ИБАС лекции

IBAS.md

Цирлов Валентин Леонидович

• Лекция 1
  • ИБАС основные понятия
    • Угроза ИБ
• Лекция 3
  • Криптографические методы обеспечение конфиденциальности информации
    • Два основных криптографических примитива
    • Методы защиты внешнего периметра
      • Уровни ISO/OSI
      • Основные типы межсетевых экранов
      • Системы обнаружений вторжений
        • Два основных типа IDS
    • Системы предотвращение утечки данных (DLP)
    • Протоколирование и аудит
• Лекция 4
  • Построение систем защиты от угроз нарушения целостности информации
    • Цифровые подписи
• Лекция 5
  • Обеспечение доступности
  • Основы формальной теории защиты информации
    • Основные понятия
• Лекция 7
  • Модель Белла-ЛаПадулы
    • Формальное описание модели Белла-ЛаПадулы
  • Модель Брюера-Нэша
• Лекция 8
  • Модели целостности данных
    • Обозначения
    • Правила модели Кларка-Вилсона:
  • Модель Биба
    • Базовые правила Модели Биба формулируются следующим образом:
• Лекция 9
  • Современные модели управления доступом
    • Ролевая модель
      • Формальное описание
    • Атрибутное управление доступом
    • Скрытые каналы передачи информации

Лекция 1

ИБАС основные понятия

Термин информация разные науки определяют по разному

Информация - свойство материальных объектов и процессов сохранять или порождать определенное состояние, которое в различных вещественно-энергетических формах может быть передано от одно объекта к другому

Информация - мера устранения неопределенности

Мы под информацией будем понимать все то что может быть представлено в символах некоторого конечного, например бинарного, алфавита

Автоматизированная система представляет собой совокупность следующих объектов :

• Средства вычислительной техники
• ПО
• Каналы связи
• Информация на тех или иных носителях
• Персонал и пользователи системы

Под информационной безопасностью автоматизированной системы принято понимать такое её состояние, при котором :

• Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз
• Функционирование и сам факт существования АС не создает угроз для внешней среды и элементов самой системы

Обычно на практике под ИБАС принято понимать совокупность следующих трёх свойств:

• confidential
  • Доступ может получить только легальный пользователь
• integrity
  • Внести изменения могут только имеющие соответствующие полномочия пользователи
  • Информация внутренне не противоречива, и если это применимо, то соответствует реальному положению дел
• availability
  • Возможность беспрепятственного получения легальным пользователем защищаемой информации

Деятельность направленную на обеспечение ИБ принято называть зашитой информации

Угроза ИБ

Угроза - приятно понимать потенциально возможное событие, действие, процесс или явление которое может принести ущерб чьим-либо интересам

Угрозы представляют собой потенциально возможное воздействие на защищаемую информацию, способные привести к нарушению ее конфиденциальности, целостности или доступности

Для классификации угроз ИБ применяется множество критериев :

• По природе возникновения
  • Естественные
  • Искусственные
• По преднамеренности
  • Преднамеренная
  • Не преднамеренная
• По местонахождению источнику угрозы
  • Внутренняя
  • Внешняя

В большинстве используется следящая классификация :

• Угроза нарушения конфиденциальности информации
• Угроза нарушения целостности информации
• Угроза нарушения доступности информации

Методы перечисления угроз

• Экспертный метод
• Использование существующих моделей угроз
• Построение структурированных списков угроз

Лекция 3

Криптографические методы обеспечение конфиденциальности информации

Два основных криптографических примитива

1. Симметричные криптосистемы

• используется один и тот же секретный ключ, которым взаимодействующие стороны предварительно обмениваются по зачищенному каналу

• M -> [C = Ek(M)] ---> [D = Dk(C)]
          ^                ^
          |                |
          K                K
  

2. Ассиметричные криптосистемы

• M -> [C= Ek[p](M)] --> D= Dk[s]
              |                |
           p=public         s=secret
  

• Для шифрования используется открытый ключ, для расшифрования используется секретный ключ - RSA - EI Gamal

Методы защиты внешнего периметра

Для обеспечения конфиденциальности используется три основных подхода

1. Межсетевое экранирование
   • Межсетевой экран выполняет функцию разграничение информационных потоков на границе защищаемой АС
   • Позволяет:
     • Повысить защищенность элементов АС за счет игнорирования неавторизированных запросов из внешней среды
     • Контролировать допустимость информационных потоков во вешнюю среду
     • Протоколирование процессов информационного обмены
   • Принимают решение о том, чтобы пропускать или не пропускать тот или иной пакет в систему или из системы путем фильтрации, те сравнение данных получаемых из сетевого трафика с определенной БД
2. Система обнаружение вторжения
3. Системы предотвращение утечки данных

Уровни ISO/OSI

1. Прикладной
2. Уровень представления
3. Сеансовый
4. Транспортный
5. Сетевой
6. Канальный
7. Физический

Основные типы межсетевых экранов

1. Фильтры пакетов
   1. Функционируют на сетевом и транспортном уровнях
   2. Параметры:
      1. ip источника
      2. ip получателя
      3. порт источника
      4. порт получателя
      5. параметры заголовков сетевых пакетов
2. Шлюзы сеансового уровня
   1. Контролируют корректность установки сеанса
3. Proxy - сервера
   1. Работают на прикладном уровня
4. МЭ экспертного уровня

Направление	Протокол	Source IP	Destination IP	Destination Port	Source port	ACK
outbound	TCP	INT	EXT	80	>=1024
inbound	TCP	EXT	INT	>=1024	80	\/

Системы обнаружений вторжений

Предназначены для выявления попыток несанкционированного доступа процессом к ресурсам ОС

IDS/IPS

Intrusion Detection/ Prevention System

Два основных типа IDS

• IDS уровня сети - Обычно сенсор функционирует на отдельном хосте в защищённом сегменте сети и прослушивает весь сетевой трафик
• IDS уровня хоста - Функционирует на хосте

---

Лекция 4

Системы предотвращение утечки данных (DLP)

DLP - Data Leakage Prevention

DLP системы предназначены для предотвращения несанкционированной передачи защищаемой информации за пределы периметра АС

Для DLP систем есть 2 основных подхода для выявления защищаемой информации

1. Предварительное категорирование и маркировки всех защищаемых документов с используемой некоторого неотчуждаемого признака, например контрольной суммы или грифа секретности
   • В дальнейшем при выявления данного признака в потоке данных передача соответствующего документа блокируется
2. Выявления защищаемой информации на уровне анализа контента, например по ключевым словам или с использование семантического анализа

UEBA - User Entity Behavior Analytics

Протоколирование и аудит

Протоколирование переставляет собой механизм подотчетности позволяющий отслеживать все события имеющие значения с точки хранения безопасности

Аудит - Анализ протоколируемой информации с целью выявления инцидентом и принятия тех или иных решений

Механизм протоколирования должен обеспечивать

1. Полную подотчетность действий всех пользователей и администраторов АС
   • Собираемые данные должны быть достаточны для восстановления полной картины произошедшего
2. Сбор технической информации полезной информации для решения вопросов непосредственно не связанных с ИБ

Данные собираются в системные журналы, которые представляют собой автоматические записи следующего вида :

• Временная метка
• Тип события
• Инициатор события
• Результат

SIEM - Security Information and Event Management

• Обеспечивают сбор протоколируемой информации из разных источников

• Поиск взаимосвязей вежду данными получаемых из разных источников с целью выявления инцидентов

• Визуализация протоколируемой информации и представление ее в виде пригодном для анализа человеком

• Могут инициировать ответную реакцию тех или иных средств защиты при выявлении инцидентов

---

Лекция 4

Построение систем защиты от угроз нарушения целостности информации

• Идентификация / аутентификация
  • минимизация привилегий
    • все процессы в АС должны быть наделены такими полномочиями, которые минимально достаточным для их выполнение
  • разделение обязанностей
    • принцип предполагает привлечение нескольких независимых пользователей для выполнения критически важных или необратимых действий
• Методы обеспечения корректности транзакций
  • цифровые подписи
  • криптографические хэш-функции
  • коды проверки подлинности
• Криптографические методы обеспечения целостности

Цифровые подписи

Цифровая подпись во многом является аналогом собственноручной подпись

1. Должна позволять доказать, что именно законный автор и никто другой сознательно подписал документ
2. Подпись должна быть неотделима от документа. То есть должно быть невозможно отделить подпись от одного документа и использовать для подписания другого
3. Должна делать невозможным изменение самого документа, в том числе и самим автором

       подписание                      проверка   
M --> [s = E(k(s))(M)]-->S     --->    [s' = D(k(p))(s)]  M == s'
                              [M|S]     

Криптографическая хэш-функция вида y=f(x)

• на вход произвольная длина , на выходе фиксированная
• значение y по значению x должно вычисляться за полином
• а значение x по значению y почти во всех случаях должно вычисляться полным перебором
• только полным перебором должно быть можно найти два таких значения х которые дадут одно и тоже значение y
• при вычисления хэша должны использоваться все символы входной последовательности
• описание хэш-функции должно быть открытым и общедоступным

MAC - Message Authentication Code - Хэш функция для вычисления которых необходимо знать секретный ключ

Block chain - это технология хранение постоянно растущего объёма блоков запись с данными. Каждый блок содержит временную метку и ссылку на предыдущий блок

Лекция 5

Обеспечение доступности

В общем случае обеспечение доступности реализуется созданием той или иной избыточности

Передача информации

• Дублирование каналов связи
• Дублирование узких мест
• Управление пропускной способности сетевого оборудования
• Динамическая маршрутизация

Хранение информации

• Резервное копирование
  • 3 основных подхода
    • полное
    • инкрементальное
      • копируются те данные, которые изменились с момента последнего инкрементального резервного копирования
    • дифференциальное
      • копируются те данные, которые изменились с момента полного резервного копирования
• Использование RAID массивов
  • Redundant Array of Independent Disks
• Зеркалирование серверов

Обработка информации

• Дублирование серверов
• Использование кластеров
• Управление надежности оборудования

Основы формальной теории защиты информации

Основные понятия

• Пусть А - конечный алфавит
• А* - множество слов конечной длинны в алфавите А
• L подмножество А* - язык, т.е. множество слов, выделенных по определённым правилам из А*

Объектом относительно языка L называется произвольное конечное множество языка L

Преобразованием информации называется отображение, заданное на множестве слов языка L

Преобразование может :

• Храниться - в этом случае описание преобразования храниться в некотором объекте и ничем не отличается от других данных
• Действовать - преобразование может взаимодействовать с некоторым ресурсами АС

Ресурсы системы, выделенные для действия преобразования, принято называть доменом

Преобразование, которому передано управление, называется процессом

Объект, описывающий преобразование, которому выделен домен и передано управление, называется субъектом

Субъект для реализации преобразования использует информацию , содержавшеюся в объекте, т.е. осуществляет доступ к объекту

Виды доступа :

• Чтение
• Запись

Аксиома 2

Все вопросы безопасности информации описываются доступами субъектов к объектам

Монитор безопасности обращение (SRM) представляет собой фильтр , который разрешает или запрещает доступ, основываясь на установленных в системе правил разграничения доступа

Требования к Монитору безопасности обращение :

• Ни один запрос на доступ субъекта к объекту не должен выполниться в обход МБО
• Работа МБО должна быть защищена от постороннего вмешательства
• Представление МБО должно быть достаточно простым для возможности верификации корректности его работы

Лекция 7

Модель Белла-ЛаПадулы

• Предложена в 1975 для формализации мандатного управления доступом

• Цель : перенести на автоматизированные системы практику секретного документооборота, когда все документы и допущенные к ним лица ассоциируются с иерархическими уровнями секретности

• Простое правило безопасности (Simple Security, SS)

  • Субъект с уровнем доступа Xs может читать информацию из объекта с уровнем секретности Xo тогда и только тогда, когда Xs преобладает над Xo. Это правило также известно под названием «нет чтения верхнего» (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности совершенно секретно, то ему будет отказано в этом

• Свойство * (The *-property)

  • Субъект с уровнем секретности Xs может писать информацию в объект с уровнем безопасности Xо только если Xо преобладает над Xs. Это правило также известно под названием «нет записи вниз» (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

Диаграмма информационных потоков

Формальное описание модели Белла-ЛаПадулы

Читать тут

Модель Брюера-Нэша

Модель Пивовара и Нэша была построена, чтобы обеспечить информационные средства управления доступом безопасности, которые могут измениться динамично. Эта модель безопасности, также известная как китайская стенная модель, была разработана, чтобы обеспечить средства управления, которые смягчают конфликт интересов в коммерческих организациях, и построен на модели потока информации.

Лекция 8

Модели целостности данных

Модель Кларка-Вилсона

• Предложена в 1987 г как результат анализа практики бумажного документооборота, эффективной с точки зрения обеспечения целостности информации
• Модель Кларка-Вилсона является описательной и не содержит каких бы то ни было строгих математических конструкций

Обозначения

• S – множество субъектов;
• D – множество данных в автоматизированной системе (множество объектов);
• CDI (Constrained Data Items) – данные, целостность которых контролируется;
• UDI (Unconstrained Data Items) – данные, целостность которых не контролируется; При этом D = CDI ∪ UDI , CDI ∩ UDI =Ø.
• TP (Transformation Procedure) – процедура преобразования, т.е. компонент, который может инициировать транзакцию – последовательность операций, переводящую систему из одного состояния в другое;
• IVP (Integrity Verification Procedure) – процедура проверки целостности CDI.

Правила модели Кларка-Вилсона:

1. В системе должны иметься IVP, способные подтвердить целостность любого CDI. Примером IVP может служить механизм подсчёта контрольных сумм.

2. Применение любой TP к любому CDI должно сохранять целостность этого CDI.

3. Только TP могут вносить изменения в CDI.

4. Субъекты могут инициировать только определённые TP над определёнными CDI.

Данное требование означает, что система должна поддерживать отношения вида (s, t, d), где s ∈ S , t ∈ TP , d ∈ CDI . Если отношение определено, то субъект s может применить преобразование t к объекту d.

5. Должна быть обеспечена политика разделения обязанностей субъектов – т.е. субъекты не должны изменять CDI без вовлечения в операцию других субъектов системы.

6. Специальные TP могут превращать UDI в CDI.

7. Каждое применение TP должно регистрироваться в специальном CDI. При этом:

• данный CDI должен быть доступен только для добавления информации;

• в данный CDI необходимо записывать информацию, достаточную для восстановления полной картины функционирования системы.

8. Система должна распознавать субъекты, пытающиеся инициировать TP.

9. Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, администраторам безопасности). Данное требование означает, что тройки (s, t, d) могут модифицировать только определённые субъекты.

Безусловными достоинствами модели Кларка-Вилсона являются её простота и лёгкость совместного использования с другими моделями безопасности.

Модель Биба

• Модель Биба была разработана в 1977 году как модификация модели БеллаЛаПадулы, ориентированная на обеспечение целостности данных.

• Аналогично модели Белла-ЛаПадулы, модель Биба использует решётку классов целостности Λ = (L,≤,•,⊗) , где IC – классы целостности данных.

Базовые правила Модели Биба формулируются следующим образом:

1. Простое правило целостности (Simple Integrity, SI).

• Субъект с уровнем целостности xs может читать информацию из объекта с уровнем целостности xo тогда и только тогда, когда xo преобладает над xs.

2. * - свойство (* - integrity).

• Субъект с уровнем целостности xs может писать информацию в объект с уровнем целостности xo тогда и только тогда, когда xs преобладает над xo.

Для первого правила существует мнемоническое обозначение No Read Down, а для второго – No Write Up.

Лекция 9

Современные модели управления доступом

Ролевая модель

• Ролевая модель управления доступом содержит ряд особенностей, которые не позволяют отнести её ни к категории дискреционных, ни к категории мандатных моделей. Основная идея реализуемого в данной модели подхода состоит в том, что понятие «субъект» заменяется двумя новыми понятиями:

  • пользователь – человек, работающий в системе;

  • роль – активно действующая в системе абстрактная сущность, с которой связан ограниченный и логически непротиворечивый набор полномочий, необходимых для осуществления тех или иных действий в системе.

• Основным достоинством ролевой модели является близость к реальной жизни: роли, действующие в АС, могут быть выстроены в полном соответствии с корпоративной иерархией и при этом привязаны не к конкретным пользователям, а к должностям – что, в частности, упрощает администрирование в условиях большой текучки кадров.

Управление доступом при использовании ролевой модели осуществляется следующим образом:

1. Для каждой роли указывается набор полномочий, представляющий собой набор прав доступа к объектам АС.

2. Каждому пользователю назначается список доступных ему ролей.

Отметим, что пользователь может быть ассоциирован с несколькими ролями – данная возможность также значительно упрощает администрирование сложных корпоративных АС.

Формальное описание

• U – множество пользователей;
• R – множество ролей;
• P – совокупность полномочий на доступ к объектам (реализованная, например, в виде матрицы доступа);
• S – множество сеансов работы пользователей с системой

Управление доступом реализуется с использованием следующих отображений:

• PA ⊆ P × R - отображение множества полномочий на множество ролей, задающее для каждой роли установленный набор полномочий;

• UA ⊆ U × R - отображение множества пользователей на множество ролей, определяющее набор ролей, доступных данному пользователю;

Функции :

• user : S →U - функция, определяющая для сеанса s ∈ S текущего пользователя u ∈ U :

user(s) = u

• roles : S →{R} - функция, определяющая для сеанса s ∈ S набор ролей из множества R , доступных в данном сеансе:

roles(s) ={ri | (user(s), ri ) ∈ UA};

• permissions : S →{P} - функция, задающая для сеанса s ∈ S набор доступных в нём полномочий (иначе говоря, совокупность полномочий всех ролей, доступных в данном сеансе):

permissions(s) = U(r ∈ roles(s)) {pi | ( pi , r) ∈ PA}.

Критерий безопасности системы при использовании ролевой модели звучит следующим образом: система считается безопасной, если любой пользователь в системе, работающий в сеансе s∈ S , может осуществлять действия, требующие полномочий p ∈ P , только в том случае, если p ∈ permissions(s).

Атрибутное управление доступом

• Наиболее универсальная модель управления доступом

• Основная идея: решение о предоставлении доступа субъекта к объекту принимается на основе анализа набора произвольных атрибутов , связанных с субъектом, объектом или даже средой их функционирования

• Каждый атрибут представляет собой некий набор данных, который может быть сопоставлен с массивом допустимых значений данного атрибута

[картинка 1]

Скрытые каналы передачи информации

• Неформально под скрытым каналом передачи информации [22] понимают любой канал связи, изначально для передачи информации не предназначенный.

• Для нас будут представлять интерес скрытые каналы, реализуемые за счёт особенностей формальных моделей управления доступом.

Пусть имеется модель мандатного управления доступом M и её реализация I(M). Тогда любая потенциальная связь между двумя субъектами I(sh) и I(si) называется скрытым каналом передачи информации (рис. 2.7.1), если эта связь не разрешена в модели M

[картинка 2]

Выделяют следующие типы скрытых каналов:

1. Скрытые каналы по памяти, в которых информация передаётся через доступ отправителя на запись и получателя на чтение к одним и тем же ресурсам или объектам;
2. Скрытые каналы по времени, которые характеризуются доступом отправителя и получателя к одному и тому же процессу или изменяемому во времени атрибуту

Подходы к решению задачи выявления скрытых каналов передачи информации в настоящее время активно изучаются и совершенствуются. На сегодняшний день наиболее распространены следующие методы:

1. Метод разделяемых ресурсов Кемерера, который состоит в следующем:

• для каждого разделяемого ресурса в системе строится матрица, строки которой соответствуют всевозможным атрибутам разделяемого ресурса, а столбцы – операциям, выполняемым в системе;
• значения в ячейках матрицы соответствуют воздействиям, осуществляемым при выполнении тех или иных операций в отношении атрибутов разделяемых ресурсов. Получившаяся в результате матрица позволяет отследить информационные потоки, существующие в системе.

2. Сигнатурный анализ исходных текстов программного обеспечения.

• Данный метод предполагает проведение анализа исходных текстов программ с целью выявления конструкций, характерных для скрытых каналов передачи информации