Особливості ЗІ від НСД в локальних обчислювальних мережах

Інститут Інженерів Електриків та Електроників (IEEE) визначає ЛОМ як «систему передачі даних, що забезпечує деякому числу незалежних пристроїв можливість прямої взаємодії в обмеженому географічному просторі за допомогою фізичного каналу взаємодії обмеженої продуктивності». Типова ЛОМ належить тільки до однієї організації, що її використовує і керує нею. Звичайна ЛОМ за допомогою мережевої ОС поєднує сервери, робочі станції, принтери і стримери, дозволяючи користувачам спільно використовувати ресурси і функціональні можливості ЛОМ.

Типи додатків, забезпечувані ЛОМ, включають розподілене збереження файлів, видалені обчислення й обмін повідомленнями. Не підлягає сумніву, що ці можливості ЛОМ є її перевагою. Однак вони сполучені з додатковим ризиком, що призводить до проблем безпеки ЛОМ.

Які проблеми виникають при розподіленому збереженні файлів? Файлові сервери можуть контролювати доступ користувачів до різних частин файлової системи. Це звичайно здійснюється дозволом користувачу приєднати деяку файлову систему (чи каталог) до робочої станції користувача для подальшого використання як локальний диск. Виникають відразу дві потенційні проблеми. По-перше, сервер може забезпечити захист доступу тільки на рівні каталогу, тому якщо користувачу дозволено доступ до каталогу, то він одержує доступ до усіх файлів, що міститься в цьому каталозі. Щоб мінімізувати ризик у цій ситуації, важливо відповідним чином структурувати і керувати файловою системою ЛОМ. Наступна проблема полягає в неадекватних механізмах захисту локальної робочої станції. Наприклад, персональний комп'ютер (ПК) може забезпечувати мінімальний захист чи не забезпечувати ніякого захисту інформації, збереженої на ньому. Копіювання користувачем файлів із сервера на локальний диск ПК призводить до того, що файл перестає бути захищеним тими засобами захисту, що захищали його, коли він зберігався на сервері. Для деяких типів інформації це може бути прийнятно. Однак, інші типи інформації можуть вимагати більш сильного захисту. Ці вимоги фокусуються на необхідності контролю середовища ПК.

Видалені обчислення повинні контролюватися таким чином, щоб тільки авторизовані користувачі могли одержувати доступ до видалених компонентів і додатків. Сервери повинні мати здатність автентифікувати видалених користувачів, що запитують послуги чи додатки. Ці запити можуть також видаватися локальними і видаленими серверами для взаємної автентифікації. Неможливість автентифікації може привести до того, що і неавторизовані користувачі будуть мати доступ до видалених серверів і додатків. Повинні існувати деякі гарантії відносно цілісності додатків, використовуваних багатьма користувачами через ЛОМ.

Топології і протоколи, використовувані сьогодні, вимагають, щоб повідомлення були доступні великому числу вузлів при передачі до бажаного призначення. Це набагато дешевше і легше, ніж мати прямий фізичний шлях між кожною парою машин. З цього випливають можливі загрози, які включають як активне, так і пасивне перехоплення повідомлень, переданих у лінії. Пасивне перехоплення включає не тільки читання інформації, але й аналіз трафика (використання адрес, інших даних заголовка, довжини повідомлень, і частоту повідомлень). Активне перехоплення включає зміну потоку повідомлень (включаючи модифікацію, затримку, дублювання, видалення чи неправомочне використання реквізитів).

Служби обміну повідомленнями збільшують ризик для інформації, збереженої на сервері чи переданої між джерелом і відправником. Неадекватно захищена електронна пошта може бути легко перехоплена, змінена чи повторно передана, що впливає як на конфіденційність, так на цілісність повідомлення.

Серед інших проблем безпеки ЛОМ можна відзначити наступні:

· неадекватну політику керування і безпеки ЛОМ;

· відсутність навчання особливостям використання ЛОМ і захисту;

· неадекватні механізми захисту для робочих станцій;

· неадекватний захист у ході передачі інформації.

Слабка ПБ також збільшує ризик, зв'язаний із ЛОМ. Повинна матися формальна ПБ, яка б визначала би правила використання ЛОМ, для демонстрації позиції керування організацією стосовно важливості захисту наявних у ній цінностей. ПБ є стиснутим формулюванням позиції вищого посібника з питань інформаційних цінностей, відповідальності по їхньому захисті й організаційних зобов'язаннях. Повинна матися сильна ПБ ЛОМ для забезпечення керівництва і підтримки з боку верхньої ланки керування організацією. Політика повинна визначати роль, що має кожен службовець при забезпеченні того, що ЛОМ і передана в ній інформація адекватно захищені. ПБ ЛОМ повинна робити упор на важливості керування ЛОМ і забезпечення його підтримки. Керування ЛОМ повинне мати необхідні фінансові засоби, час і ресурси. Слабке керування мережею може привести до помилок захисту. У результаті цього можуть з'явитися наступні проблеми: ослаблена конфігурація захисту, недбале виконання заходів захисту чи навіть не використання необхідних механізмів захисту.

Використання ПК у середовищі ЛОМ також привносить ризик ЛОМ. Загалом, у ПК практично відсутні заходи захисту відносно автентифікації користувачів, керування доступом до файлів, ревізії діяльності користувачів і т.д. У більшості випадків захист інформації, що зберігається й обробляється на сервері ЛОМ, не супроводжує інформацію, коли вона посилається на ПК.

Відсутність поінформованості користувачів відносно безпеки ЛОМ також збільшує ризик. Користувачі, не знайомі з механізмами захисту, засобами захисту і т.п. можуть використовувати їх неправильно і, можливо, менш безпечно. Відповідальність за впровадження механізмів і засобів захисту, а також за проходження правилам використання ПК у середовищі ЛОМ звичайно лягає на користувачів ПК. Користувачам повинні бути дані відповідні інструкції і рекомендації, необхідні, щоб підтримувати прийнятний рівень захисту в середовищі ЛОМ.

Розглянемо загрози, що пов'язані з особливостями ЛОМ. Загрозою може бути будь-яка особа, об'єкт чи подія, що, у випадку реалізації, може потенційно стати причиною нанесення шкоди ЛОМ. Загрози можуть бути зловмисними, такими, як навмисна модифікація критичної інформації, чи можуть бути випадковими, такими, як помилки в обчисленнях чи випадкове видалення файлу. Загроза може бути також природним явищем, таким, як повінь, ураган, блискавка і т.п. Безпосередня шкода, викликана загрозою, називається впливом загрози.

Уразливими місцями є слабкі місця ЛОМ, що можуть використовуватися загрозою для своєї реалізації. Наприклад, неавторизований доступ (загроза) до ЛОМ може бути здійснена сторонньою людиною, що угадала очевидний пароль. При цьому уразливим місцем є поганий вибір пароля, зроблений користувачем. Зменшення чи обмеження уразливих місць ЛОМ може знизити чи взагалі усунути ризик від загроз ЛОМ. Наприклад, засіб, що може допомогти користувачам вибрати надійний пароль, зможе знизити імовірність того, що користувачі будуть використовувати слабкі паролі і цим зменшити загрозу НСД до ЛОМ.

Ідентифікація загроз припускає розгляд впливів і наслідків реалізації загроз. Вплив загрози, що звичайно містить у собі проблеми, що виникли безпосередньо після реалізації загрози, приводить до розкриття, модифікації, руйнування чи відмовлення в обслуговуванні. Більш значні довгострокові наслідки реалізації загрози призводять до втрати бізнесу, порушенню таємниці, цивільних прав, втраті адекватності даних, утраті людського життя чи іншим довгостроковим ефектам. Варто розуміти, що реалізація багатьох загроз призводить до більш ніж одного впливу, однак далі кожна загроза буде розглядатися в зв'язку тільки з одним впливом. Розглянемо можливі впливи, що можуть використовуватися для класифікації загроз середовищу ЛОМ:

· Неавторизований доступ до ЛОМ – відбувається в результаті одержання неавторизованою людиною доступу до ЛОМ.

· Невідповідний доступ до ресурсів ЛОМ– відбувається в результаті одержання доступу до ресурсів ЛОМ авторизованою чи неавторизованою людиною неавторизованим способом.

· Розкриття даних – відбувається в результаті одержання доступу до інформації чи її читання людиною і можливим розкриттям їм інформації випадковим неавторизованим чи навмисним образом.

· Неавторизована модифікація даних і програм – відбувається в результаті модифікації, чи видалення руйнування людиною даних і програмного забезпечення ЛОМ неавторизованим чи випадковим чином.

· Розкриття трафика ЛОМ – відбувається в результаті одержання доступу до інформації чи її читання людиною і можливим її розголошенням випадковим неавторизованим чи навмисним образом тоді, коли інформація передається через ЛОМ.

· Підміна трафика ЛОМ – відбувається в результаті появ повідомлень, що мають такий вид, начебто вони послані законним заявленим відправником, а насправді повідомлення послані не їм.

· Непрацездатність ЛОМ – відбувається в результаті реалізації загроз, що не дозволяють ресурсам ЛОМ бути вчасно доступними.

ЗІ від НСД в базах даних

Головне джерело загроз, специфічних для систем управління базами даних (СУБД), лежить у самій природі баз даних. Як відомо, СУБД призначені для створення, модифікації, відображення і збереження даних. Ці дані можуть зберігатися і відображатися в такому виді, у якому вони були створені автором чи будуватися (виводитися) за допомогою операцій, підтримуваних системою, на підставі збережених даних. Практично в будь-якому додатку, що забезпечує доступ до БД, передбачається контроль доступом на рівні користувача і бази даних. Тільки авторизований користувач може створювати нові бази даних чи змінювати структуру існуючих. Інші користувачі мають право змінювати і переглядати дані відповідно до своїх прав доступу. Одні з обмежень покликані підтримувати погодженість даних (один з видів цілісності), інші призначені для захисту від НСД. Для того, щоб продемонструвати, що система захищена, необхідно довести, що ці обмеження коректно дотримуються при будь-яких умовах.

Оскільки в БД може зберігатися величезна кількість різноманітної інформації, то наявність потужного інструмента для зручного і дуже простого маніпулювання даними (котрий надає кожна СУБД) майже завжди призводить до виникнення наступних проблем ЗІ, характерних для БД.

Проблема агрегування полягає в тому, що мітка безпеки даних, отриманих у результаті застосування операцій маніпулювання даними, може виявитися більшою, ніж найбільша мітка усіх використаних даних.

Прикладом агрегації менш секретної інформації для одержання більш секретної може служити одержання секретної інформації про загальну чисельність загону солдат в конкретній зоні на підставі несекретних даних про місце розміщення окремих солдатів. Таким чином, агрегована інформація може виявитися більш секретної, чим кожний з компонентів, її що склав.

Інший приклад. Розглянемо базу даних, що зберігає параметри всіх комплектуючих, з яких буде збиратися ракета, і інструкцію зі зборки. Дані про кожен вид комплектуючих необхідні постачальникам, інструкція зі зборки – складальному виробництву. Інформація про окремі частини сама по собі не є секретною (який сенс ховати матеріал, розміри, кількість гайок?). У той же час аналіз усієї бази дозволяє довідатися, як зробити ракету, що може уже вважатися державною таємницею. Підвищення рівня таємності даних при агрегуванні цілком природно – це наслідок закону переходу кількості в якість. Боротися з агрегуванням (як і логічним висновком) можна за рахунок ретельного проектування моделі даних і максимального обмеження доступу користувачів до інформації.

Проблема логічного виводу полягає в можливості одержати секретну інформацію, що не міститься явно в структурах даних, шляхом об'єднання нової інформації зі знаннями. Нерідко шляхом логічного виводу можна витягти з бази даних інформацію, на одержання якої стандартними засобами в користувача не вистачає привілеїв. Вивід секретних даних за допомогою допустимих запитів і інформації в БД, може бути проілюстрований наступними прикладами.

1. Розглянемо лікарняну базу даних, що складає з двох таблиць. У першій зберігається інформація про пацієнтів (анкетні дані, діагноз, призначення і т.д.), у другий – відомості про лікарів (розклад заходів, перелік пацієнтів і т.д.). Якщо користувач має право доступу тільки до таблиці лікарів, він, проте, може одержати непряму інформацію про діагнози пацієнтів, оскільки, як правило, лікарі спеціалізуються на лікуванні певних хвороб.

2. Загальна кількість одиниць секретна, однак загальна вартість і ціна одиниці – доступні усім.

Відповіддю на наступний запит користувача, що не має доступу до секретної інформації – «Одержати всі дані, що стосуються факту транспортування бомб рейсом № 1» може бути повідомлення: «доступ заборонений», оскільки одна чи кілька записів засекречені. Це відразу ж говорить неавторизованому користувачу про те, що рейс №1 дійсно секретно транспортує бомби.

Крім того, якщо мітки безпеки в БД прив'язуються до об'єктів (контейнерів), що містять дані, то може виникнуть ситуація, коли модифікація контейнера приведе до збільшення або до зменшення рівня його таємності. Іншими словами, рівень безпеки об'єкта БД може змінюватися з модифікацією інформації.

Ще одна загроза для баз даних – це замах на високу готовність або доступність. Якщо користувачу доступні всі можливості СУБД, він може досить легко утруднити роботу інших користувачів (наприклад, ініціювавши тривалу транзакцию, що захоплює велике число таблиць).

Жодна з цих проблем не вирішується за допомогою традиційних заходів захисту.

Отже, можна зробити висновок, що в більшості випадків необхідно застосовувати таку модель політики безпеки, що обмежувала б привілею користувачів згідно тієї ролі, що він (користувач) виконує в даний момент часу. Відповідно до такої політики, користувачам буде дозволено виконувати визначені ролі в системі при виконанні деяких умов. Так наприклад, у магазині тільки визначеним користувачам буде дозволено виконувати роль касира тільки в заплановані часи їх роботи. Або в страховій компанії – працівники можуть виконувати обов'язки агента тільки в звичайний робочий час.

Крім того, обробка даних, яку можуть виконувати користувачі, граючи деяку роль, теж повинна бути обмежена. Приміром, користувач, що виконує роль аналітика, може мати доступ для перегляду лише деяких статистичних даних. Більш того, частоту виконання подібних запитів можна обмежити для зменшення імовірності атаки БД за допомогою логічного виводу.