет означать изменение метки файлового объекта. Внимание. Переназначение меток может проводиться под контролем текущего пользователя, в этом случае ответственное лицо не должно быть задано как пользователь системы. Внимание. Возможности по назначению меток ответственному лицу могут быть ограничены. Это осуществляется дискреционным механизмом разграничения прав доступа, например, ему может быть запрещен ввод новых данных в файловые объекты, имеющие метку меньше некоего значения – доступ на запись к соответствующим файловым объектам ответственному лицу должен быть запрещен. В эти файловые объекты тогда перенести новые данные, которые могут быть введены с меткой файлового объекта, к которому разрешен доступ ответственному лицу, сможет либо пользователь, имеющий администратора безопасности. соответствующие мандатные полномочия, либо КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 132 3.4.3. Правила работы с устройствами ввода /вывода Правила по разграничению доступа к устройствам ввода/вывода (съемным устройствам) полностью совпадают с правилами разграничения доступа к локальной файловой системе – также реализуется мандатный и дискреционный механизмы разграничения прав доступа, где в качестве субъектов доступа могут выступать как пользователи, так и процессы (для мандатного только пользователи). Полностью аналогичны и настройки механизмов, осуществляемые в том же порядке и из того же интерфейса. Отличие состоит лишь в определении (способа задания) ресурса. Общий формат определения ресурса выглядит следующим образом: имя съемного устройства\каталог\подкаталог\…\файл – для доступа к файлу; имя съемного устройства\каталог\подкаталог\…\* - для доступа к каталогу; имя съемного устройства: - для доступа ко всему устройству в целом, которое может содержать каталоги и файлы (например, к устройству ввода данных – дисководу или CD-ROM). Примеры задания разграничений доступа к ресурсам: A\temp\* - пользователь получит доступ к каталогу Temp устройства с именем А: (например, дисковода) (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек; A: - пользователь получит доступ к устройству с именем А: (например, к дисководу) (тип доступа – запись, чтение, запуск, а также процессы, которые могут осуществлять данный доступ) определяются в соответствующих окнах настроек; Для мандатного механизма разграничения доступа. Для мандатного (как, впрочем, и для дискреционного, но для мандатного это имеет принципиальное значение) механизма разграничения доступа КСЗИ позволяет осуществлять разметку («помечать»), как устройство, так и собственно носитель информации (дискета, CDROM диск и т.д.). Разметка устройства. При разметке устройства (носители не размечаются) метка конфиденциальности должна присваиваться собственно устройству, например, A:. Присвоение устройству метки соответственно означает разрешение полного доступа (чтение и запись) к устройству только пользователей с аналогичной меткой, ввод/вывод объекта с/на устройство с аналогичной меткой, пользователям, имеющим метку меньше (уровень выше) будет разрешено только считывание с устройства, больше – доступ к устройству будет запрещен. Объект A: заносится в перечень объектов с соответствующей меткой доступа к файловым объектам. при настройке мандатного разграничения КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 133 Разметка носителя. 1. Разметка носителя для возможности сохранения на нем объектов только одного уровня. На носителе (например, A:) санкционированным пользователем создается новый объект - каталог (или файл). Объект помечается - ему присваивается имя соответствующее метке объектов файловой системы, которым разрешена запись на данный носитель, например, A:\3 (создается каталог A:\3 – носителю устанавливается метка 3). Объект A:\3 заносится в перечень объектов с меткой 3 при настройке мандатного разграничения доступа (объекту присваивается метка 3). После этого на данный носитель могут записываться (соответственно в каталог A:\3) только объекты с меткой 3, читать объекты с размеченного носителя могут пользователи с меткой не более 3. 2. Разметка носителя для возможности сохранения на нем объектов нескольких уровней. На носителе (например, В:) санкционированным пользователем создаются новые объекты - каталоги (или файлы). Объекты помечаются - им присваиваются имена соответствующие меткам объектов файловой системы, которым разрешена запись на данный носитель, например, В:\2 и В:\3 (на носителе создаются каталоги В:\2 и В:\3 – соответствующим объектам носителя устанавливаются метки 2 и 3). Объекты В:\2 и В:\3 заносятся в перечень объектов, соответственно, с метками 2 и 3 при настройке мандатного разграничения доступа (объектам присваиваются метки 2 и 3). После этого на данный носитель могут записываться соответствующие объекты файловой системы, соответственно в каталог В:\3, только объекты с меткой 3, читать данный каталог носителя могут пользователи с меткой не выше 3, соответственно в каталог В:\2, только объекты с меткой 2, читать данный каталог носителя могут пользователи с меткой не выше 2 (т.е. реализовано мандатное разграничение записей на носителе). Замечание. Разметить носитель на защищаемом объекте имеет возможность только санкционированный пользователь (администратор), а на неразмеченный носитель пользователь не имеет возможности сохранить размеченные объекты файловой системы, поэтому на объекте информатизации должен устанавливаться регламент (обеспечиваться организационные мероприятия) по созданию, хранению и предоставлению пользователям размеченных носителей. Пример. Пусть необходимо размечать носители, используемые устройствами A: и B: (создавать на них соответствующие каталоги - метки). Пусть на носителе устройства B: необходимо сохранять объекты с меткой 2 и 3 (причем объекты с различными метками должны сохраняться в различных областях носителя, при невозможности их перезаписи между областями), на носителе устройства A: аналогично необходимо сохранять объекты с меткой 1 и 3. Объекты не должны сохраняться на неразмеченных носители устройств A: и B:. Носители КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 134 размечаются - на носителе устройства A: создают каталоги A:\1 и A:\3, на носителе устройства В: создают каталоги В:\2 и В:\3, затем для размеченных носителей проводится настройка мандатного механизма разграничения доступа, проиллюстрированная в табл. 3.7. Замечание. Соответствующие метки должны быть также присвоены соответствующим пользователям. Таблица 3.7 Метка Субъекты доступа Объекты доступа конфиденциальности Признак исключения «0» 1 A:\1 2 B:\2 3 A:\3, B:\3 Е: 3 Таким образом, при вводе объекта с “помеченного” устройства (выводе на “помеченное” устройство) КСЗИ обеспечивает соответствие между меткой вводимого (выводимого) объекта и меткой устройства. Аналогичное соответствие обеспечивается при работе с “помеченным” отчуждаемым физическим носителем. Изменения в назначении и разметке устройств и носителей и осуществляться только под контролем КСЗИ, т.к. при этом необходимо изменение настроек мандатного механизма разграничения доступа, что может быть осуществлено только администратором после его аутентификации. Устройства могут быть как помеченные (на них распространяются разграничения доступа), так и не помеченные. Если доступ к устройству, например, Е: не следует разграничивать, то данному устройству следует сопоставить признак исключения “0”, см. табл. 3.7. При этом к устройству реализуется только дискреционное разграничение доступа. Если дискреционные разграничения не устанавливаются, то к устройству получают полный доступ все пользователи (устройство не помечено), соответственно, на накопителе могут быть сохранены все объекты, соответственно все объекты могут быть считаны. 3.4.4. Формальная модель диспетчера доступа КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 135 В рамках построения формальной модели разграничения доступа должен быть проведен следующий анализ – верификация корректности функционирования диспетчера доступа: - Оценка полноты разграничений, как в части полноты разграничений доступа к множеству компьютерных и сетевых ресурсов, так и в части полноты разграничений доступа к каждому ресурсу для различных пользователей; - Оценка корректности функционирования диспетчера доступа в части анализа возможности корректного функционирования системы (ОС), КСЗИ и приложений при заданных максимальных разграничениях доступа пользователей. Множества субъектов и объектов доступа в системе. Обозначения 1. Множества субъектов доступа. Пользователи. Обозначим через Р. Выделим два класса пользователей: - Ра – администратор, - Рп – пользователь, решающий прикладные задачи, соответственно Рпn – n-й пользователь, причем: P = Pа Pп; Pа Pп = Процессы. Обозначим через Q. Выделим три класса процессов: - Qс – системные (или привилегированные) процессы; - Qксзи – процессы системы защиты (КСЗИ); - Qп – прикладные процессы, причем: Q = Qс Qксзи Qп; Qс Qксзи Qп = 2. Множества Объектов доступа. 2.1. Файловые объекты Файловые объекты данных. Обозначим через F. Выделим три класса объектов: - Fн – каталоги и файлы настроек (ОС, КСЗИ, приложений); - Fп – разделяемые пользовательские каталоги и файлы данных; - Fо – общие для пользователей системные и пользовательские каталоги (TEMP и т.д.), причем: F = Fн Fп Fо; Fн Fп Fо = Файловые объекты программ (исполняемые файлы). Обозначим через S. Выделим два класса объектов: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» - 136 Sc – системные исполняемые файлы (исполняемые файлы системных процессов ОС, процессов КСЗИ); - Sп - пользовательские исполняемые файлы (исполняемые файлы пользовательских процессов), причем: S = Sс Sп; Sс Sп = 2.2. Объекты реестра ОС. Обозначим через X. 2.3. Устройства ввода/вывода (дисковод, CD-ROM и т.д.). Обозначим: - U – устройства ввода/вывода; - Nu – отчуждаемые физические носители информации; - Nuf – файловые объекты (каталоги и файлы) на отчуждаемых физических носителях информации. 2.4. Каналы связи (виртуальные). Обозначим через K. Выделим три класса объектов: - Kм – виртуальные каналы связи сети Miсrosoft (разделяемые сетевые резурсы по протоколу Net Bios); - Kc – виртуальные каналы связи сети TCP/IP; - Kксзи – виртуальный канал связи сетевого клиент-серверного взаимодействия КСЗИ. причем: K = Kм Kс Kксзи; Kм Kс Kксзи = 2.5.Принтеры. Обозначим через П локальные и сетевые принтеры. Множество действий (устанавливаемые разграничения) субъектами доступа над объектами. Обобзначим через R. Выделим три категории доступа: - Rз – категория доступа «запись» (установка категории доступа «запись» означает разрешение полного доступа – запись и чтение, т.к. не имеет смысла разрешать запись, не разрешая чтение); - Rч – категория доступа «чтение»; КСЗИ «Панцирь» © ЗАО «НПП ИТБ» - 137 Rи – категория доступа «исполнение» («запуск»). Замечание. Для упрощения записей далее будем использовать только две категории доступа: - Rз – категория доступа «запись»; - Rч – категория доступа «чтение», понимая, что категория доступа Rч, установленная на объект F (RчF), означает «чтение» данных, на объект S (RчS) означает «запуск» программы («чтение» исполняемого файла). Тогда: R = Rз Rч; Rз Rч = Rч Модель диспетчера доступа при дискреционном разграничении доступа. Обозначения: - через Wn обозначим модель доступа n-го пользователя к объектам; - индекс n будем использовать для выделения тех субъектов и тех объектов, на которые устанавливаются разграничения для n-го пользователя (если индекс не установлен – разграничения не реализуются); - для указания действия пользователя над объектом будем использовать запись (действие)(объект), например, RF – обозначает полный доступ ко всем классам объектов F, RчFn – обозначает доступ по чтению к разрешенным для чтения пользователю n объектам F, RnFn – обозначает разграничение по действию над объектами Fn для пользователя n, - если существует разграничение А и В, то для указание в модели необходимости задания обоих ограничений одновременно, будем использовать знак «*» (А*В), для указания того, что может использоваться любое из ограничений (А или В), используем знак «+» (А+В). С учетом того, что диспетчер доступа КСЗИ предполагает настройку трех компонент разграничения прав доступа: - прикладное разграничение доступа (разграничение доступа собственно для пользователей и прикладных процессов), обозначим модель доступа через Wрn для n – го пользователя); - системное разграничение доступа (разграничение доступа для системных (привилегированных процессов) и процессов КСЗИ), соответственно обозначим модели доступа для них через Wc и Wксзи, для модели Wn имеем: Wn = Wрn * Wс * Wксзи С учетом введенных обозначений, модель Wрn имеет следующий вид: КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 138 Wрn = RnFпn (Pпn + Qпn) + RчnSпn (Pпn + Qпn) + RnFоn (Pпn + Qпn) + RчnXn (Pпn + Qпn) + RnNufn (Pпn + Qпn) + RnKмn (Pпn + Qпn) + RnKcn (Pпn + Qпn) + RПn Замечание. В этой модели предполагается, что любой объект доступа может быть как «помеченным» – к нему обязательно требуется осуществлять разграничение доступа, так и произвольно используемым. В случае, если все объекты доступа помечаются (разграничения вводятся для всех объектов), модель приобретает следующий вид: Wрn = RnFпn (Pпn + Qпn) * RчnSпn (Pпn + Qпn) * RnFоn (Pпn + Qпn) * RчnXn (Pпn + Qпn) * RnNufn (Pпn + Qпn) * RnKмn (Pпn + Qпn) * RnKcn (Pпn + Qпn) * RПn Модель Wc имеет следующий вид: Wс = RQc (Fн * Sс * X) Модель Wксзи имеет следующий вид: Wксзи = RQксзи (Fн * Sс * X * Kксзи) Замечание. Для моделей Wс и Wксзи представлены минимально необходимые разграничения, при которых ОС и КСЗИ могут нормально функционировать (поэтому они объединены знаком «*»). На практике, при необходимости, данные разграничения могут быть расширены. Для администратора безопасности вводить какие-либо ограничения бессмысленно (он управляет как собственно настройками диспетчера доступа, так и запуском, и остановом КСЗИ в целом). Поэтому модель Wра можно представить следующим образом: Wра = RQ (F * S * X * K * U * П) Проведем анализ представленных моделей с целью верификация корректности функционирования диспетчера доступа при задании дискреционных разграничений. 1. Диспетчер доступа КСЗИ реализует дискреционное разграничение ко всем основным ресурсам защищаемого объекта: F, S, X, K, U, П. 2. Практически ко всем разделяемым ресурсам (кроме принтеров, для которых это не имеет смысла) разграничения осуществляются, как для пользователей, так и для процессов, что КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 139 формально записывается условием Pпn + Qпn (для n – го пользователя), что существенно расширяет возможности по разграничению доступа. 3. К каждому типу ресурса КСЗИ обеспечивает полное разграничение доступа. Это обусловливается следующим. Каждый из разделяемых ресурсов (в том числе и объекты файловой системы) могут быть полностью разделены между пользователями, т.е. в системе при полном разграничении доступа отсутствуют общие объекты, к которым одновременно имеют доступ несколько пользователей, т.е. отсутствуют общие объекты, через которые на защищаемом объекте могут быть переданы данные от одного пользователя к другому при полном разграничении между ними прав доступа к ресурсу. Формально для полного раграничения доступа к ресурсам это задается следующим условием, если модель для пользователя n – Wn, для пользователя l – Wl, то: Wn ∩ Wl = Wс * Wксзи 4. Диспетчером осуществляется независимое разграничение доступа для следующих компонент: - прикладное разграничение доступа (разграничение доступа собственно для пользователей и прикладных процессов); - системное разграничение доступа (разграничение доступа для системных (привилегированных процессов) и процессов КСЗИ). При этом прикладное разграничение осуществляется для каждого пользователя в отдельности, системное – для защищаемого объекта (компьютера) в целом. С корректностью функционирования ОС и КСЗИ связаны только системные разграничения, т.к. даже при полном запрете доступа пользователя ко всем ресурсам, модель доступа имеет вид Wn = Wс * Wксзи. Поэтому к настройке системных разграничений следует относиться с особым вниманием. В связи с этим, и с учетом того, что системные разграничения практически совпадают для защищаемых объектов, в КСЗИ предусмотрено задание настроек системного разграничения доступа «по умолчанию». Для осуществления подобных настроек можно воспользоваться соответствующими файлами с расширением ini, содержащими списки привилегированных процессов для всех поддерживаемых КСЗИ операционных систем (см. выше). Замечание. Данные настройки системных разграничений доступа не установлены «по умолчанию», ввиду того, что как собственно ОС, так и КСЗИ могут располагаться на защищаемом объекте на различных системных дисках. Поэтому, после задания привилегированных процессов из соответствующего файла, следует провести для них КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 140 соответствующие настройки разграничения доступа (разрешить им полный доступ к системному диску, разрешив доступ к нему пользователям только «на чтение»). Модель диспетчера доступа при мандатном разграничении доступа. Для данного вида разграничения доступа индексом m задается мандатная метка субъекта, либо объекта доступа, при этом напомним, что, чем меньше значение m, тем выше его уровень, соответственно выше права по доступу к ресурсам, при этом минимальное значение метки m = 1, максимальное значение метки m = M (признак исключения «0» служит для отнесения субъектов и объектов доступа к «не помеченным», метки с 1 по M служат собственно для реализации мандатных разграничений доступа). В рамках механизма мандатного разграничения реализуется разграничение для множества субъектов P и Q для следующих множеств объектов доступа: F, S, U(Nu, Nuf), Км (нет необходимости вводить мандатные уровни для таких объектов доступа, как реестр ОС – объекты X и принтеры – объекты П – эти объекты в рамках мандатного управления считаем «не помеченными», к ним реализуются только дискреционные разграничения, что рассмотрено в моделях, представленных выше, которые могут быть реализованы в дополнение к мандатным разграничениям). Напомним, что в рамках реализованной в КСЗИ технологии мандатного разграничения доступа могут быть выделены следующие принципиальные моменты: - доступ к любому объекту, которому не присваивается метка, мандатным механизмом разграничения доступа, запрещается, - для субъектов и объектов доступа, которые «помечаются» признаком исключения «0», мандатное разграничение доступа не действует – доступ разрешается вне мандатных разграничений, - системным процессам, процессам КСЗИ, администратору как субъектам доступа устанавливается признак исключения «0», это означает, что мандатные разграничения доступа на них не распространяются (данные субъекты «не помечаются), - системному диску и пользовательским процессам назначается метка M (max m), - для каждого помеченного (в том числе и признаком «0») субъекта и объекта доступа в дополнение к мандатным разграничениям могут выставляться дискреционные разграничения (в рамках мандатного и не противоречащие мандатному разграничению – иначе они не будут учтены диспетчером разграничения доступа – анализ корректности разграничений в этой части КСЗИ осуществляется автоматически), при этом сначала КСЗИ анализируются мандатные разграничения, затем дискреционные. Далее в модели будут указываться только необходимые указываться в квадратных скобках [ ]. дискреционные разграничения, которые будут КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 141 Модель Wm (мандатного доступа для метки m) имеет вид: Wn = Wрn * [Wс] * [Wксзи], где [Wс] и [Wксзи] означает дискреционное разграничение (данные модели рассмотрены выше). Соответственно модель мандатного доступа пользователя n, имеющего метку m Wpnm: Wpnm = R(Fпm * Fоm * Kмm * Nufm) * Rч(Fпm+1 ÷ М * Fоm+1 ÷ М * Kмm+1 ÷ М * Nufm+1 ÷ М * SпM[RчnSпn (Pпn + Qпn)] * FнM[RчnFнn Pпn] * SсM[RчnSсn Pпn)]) Замечание. Соответствующие обозначения в модели Wpm трактуются следующим образом: - SпM[RчnSпn (Pпn + Qпn)] – в соответствии с мандатными разграничениями пользователь n имеет право «на запуск» пользовательских процессов – исполняемых файлов Sп (которые расположены в файловых объектах с меткой М). Для обеспечения замкнутости программной среды средствами разграничения запуска пользовательских процессов, должны устанавливаться дополнительные дискреционные разграничения на запуск исполняемых файлов [RчnSпn (Pпn + Qпn)] (разграничения по пользователям и процессам), задающие то, какие исполняемые файлы Sпn могут запускаться пользователем; - FнM[RчnFнn Pпn] и SсM[RчnSсn Pпn)] – в соответствии с мандатными разграничениями пользователь имеет право читать файлы настроек Fн и запускать системные исполняемые файлы Sс (которые расположены в файловых объектах с меткой М). Для запрета этих действий для пользователя должны быть установлены дополнительно соответствующие дискреционные разграничения «на чтение» и «на запуск» (Rчn) объектов Fнn и Sсn пользователем Pпn; Проведем анализ пересечений при мандатном разграничении доступа прав пользователей n1 и n2, имеющих различные метки, соответственно m1 и m2, причем пусть m1 меньше m2. Получаем (в предположении, что каждый пользователь может запускать программы из собственных списков – исполняемых файлов – множества Sп для пользователей не пересекаются, обоим пользователям полностью запрещен доступ к объектам Fн и Sс): Wn1m1 ∩ Wn2m2 = Rч(Fпm2 ÷ М * Fоm2 ÷ М * Kмm2 ÷ М * Nufm2 ÷ М) * [Wс] * [Wксзи], Для администратора безопасности вводить какие-либо мандатные, равно как и дискреционные, ограничения бессмысленно (он управляет как собственно настройками диспетчера доступа, так КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 142 запуском, и остановом КСЗИ в целом). Поэтому модель Wра для мандатного разграничения (как и для дискреционного) можно представить следующим образом: Wра = RQ (F * S * X * K * U * П) Проведем анализ представленных моделей с целью верификация корректности функционирования диспетчера доступа при задании дискреционных разграничений. 1. Диспетчер доступа КСЗИ реализует мандатное разграничение ко всем основным ресурсам защищаемого объекта: F, S, K (кроме Кксзи), U. 2. Может быть сделан вывод о корректности мандатного механизма разграничения доступа, реализуемого КСЗИ, что подтверждается следующим - пользователи различных уровней доступа (различные метки) не имеют общих объектов для записи информации: Wрn1m1 ∩ Wрn2m2 = Rч(Fпm2 ÷ М * Fоm2 ÷ М * Kмm2 ÷ М * Nufm2 ÷ М) 3. Диспетчером осуществляется мандатное разграничение доступа только для одной из трех компонент – для прикладного разграничения доступа: - прикладное разграничение доступа (разграничение доступа собственно для пользователей) – осуществляется мандатное разграничение; - системное разграничение доступа (разграничение доступа для системных и процессов КСЗИ - привилегированных процессов) – не осуществляется мандатного разграничения – осуществляется дискреционное разграничение. При этом прикладное мандатное разграничение осуществляется для каждого пользователя в отдельности, системное дискреционное – для защищаемого объекта (компьютера) в целом. С учетом того, что мандатное разграничение реализуется только для компоненты прикладного разграничения доступа, некорректные настройки мандатного механизма не могут сказаться на корректности функционирования ОС и КСЗИ, при условии, что выполняются требования реализуемой КСЗИ технологии мандатного разграничения: - системным процессам, процессам КСЗИ, администратору как субъектам доступа устанавливается признак «0», что означает, что мандатные разграничения доступа на них не распространяются (данные субъекты «не помечаются), - системному диску и пользовательским процессам назначается метка M (max m). На корректность функционирования ОС и КСЗИ могут сказаться настройки дискреционного механизма разграничения прав, касающиеся разграничений для системных (привилегированных) процессов и процессов КСЗИ, что описывается моделями [Wс] и [Wксзи]. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 143 О возможностях КСЗИ по настройке дискреционного механизма в рассматриваемой части отмечалось выше. 3.5. Алгоритмы программы Основу функционирования КСЗИ составляет реализация двух алгоритмов: алгоритма контроля доступа пользователя к ресурсам защищаемого объекта, осуществляемого диспетчером доступа, приведенный на рис.7 (программа, реализующая данный алгоритм, инициируется при запросе пользователем доступа к ресурсам), и алгоритма контроля корректности функционирования системы - реализуется механизм «Сквозной защиты информации», контроля целостности и т.д. (программа, реализующая данный алгоритм, инициализирована всегда, вне зависимости от запроса пользователями доступа к ресурсам), алгоритм приведен на рис.8. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» начало Запрос на доступ пользователя к защищаемому ресурсу да Доступ в систему? Диспетчер доступа нет к системе да Доступ к рабочему столу? Диспетчер доступа к рабочему столу да нет Доступ к процессу? Диспетчер доступа к процессам да нет Доступ к данным? Диспетчеры доступа к данным да нет Доступ к принтерам Диспетчер доступа к принтерам нет Диспетчер доступа к сети конец Рис.7. Алгоритм контроля доступа пользователя к ресурсам защищаемого объекта 144 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» начало Запуск интервала времени проверок Интервал времени истек? нет Ожидание да Контроль пользователей да Найдены ошибки? нет Контроль процессов да Найдены ошибки? нет Контроль настроек ОС (ключей реестра) нет да Найдены ошибки? нет Контроль настроек КСЗИ С С В В АА 145 КСЗИ «Панцирь» © ЗАО «НПП ИТБ» С В 146 А да Найдены ошибки? Реакция КСЗИ на найденные ошибки нет Контроль файловой системы нет Найдены ошибки? да Реакция КСЗИ на найденные ошибки Рис.8. Алгоритм контроля корректности функционирования системы В КСЗИ реализован принципиально новый алгоритм разграничения прав доступа к ресурсам, в частности, к файловой системе (к логическим дискам, каталогам, файлам), к устройствам со сменными носителями, к исполняемым файлам (запуску программ), к разделяемым сетевым ресурсам (по протоколу Net Bios), основу реализованного подхода составляет то, что в систему разграничения прав доступа введен новый тип субъекта доступа – процесс. Более того, процесс выделяется как основной субъект доступа, его права рассматриваются прежде прав пользователя. Существует два режима проверки прав КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 147 процесса: вместе с правами пользователя и эксклюзивно. Таким образом, обеспечивается возможность динамически модифицировать список прав процесса, в зависимости от того, какой пользователь работает в системе. В общем случае можно трактовать права пользователя, как права процесса по умолчанию. Процесс идентифицируется именем, которое не является полным путевым именем файла программы, но однозначно зависит от последнего. Общее замечание. Разграничение доступа для процессов является очень мощным механизмом по работе с приложениями. Имея некоторый набор приложений, при возможности разграничивать для них доступ к ресурсам, можно решать большой круг вопрос обеспечения безопасности, например, можно разрешить запись на дискету и сетевые диски только проводнику, реализующему функции шифрования, и т.д. На рис.9 приведена логика алгоритмов проверки запроса к файловой системе, разделяемым сетевым ресурсам, устройствам, используемая в КСЗИ, и традиционной схемы проверки. Входные данные запроса для КСЗИ включают в себя: полнопутевое имя файла (в том числе, и исполняемого), имя процесса, инициировавшего запрос, тип доступа (чтение, запись, запуск) и список прав текущего пользователя. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 148 начало Путь проверки в СЗИ "Панцирь" имеет ли процесс собственные права Обычный путь проверки нет да имеет ли процесс право осуществ. такой доступ нет да имеет ли право пользователь осуществл. такой доступ вместе с правами пользователя да нет режим проверки эксклюзивный возврат ошибки выполнение запроса Рис. 9. Логика алгоритмов обработки к файловой системе (к логическим дискам, каталогам, файлам), к устройствам со сменными носителями, к исполняемым файлам (запуску программ), к разделяемым сетевым ресурсам (по протоколу Net Bios) , используемая в КСЗИ КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 149 4. ИСПОЛЬЗУЕМЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА КСЗИ функционирует на рабочих станциях и серверах под управлением операционных систем WINDOWS 95/98/NT/2000. Возможны два варианта использования КСЗИ: 1. В автономном варианте – без серверной компоненты – реализуется локальное администрирование КСЗИ. 2. В сетевом варианте – используются клиентские компоненты, устанавливаемые на объекты защиты, и серверная компонента, с которой осуществляется удаленное администрирование КСЗИ. Минимальная аппаратная конфигурация защищаемого объекта определяется требованиями к техническим средствам, выдвигаемым ОС (дополнительных к ОС требований к техническим средствам КСЗИ не выставляется), так для ОС Windows 9x: IBM PC/AT с процессором 486 100МГц; Оперативная память 32 Мб; Свободное место на жестком диске для установки КСЗИ на рабочую станцию или информационный сервер не менее 5 Мб; Сетевой протокол TCP/IP, Сетевая карта для Ethernet, Для использования аппаратной компоненты защиты в компьютере должен быть свободный слот ISA или PCI шины для установки платы, Для подключения адаптера электронного ключа – свободный COM порт. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 150 5. ВЫЗОВ И ЗАГРУЗКА 5.1. Вызов и загрузка клиентской части КСЗИ имеет оконный графический интерфейс. Его установка производится с дискет, CD-ROM диска или другого носителя. Программа поставляется в виде стандартного дистрибутива. В состав дистрибутива входят: Дистрибутив клиентской части КСЗИ, каталог / ARMOR_DIS /CLIENT; Дистрибутив серверной части КСЗИ, каталог /ARMOR_DIS /SERVER; Дистрибутив модуля “Доступ к сети”, каталог /ARMOR_DIS /ACNET; Дистрибутив модуля “Защита СУБД”, каталог /ARMOR_DIS /DB; Пакет эксплуатационной документации, каталог /ARMOR_DOC. Отдельно инсталлируются клиентская часть КСЗИ, модуль «Доступ к сети», модуль контроля настроек и целостности таблиц СУБД. Замечание. Клиентские части КСЗИ устанавливаются на все защищаемые объекты защиты (при необходимости и на сервер безопасности), модуль «Доступ к сети» на те защищаемые объекты, где требуется использование соответствующих механизмов защиты, модуль контроля настроек и целостности таблиц СУБД устанавливается на сервере баз данных. 1) Инсталляция клиентской части КСЗИ Для инсталляции клиентской части КСЗИ необходимо: - нажать на панели задач кнопку «Пуск/Start», выбрать команду «Выполнить…»; - в окне «Запуск программы» с помощью кнопки «Обзор…» выбрать на соответствующем диске файл Setup.exe, нажать кнопку «Открыть»; - в диалоговом окне «Запуск программы», кнопкой «ОК» запустить исполняемый файл Setup.exe на выполнение; Внимание. На данном шаге инсталляции будет предложено ознакомиться с дицензионным соглашением. Ознакомьтесь с лицензионным соглашением в окне “Information”, если Вы согласны с ним продолжите инсталляцию, выбрав комманду “Next >”, в случае, если Вы не согласны с соглашением, выйдете из инсталляции нажатием кнопки “Cancel”. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» - 151 по запросу инсталлятора выбрать папку для установки, нажав кнопку «Browse…». Каталог для установки должен состоять из английских букв. - Нажать кнопку «Next >» для продолжения установки. После этого программа скопирует необходимые файлы на диск. Клиентская часть КСЗИ состоит из двух частей – собственно функциональная и диалоговая части. Функциональная часть устанавливается в качестве сервиса операционной системы (ОС) и не нуждается в действиях оператора. Все действия связанные с настройкой функциональной части, изменениями баз данных, списков процессов и пользователей, сценариев и дополнительных реакций, выполняются с помощью диалоговой части программного комплекса, обеспечивающей взаимодействие с администратором безопасности. Диалоговая часть программного комплекса запускается из главного меню «Старт» или из папки, куда была произведена установка программы (при необходимости можно удалить ярлык приложения из главного меню). После инсталляции автоматически будет запущена диалоговая часть. Для последующих запусков необходимо перейти в каталог установки и запустить программу вручную (“we_v2.exe”) . Ярлык для программы не создается. После запуска программного комплекса автоматически выводится окно ввода пароля. При первом (автоматическом) запуске диалоговой части КСЗИ выведет окно регистрации КСЗИ, в котором должны быть внесены данные: «Имя зарегистрированного пользователя» и «Регистрационный номер», которые будут сообщены при поставке КСЗИ (ввод неверных данных не позволит эксплуатировать КСЗИ). Для деинсталляции КСЗИ следует запустить деинсталлятор (в составе дистрибутива) – программу deinstal.exe. Для запуска программы деинсталляции администратору будет предложено ввести пароль. Пароли администратора для входа в КСЗИ и для деинсталляции КСЗИ совпадают. 2) Инсталляция модуля «Доступ к сети» Для инсталляции модуля «Доступ к сети» в дистрибутиве следует выбрать один из двух каталогов Acnet (95), при инсталляции на ОС Windows 95, соответственно Acnet (98,NT) при инсталляции на ОС Windows 98 или Windows NT/2000, затем запустить исполняемый файл Setup.exe на выполнение, после чего необходимо выполнить следующие действия: по запросу инсталлятора выбрать папку для установки, нажав кнопку «Browse…». Каталог для установки должен состоять из английских букв. Рекомендуется инсталлировать КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 152 модуль «Доступ к сети» в тот же каталог, что и клиентскую часть КСЗИ. В этом случае они будут удаляться одной программой деинсталляции. Нажать кнопку «Next >» для продолжения установки. После этого программа скопирует необходимые файлы на диск. Для деинсталляции модуля “Доступ к сети” следует запустить деинсталлятор (в составе дистрибутива) – программу deinstal.exe из каталога, где располагается модуль “Доступ к сети”. 3) Инсталляция модуля «Защита СУБД» Установка программного иодуля производится из дистрибутива КСЗИ. Программное обеспечение поставляется в виде setup-файлов, обеспечивающих стандартную для WINDOWS приложений процедуру инсталляции. Для установки программного комплекса необходимо: - выбрать на панели задач кнопку “Пуск/Start”, далее выбрать команду “Выполнить…/Run ... ”; - в окне "Запуск программы" с помощью кнопки “Обзор…” выбрать, на соответствующем диске в папке “DB”, файл Setup.exe и нажать кнопку “Открыть/Open”; - в диалоговом окне “Запуск программы”, кнопкой “ОК” запустить программу Setup.exe на выполнение; - нажать два раза кнопку “Next >”; - если требуется изменить каталог установки программного комплекса, необходимо выбрать папку для установки, нажав кнопку “Browse” или продолжить инсталляцию нажав кнопку “Next >”; - нажать кнопку “Next >” и “Finish”. После этого программа скопирует необходимые файлы на диск. Деинсталляция программы осуществляется стандартными средствами ОС. Внимание. Для обеспечения корректного функционирования ОС после удаления на компьютере клиентской части КСЗИ, процедура деинсталляции должна проводиться при выключенной клиентской части и только с помощью программы deinstal.exe входящей в состав дистрибутива. Удаление файлов и каталогов с установленной клиетской частью “вручную” неприемлемо и может привести к сбоям в функционировании ОС с удаленной клиентской частью КСЗИ. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 153 5.2. Вызов и загрузка серверной части Серверная часть КСЗИ – Сервер безопасности» (СБ) имеет оконный графический интерфейс. Его установка производится с дискет, CD-ROM диска или другого носителя. Программа поставляется в виде стандартного дистрибутива. Для инсталляции СБ необходимо: - нажать на панели задач кнопку «Пуск/Start», выбрать команду «Выполнить…»; - в окне «Запуск программы» с помощью кнопки «Обзор…» выбрать на соответствующем диске в папке Armour\ServerBR файл Setup.exe, нажать кнопку «Открыть»; - в диалоговом окне «Запуск программы», кнопкой «ОК» запустить программу Setup.exe на выполнение; - по запросу программы выбрать папку для установки, нажав кнопку «Change Directory…» или нажать кнопку для продолжения установки. После этого программа скопирует необходимые файлы на диск. По окончании инсталляции программа сразу попросит задать пароль администратора безопасности. Этот пароль будет в дальнейшем использоваться для входа в сервер безопасности. Диалоговая часть СБ запускается из главного меню «Старт» или из папки, куда была произведена установка программы (при необходимости можно удалить значок приложения из главного меню). Для деинсталляции СБ необходимо выполнить файл uninstall.reg. Появится диалоговое окно, в котором надо ответить «Да». После этого каталог с сервером безопасности будет удален. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 154 6. ВХОДНЫЕ ДАННЫЕ Входные данные предназначены для задания установок параметров и функций КСЗИ и последующего функционирования с предустановленными параметрами. Могут быть классифицированы следующим образом: 1. По способу установки параметров – с локальной консоли, с отчуждаемого носителя (данные авторизации пользователя с дискеты, с таблетки, настройки КСЗИ, при их сохранении на дискете), либо удаленно – с сервера безопасности, а также заданием режимов функционирования аппаратной компоненты защиты (платы) вручную, с использованием органов управления (джемперов) на плате. 2. По механизму установки параметров: Автоматическая установка – ряд параметров устанавливаются по умолчанию при инсталляции КСЗИ, Автоматизированная установка – использование дискеты с установками параметров настроек КСЗИ, либо использование баз данных настроек (в том числе, типовых) на СБ, Ручная установка – использование интерфейса КСЗИ (локального, либо удаленного) с вводом параметров с консоли. 3. По назначению параметров установки и функционирования: Данные, к которым относятся – данные авторизации пользователя, данные разграничения прав доступа, служебные данные – периоды и время проверки, настройки взаимодействий (IP адрес, ТСР порт) и т.д. Команды, к которым относятся – запуск администратором контроля целостности, запуск антивирусной проверки, запуск процесса и т.д. Программы, к которым относятся исполняемые файлы – реакции КСЗИ, запускаемые в случае обнаружения попыток НСД, как локально – на клиентской части, так и удаленно – с сервера ошибок СБ.. 4. По функциональной принадлежности лица, осуществляющего ввод данных: Администратор безопасности, лицо, осуществляющее основные настройки КСЗИ, Пользователь, вводящий свои данные авторизации при доступе к защищаемым КСЗИ ресурсам, Ответственное лицо, вводящее свои данные авторизации контролируемого доступа к защищаемым ресурсам (сетевые службы). 5. По принадлежности данных установки: при обеспечении КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 155 Данные по настройке сетевой системы защиты (осуществляется на сервере безопасности – введение структуры сети, определяется принадлежность пользователей подразделениям и т.д.), Данные по настройке собственно механизмов защиты клиентской части (осуществляется локально, либор удаленно). Способ хранения входных данных: Пароли хранятся в файле в маскированном виде – используется ХЭШ функция, Настройки КСЗИ, хранящиеся в файле, маскирутся с использованием функции XOR, Настройки КСЗИ, хранящиеся в реестре ОС, не маскирутся. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 156 7. ВЫХОДНЫЕ ДАННЫЕ Выходные данные формируются собственно КСЗИ и представляют собою регистрацию и выдачу результатов функционирования КСЗИ. Могут быть классифицированы следующим образом: По назначению: Формирование параметров для последующего автоматического их ввода в КСЗИ (к таким параметрам относятся – пароли, для их последующего ввода пользователем с дискеты, настройки КСЗИ, которые могут быть сохранены на дискете или в базе данных СБ и затем введены), Регистрация и выдача администратору безопасности результатов функционирования системы, Запуск команд (программ) автоматической реакции на заданные изменения параметров обрабатываемых данных, системы или КСЗИ (как локально, так и из сервера ошибок КСЗИ). По механизму вывода данных: Автоматическая выдача данных, например, на монитор сервера безопасности сразу выводится информация о потери соединения с клиентской частью КСЗИ, автоматически выдаются сообщения на сервер ошибок СБ, Автоматизированная, данные автоматически сохраняются в соответствующих файлах, затем выводятся на монитор по запросу администратора безопасности, например, журналы аудита.. По способу отображения данных регистрации: Хранение в файле с выводом на экран по запросу администратора безопасности, Отображение на бумажном носителе при регистрации печати. По способу представления данных для обработки: Фильтрация, посредством создания различных журналов по различным событиям на клиентской части, с последующей возможностью просмотра журналов по отдельности, Фильтрация (вывод информации на экран) обобщенной информации из общей базы данных сервера безопасности по отдельным параметрам (совокупности параметров), с использованием фильтров параметров. По способу отображения зарегистрированных данных: Просмотр данных на мониторе, КСЗИ «Панцирь» © ЗАО «НПП ИТБ» Сохранение данных на дискете, Печать данных. 157 По виду представления данных: В текстово-цифровом виде, С использованием визуальных возможностей (например, раскрашивание кружков, изображающих на пиктограмме рабочие станции, в различные цвета с учетом происходящих событий и т.п.). По способу отображения критичных событий, например, разрыв соединения серверной части КСЗИ с клиентской частью: Отображение события отдельным окном на мониторе сервера безопасности, Способ хранения входных данных: На клиентской части хранятся журналы в текстовом файле, не маскируются, На клиентской части хранятся файлы контроля клавиатуры, маскируются с использованием функции XOR, На серверной части пароли хранятся в файле в маскированном виде – используется ХЭШ функция, На серверной части все настройки и журналы хранятся в базах данных – не маскируются. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 158 8. ПЕРЕЧЕНЬ ПАТЕНТОВ НА ИЗОБРЕТЕНИЕ ЗАО «НПП «ИТБ», ИСПОЛЬЗОВАННЫХ В КСЗИ В настоящий момент на реализованные в КСЗИ способы и технические решения сотрудниками ЗАО «НПП «ИТБ» подано 16 заявок на изобретение. Получены следующие патенты на изобретения, использованные при разработке КСЗИ: 1. Патент №2166792. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий. 2. Патент №2169941. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей. 3. Патент №2169942. Распределенная система защиты вычислительных систем и сетей. 4. Патент №2174254. Система оптимизации структуры ядра открытых операционных систем по требованиям информационной безопасности. 5. Патент №2180135. Система обеспечения целостности обработки информации вычислительных систем. 6. Патент №2185657.Система защиты и контроля целостности резидентной программы. 7. Патент №2202122. Система контроля доступа к запускаемым процессам (программам). 8. Патент № 2207618. Система контроля доступа к информационным ресурсам. 9. Патент № 2207619. Система разграничения доступа к ресурсам. КСЗИ «Панцирь» © ЗАО «НПП ИТБ» 9. СПИСОК СОКРАЩЕНИЙ КСЗИ – комплексная система защиты информации НСД - несанкционированный доступ ОС - операционная система ПО - программное обеспечение СВТ - средство вычислительной техники СЗИ - система защиты информации СУБД - система управления базами данных 159