Приложение А (справочное). Общие принципы построения защиты в рамках ВОС. Государственный стандарт РФ ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации" (принят и введен в действие постановлением Госстандарта РФ от 18.03.1999 N 77)

Приложение А
(справочное)

Общие принципы построения защиты в рамках ВОС

А.1 Основные положения

Данное приложение содержит:

a) информацию о защите ВОС, предназначенную для определения некоторых перспектив развития настоящего стандарта;

b) общие положения по архитектурным применениям различных средств защиты и требований к ним.

Защита в функциональной среде ВОС представляет собой как раз один из аспектов защиты обработки/передачи данных. Для обеспечения эффективности средств защиты, используемых в функциональной среде ВОС, необходимо наличие поддерживающих средств, находящихся вне ВОС. Например, информация, передаваемая между системами, может быть зашифрована, но, если на доступ к самим системам не будет наложено никаких физических ограничений защиты, шифрование может оказаться безуспешным. Кроме того, к ВОС относится только взаимосвязь систем. Для обеспечения эффективности средств защиты ВОС, они должны использоваться совместно со средствами, не входящими в область распространения ВОС.

А.2 Требования к защите

А.2.1 Что понимается под защитой?

Термин "защита" используется в смысле минимизации уязвимости средств и ресурсов. Любое средство обладает какой-либо ценностью. Уязвимость - это некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации. Угроза - это потенциально возможное нарушение защиты.

А.2.2 Обоснование защиты в открытых системах

Международная организация по стандартизации (ИСО) признала необходимой разработку семейства стандартов, обеспечивающих защиту в рамках архитектуры взаимосвязи открытых систем. Такая необходимость обусловлена следующими причинами:

a) увеличением зависимости общества от вычислительных машин, которые доступны через каналье передачи данных или взаимосвязаны этими каналами и которые требуют наличия защиты от различных угроз;

b) появлением во многих странах законов по "защите данных", которое обязывает производителей демонстрировать целостность и частную принадлежность системы;

c) желанием различных организаций использовать стандарты ВОС, расширяемые при необходимости, при создании существующих и планируемых на будущее закрытые системы.

А.2.3 Что подлежит защите?

В общем случае защите подлежат следующие компоненты:

a) информация и данные (включая программное обеспечение и относящиеся к средствам защиты пассивные данные, такие как пароли);

b) услуги передачи и обработки данных;

c) оборудование и средства.

А.2.4 Угрозы

Угрозы системе передачи данных означают следующее:

a) разрушение информации и/или других ресурсов;

b) искажение или модификацию информации;

c) хищение, удаление или потерю информации и/или других ресурсов;

d) раскрытие информации;

e) прерывание обслуживания.

Угрозы могут классифицироваться на случайные и преднамеренные и могут быть активными и пассивными.

А.2.4.1 Случайные угрозы

Случайные угрозы - это те угрозы, которые возникают непреднамеренно. Примерами реальных случайных угроз могут служить отказы системы, операционные грубые ошибки и ошибки в программных комплектах.

А.2.4.2 Преднамеренные угрозы

Преднамеренные угрозы могут быть различных видов: от небрежного анализа, использующего легко доступные средства управления, до изощренных вторжений с использованием специальных сведений о системе. Реализуемая преднамеренная угроза может рассматриваться как "вторжение".

А.2.4.3 Пассивные угрозы

К пассивным угрозам относятся те, которые при их реализации не приводят к какой-либо модификации любой информации, содержащейся в системе(ах), и где работа и состояние системы не изменяются. Использование пассивного перехвата для анализа информации, передаваемой по каналам связи, представляет собой реализацию пассивной угрозы.

А.2.4.4 Активные угрозы

Активные угрозы системе означают изменение информации, содержащейся в системе, либо изменения состояния или работы системы. Примером активной угрозы служит умышленное изменение таблиц маршрутизации системы неполномочным пользователем.

А.2.5 Некоторые конкретные виды вторжений

Ниже кратко рассмотрены некоторые из вторжений, специально касающихся функциональной среды передачи/обработки данных. В последующих разделах встречаются термины "полномочный" и "неполномочный". "Полномочие" означает "предоставление прав". Такое определение подразумевает два аспекта: рассматриваемые права являются правами на выполнение некоторой активности (такой как доступ к данным); и эти права предоставлены некоторому логическому объекту, агенту или процессу. Таким образом, полномочное поведение является рабочей характеристикой тех активностей, для выполнения которых предоставляются (и не аннулируются) права. Более подробное описание концепции полномочия приведено в А.3.3.1.

А.2.5.1 Маскирование

Маскирование имеет место, когда какой-либо логический объект претендует на то, чтобы выглядеть подобно другому логическому объекту. Маскирование обычно используется совместно с некоторыми другими формами активных вторжений, особенно, с воспроизведением и модификацией сообщений. Например, после того, как имела место действительная последовательность аутентификации, могут быть перехвачены и воспроизведены другие последовательности аутентификации. Полномочный логический объект, обладающий небольшим числом привилегий, может использовать маскирование для получения дополнительных привилегий путем исполнения роли логического объекта, имеющего такие привилегии.

А.2.5.2 Воспроизведение

Воспроизведение происходит, когда сообщение или часть сообщения повторяется с целью получения неполномочного результата. Например, действительное сообщение, содержащее информацию аутентификации, может быть воспроизведено другим логическим объектом для того, чтобы заявить о своей подлинности (как чего-то такого, чего не существует).

А.2.5.3 Модификация сообщений

Модификация сообщений происходит, когда происходит необнаруживаемое изменение содержимого передачи, и приводит к некоторому неполномочному результату, как, например, в случае, когда сообщение "Разрешить 'Джону Смиту' считать секретный файл 'счетные данные'" заменяется на сообщение "Разрешить 'Фреду Брауну' считать секретный файл 'счетные данные'".

А.2.5.4 Отклонение услуги

Отклонение услуги происходит, когда логический объект неспособен выполнять свойственные ему функции или он действует таким образом, что препятствует другим логическим объектам выполнять свойственные им функции. Это вторжение может быть всеобщим, если логический объект подавляет передачу всех сообщений, или оно может иметь конкретную цель, если логический объект подавляет передачу всех сообщений, направляемых в сторону конкретного получателя, в качестве которых может быть услуга проверки защиты. Это вторжение может включать подавление трафика, как описано в данном примере, или может генерировать дополнительный трафик. Возможна также генерация сообщений, предназначенных для нарушения работы сети, особенно если сеть имеет ретрансляционные логические объекты, которые принимают решения о маршрутизации на основе отчетов о состоянии, полученных от других ретрансляционных логических объектов.

А.2.5.5 Внутренние вторжения

Внутренние вторжения происходят, когда уполномоченные пользователи системы ведут себя непреднамеренным или неполномочным образом. Наиболее широко распространенное нарушение работы вычислительной машины подразумевает внутренние вторжения, которые компрометируют защиту системы. К используемым методам защиты от внутренних вторжений относятся следующие:

a) тщательная проверка персонала;

b) тщательное исследование аппаратного и программного обеспечения, стратегии защиты и конфигураций системы с такой степенью гарантии, которая обеспечила бы их правильную работу (так называемая доверительная функциональность);

c) данные отслеживания, предназначенные для повышения вероятности обнаружения подобных вторжений.

А.2.5.6 Внешние вторжения

Внешние вторжения могут использовать следующие методы:

a) подсоединение к линии (активное и пассивное);

b) перехват излучений;

c) маскирование под полномочных пользователей системы или под ее компоненты;

d) обход механизмов аутентификации или управления доступом.

А.2.5.7 "Лазейка"

Когда логический объект системы изменяется таким образом, что он разрешает нарушителю произвести неполномочное воздействие либо на команду, либо на заранее определенное событие, либо на последовательность таких событий, результат этого действия рассматривается как вторжение типа "лазейка". Например, аутентификация пароля может быть изменена таким образом, чтобы дополнительно к обычным действиям проверялась правильность пароля нарушителя.

А.2.5.8 "Троянский конь"

При введении в систему вторжение типа "троянский конь" в дополнение к его полномочным функциям получает некоторые неполномочные функции. Действие ретранслятора, который копирует сообщения также и в неполномочные каналы, представляет собой вторжение типа "троянский конь".

А.2.6 Оценка угроз, степени риска и мер противодействия

Средства защиты обычно повышают стоимость системы и могут усложнить се использование. Поэтому перед разработкой системы защиты необходимо определить конкретные угрозы, от которых требуется защита. Такая спецификация известна как оценка угрозы. Система уязвима по многим параметрам, однако только некоторые из них используются, поскольку нарушитель обладает ограниченными возможностями или потому что достигаемые результаты не оправдывают его усилий и риска быть обнаруженным. Хотя детализация целей оценки угрозы не входит в предмет рассмотрения данного приложения, в общих чертах такие оценки включают в себя:

a) идентификацию уязвимых мест системы;

b) анализ вероятности угроз, направленных на использование таких уязвимых мест;

c) оценку последствия успешного выполнения угрозы;

d) оценку стоимости каждого вторжения;

e) анализ стоимости возможных мер противодействия;

f) выбор удовлетворительных механизмов защиты (возможно путем использования стоимостного анализа получаемых выгод).

Нетехнические средства, такие как страхование, могут служить экономичными альтернативами технических средств защиты. Совершенная техническая защита, так же как и совершенная физическая защита невозможны. Поэтому задача состоит в достижении того, чтобы стоимость вторжения была достаточно высокой для уменьшения степени риска до приемлемых уровней.

А.3 Стратегия защиты

В данном разделе рассматривается стратегия защиты, в том числе необходимость в подходящем определении стратегии защиты, ее роль, методы использования стратегии и се уточнение применительно к конкретным ситуациям. Эти принципы затем могут быть применены к системам передачи данных.

А.3.1 Необходимость и назначение стратегии защиты

Вся область защиты сложна и трудно реализуема. Любой в разумных пределах полный анализ приведет к обескураживающему множеству подробностей. Приемлемая стратегия защиты должна сконцентрировать внимание на тех аспектах ситуации, которые должны учитываться при рассмотрении на высоком уровне полномочий. По существу, стратегия защиты устанавливает в общих понятиях, что допустимо и что недопустимо в области защиты в процессе основных операций рассматриваемой системы. Стратегия обычно не является конкретной, она исходит из того, что является делом первостепенной важности, не определяя в точности, каким образом можно достичь желаемых результатов. Стратегия защиты устанавливает наивысший уровень спецификации защиты.

А.3.2 Применения определения стратегии. Процесс уточнения

Поскольку стратегия имеет достаточно общий характер, то вначале не совсем ясно, как можно совместить ее с конкретным применением. Часто наилучший способ достижения этого состоит в том, чтобы сориентировать стратегию на успешное проведение процесса уточнения путем добавления на каждой стадии все больших подробностей конкретного применения. Для выяснения необходимых деталей требуется подробное изучение области применения в свете общей стратегии. Такое рассмотрение должно определить проблемы, возникающие из попыток наложения условий на стратегию в данном применении. Процесс уточнения приведет к новой установке общей стратегии в очень точных понятиях, непосредственно вытекающих из данного применения. Эта заново установленная стратегия облегчает определение деталей реализации.

А.3.3 Компоненты стратегии защиты

Имеются два аспекта, относящихся к существующим стратегиям защиты. Оба они зависят от принципа полномочного поведения.

А.3.3.1 Полномочие

Все рассмотренные выше виды угроз охватывают понятия полномочного и неполномочного поведения. Определение сущности полномочия отражено в стратегии защиты. Общая стратегия защиты может устанавливать: "информация не может быть предоставлена, быть доступной либо допускать вмешательство и не может быть ресурсом, используемым теми, кто не имеет соответствующих полномочий". Характер полномочий как раз и определяет отличия различных стратегий. Основываясь на соответствующем характере полномочий, все стратегии могут быть подразделены на два отдельных вида: стратегии, основанные на правилах, и стратегии, основанные на идентификации. Первые используют правила, основанные на небольшом числе общих атрибутов или классов чувствительности, которые имеют универсальное применение. Вторые охватывают критерий полномочий, основанный на конкретных индивидуальных атрибутах. Некоторые атрибуты предполагаются постоянно связанными с логическим объектом их применения, другие могут временно присваиваться логическому объекту (такие как функциональные возможности) и передаваться другим логическим объектам. Можно также различать административно назначаемые и динамически выбираемые средства полномочий. Стратегия защиты должна определять те элементы системной защиты, которые всегда применимы и остаются в силе (например, компоненты стратегии, основанные на правилах и идентификации при их наличии) и те из них, которые пользователь может выбрать для использования по своему усмотрению.

А.3.3.2 Стратегия защиты, основанная на идентификации

Аспекты стратегии защиты, основанных на идентификации, частично соответствуют принципам защиты, известным как "необходимость опознавания". Цель ее состоит в фильтрации доступа к данным или ресурсам. Имеются два основных фундаментальных способа реализации стратегий, основанных на идентификации, в зависимости от того, сохраняется ли информация о правах на доступ получателем или она является частью данных, которые должны быть доступными. Первая служит примером принципов привилегий или функциональных возможностей, предоставляемых пользователям и используемых процессами по их поручению. Примерами последней служат списки управления доступом (СУД). В обоих случаях размер области данных (от полного файла до элемента данных), который может быть поименован в функциональной возможности или который переносит свой собственный СУД, может изменяться в широких пределах.

А.3.3.3 Стратегия защиты, основанная на правилах

Полномочия в стратегии защиты, основанной на правилах, обычно основаны на чувствительности. В закрытой системе данные или ресурсы должны быть помечены метками защиты. Процессам, действующим по инициативе персонала, может быть присвоена метка защиты, соответствующая их инициатору.

А.3.4 Стратегия, взаимосвязи и метки защиты

Концепция присвоения меток выполняет важную роль в среде обмена данными. Метки, переносящие атрибуты, выполняют различные функции. Имеются элементы данных, которые перемещаются во время обмена данными; существуют процессы и логические объекты, которые инициируют обмен данными, а также такие, которые выдают ответы; существуют каналы и другие ресурсы самой системы, используемые во время обмена данными. Всем им может быть тем или иным способом присвоена метка с соответствующими атрибутами. Стратегии защиты должны указывать, как атрибуты каждой из них могут использоваться для обеспечения требуемой защиты. Для установления надлежащей значимости защиты конкретных помеченных атрибутов может потребоваться согласование. Когда метки защиты присваиваются как доступным процессам, так и доступным данным, должна быть соответствующим образом помечена дополнительная информация, необходимая для обеспечения управления доступом на основе идентификации. Если стратегия защиты основана на идентификации пользователя, имеющего доступ к данным непосредственно или с помощью процесса, то метки защиты должны содержать информацию об идентификации пользователя. Правила присвоения конкретных меток должны быть представлены в стратегии защиты в базе административной информации защиты (БАУИЗ) и/или согласованы, при необходимости, с оконечными системами. Метка может быть добавлена с помощью атрибутов, которые квалифицируют соответствующую чувствительность для определения средств обработки и распределения, ограничения таймирования и местоположения и четкого определения требований, специфичных для данной оконечной системы.

А.3.4.1 Метки процесса

При аутентификации полная идентификация тех процессов или логических объектов, которые инициируют сеанс обмена данными или отвечают на него, в совокупности со всеми соответствующими атрибутами имеет обычно фундаментальную важность. Поэтому БАУИЗ должны содержать достаточную информацию о тех атрибутах, которые важны для любой административно назначаемой стратегии.

А.3.4.2 Метки области данных

По мере перемещения областей данных в процессе сеансов обмена данными каждая из них должна быть тесно связана со своей меткой. (Эта связь является существенной, и в некоторых случаях применения стратегий, основанных на правилах, существует требование, чтобы метка составляла специальную часть области данных перед тем, как она будет предъявлена прикладному применению.) Средства для сохранения целостности области данных должны также поддерживать точность и сцепление меток. Эти атрибуты могут быть использованы функциями управления маршрутизацией на уровне звена данных базовой эталонной модели ВОС.

А.4 Механизмы защиты

Стратегия защиты может быть реализована путем использования отдельного или сочетания различных механизмов в зависимости от целей защиты и применяемых механизмов. В общем случае такой механизм должен принадлежать к одному из трех (перекрывающихся) классов:

a) предотвращение;

b) обнаружение;

c) восстановление.

Механизмы защиты, соответствующие среде обмена данными, рассматриваются ниже.

А.4.1 Методы криптографирования и шифрование

Криптография основана на множестве средств и механизмов защиты. Функции криптографирования могут быть использованы как часть шифрования, дешифрования, целостности данных, обменов аутентификацией, хранения и проверки пароля и др. для обеспечения конфиденциальности, целостности и/или аутентичности. Шифрование, используемое для обеспечения конфиденциальности, преобразует чувствительные данные (т.е. данные, подлежащие защите) для получения менее чувствительных форм. При использовании в целях обеспечения целостности или аутентичности криптографические методы применяются для машинного выполнения второстепенных функций.

Шифрование первоначально выполняется над открытым текстом для получения шифротекста. Результатом дешифрования является либо открытый текст, либо шифротекст с некоторым закрытием. При машинном выполнении легко использовать открытый текст для его общей обработки; его семантическое содержимое доступно. За исключением специальных методов (например, первичного дешифрования или точного согласования) при машинном выполнении нелегко обработать шифротекст, так как его семантическое содержимое закрыто. Шифрование иногда умышленно делают необратимым (например, путем усечения или потери данных), когда даже нежелательно получить исходный открытый текст, например, пароли.

Криптографические функции используют криптопеременные и оперируют с полями, блоками данных и/или потоками блоков данных. К двум таким криптопсременным относятся ключ, который управляет конкретными преобразованиями, и переменная инициализации, которая необходима в некоторых криптографических протоколах для сохранения явной произвольности шифротекста. Ключ должен обычно оставаться конфиденциальным, и как криптографическая функция, так и переменная инициализации могут увеличить задержку и снизить пропускную способность. Это усложняет внесение "прозрачных" и "обеспечивающих свободный доступ" криптографических дополнений к существующим системам.

Криптографические переменные могут быть симметричными или асимметричными, охватывая как шифрование, так и дешифрование. Ключи, используемые в асимметричных алгоритмах, являются математически относительными; один ключ не может быть вычислен из остальных. Эти алгоритмы иногда называют алгоритмами "ключа общего пользования", поскольку один ключ может быть сделан ключом общего пользования, а другой - закрытым.

Шифротекст может быть подвергнут криптоанализу, когда при машинном выполнении легко восстановить шифротекст без сведений о ключе. Это может иметь место при использовании слабой или недействительной криптографической функции. Перехваты и анализ трафика могут привести к вторжениям в криптосистему, включая вставку, удаление и изменение поля/сообщения, искажение правильного шифротекста и маскирование. Поэтому криптографические протоколы проектируются с целью сопротивления вторжениям, а также иногда - анализу трафика. Специальные меры противодействия анализу трафика, "конфиденциальность потока трафика" помогают закрыть наличие или отсутствие данных и их характеристик. Если шифротекст ретранслируется в ретрансляторах и шлюзах, то адрес должен находиться в открытом виде. Если данные шифруются только в каждом звене данных, а дешифруются (и таким образом уязвимы) в ретрансляторе и шлюзе, архитектура определяет использование "позвенного шифрования". Если в ретрансляторе или шлюзе в открытом виде находится только адрес (и аналогичные управляющие данные), архитектура определяет использование "межоконечного шифрования". Межоконечное шифрование является более желательным с точки зрения защиты, но архитектурно значительно более сложным, особенно, если обеспечивается внутриполосное распределение электронных ключей (функция административного управления ключом). Позвенное и межоконечное шифрования могут использоваться в совокупности для достижения нескольких целей защиты. Целостность данных часто обеспечивается путем подсчета криптографического контрольного значения. Контрольное значение может быть получено за один или несколько шагов и является математической функцией криптопеременных и данных. Эти контрольные значения связаны с данными, подлежащими защите. Криптографические контрольные значения иногда называются кодами обнаружения манипуляции.

Криптографические средства могут обеспечить или помочь обеспечить защиту от:

a) наблюдения потока сообщения и/или его модификации;

b) анализа трафика;

c) самоотказа;

d) маскирования;

e) неполномочного соединения;

f) модификации сообщений.

А.4.2 Аспекты административного управления ключами

Административное управление ключами обеспечивается путем использования криптографических алгоритмов. Оно охватывает генерацию, распределение и управление криптографическими ключами. Выбор метода административного управления клю