ВАРИАНТ 1

A. непреднамеренные ошибки пользователей

c. хакерская атака

A. определении прав пользователя на операции с файлами и каталогами

b. задании атрибутов файлов и каталогов, независящих от прав пользователей

c. правильного ответа нет

3. Вид угрозы действия, направленного на несанкционированное использование информационных ресурсов, не оказывающего при этом влияния на её функционирование – … угроза:

a. активная

B. пассивная

C. правильного ответа нет

4. Преднамеренная угроза безопасности информации:

A. кража

b. наводнение

c. повреждение кабеля, по которому идет передача, в связи с погодными условиями
ошибка разработчика

5. Защита информации это:

b. преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа;

6. К основным непреднамеренным искусственным угрозам относится:

a. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи;

b. неумышленное повреждение каналов связи;

c. физическое разрушение системы путем взрыва, поджога и т.п.

7. По наличию обратной связи удаленные атаки делятся на:

a. условные и безусловные;

b. атаки с обратной связью и без обратной связи;

c. внутрисегментные и межсегментные;

8. Антивирус просматривает файлы, оперативную память и загрузочные секторы дисков на предмет наличия вирусных масок:

a. доктор;

b. сканер;

c. сторож.

9. Антивирусный доктор:

a. находит зараженные вирусами файлы и удаляет из файла тело вируса, возвращая файлы в исходное состояние;

b. просматривает файлы, оперативную память и загрузочные секторы дисков на предмет наличия вирусных масок;

c. обнаруживает подозрительные действия при работе компьютера, характерные для вирусов.

10. Метод защиты информации идентификация и установление подлинности заключается в:

a. контроле доступа к внутреннему монтажу, линиям связи и технологическим органам управления;

b. разделении информации, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями;

c. проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает.

11. В соответствии с нормами российского законодательства защита информации представляет собой принятие правовых, организационных и технических мер, направленных на …

A. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации

b. соблюдение норм международного права в сфере информационной безопасности

c. разработку методов и усовершенствование средств информационной безопасности

12. Суть компрометации информации:

a. внесение изменений в базу данных, в результате чего пользователь лишается доступа к информации

b. несанкционированный доступ к передаваемой информации по каналам связи и уничтожения содержания передаваемых сообщений

C. внесение несанкционированных изменений в базу данных, в результате чего потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений

13. Информационная безопасность автоматизированной системы – это состояние автоматизированной системы, при котором она, …

A. с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой – ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды

b. способна противостоять только информационным угрозам, как внешним так и внутренним

c. способна противостоять только внешним информационным угрозам

14. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ):

a. МЭ были разработаны для активного или пассивного обнаружения, а СОВ – для активной или пассивной защиты

b. МЭ были разработаны для активной или пассивной защиты, а СОВ – для активного или пассивного обнаружения

c. МЭ работают только на сетевом уровне, а СОВ – еще и на физическом

15. Под угрозой удаленного администрирования в компьютерной сети понимается угроза …

a. внедрения агрессивного программного кода в рамках активных объектов Web-страниц

b. перехвата или подмены данных на путях транспортировки

C. несанкционированного управления удаленным компьютером

16. К формам защиты информации не относится…

A. аналитическая

b. правовая

c. организационно-техническая

17. Шифрование методом перестановки:

a. символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности;

b. шифрование заключается в получении нового вектора как результата умножения матрицы на исходный вектор;

c. символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста;

18. Доступ к информации это:

a. процесс сбора, накопления, обработки, хранения, распределения и поиска информации;

b. получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств;

c. деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё.

19. Три составляющиx информационной безопасности:

a. доступность, целостность, конфиденциальность

b. неприкосновенность, целостность, устойчивость

c. публичность, доступность, защищённость

d. тайна, охрана, зашифрованность

20. Какой стандарт определяет требования к управлению информационной безопасностью?

a. ГОСТ Р 15408

b. ГОСТ ИСО/МЭК 27001

c. ГОСТ ИСО/МЭК 17799

d. нет такого стандарта

a. как коммерческую тайну

b. как изобретение

c. как способ

d. как литературное произведение

22. К методам обращения с выявленными рисками относятся:

a. уклонение, противодействие, передача, избавление

b. уклонение, настройка, передача, избавление

c. уклонение, противодействие, страхование, избавление

d. избегание, противодействие, передача, принятие

На кого возлагается ответственность за определение подлежащих защите ресурсов на предприятии?

a. на высшее руководство

b. на руководителей среднего звена

c. на рядовых работников

d. на службу ИБ

Может ли администратор информационной системы предприятия передавать ответственность и полномочия по обеспечению ИБ поставщику услуг?

b. полномочия - нет, ответственность - да

c. полномочия - да, ответственность - нет

Можно ли изменить MAC-адрес сетевой платы компьютера?

b. да, но потребуется аппаратная модификация

Возможно ли, просматривая HTTP-трафик пользователя, узнать пароль этого пользователя на доступ к веб-сайту?

a. да, всегда

c. да, только если наряду с паролем используются cookies

d. да, если используется браузер Internet Explorer

Пользователь случайно удалил файл из общей папки на сервере. Как можно его восстановить?

a. из Корзины на компьютере пользователя

b. администратор сможет восстановить файл из Корзины на сервере

c. открыть общую папку с помощью Проводника и выполнить команду "Восстановить" из меню "Редактировать"

d. администратор сможет восстановить файл из последней резервной копии

Какими методами обнаруживают полиморфные вирусы?

a. при помощи сигнатуры

b. при помощи полиморфного антивируса

c. методами деморфизации

d. эвристическими методами и эмуляторами кода

В какой стране доступ в Интернет полностью запрещён для всех граждан?

a. Вьетнам

c. такой страны нет

Что такое DoS-атака?

a. атака, направленная на уязвимости ОС MS-DOS

b. атака, осуществляемая обычно при помощи ОС MS-DOS или PC-DOS

c. атака типа "отказ в обслуживании"

d. распределённая (distributed) атака

40. Какой из русских терминов, соответствующих английскому "firewall", является официальным?

a. файервол

b. брандмауэр

c. межсетевой экран

d. сетевой фильтр

ВАРИАНТ 2

1. Основные угрозы конфиденциальности информации:

a. карнавал

b. переадресовка

C. маскарад

a. буквы P в окружности или круглых скобках

c. не всегда

4.Наиболее эффективное средство для защиты от сетевых атак
использование антивирусных программ:

a. посещение только «надёжных» Интернет-узлов

B. Оранжевая книга

c. Закон «Об информации, информационных технологиях и о защите информации»

8. Утечка информации – это …

ВАРИАНТ 1

1. Основные угрозы доступности информации:

a. непреднамеренные ошибки пользователей

b. злонамеренное изменение данных

c. хакерская атака

2. Средства защиты объектов файловой системы основаны на…

Защита файловой системы

Ясно, что наибольшее внимание в проблеме защиты операционной системы должно уделяться защите файловой системы.

Файловая система в UNIX имеет древовидную структуру. Том пря­мого доступа делится на несколько областей:

начальный загрузчик;

суперблок;

область индексных дескрипторов;

область файлов;

область, не используемая для файловой системы (например, область

для выгрузки процессов).

Суперблок состоит из следующих полей:

размер файловой системы;

количество свободных блоков в файловой системе;

заголовок списка свободных блоков, имеющихся в файловой системе;

номер следующего элемента в списке свободных блоков;

размер области индексов;

количество свободных индексов в файловой системе;

список свободных индексов в файловой системе;

следующий свободный индекс в списке свободных индексов;

заблокированные поля для списка свободных блоков и свободных

индексов; « флаг, показывающий, что в суперблок были внесены изменения.

При монтировании (команда mount) файловой системы суперблок записывается в оперативную память и переписывается обратно при раз-монтировании (команда unmount). Для того чтобы обеспечивалась согла­сованность с данными, хранящимися в файловой системе, ядро периоди­чески (через 30 с) переписывает суперблок на диск (системный вызов sync, запускаемый из процесса update в SCO UNIX).

Каждый файл в системе UNIX имеет уникальный индекс. Индекс -это управляющий блок. В литературе он также называется индексным де­скриптором, i-node или i-узлом. Индекс содержит информацию, необходи­мую любому процессу для того, чтобы обратиться к файлу, например пра­ва собственности на файл, права доступа к файлу, размер файла и рас­положение данных файла в файловой системе. Процессы обращаются к файлам, используя четко определенный набор системных вызовов и идентифицируя файл строкой символов, выступающих в качестве составного имени файла. Каждое составное имя однозначно определяет файл, бла­годаря чему ядро системы преобразует это имя в индекс файла.

Индексы существуют на диске в статической форме, и ядро считы­вает их в память прежде, чем начать с ними работать. Индексы содержат следующие поля.

1. Идентификатор владельца файла и идентификатор группы.

2. Тип файла. Файл может быть файлом обычного типа, каталогом, специальным файлом (соответствующим устройствам ввода-вывода сим­волами или блоками, а также абстрактным файла канала, организующим обслуживание запросов в порядке поступления "первым пришел - первым вышел").

3. Права доступа к файлу. Права доступа к файлу разделены между индивидуальным владельцем, группой пользователей, в которую входит владелец файла, и всеми остальными. Суперпользователь (пользователь с именем root) имеет право доступа ко всем файлам в системе. Каждому классу пользователей выделены определенные права на чтение, запись и выполнение файла, которые устанавливаются индивидуально. Поскольку каталоги как файлы не могут быть исполнены, разрешение на исполнение в данном случае интерпретируется как право производить поиск в каталоге по имени файла, а право записи - как право создавать и уничтожать в нем файлы.

4. Временные сведения, характеризующие работу с файлом: время внесения последних изменений в файл, время последнего обращения к файлу, время внесения последних изменений в индекс.

5. Число указателей индекса, означающее количество имен файлов, ссылающихся на данный файл.

6. Таблицу адресов дисковых блоков, в которых располагается ин­формация файла. Хотя пользователи трактуют информацию в файле как логический поток байтов, ядро располагает эти данные в несмежных дис­ковых блоках.

7. Размер файла в байтах.

Обратим внимание, что в индексе отсутствует составное имя фай­ла, необходимое для доступа к файлу.

Содержимое файла меняется только тогда, когда в файл про­изводится запись. Содержимое индекса меняется при изменении как со­держимого файла, так и владельца файла, прав доступа и т.д. Изменение содержимого файла автоматически вызывает коррекцию индекса, однако коррекция индекса еще не означает изменение содержимого файла.

При открытии файла индекс копируется в память и записывается обратно на диск, когда последний процесс, использующий этот файл, за­кроет его. Копия индекса в памяти содержит кроме полей дискового индек­са следующие поля.

1. Состояние индекса в памяти, отражающее:

Заблокирован ли индекс;

Ждет ли снятия блокировки с индекса какой-либо процесс;

Отличается ли представление индекса в памяти от своей дисковой копии в результате изменения содержимого индекса;

Отличается ли представление индекса в памяти от своей дисковой копии в результате изменения содержимого файла;

Находится ли указатель файла в начале.

2. Логический номер устройства файловой системы, содержащей файл.

3. Номер индекса. Так как индексы на диске хранятся в линейном массиве, ядро идентифицирует номер дискового индекса по его местопо-ложению в массиве. В дисковом индексе это поле не нужно.

4. Указатели других индексов в памяти.

5. Счетчик ссылок, соответствующий количеству активных (откры­тых) экземпляров файла.

Многие поля в копии индекса, с которой ядро работает в памяти, аналогичны полям в заголовке буфера, и управление индексами похоже на управление буферами. Индекс также блокируется, в результате чего дру­гим процессам запрещается работа с ним. Эти процессы устанавливают в индексе специальный флаг, информирующий о том, что выполнение об­ратившихся к индексу процессов следует возобновить, как только блоки­ровка будет снята. Установкой других флагов ядро отмечает расхождение между дисковым индексом и его копией в памяти. Когда ядру нужно будет записать изменения в файл или индекс, оно перепишет копию индекса из памяти на диск только после проверки этих флагов.

Каталоги (справочники) являются файлами, из которых строится ие­рархическая структура файловой системы. Они играют важную роль в пре­вращении имени файла в номер индекса. Каталог - это файл, содержи­мым которого является набор записей, состоящих из номера индекса и имени файла, включенного в каталог. Составное имя - это строка симво­лов, завершающаяся пустым символом и разделяемая наклонной чертой (Т) на несколько компонентов. Каждый компонент, кроме последнего, должен быть именем каталога, но последний компонент может быть име­нем файла, не являющегося каталогом. Имя корневого каталога - "/". В ОС UNIX длина каждого компонента определяется 14 символами. Таким обра­зом, вместе с 2 байтами, отводимыми для номера индекса, размер записи каталога составляет, как правило, 16 байт.

Традиционно в файловых системах ОС UNIX за доступ ко всем ти­пам файлов (файлы, справочники и специальные файлы) отвечают 9 бит, которые хранятся в i-узле. Первая группа из 3 бит определяет права дос­тупа к файлу для его владельца, вторая - для членов группы владельца, третья - для всех остальных пользователей.

Например, права доступа "rwxr-xr-" к файлу означают, что владелец файла имеет полный доступ, члены группы имеют возможность чтения и выполнения, все остальные имеют возможность только читать данный файл. Для справочника установка бита выполнения "х" означает возмож­ность поиска (извлечения) файлов из этого справочника.

Такая система защиты файлов существует достаточно давно и не вызывает нареканий. Действительно, для того чтобы вручную, т.е. не ис-

пользуя системные вызовы и команды, изменить права доступа к файлу, следует иметь доступ к области i-узлов. Для того чтобы иметь доступ к об­ласти i-узлов, следует изменить права доступа специального файла (на­пример, /dev/root), биты доступа которого также хранятся в области i-узлов. Иными словами, если случайно или умышленно не испортить права досту­па ко всем файлам системы, установленные по умолчанию (обычно пра­вильно) при инсталляции, то можно с большой степенью вероятности га­рантировать безопасность работы системы.

Согласно принципам построения ОС UNIX необходим еще четвер­тый-бит, определяющий права на выполнение исполняемого файла. Чет­вертый бит в самом общем случае интерпретируется как возможность смены идентификатора пользователя. Его смысловая нагрузка меняется в зависимости от того, в какой группе битов доступа он установлен. Если четвертый бит установлен в группе битов прав доступа владельца (setuid), то данная программа выполняется для любого пользователя с правами владельца этого файла.

В любой системе UNIX таких команд очень много. Тривиальный пример использования незарегистрированного файла с установленным битом setuid заключается в следующем:

Один раз, узнав пароль какого-либо пользователя, злоумышленник со­здает копию командного интерпретатора в своем домашнем справочнике или еще где-нибудь, чтобы его не узнали, например в глубоком дереве в /usr/tmp (заметим, что рекурсивная работа с деревом весьма ограничена по глубине, которая для SCO UNIX равна примерно 15);

Делает владельцем файла другого пользователя и его правами устанавливает бит setuid;

До тех пор пока данный файл не будет уничтожен, злоумышленник будет пользоваться правами другого пользователя.

В этом примере очевидно, что если злоумышленник случайно один раз узнает пароль суперпользователя, то он будет обладать полностью его правами. Поэтому необходимо регулярно проверять все файловые систе­мы на наличие незарегистрированных файлов с установленным битом se­tuid.

Если четвертый бит установлен в группе бит прав доступа членов группы (setgid), то данная программа выполняется для любого пользова­теля с правами членов группы этого файла.

Бит setgid в системах UNIX используется гораздо реже, чем бит setuid, однако все сказанное относительно возможных угроз при установке бита setuid справедливо для бита setgid. Если бит setgid установлен для справочника, то это означает, что для всех файлов, создаваемых пользо­вателем в этом справочнике, групповой идентификатор будет установлен таким же, как у справочника.

Если четвертый бит установлен в группе битов прав доступа всех остальных пользователей (бит sticky), то это указывает операционной системе делать специальный текстовый образ выполняемого файла. На сегодняшний день для выполняемого файла бит sticky обычно не исполь­зуется. Он используется только для справочников. Его установка для справочника означает, что пользователи не имеют права удалять или пе­реименовывать файлы других пользователей в этом справочнике.

Это необходимо прежде всего для справочников /tmp и /usr/tmp, чтобы один пользователь случайно или специально не смог повредить ра­боте другого пользователя. Следует напомнить, что самой распространен­ной ошибкой администратора является установка в переменную окруже­ния PATH значения текущего справочника, что делается для удобства, чтобы не набирать перед каждой командой текущего справочника символы ".Г. Хуже всего, если это значение установлено в начале. Например, PATH=.:/bin:/usr/bin:/etc. В этом случае достаточно злоумышленнику по­местить в справочник /tmp или /usr/tmp собственные образы наиболее рас­пространенных команд (Is, ps и т.п.) - и последствия набора безобидной последовательности команд (например, cd /tmp; Is) будут трудно предска­зуемы. Обычно по умолчанию в переменной окружения PATH текущий справочник не установлен. Аналогично плохо для системы могут закон­читься попытки запуска неизвестных пользовательских программ из их до­машних или общих справочников.

Бит sticky для справочника может установить только администра­тор. Очевидно, что он может и удалить файлы любого пользователя в этом справочнике. Для повышения надежности функционирования системы следует установить биты sticky для всех общих справочников.

Важной особенностью реализации системы защиты информации является очистка битов setuid, setgid и sticky для файлов, в которые производится запись. При этом очистка битов делается даже для файлов, если в них произведена запись владельца. Очистка перечисленных битов для справочников не производится.

Некоторые системы UNIX (например, Solaris) предоставляют допол­нительные возможности по управлению правами доступа к файлам путем использования списков управления доступом (Access Control List). Данный механизм позволяет для каждого пользователя или для отдельной группы установить индивидуальные права доступа к заданному файлу. При этом списки доступа сохраняются всеми системными средствами копирования и архивирования. Нельзя сказать, что введение этого механизма принципи­ально улучшает защиту файлов. Тем не менее он вносит некоторую гиб­кость в процедуру формирования прав доступа к файлам.

Отдельно следует рассмотреть значение системной переменной umask. С ее помощью устанавливаются по умолчанию права доступа к файлу при его создании. Значение переменной umask устанавливает, ка­кие биты будут маскироваться. Например, в SCO UNIX значение перемен­ной umask по умолчанию установлено 022. Это означает, что для любого созданного файла по умолчанию будут установлены права доступа "rwxr-xr-х". Если значение переменной umask по каким-либо причинам будет изменено, то это может привести к непредсказуемым последствиям. В си­лу этого каждому пользователю необходимо явным образом прописать значение переменной umask в стартовом файле (.profile или.cshrc или т.п.).

В данном пособии не рассматриваются возможности закрытия фай­лов командой crypt, реализующей Data Encryption Standard (DES), по­скольку данная системная команда в Россию не поставляется.

Необходимо подчеркнуть важность правильной установки прав дос­тупа к специальным файлам. При этом надо помнить, что для одного и того же физического устройства могут существовать несколько специаль­ных файлов (в зависимости от способа доступа). Например, /dev/root и /dev/rroot.

Следует обратить внимание на обеспечение режима защиты ин­формации при импортировании данных из других систем. В самом общем случае архивные программы сбрасывают режимы доступа к файлам, кото­рые могут повлиять на безопасность системы. Тем не менее количество версий архивных программ и их реализаций в различных системах UNIX весьма значительно. Так, ряд версий команды tar поддерживает опции, при которых не изменяется принадлежность файла владельцу и группе. Некоторые системы UNIX позволяют копировать специальные файлы с помощью команды tar, а некоторые не позволяют. С особым вниманием следует пользоваться командой cpio, поскольку с ее помощью можно сде­лать копии файлов, сохраняя все биты (setuid, setgid и sticky) и права доступа к файлам.

При монтировании файловых систем, созданных или обрабатывав­шихся на других системах, могут возникнуть те же проблемы, что и для импортированных файлов. Для файловых систем имеются еще и дополни­тельные проблемы. Первая из них - файловая система, перенесенная с другой системы, может быть испорчена. Попутно заметим, что логические ошибки в файловой системе могут быть исправлены командой fsck перед монтированием. Гораздо хуже ОС UNIX относится к физическим сбоям на дисках. В обоих случаях монтирование дефектной файловой системы мо­жет привести систему к фатальному сбою, вызвать дальнейшее повреж­дение данных в импортированной файловой системе или повреждение других файловых систем из-за побочных эффектов.

Вторая проблема с импортированными файловыми системами мо­жет возникнуть из-за установленных прав доступа к файлам и справочни­кам, которые могут быть недопустимы для вашей системы. В этом случае для выявления установок различных битов (setuid, setgid, sticky) можно воспользоваться соответствующей командой (например, ncheck для SCO). Для поиска неправильных установок для файлов владельцев и групп в им­портированной файловой системе можно предложить только ручной про­смотр.

Контроль целостности системы

Известно, что стоимость восстановления системы выше стоимости ее сопровождения. В задачи сопровождения ОС входит, в частности, кон­троль целостности системы. В ОС UNIX контроль целостности системы выполняется рядом команд. Например, для контроля и поддержки целостности SCO UNIX основной перечень команд системы следующий: integrity, authck, fixmog, cps, tcbck, smmck, authckrc, fsck. Практика показывает, что данный набор команд является достаточно полным.

Стандартная последовательность действий после возникновения сбоя в системе или каких-либо других отклонений следующая:

Проверка файловой системы;

Составление контрольного отчета;

Проверка базы данных аутентификации;

Проверка разрешений для системных файлов.

Следует отметить, что системные средства восстановления це­лостности системы работают до определенного предела. Авторами был проведен следующий эксперимент для SCO UNIX Release 5.0:

Всем файлам системы был назначен владелец root;

У всех файлов системы были установлены права доступа со значением по умолчанию системной переменной umask.

В результате этих действий системными средствами не удалось восстановить нормальные права доступа и владельцев файлов. Такой эксперимент имеет жизненную основу, например размножение системы на другие компьютеры по сети. Поэтому единственным способом дублирова­ния системы на другие компьютеры следует считать использование ко­манды cpio. Также следует отметить, что в SCO Release 3.2 и Release 5.0 права доступа и владельцы некоторых файлов по умолчанию не соот­ветствуют базе данных контроля целостности системы. Авторами не ис­следовались вопросы влияния этих несоответствий на безопасность и це­лостность работы системы.

3. Средства аудита

Будем считать, что действие контролируется, если можно опреде­лить реального пользователя, который его осуществил. Концептуально при построении ОС UNIX некоторые действия нельзя контролировать на уров­не действий реального пользователя. Например, пользовательские бюд­жеты, такие как Ip, cron или uucp, используются анонимно, и их действия можно обнаружить только по изменениям в системной информации.

Система контроля регистрирует события в операционной системе, связанные с защитой информации, записывая их в контрольный журнал. В контрольных журналах возможна фиксация проникновения в систему и неправильного использования ресурсов. Контроль позволяет просматри­вать собранные данные для изучения видов доступа к объектам и наблю­дения за действиями отдельных пользователей и их процессов. Попытки нарушения защиты и механизмов авторизации контролируются. Использо­вание системы контроля дает высокую степень гарантии обнаружения по­пыток обойти механизмы обеспечения безопасности. Поскольку события, связанные с защитой информации, контролируются и учитываются вплоть до выявления конкретного пользователя, система контроля служит сдер­живающим средством для пользователей, пытающихся некорректно ис­пользовать систему.

В соответствии с требованиями по надежности операционная сис­тема должна создавать, поддерживать и защищать журнал регистрацион­ной информации, относящейся к доступу к объектам, контролируемым системой. При этом должна быть возможность регистрации следующих событий:

Использования механизма идентификации и аутентификации;

Внесения объектов в адресное пространство пользователя (например, открытие файла);

Удаления объектов;

Действий администраторов;

Других событий, затрагивающих информационную безопасность.

Каждая регистрационная запись должна включать следующие поля:

Дата и время события;

Идентификатор пользователя;

Тип события;

Результат действия.

Для событий идентификации и аутентификации регистрируется так­же идентификатор устройства. Для действий с объектами регистрируются имена объектов.

Типы контролируемых событий, поддерживаемые в SCO Release 5.0, приведены в табл. 1.

Система контроля использует системные вызовы и утилиты для классификации действий пользователей, подразделяя их на события раз­личного типа. Например, при возникновении события типа "DAC Denials" (отказ доступа при реализации механизма избирательного разграничения доступа) регистрируются попытки такого использования объекта, которые не допускаются разрешениями для этого объекта. Иными словами, если пользовательский процесс пытается писать в файл с доступом "только для чтения", то возникает событие типа "DAC Denials". Если просмотреть кон­трольный журнал, то легко можно увидеть повторяющиеся попытки досту­па к файлам, на которые не получены разрешения.

Существенно повышает эффективность контроля наличие регист­рационного идентификатора пользователя (LUID). После прохождения пользователем процедур идентификации и аутентификации, т.е. непо­средственного входа в систему, каждому процессу, создаваемому пользо­вателем, присваивается регистрационный идентификатор пользователя. Данный идентификатор сохраняется, несмотря на переходы от одного пользовательского бюджета к другому, с помощью таких команд, как su.

Каждая контрольная запись, генерируемая системой контроля, со­держит для каждого процесса регистрационный идентификатор наряду с эффективным и реальным идентификаторами пользователя и группы. Та­ким образом, оказывается возможным учет действий пользователя.

Отдельно следует рассмотреть реализацию механизма контроля для работы в режиме ядра. Данный механизм генерирует контрольные записи по результатам выполнения пользовательских процессов с помо­щью системных вызовов ядра. Каждый системный вызов ядра содержит строку в таблице, в которой указывается связь системного вызова с кон­тролем защиты информации и тип события, которому он соответствует.

Таблица 1

Тип	Содержание
1. Startup/Shutdown
2. Login/Logout	Успешный вход и выход из системы
3. Process Create/Delete	Создание/уничтожение процесса
4. Make Object Available	Сделать объект доступным (открыть файл, открыть сообщения, открыть семафор, монтировать файло­вую систему и т.п.)
5. Map Object to Subject	Отобразить объект в субъект (выполнение про­граммы)
6. Object Modification	Модификация объекта (запись в файл и т.п.)
7. Make Object Unavailable	Сделать объект недоступным (закрыть файл, за­крыть сообщение, закрыть семафор, размонти­ровать файловую систему и т.п.)
8. Object Creation	Создание объекта (создание фай­ла/сообщения/семафора и т.п.)
9. Object Deletion	Удаление объекта (удаление фай­ла/сообщения/семафора и т.п.)
10. DAC Changes	Изменение разграничения доступа (изменение дос­тупа к файлу, сообщению, семафору, изменение владельца и т.п.)
11. DAC Denials	Отказ доступа (отсутствие прав доступа к какому-либо объекту)
12. Admin/Operator Actions	Действия (команды) системных администраторов и операторов
13. Insufficient Authorization	Процессы, которые пытаются превысить свои пол­номочия
14. Resource Denials	Отказы в ресурсах (отсутствие необходимых фай­лов, превышение размеров памяти и т.п.)
15. IPC Functions	Посыпка сигналов и сообщений процессам
16. Process Modifications	Модификации процесса (изменение эффективного идентификатора процесса, текущего справочника процесса и т.п.)
17. Audit Subsystem Events	События системы контроля (разреше­ние/запрещение системного контроля и модифика­ция событий контроля)
18. Database Events	События базы данных (изменение данных безопас­ности системы и их целостности)
19. Subsystem Events	События подсистемы (использование защищенных подсистем)
20. Use of Authorization	Использование привилегий (контроль действий с использованием различных привилегий)

Кроме того, используется таблица кодов ошибок, позволяющая классифицировать системные вызовы как конкретные события, связанные с защитой информации.

Например, системный вызов open классифицируется как событие "Сделать объект доступным". Если пользователь выполняет системный вызов open для файла /unix и данный системный вызов завершается ус пешно, то генерируется контрольная запись об этом событии. Однако если системный вызов open заканчивается неудачно в силу того, что пользова­тель запросил в системном вызове доступ на запись файла /unix, не имея разрешения, то это действие классифицируется как событие "Отказ досту­па" для данного пользователя и объекта /unix. Следовательно, системный вызов можно отобразить в несколько типов событий, в зависимости от объекта, к которому осуществляется доступ, и (или) результата вызова.

Некоторые системные вызовы не имеют отношения к защите ин­формации. Например, системный вызов getpid получает идентификатор процесса и не определяет никакого события, связанного с защитой ин­формации. Таким образом, данный системный вызов не подлежит контро­лю.

Механизм контроля ядра выдает внутренний вызов в драйвер уст­ройства для занесения записи в контрольный журнал. Отметим, что ин­формацию контроля система записывает непосредственно на диск, не до­жидаясь синхронизации суперблоков в оперативной памяти и на диске. Этим достигается полная защита от разрушения информации контроля. Однако следует иметь в виду, что при включении всех событий контроля и при активной работе пользователей объем записываемой информации может достигать нескольких мегабайтов на одного пользователя в час. Поэтому контроль следует рассматривать не как превентивную меру, а как меру пресечения.

1. Основные угрозы доступности информации:
непреднамеренные ошибки пользователей
злонамеренное изменение данных
хакерская атака
отказ программного и аппаратно обеспечения
разрушение или повреждение помещений
перехват данных

2. Суть компрометации информации
внесение изменений в базу данных, в результате чего пользователь лишается доступа к информации
несанкционированный доступ к передаваемой информации по каналам связи и уничтожения содержания передаваемых сообщений
внесение несанкционированных изменений в базу данных, в результате чего потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений

3. Информационная безопасность автоматизированной системы – это состояние автоматизированной системы, при котором она, …
с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой — ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды
с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой – затраты на её функционирование ниже, чем предполагаемый ущерб от утечки защищаемой информации
способна противостоять только информационным угрозам, как внешним так и внутренним
способна противостоять только внешним информационным угрозам

4. Методы повышения достоверности входных данных
Замена процесса ввода значения процессом выбора значения из предлагаемого множества
Отказ от использования данных
Проведение комплекса регламентных работ
Использование вместо ввода значения его считывание с машиночитаемого носителя
Введение избыточности в документ первоисточник
Многократный ввод данных и сличение введенных значений

5. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ)
МЭ были разработаны для активной или пассивной защиты, а СОВ – для активного или пассивного обнаружения
МЭ были разработаны для активного или пассивного обнаружения, а СОВ – для активной или пассивной защиты
МЭ работают только на сетевом уровне, а СОВ – еще и на физическом

6. Сервисы безопасности:
идентификация и аутентификация
шифрование
инверсия паролей
контроль целостности
регулирование конфликтов
экранирование
обеспечение безопасного восстановления
кэширование записей

7. Под угрозой удаленного администрирования в компьютерной сети понимается угроза …
несанкционированного управления удаленным компьютером
внедрения агрессивного программного кода в рамках активных объектов Web-страниц
перехвата или подмены данных на путях транспортировки
вмешательства в личную жизнь
поставки неприемлемого содержания

8. Причины возникновения ошибки в данных
Погрешность измерений
Ошибка при записи результатов измерений в промежуточный документ
Неверная интерпретация данных
Ошибки при переносе данных с промежуточного документа в компьютер
Использование недопустимых методов анализа данных
Неустранимые причины природного характера
Преднамеренное искажение данных
Ошибки при идентификации объекта или субъекта хозяйственной деятельности

9. К формам защиты информации не относится…
аналитическая
правовая
организационно-техническая
страховая

10. Наиболее эффективное средство для защиты от сетевых атак
использование сетевых экранов или «firewall»
использование антивирусных программ
посещение только «надёжных» Интернет-узлов
использование только сертифицированных программ-броузеров при доступе к сети Интернет

11. Информация, составляющая государственную тайну не может иметь гриф…
«для служебного пользования»
«секретно»
«совершенно секретно»
«особой важности»

12. Разделы современной кpиптогpафии:
Симметричные криптосистемы
Криптосистемы с открытым ключом
Криптосистемы с дублированием защиты
Системы электронной подписи
Управление паролями
Управление передачей данных
Управление ключами

13. Документ, определивший важнейшие сервисы безопасности и предложивший метод классификации информационных систем по требованиям безопасности
рекомендации X.800
Оранжевая книга
Закону «Об информации, информационных технологиях и о защите информации»

14. Утечка информации – это …
несанкционированный процесс переноса информации от источника к злоумышленнику
процесс раскрытия секретной информации
процесс уничтожения информации
непреднамеренная утрата носителя информации

15. Основные угрозы конфиденциальности информации:
маскарад
карнавал
переадресовка
перехват данных
блокирование
злоупотребления полномочиями

16. Элементы знака охраны авторского права:
буквы С в окружности или круглых скобках
буквы P в окружности или круглых скобках
наименования (имени) правообладателя
наименование охраняемого объекта
года первого выпуска программы

17. Защита информации обеспечивается применением антивирусных средств
да
нет
не всегда

18. Средства защиты объектов файловой системы основаны на…
определении прав пользователя на операции с файлами и каталогами
задании атрибутов файлов и каталогов, независящих от прав пользователей

19. Вид угрозы действия, направленного на несанкционированное использование информационных ресурсов, не оказывающего при этом влияния на её функционирование — … угроза
активная
пассивная

20. Преднамеренная угроза безопасности информации
кража
наводнение
повреждение кабеля, по которому идет передача, в связи с погодными условиями
ошибка разработчика

21. Концепция системы защиты от информационного оружия не должна включать…
средства нанесения контратаки с помощью информационного оружия
механизмы защиты пользователей от различных типов и уровней угроз для национальной информационной инфраструктуры
признаки, сигнализирующие о возможном нападении
процедуры оценки уровня и особенностей атаки против национальной инфраструктуры в целом и отдельных пользователей

22. В соответствии с нормами российского законодательства защита информации представляет собой принятие правовых, организационных и технических мер, направленных на …
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации
реализацию права на доступ к информации»
соблюдение норм международного права в сфере информационной безопасности
выявление нарушителей и привлечение их к ответственности
соблюдение конфиденциальности информации ограниченного доступа
разработку методов и усовершенствование средств информационной безопасности

Даже самая лучшая система защиты рано или поздно будет взломана. Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения. Как правило, поведение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например подсчитывая число некорректных вводов пароля во время регистрации.

Основным инструментом выявления вторжений является запись данных аудита . Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.

Аудит , таким образом, заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий обычно причисляют следующие:

• вход или выход из системы;
• операции с файлами (открыть, закрыть, переименовать, удалить);
• обращение к удаленной системе;
• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Следует предусматривать наличие средств выборочного протоколирования как в отношении пользователей, когда слежение осуществляется только за подозрительными личностями, так и в отношении событий. Слежка важна в первую очередь как профилактическое средство. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.

Помимо протоколирования, можно периодически сканировать систему на наличие слабых мест в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:

• короткие или легкие пароли;
• неавторизованные set-uid программы, если система поддерживает этот механизм;
• неавторизованные программы в системных директориях;
• долго выполняющиеся программы;
• нелогичная защита как пользовательских, так и системных директорий и файлов. Примером нелогичной защиты может быть файл, который запрещено читать его автору, но в который разрешено записывать информацию постороннему пользователю;
• потенциально опасные списки поиска файлов, которые могут привести к запуску "троянского коня";
• изменения в системных программах, обнаруженные при помощи контрольных сумм.

Любая проблема, обнаруженная сканером безопасности, может быть как ликвидирована автоматически, так и передана для решения менеджеру системы.

Анализ некоторых популярных ОС с точки зрения их защищенности

Итак, ОС должна способствовать реализации мер безопасности или непосредственно поддерживать их. Примерами подобных решений в рамках аппаратуры и операционной системы могут быть:

• разделение команд по уровням привилегированности;
• сегментация адресного пространства процессов и организация защиты сегментов;
• защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства;
• особая защита ядра ОС;
• контроль повторного использования объекта ;
• наличие средств управления доступом;
• структурированность системы, явное выделение надежной вычислительной базы (совокупности защищенных компонентов), обеспечение компактности этой базы;
• следование принципу минимизации привилегий - каждому компоненту дается ровно столько привилегий, сколько необходимо для выполнения им своих функций.

Большое значение имеет структура файловой системы. Hапример, в ОС с дискреционным контролем доступа каждый файл должен храниться вместе с дискреционным списком прав доступа к нему, а, например, при копировании файла все атрибуты, в том числе и ACL , должны быть автоматически скопированы вместе с телом файла.

В принципе, меры безопасности не обязательно должны быть заранее встроены в ОС - достаточно принципиальной возможности дополнительной установки защитных продуктов. Так, сугубо ненадежная система MS-DOS может быть усовершенствована за счет средств проверки паролей доступа к компьютеру и/или жесткому диску, за счет борьбы с вирусами путем отслеживания попыток записи в загрузочный сектор CMOS-средствами и т. п. Тем не менее по-настоящему надежная система должна изначально проектироваться с акцентом на механизмы безопасности.

MS-DOS

ОС MS-DOS функционирует в реальном режиме (real-mode) процессора i80x86. В ней невозможно выполнение требования, касающегося изоляции программных модулей (отсутствует аппаратная защита памяти). Уязвимым местом для защиты является также файловая система FAT, не предполагающая у файлов наличия атрибутов, связанных с разграничением доступа к ним. Таким образом, MS-DOS находится на самом нижнем уровне в иерархии защищенных ОС.

NetWare, IntranetWare

Замечание об отсутствии изоляции модулей друг от друга справедливо и в отношении рабочей станции NetWare. Однако NetWare - сетевая ОС, поэтому к ней возможно применение и иных критериев. Это на данный момент единственная сетевая ОС, сертифицированная по классу C2 (следующей, по-видимому, будет Windows 2000). При этом важно изолировать наиболее уязвимый участок системы безопасности NetWare - консоль сервера, и тогда следование определенной практике поможет увеличить степень защищенности данной сетевой операционной системы. Возможность создания безопасных систем обусловлена тем, что число работающих приложений фиксировано и пользователь не имеет возможности запуска своих приложений.

OS/2

OS/2 работает в защищенном режиме (protected-mode) процессора i80x86. Изоляция программных модулей реализуется при помощи встроенных в этот процессор механизмов защиты памяти. Поэтому она свободна от указанного выше коренного недостатка систем типа MS-DOS. Но OS/2 была спроектирована и разработана без учета требований по защите от несанкционированного доступа. Это сказывается прежде всего на файловой системе. В файловых системах OS/2 HPFS (high performance file system) и FAT нет места ACL. Кроме того, пользовательские программы имеют возможность запрета прерываний. Следовательно, сертификация OS/2 на соответствие какому-то классу защиты не представляется возможной.

Считается , что такие операционные системы, как MS-DOS, Mac OS, Windows, OS/2, имеют уровень защищенности D (по оранжевой книге). Но, если быть точным, нельзя считать эти ОС даже системами уровня безопасности D, ведь они никогда не представлялись на тестирование.

В настоящее время у многих потребителей средств защиты информации сложилось несколько странное отношение к добавочным средствам защиты информации. К сожалению, подчас, применение подобных средств рассматривается только в части необходимости выполнения неких формализованных условий, позволяющих обрабатывать категорированную информацию - в принципе не рассматриваются вопросы повышения эффективности защиты, как следствие, выбор СЗИ от НСД потребителем осуществляется, исходя из ценовых показателей. Почему же такое отношение? На самом деле, все очень просто.

Существуют требования к СЗИ от НСД, которые являются обязательными для выполнения разработчиком. Эти требования в виде соответствующих нормативных документов изданы еще в 1992 году (15 лет назад, при нынешних-то темпах развития ИТ-технологий, вспомните, какие тогда были компьютеры и системные средства, как они использовались), что уже ставит под сомнение их актуальность в современных условиях. Эти требования не определяют назначение СЗИ от НСД (кроме, как защищать информацию) – содержат лишь требования к набору механизмов защиты и к их реализации, не давая рекомендаций по практическому использованию данных механизмов защиты для решения конкретных задач. Вникая в эти требования, потребителю достаточно сложно понять назначение создаваемых по ним СЗИ от НСД в современных условиях, как следствие, и отношение к ним. Попытаемся же в этой работе понять, а нужны же СЗИ от НСД сегодня в принципе, и если нужны, то каково их назначение

Вместо введения.

Как известно, в декабре 2004 года был выдан сертификат по требованиям безопасности на ОС Windows XP Professional. Сертификация данного системного средства позволила некоторым поставщикам услуг в области защиты информации декларировать следующее:

«Применение сертифицированной ОС Microsoft позволяет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством Российской Федерации.

Преимущества использования сертифицированной ОС:

Эффективный механизм настройки параметров безопасности операционной системы;

Отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
- повышение скорости, устойчивости обработки информации;
- снижение стоимости защищенного автоматизированного места;
- снижение требований к объему знаний администратора безопасности;

Периодическое обновление операционной системы вместе с дополнительными «опциями безопасности»;
выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».
В порядке замечания отметим, что больше всего в подобных высказываниях шокирует то, что использование сертифицированной ОС снижает требования к объему знаний администратора безопасности. Но ведь именно высокая квалификация лиц, отвечающих за безопасность обработки информации на предприятии, является одним из необходимых условий эффективного решения задач защиты! Именно квалификация администраторов является на сегодняшний день и одной из основных проблем защиты информации в корпоративных приложениях. Может быть, правильнее, говорить о необходимости повышения квалификации, вне зависимости от того, какими средствами защиты они будут пользоваться?! Правда, чем выше квалификация, тем серьезней и требования к средству защиты.

Также, в порядке замечания, отметим, что отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, ввиду выполнения требований нормативных документов, регламентирующих применение защищенных автоматизированных систем (т.е. по формальным признакам) – это мало обоснованная и весьма спорная позиция. Приведем лишь один пример невыполнения формальных требований, для чего обратимся к нормативному документу: «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» – это документ, используемый при аттестации объектов информатизации. Рассмотрим и проанализируем выполнимость лишь одного требования к АС класса защищенности 1Г (защита конфиденциальной информации):

Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

ОС Windows XP в принципе не осуществляет очистку освобождаемых областей внешних накопителей, в ней отсутствует подобный механизм защиты. Кто хоть немного знаком с данной системой, знает, что системой осуществляется запись нулей в выделяемую область памяти, перед записью в нее информации (т.е. не в освобождаемую при удалении и модификации, а в выделяемую перед записью область памяти, а это с точки зрения безопасности «две большие разницы»). Но это вопросы повышения надежности работы системы, а уж никак не защиты, в части гарантированной очистки остаточной информации. Как следствие, остаточная информация, как на жестком диске, так и на внешних накопителях, здесь присутствует всегда. А ведь это не единственное несоответствие механизмов защиты ОС существующим требованиям.

Однако в данной работе нас будет интересовать иное. Видим, что здесь не то, чтобы ставится под сомнение целесообразность применения в корпоративных приложениях (при защите конфиденциальной информации) добавочных средств защиты информации, а данный подход рассматривается, как вполне очевидный, более того, обосновывается, какие в этом случае потребитель получает весомые преимущества (правда, заметим, ни слова об эффективности защиты информации). Может быть, так оно и есть, никакой необходимости в добавочных средствах защиты информации не существует? Попытаемся ответить на этот вопрос, при этом все-таки «во главу угла» поставим вопросы эффективности защиты, все-таки, прежде всего, мы говорим о безопасности.

Начнем сначала.

Прежде всего, необходимо определиться с областью практического использования любого системного средства, в том числе и средства защиты информации. Именно область практического использования и диктует те требования к системному средству, которые, в первую очередь, быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства. Как увидим далее, на практике подобные требования для различных областей практического использования могут очень сильно различаться, а подчас, и противоречить друг другу, что не позволяет создать единого средства «на все случаи жизни».

Когда речь заходит об информационных технологиях, можно выделить два их основных приложения – это личное использование в домашних условиях, либо корпоративное использование – на предприятии. Если задуматься, то разница требований, в том числе, и к средствам защиты, в данных приложениях огромна. В чем же она состоит.

Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.

Важнейшими же условиями использования средств защиты в данных приложениях является следующее:

По большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты. Основная задача защиты здесь сводится к обеспечению работоспособности компьютера;

Отсутствие критичности не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;

Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами (защищать-то нечего);

Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью. Другими словами, пользователь и есть администратор – сам себе и защитник, и безопасник;

Отсутствие какого-либо недоверия к пользователю – пользователь обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации);

В большинстве своем, обработка информации пользователя осуществляется на одном компьютере, локально.

Теперь посмотрим, какие же подходы к построению средств защиты оказались на практике наиболее востребованными в данных приложениях. Естественно, что подобными решениями стали не средства защиты, а средства контроля, в первую очередь – это всевозможные антивирусные средства, основанные на сигнатурном анализе. Очевидно, что средства защиты, требующие определенной квалификации для настройки (а просто эффективную защиту не обеспечить), в данных приложениях малопригодны. Контроль же предполагает простейших действий от пользователя – «нажал кнопку, и готово». Все вопросы, требующие квалифицированного решения, здесь «перекладываются на плечи» разработчиков антивирусных средств, в частности, поддержание базы вирусов в максимально актуальном состоянии. Заметим, что, так как никакого администрирования не предполагается, весь диалог осуществляется с конечным пользователем, а не с администратором, что, кстати говоря, даже при использовании средств контроля, подчас, ставит пользователя «в тупик». Даже подобная «малая автоматизация принятия решений» - право принятия решения предоставляется пользователю (на экран выводится соответствующий вопрос о необходимых действиях), в большинстве своем, для данных приложений является неприемлемой, т.к. требует повышения квалификации пользователя, а ему этого объективно не нужно.

Насколько эффективны такие средства? Естественно, что с точки зрения обеспечения какого-либо приемлемого уровня защиты информации, подобные средства неэффективны. Это утверждение очевидно – в любой момент времени база выявленных сигнатур не полна (полной она не может быть даже теоретически). В порядке иллюстрации приведем лишь одно сообщение:

(Новость от 24.07.2006). Грэхем Ингрэм, главный управляющий австралийского подразделения Группы оперативного реагирования на чрезвычайные ситуации в компьютерной области (AusCERT) утверждает, что распространённые антивирусные приложения блокируют лишь около 20 процентов недавно появившихся вредоносных программ. При этом популярные антивирусы пропускают до 80 процентов новых троянов, шпионов и других вредоносных программ. Это означает, что в восьми из десяти случаев недавно появившийся вирус может проникнуть на компьютер пользователя».

Однако не стоит критически относиться к подобным средствам. Без всякого сомнения, для рассматриваемых приложений они необходимы, и единственно приемлемы для практического использования. Здесь ведь встает вопрос: либо простые средства, либо никакие – сложные средства в этих приложениях никто использовать не станет? Так уж лучше как-то, чем никак!

Если же мы начинаем говорить о корпоративных приложениях, то в этих приложениях, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

Важнейшими условиями использования средств защиты в данных приложениях является следующее:

В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты;

Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся системные ресурсы;

Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации – т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите в современных условиях говорить не приходится;

Все задачи администрирования средств защиты должны решаться непосредственно администратором (кстати говоря, это одно из требований нормативных документов);

Априорное недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);

В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).

Видим, что в этих приложениях уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты. Основу обеспечения информационной безопасности в данных приложениях уже составляют именно механизмы защиты, реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контроля! Это очень важно. Сейчас активно стали развиваться именно механизмы контроля (основная причина того, относительная простота реализации – задача решается, как правило, на прикладном уровне, а не на уровне ядра), но будем помнить, что механизмы, основанные на реализации функций контроля, никогда эффективно не решат задачу защиты. Функции контроля в данных приложениях следует рассматривать как некую опцию, в дополнение к механизмам защиты, реализующим разграничительную политику доступа к ресурсам, которые сложны в разработке, требуют квалификации при настройке, но только с применением этих механизмов потенциально можно обеспечить эффективное решение задачи защиты информации!

Так зачем же нужны добавочные средства защиты информации?

Посмотрев, насколько сильны противоречия в требованиях (насколько они исключают друг друга) в альтернативных приложениях, можно сделать очень важный вывод, состоящий в том, что как системные средства (например, ОС), так и добавочные средства защиты, не могут одновременно их выполнить. Другими словами, как системное средство, так и добавочное средство защиты может быть ориентировано, либо на использование в домашних условиях, либо на использование в корпоративных приложениях! Причем подобными средствами решаются совершенно различные задачи, принципиально различаются основополагающие требования к их построению. При создании средства защиты, разработчик неминуемо будет вынужден сделать выбор в пользу той или иной области приложений, в пользу того или иного подхода к построению.

Однако на практике, с целью расширения области приложений своей разработки, производитель подчас стремится совместить несовместимое – «усидеть на двух стульях». Естественно, что это приводит, с одной стороны, к усложнению простых решений, с другой стороны – к снижению эффективности сложных решений. Получаем некую иллюзию «серьезности» и профессиональности защиты, которая достаточно проста в управлении. Однако подобная иллюзия пропадает уже в процессе непродолжительного использования подобных средств. Ярким примером, подтверждающим данный вывод, являются современные универсальные ОС, в том числе (а может быть, в первую очередь), и ОС семейства Windows, которые явно не ориентированы на корпоративное использование (вот Novell, наоборот, создавалась исключительно для использования в корпоративных приложениях, возможно, именно поэтому она и не стала столь популярной в массах), кстати говоря, это видно из самого названия и первоначального позиционирования системы. Задача защиты информации для подобных системных средств вторична, первично же удобство работы пользователя, максимальная универсальность работы с приложениями и устройствами и т.д. А основу защиты, как следствие, составляет реализация решений, основанных на полном доверии к пользователю. Другими словами, в развитии подобных системных средств четко просматривается основное их приложение (соответственно, и основной их потенциальный потребитель) - личное использовании компьютера в домашних условиях.

С учетом всего сказанного, может быть сформулирована основная задача добавочного средства защиты информации - это изменение области приложения (области эффективного практического использования) универсального системного средства – обеспечение его эффективного использования в корпоративных приложениях. А это, ни больше, ни меньше – пересмотр самой концепции защиты современной универсальной ОС.

На наш взгляд, четкое позиционирование задач, решаемых добавочным средством защиты – это залог успеха. Подобное позиционирование неминуемо приведет к пересмотру требований к их построению, как в части корректности реализации отдельных механизмов защиты, так и в части полноты их набора для корпоративных приложений.

Рассмотрим, как сегодня формулируются требования к механизмам защиты – это требования к некоторому их набору и требования к их реализации. Все вроде бы верно, однако, исходя из каких условий сформулированы эти требования, да и как они сформулированы. Рассмотрим пример, для чего обратимся к соответствующему нормативному документу.

В части реализации разграничительной политики доступа к ресурсам для средств, предназначенных для защиты конфиденциальной информации (5 класс СВТ), данные требования определяют, что должен быть реализован дискреционный принцип контроля доступа:

КСЗ (комплекс средств защиты) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.);

Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.). То есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту);

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа;

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов;

Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

В части реализации разграничительной политики доступа к ресурсам в автоматизированной системе (класс 1Г АС), данные требования определяют, что соответствующий принцип контроля доступа должен быть реализован ко всем защищаемым ресурсам (другими словами, вводится обобщение, применительно ко всем компьютерным ресурсам):

Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Как видим из приведенных требований, ключевым элементом разграничительной политики доступа к ресурсам, а именно, объектом доступа, является компьютерный ресурс – файловый объект, объект реестра ОС, какое-либо устройство, сетевой ресурс и т.д.

В порядке замечания (это не является целью настоящей работы) обратим внимание читателя на недостатки данных требований, сразу же «бросающиеся в глаза».

Прежде всего, и это крайне важно, что же все-таки следует на основании данных требований отнести к «защищаемым ресурсам». Ведь, наверное, при решении различных задач защиты и перечень ресурсов, которые, несомненно, нужно защищать различен. Например, скажите, имеет ли «право на жизнь» средства защиты, не реализующие контроль доступа субъектов к таким ресурсам, как системный диск (прежде всего, на запись, с целью предотвращения возможности его несанкционированной модификации), объекты реестра ОС, буфер обмена, сервисы олицетворения, разделенные в сети и внешние сетевые ресурсы и т.д. и т.п. Получается, что, во-первых, отсутствует однозначность требования того, какой набор механизмов должен присутствовать в средстве защиты для достаточности использования средства для защиты конфиденциальной информации, во-вторых, что еще неприятнее, получается, что анализ достаточности набора механизмов защиты для решения конкретных задач защиты конфиденциальной информации перекладывается «на плечи» разработчика, а то и потребителя – ведь набор защищаемых ресурсов однозначно не задан. А как, используя данные требования, провести аттестацию АС, в смысле получения объективной оценки ее защищенности?

А когда речь заходит о том, что «КСЗ (комплекс средств защиты) должен контролировать доступ наименованных субъектов (пользователей)…», опять неоднозначность. К наименованным субъектам (пользователям) могут быть отнесены и системные пользователи, например System. Требуется ли контролировать их доступ к ресурсам? Существует требование «Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.)…». Однако, что в этом требовании является ключевыми словами «для каждой пары» или «явное….». А что означает «и т.д.», когда речь заходит об объектах и типах доступа в требованиях. Вот как создать систему, удовлетворяющую данным требованиям, в подобной их формулировке?

Во-вторых, само определение принципа контроля доступа, при сформулированных требованиях к его реализации, некорректно. Поясним. В этих требованиях речь идет о, так называемом, дискреционном принципе контроля доступа. Противоречие состоит в том, что само понятие дискреционный принцип контроля доступа основано на реализации схемы администрирования, предполагающей назначением прав доступа пользователем к создаваемому им объекту (т.е. на использовании сущности «Владения»). Заметим, что именно такая схема контроля доступа реализуется большинством универсальных ОС, т.к. она регламентируется стандартом Posix. Однако в нормативном документе говорится о том, что «Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.)», т.е. никак не пользователю. Для корпоративных приложений это требование всецело оправдано, а как в противном случае противодействовать инсайдерам, да и вообще, какой может быть ответственность администратора безопасности за хищение данных, если пользователь имеет возможность самостоятельно назначать права доступа к создаваемым им данным, иным пользователям. Не смотря на то, что это очевидно, неоднозначность присутствует.

Нами предлагается иная классификация принципов контроля доступа, основу которой составляют понятия «избирательного» и «полномочного» контроля доступа.

Под избирательным контролем доступа понимается контроль, не предполагающий включения каких-либо формализованных отношений субъектов и объектов доступа.

Основу полномочного контроля доступа составляет способ формализации понятий «группа» пользователей и «группа» объектов, на основании вводимой шкалы полномочий. Иерархическая шкала полномочий, как правило, вводится на основе категорирования данных (открытые, конфиденциальные, строго конфиденциальные и т.д.) и прав допуска к данным пользователей (по аналогии с понятием «формы допуска»).

Избирательный же контроль, о котором мы здесь говорим, может быть реализован, как с принудительным, так и с произвольным управлением доступом к ресурсам. Принудительное управление предполагает исключение пользователя из схемы администрирования (пользователь обрабатывает информацию в рамках разграничительной политики доступа к ресурсам, заданной для него администратором), произвольное – это дискреционный принцип контроля доступа, при котором пользователь, являясь «владельцем» созданного им объектам, сам определяет права доступа к этому объекту иным пользователям (т.е. пользователь является одним из элементов схемы администрирования).

Заметим, что, по сути, ничего не определяется и требованием «Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа», в части реализации контроля на основе матрицы доступа, т.к. подобный контроль может быть реализован при построении как избирательного, так и полномочного механизмов контроля доступа.

Таким образом, видим, что требования к реализации средства защиты в нормативных документах сводится к тому, как должен быть разграничен доступ субъекта к объекту, но ни слова, как (в частности, какие ресурсы при решении каких задач следует считать защищаемыми) и с какой целью это должно применяться на практике, другими словами, с какой целью создается средство защиты!

А теперь рассмотрим несколько иной подход к определению требований к средству защиты, в основе которого будет лежать четкое позиционирование назначения средства защиты. Попытаемся также сформулировать требования к средству защиты при реализации подобного подхода.

Поскольку мы говорим о корпоративных приложениях и о защите конфиденциальной информации, а основную задачу добавочного средства защиты позиционируем, как изменение области приложений (области эффективного практического использования) системного средства, прежде всего попытаемся определиться с тем, в чем сегодня состоят основные особенности использования системных средств в корпоративных приложениях.

В корпоративных же приложениях задача реализации разграничительной политики доступа к ресурсам кардинально иная, нежели задача, решаемая механизмами защиты современных универсальных ОС, в первую очередь, ориентированных на домашнее использование, причем собственно в своей постановке. Причиной этому служит то, что обрабатываемые данные в корпоративных приложениях, как правило, могут быть категорированы по уровню конфиденциальности: открытая информация, конфиденциальная информация и т.д. При этом один и тот же пользователь в рамках выполнения своих служебных обязанностей должен обрабатывать, как открытые, так и конфиденциальные данные. Причем априори эти данные имеют совершенно различную ценность для предприятия, следовательно, режимы их обработки должны различаться (например, только открытую информацию можно передавать во внешнюю сеть, сохранять на внешних накопителях, конфиденциальные данные могут обрабатываться только неким корпоративным приложением и т.д.).

Вывод. Основу реализации разграничительной политики в корпоративных приложениях уже должны составлять не какие-либо конкретные ресурсы, а режимы обработки категорированной информации, причем при задании правил обработки информации уже, в первую очередь, должен рассматриваться не вопрос разграничения доступа к ресурсам между различными пользователями, а вопрос реализации различных режимов обработки данных различной категории для одного и того же пользователя.

С учетом же противодействия хищению и несанкционированной модификации категорированной информации, данные режимы обработки должны быть полностью изолированными.

В этом случае «все встает на свои места», сразу становится понятным, из каких соображений должны формулироваться и требования к корректности реализации механизмов защиты, и требования к достаточности их набора, применительно к условиям практического использования. Главное, что в этом случае потребитель средств защиты информации не станет сомневаться в необходимости добавочных средств, и не будет рассматривать эти средства лишь в части выполнения неких формальных требований.

Не будем в этой работе останавливаться на формировании требований, обеспечивающих корректное решение задачи защищенной обработки категорированной информации (этим вопросам посвящена отдельная работа автора), лишь отметим, что данные требования серьезно будут отличаться от требований, сформулированных в действующих сегодня нормативных документах. Мало общего с реализацией этих требований имеют и возможности защиты многих современных универсальных ОС.

Не мало важным является то, что пересматривать имеет смысл не только архитектурные решения механизмов защиты универсальных ОС, но и интерфейсные решения, которые также напрямую связаны с их областью приложений. В порядке иллюстрации сказанного, рассмотрим, например, реализованные в КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе») интерфейсные решения по настройке механизмов контроля доступа к ресурсам (на примере механизма контроля доступа к файловым объектам - на жестком диске и на внешних накопителях, локальных и разделенных в сети, для разделенных – по исходящему и входящему запросам доступа). Интерфейс настройки механизма контроля доступа к файловым объектам представлен на рис.1 (здесь в качестве субъектов доступа выступает сущность «пользователь»).

Рис.1. Интерфейс настройки разграничений прав доступа к объектам файловой системы для субъекта “пользователь”

В чем же принципиальное отличие? Разграничительная политика формируется не назначением атрибутов файловым объектам, а назначением прав доступа пользователям (учетным записям). Основу составляет разрешительная разграничительная политика – «Все, что не разрешено – явно не указано, то запрещено» - это единственно корректная разграничительная политика для корпоративных приложений. При этом (см. рис.1) в одном окне интерфейса отображается вся разграничительная политика доступа ко всем объектам файловой системы (в том числе и к объектам, разделенным в сети, и к объектам на внешних накопителях, включая мобильные), заданная для пользователя (иных прав доступа он не имеет, т.к. они не разрешены по умолчанию, в том числе и для вновь создаваемого объекта). Заметим, объект, к которому пользователю разрешается какое-либо право доступа, назначается (с использованием обзора) своим полнопутевым именем. Захотите посмотреть разграничительную политику для другого пользователя, выберите его учетную запись, все разрешенные ему права доступа также будут отображены в одном окне интерфейса. Не требуется перебирать объекты, смотреть на их атрибуты – все наглядно и информативно! Минимизировано и число настраиваемых типов доступа (атрибутов) – исключено такое понятие, как «Владение» файловым объектом (что является обязательным условием для корпоративных приложений, и, кстати говоря, требуется соответствующим нормативным документом, см. выше) и все связанные с этой сущностью типы прав доступа, ряд атрибутов устанавливается «по умолчанию» системой на основании задаваемых прав доступа. Все сведено к использованию только трех устанавливаемых администратором типов прав доступа: чтение, запись, выполнение, без какой-либо потери универсальности настройки разграничительной политики доступа в корпоративных приложениях.

Разработчики универсальных средств вынуждены балансировать между эффективностью и простотой, очень часто, делая свой выбор в пользу простоты решений. Возможно, что это обусловливается пониманием того, что сложные механизмы защиты будут мало востребованы, а это является одним из ключевых моментов, когда основным потенциальным потребителем является индивидуальный пользователь, а средство предназначается для применения в домашних условиях.

С учетом этого, может быть сформулирована следующая важнейшая задача добавочного средства защиты информации - это расширение функциональных возможностей механизмов защиты, обеспечивающее повышение их эффективности.

Проиллюстрируем данный вывод примером. В современных универсальных ОС в качестве субъекта доступа к ресурсам рассматривается сущность пользователь (учетная запись). Реализация разграничительной политики доступа к ресурсам сводится к заданию разграничения между пользователями (учетными записями). Вместе с тем, не сложно показать, что большую угрозу несут в себе приложения, в первую очередь, это касается внешних ИТ-угроз.

Проанализируем, почему именно процесс следует рассматривать в качестве источника возникновения внешней ИТ-угрозы. Тому может быть несколько причин, что следует из приведенной классификации известных типов атак, положим их в основу классификации процессов, которая нам далее понадобится при изложении материала:

&bull Несанкционированные (сторонние) процессы. Это процессы, которые не требуются пользователю для выполнения своих служебных обязанностей и могут несанкционированно устанавливаться на компьютер (локально, либо удаленно) с различными целями, в том числе, с целью осуществления
несанкционированного доступа (НСД) к информации (вредоносные, шпионские и т.д. программы);

&bull Критичные процессы. К ним мы отнесем две группы процессов: к процессам первой группы отнесем те, которые запускаются в системе с привилегированными правами, например, под учетной записью System, для которой механизмы защиты ОС не реализуют разграничительную политику доступа к ресурсам в полном объеме, к процессам второй группы те, которые наиболее вероятно могут быть подвержены атакам, например, это сетевые службы. Атаки на процессы первой группы наиболее критичны, что связано с возможностью расширения привилегий, в пределе – получения полного управления системой, атаки на процессы второй группы наиболее вероятны;

&bull Скомпрометированные процессы – процессы, содержащие ошибки (уязвимости), ставшие известными, использование которых позволяет осуществить НСД к информации. Отнесение данных процессов в отдельную группу обусловлено тем, что с момента обнаружения уязвимости и до момента устранения ее разработчиком системы или приложения, может пройти несколько месяцев. В течение всего этого времени в системе находится известная уязвимость, поэтому система не защищена;

&bull Процессы, априори обладающие недекларированными (документально не описанными) возможностями. К этой группе мы отнесем процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов).

Теперь акцентируем внимание читателя на известной укрупненной классификации известных типов компьютерных вирусов:

1... «Вредоносные программы» (трояны и т.п.). Отдельные программы, которые выполняют те или иные деструктивные/несанкционированные действия.

2...«Вирусы». Программы, обычно не имеющие собственного исполняемого модуля и "живущие" (как правило, заражение осуществляется по средством их присоединения к исполняемому файлу) внутри другого файлового объекта или части физического носителя.

3...«Черви». Разновидность 1,2,4, использующая сетевые возможности для заражения.

4...«Макро-вирусы» (скриптовые вирусы) - программы, для исполнения которых требуется определенная среда выполнения (командный интрепретатор, виртуальная машина и т.п.). В эту же группу можем отнести и офисные приложения, позволяющие создавать и подключать макросы.

Видим, что и здесь угрозу в себе несет воздействие процесса на информационные и компьютерные ресурсы. Причем можем отметить, что задачи антивирусной защиты представляют подмножество (усеченное множество) задач защиты информации от НСД в части противодействия внешним ИТ-угрозам. Другими словами, можем сделать вывод о том, что антивирусная защита – это не самостоятельная задача защиты информации – это лишь незначительная часть задач защиты информации от НСД.

Нетрудно сделать вывод, что основу защиты от внешних ИТ-угроз составляет реализация разграничительной политики доступа к ресурсам для процессов (приложений), т.е. при решении этих задач защиты именно сущность «процесс» следует рассматривать в качестве субъекта доступа к ресурсам.

В общем случае следует различать два самостоятельных субъекта доступа – «пользователь» и «процесс». При этом целесообразно реализовать следующие схемы задания разграничительной политики доступа к ресурсам:

Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу);

Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю);

Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешается, если он разрешен и пользователю, и процессу).

Таким образом, в качестве субъекта доступа может рассматриваться либо только пользователь, либо только процесс, либо «пара» – процесс и пользователь.

В порядке иллюстрации, рассмотрим пример разграничительной политики доступа к файловым объектам для приложения Internet Explorer, представленный на рис.2 (разграничения заданы в интерфейсе механизма контроля доступа процессов к файловым объектам из состава КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003изнехнологии в бизнесе»е субъекта доступа к ресурсам.составляет реализация разграничительной политики доступа к ресурса).

Рис.2. Пример разграничительной политики доступа к файловым объектам для приложения Internet Explorer

Посмотрите внимательно на эти разграничения. Что сможет сделать злоумышленник, получив каким-либо образом возможность управления данным процессом. Это очень серьезный инструмент защиты, предоставляющий принципиально новые функциональные возможности, что мы и требуем от добавочных средств защиты. Заметим, соответствующие разграничения прав доступа для критичных процессов необходимо задавать и к объектам реестра ОС.

А постоянно обнаруживаемые ошибки в офисных и иных приложениях. Давайте минимизируем и угрозу, связанную с ошибками программирования.

Настроим наш механизм защиты и оценим сложность его администрирования в следующих предположениях:

1...Операционная система - Microsoft Windows XP;
2...Рассматриваемые офисные приложения – Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office Outlook 2003;
3...Операционная система установлена на диске C;
4...Все приложения инсталлированы в каталог C:Program files;
5...Обработка информации осуществляется под учетной записью User 1;
6...Для хранения обрабатываемых данных пользователем используется каталог С:OOD1.

К защищаемым системным ресурсам отнесем каталоги C:Windows и C:Program files и объект реестра HKEY_LOCAL_MACHINE.

Единые разграничения для процессов рассматриваемых офисных приложений приведены в табл.1.

Посмотрите на эти разграничения, обеспечивающие корректность функционирования рассматриваемых приложений. Ну, пусть находят ошибки программирования в приложениях – мы готовы, мы можем, используя добавочное средство защиты, минимизировать их последствия, повысив этим уровень компьютерной безопасности. А разграничения-то насколько просты – несколько записей в интерфейсе (если, конечно, интерфейс создан для использования механизма защиты в корпоративных приложениях). О какой ошибке и в каком приложении мы можем узнать в ближайшее время? Без добавочного средства мы окажемся просто беззащитны. Ведь сначала ошибку найдет злоумышленник, затем о ней узнает разработчик, мы же, как правило, узнаем о подобных ошибках уже после их исправления, иногда на это уходит несколько месяцев, а иногда и несколько лет.

Защита многих современных универсальных ОС имеет очень серьезные архитектурные недостатки. Один из наиболее ярких подобных недостатков – это невозможность запретить на запись системный диск пользователю System, при предоставлении возможности запуска приложений с системными правами. Получаем, что ошибка в подобном приложении может привести к катастрофическим последствиям. Можно ли решить подобную задачу защиты (исправить данный архитектурный недостаток) добавочным средством? Конечно.

С учетом этого, может быть сформулирована следующая важнейшая задача добавочного средства защиты информации - это исправление архитектурных недостатков защиты современных универсальных ОС.

В порядке замечания отметим, что выявить архитектурные недостатки защиты современных универсальных ОС не так уж и сложно, достаточно проанализировать причины успешных атак и выявить причины уязвимости ОС.

Продолжим. Воспользуемся возможностью реализации разграничительной политики доступа к ресурсам для субъекта процесс. Попутно попытаемся решить и другую связанную с рассматриваемой задачу защиты – обеспечим замкнутую среду исполнения. Пример настройки механизма защиты приведен на рис.3.

Рис.3. Пример настройки механизма защиты

Рассмотрим, что мы получаем при таких настройках – любому процессу (субъект доступа – процесс, задается маской «*») разрешается выполнение процессов только из соответствующих двух папок на системном диске, при этом запрещается любая возможность (опять же, любым процессом, в том числе и системным) модификации данных папок. Т.е. любой несанкционированный исполняемый файл запустить становится невозможно в принципе. Это ли не решение большинства актуальных сегодня задач защиты информации! Да пусть ваш компьютер «напичкан» вредоносным кодом – эксплойтами, деструктивными и шпионскими программами, троянами, вирусами (здесь рассматриваем именно вирусы – программы, призванные модифицировать исполняемый код разрешенных к запуску программ), запустить-то его невозможно никаким образом!

Однако, специалист, представляющий себе архитектуру современных ОС семейства Windows, нам возразит – при подобных настройках система работать не будет, мы увидим «синий экран»! К сожалению, он окажется прав. При подобных настройках система работать не сможет, требуются уточняющие настройки. Дело в том, что некоторые системные процессы должны иметь право записи в соответствующие файловые объекты на системном диске. Их не так много. К таким процессам, например, могут быть отнесены: lsass.exe и svchost.exe.

Именно это и определяет невозможность запретить модификацию системного диска системным пользователям (в частности, System), как следствие, и всем системным процессам, а также иным процессам, запускаемым под этой учетной записью (иначе увидим синий экран – данным системным процессам необходим доступ на запись к системному диску). Вот результат – невозможность какого-либо противодействия атакам, связанным с уязвимостями, предоставляющими возможность получение злоумышленником системных прав – записывай на системный диск эксплойт и запускай!

Для обеспечения корректности функционирования системы и офисных приложений с заданными настройками (см. рис.3), необходимо ввести простейшие дополнительные разграничения всего для двух системных процессов: процессу lsass.exe требуется разрешить запись/чтение в папку F:XPSystem32CONFIG, а процессу svchost.exe требуется разрешить запись/чтение в папку F:XPSystem32WBEM и в файл F:XPWindowsupdate.log. Вот и все! Заметим, что это не приведет к снижению уровня безопасности, т.к. данные системные процессы не имеют пользовательского интерфейса, а модифицировать их невозможно. Посмотрите, всего несколькими записями в интерфейсе добавочного средства защиты мы исправили один из серьезнейших архитектурных недостатков защиты ОС и реализовали эффективное противодействие наиболее актуальным на сегодняшний день угрозам, связанным с возможностью запуска на защищаемом компьютере несанкционированной программы.

Заключение

В заключение отметим, что в этой работе мы попытались определить задачи, которые должно решать добавочное средство защиты, определились и с его назначением. А назначение – это, всего на всего, изменение собственно принципов защиты, заложенных в современных универсальных ОС. Естественно, что для корректного решения рассмотренных задач добавочного средства, должны быть четко сформулированы соответствующие требования к реализации механизмов защиты и к их набору. Однако – это самостоятельный вопрос, выходящий за рамки настоящей работы. Заметим, что в работе мы привели лишь некоторые иллюстрации возможностей добавочных средств защиты. Если же с позиций всего сказанного взглянуть на функциональные возможности некоторых представленных сегодня на рынке средств защиты - СЗИ от НСД, поневоле, задаешься вопросом: каково их назначение, с какой целью они созданы? Наверное, в отношении подобных СЗИ от НСД с позицией: «отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации» отчасти можно и согласиться. Но ведь есть же и другие добавочные средства защиты информации, с иным функционалом, причем сертифицированные, которые призваны повысить эффективность защиты, уровень которой для многих современных универсальных ОС уж никак нельзя признать приемлемым.