2589
.pdf* идентификатор субъекта доступа (администратора), осуществившего изменения.
Кроме того, для класса 1Б и 1А должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.
В криптографической подсистеме должно быть реализовано:
1.Шифрование конфиденциальной информации.
2.Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
3.Использование аттестованных (сертифицированных) криптографических средств.
При этом для классов защищенности 3Б, 3А, 2Б, 1Д, 1Г, 1В криптографическая защита не осуществляется.
Для класса 2А, 1Б криптографической подсистемой должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию. Кроме этого, доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом, и должны использоваться сертифицированные средства криптографической защиты.
Для класса 1А для криптографической подсистемы предъявляются те же требования, что и для классов 2А и 1Б, а также :
260
*должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов);
*доступ субъектов к операциям шифрования
ик соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом.
В подсистеме обеспечения целостности должно быть реализовано:
1. Обеспечение целостности программных средств и обрабатываемой информации
2. Физическая охрана средств вычислительной техники и носителей информации
3. Наличие администратора (службы) защиты информации в ИТКС
4. Периодическое тестирование СЗИ НСД
5. Наличие средств восстановления СЗИ НСД
6. Использование сертифицированных средств за-
щиты
Для классов 3Б,3А,2Б,2А подсистемой обеспечения целостности должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды , при этом:
*целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
*целостность программной среды обеспечивается отсутствием в ИТКС средств разработки и отладки программ;
*должна осуществляться физическая охрана СВТ ( устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания,
261
где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений ИТКС;
*должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала ИТКС с помощью тест-программ, имитирующих попытки НСД;
*должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности, а для класса 3А и 2А дополнительно должно выполняться требование использования сертифицированных средств защиты.
Для классов 1Д,1Г подсистемой обеспечения целостности должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды , при этом:
*целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
*целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и ( или ) хранения защищаемой информации;
*должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения ИТКС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИТКС и хранилище носителей информации, особенно в нерабочее время;
*должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной
262
среды и персонала ИТКС с помощью тест-программ, имитирующих попытки НСД;
*должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
Для классов 1В,1Б и 1А подсистемой обеспечения целостности:
*должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды , при этом: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и ( или ) хранении защищаемой информации;
*должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специального оборудования помещений ИТКС;
*должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность ИТКС; должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год для класса 1В, одного раза в квартал для классов 1Б и 1А;
263
*должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности для класса 1В, а для классов 1Б и 1А также автоматическое оперативное восстановление функций СЗИ НСД при сбоях ;
*должны использоваться сертифицированные средства защиты.
При обработке или хранении в ИТКС информации, не отнесенной к категории секретной, должны проводиться следующие организационные мероприятия:
*выявление конфиденциальной информации
иее документальное оформление в виде перечня сведений, подлежащих защите;
*определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
*установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
*ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
*получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
*обеспечение охраны объекта, на котором расположена защищаемая ИТКС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предот-
264
вращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи;
*выбор класса защищенности ИТКС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации ИТКС) и уровнем ее конфиденциальности;
*организация службы безопасности информации (ответственные лица, администратор ИТКС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в ИТКС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
Если в ИТКС должна обрабатываться или храниться секретная информация необходимо ориентироваться на классы защищенности ИТКС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные средства вычислительной техники (в соответствии с РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ"): не ниже 4 класса для класса защищенности ИТКС 1В; не ниже 3 класса для класса защищенности ИТКС 1Б; не ниже 2 класса для класса защищенности ИТКС 1А.
265
14.МЕЖСЕТЕВОЕ ЭКРАНИРОВАНИЕ И ТРЕБОВАНИЯ
КМЕЖСЕТЕВЫМ ЭКРАНАМ
Впредыдущих разделах отмечалось, что работа межсетевых экранов основана на динамическом выполнении двух групп функций: 1) фильтрации проходящих через него информационных потоков; 2) посредничества при реализации межсетевых взаимодействий. В зависимости от типа экрана эти функции выполняются с различной полнотой. Простые экраны выполняют одну из указанных функций. Комплексные экраны обеспечивают совместное выполнение указанных функций.
Фильтрация трафика состоит в выборочном пропускании информационных потоков через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности.
Вкачестве критериев анализа могут быть:
служебные поля пакетов сообщений, содержащие
сетевые адреса, идентификаторы, адреса интерфейсов,
номера портов и др.;
непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
266
внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т.п.
Функции посредничества межсетевой экран выпол-
няет с помощью специальных программ, называемых экранирующими агентами или просто программами – посредниками. Они являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью. При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой – посредником, функционирующей в компьютере экрана. Программам – посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Дальнейший обмен осуществляется через программу – посредника. При этом может осуществляться фильтрация потока сообщений и выполняться другие защитные функции (идентификация и аутентификация пользователей; проверка подлинности передаваемых данных; разграничение доступа к ресурсам внутренней сети;
разграничение доступа к ресурсам внешней сети; преобразование потока сообщений, например, динамический поиск вирусов и шифрование информации; трансляцию внутренних сетевых адресов для исходящих пакетов сообщений; регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов; кэширование данных, запрашиваемых из внешней сети и др.)
В зависимости от того, на каком уровне модели OSI поддерживается безопасность межсетевого взаимодействия, различают следующие виды (классы) экранов: экра-
267
нирующие маршрутизаторы; шлюзы сеансового уровня; прикладные шлюзы.
Экранирующий маршрутизатор, который называют еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень. Решение о том, пропустить и отбраковать данные, принимается для каждого пакета независимо на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровня. В качестве анализируемых полей IP- и TCP-заголовков каждого пакета выступают: адрес отправителя; адрес получателя; тип пакета; флаг фрагментации пакета; номер порта источника; номер порта получателя. Первые 4 параметра относятся к IP, а остальные к TCPзаголовку.
При обработке пакета экранирующий маршрутизатор последовательно просматривает заданную таблицу правил, пока не найдет правило, с которым согласуется вся совокупность параметров пакета. Если таковых нет, то пакет отбраковывается.
Шлюз сеансового уровня, называемый еще экранирующим транспортом, предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Защитные функции относятся к функциям посредничества. Контроль виртуальных соединений заключается в контроле квитирования связи, а также контроле передачи информации по установленным виртуальным каналам. При контроле квитирования шлюз определяет, является запрашиваемый сеанс связи допустимым. Эта процедура состоит из обмена ТСР-пакетами, которые
268
помечаются флагами SYN (синхронизировать) и ACK (подтвердить). Сеанс считается допустимым только в том случае, когда флаги SYN и ACK, а также числа, содержащиеся в заголовках ТСР-пакетов, оказываются логически связанными друг с другом. После того как шлюз определил, что рабочая станция внутренней сети и компьютер внешней сети являются авторизованными участниками сеанса, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, контролируя передачу информации по установленному виртуальному соединению. Он поддерживает таблицу установленных соединений. Когда сеанс завершается, из таблицы удаляется соответствующая запись. Шлюз сеансового уровня обеспечивает трансляцию внутренних адресов сетевого уровня (IP-адресов) при взаимодействии с внешней сетью. При этом IP-адреса пакетов, следующих из внутренней сети во внешнюю, автоматически преобразуются в один IPадрес, ассоциируемый с экранирующим транспортом. Это исключает прямой контакт между внутренней и внешней сетью. Недостатки у шлюза сеансового уровня такие же как и у экранирующего маршрутизатора: не обеспечивается контроль и защита содержимого пакетов, не поддерживается аутентификация пользователей и конечных узлов.
На практике большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне эталонной модели, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции относятся к функциям посредничества, но при этом выполняет-
269