Алгоритмы и методы повышения степени доверия безопасности вычислительной среды на тонких клиентах Теплоухова Ольга Александровна

Содержание к диссертации

Введение

1 Глава. Анализ методов построение доверенной вычислительной среды применительно к системам терминального доступа 14

1.1 Определение концепции доверенной вычислительной среды 14

1.2 Анализ существующих методов обеспечения доверенной вычислительной среды 19

1.3 Системы терминального доступа 21

1.4 Терминальные ОС 27

1.5 Классификация типовых уязвимостей систем терминального доступа 31

1.6 Протоколы удаленной загрузки операционной системы на тонкие клиенты 34

1.7 Постановка задачи 36

1.8 Выводы к первой главе 37

2 Глава. Классификация угроз информационной безопасности данных, обрабатываемых на тонких клиентах 37

2.1 Построение модели нарушителя и классификация угроз 37

2.1.1 Состав работ по проведению анализа нарушителя и угроз ИБ 39

2.1.2 Модель нарушителя 40

2.1.3 Классификация угроз 42

2.1.4 Угрозы безопасности образа ОС, загружаемого на тонкий клиент 45

2.2 Формирование перечня требований, необходимых для выполнения при построении доверенной вычислительной среды 50

2.3 Выводы ко второй главе 58

3 Глава. Алгоритмы и методы формирования доверенной вычислительной среды на тонких клиентах 59

3.1 Доверенная загрузка операционной системы как основа построения доверенной вычислительной среды 59

3.2 Метод загрузки и проверки целостности образа ОС на тонкий клиент

3.2.1 Описание разрабатываемого модуля доверенной сетевой загрузки 61

3.2.2 Анализ существующих способов контроля целостности информации 64

3.2.3 Описание инфраструктуры открытого ключа 65

3.2.4 Реализация метода загрузки и проверки целостности образа ОС 68

3.2.5 Сравнение и анализ предлагаемого метода с существующими методами контроля целостности 71

3.3 Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке операционной системы на тонкий клиент 74

3.3.1 Алгоритм аутентификации с использованием одноразовых паролей 77

3.3.2 Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке операционной системы на тонкий клиент с использованием инфраструктуры открытых ключей 79

3.3.3 Сравнение и анализ предлагаемых алгоритмов с существующими алгоритмами аутентификации 86

3.4 Метод анализа эффективности системы защиты информации 92

3.4.1 1 Этап: Формализация процесса оценки эффективности системы защиты 93

3.4.2 2 Этап: Разработка классификации угроз безопасности информации, защищаемой с использованием данной системы защиты 95

3.4.3 3 Этап: Разработка математического аппарата для анализа стойкости средств защиты информации по отношению к выявленным угрозам 95

3.4.4 Сравнение и анализ предлагаемого метода с существующими методами оценки эффективности

3.5 Метод повышения степени доверия безопасности вычислительной среды на тонких клиентах, входящих в состав СТД 103

3.6 Выводы к третьей главе 108

4 Глава. Разработка прототипа аппаратно-программного модуля доверенной сетевой загрузки и апробация разработанных алгоритмов и методов на целевой системе терминального доступа 108

4.1 Разработка прототипа аппаратно-программного модуля доверенной сетевой загрузки 108

4.1.1 Описание аппаратных компонентов 108

4.1.2 Программная реализация разработанных алгоритмов и методов

4.2 Апробация метода создания доверенной вычислительной среды на тонких клиентах 114

4.3 Описание объекта исследования 114

4.4 Построение классификации угроз для ОИ 118

4.5 Построение системы защиты клиентской части СТД 129

4.5.1 Идентификация и аутентификация субъектов доступа и объектов доступа . 131

4.5.2 Целостность информационной системы и информации 132

4.5.3 Управление доступом субъектов доступа к объектам доступа. 133

4.5.4 Ограничение программной среды. 134

4.5.5 Защита машинных носителей информации (МНИ). 134

4.5.6 Регистрация событий безопасности. 134

4.5.7 Антивирусная защита (в т.ч. проактивная защита). 135

4.5.8 Обнаружение/предотвращение вторжений 135

4.5.9 Контроль защищённости информации.

4.5.10 Защита технических средств 136

4.5.11 Выявление инцидентов и реагирование на них

4.6 Сопоставление применяемых СЗИ актуальным угрозам 138

4.7 Оценка эффективности применяемой системы защиты информации 144

4.7.1 Построение параметрической модели системы защиты 144

4.8 Выводы к четвертой главе 160

Заключение 161

Список литературы 163

• Системы терминального доступа
• Состав работ по проведению анализа нарушителя и угроз ИБ
• Описание разрабатываемого модуля доверенной сетевой загрузки
• Идентификация и аутентификация субъектов доступа и объектов доступа

Введение к работе

Актуальность темы. Существующие в настоящее время сетевые
вычислительные платформы не в состоянии в полной мере выполнять
многочисленные требования в отношении безопасности обрабатываемых
данных, предъявляемые со стороны возможных участников информационного
взаимодействия: компаний-владельцев инфраструктуры, конечных

пользователей, контент-провайдеров и других. При этом значимость наличия в проектируемых автоматизированных системах (АС) так называемого ядра безопасности – набора программных (в том числе микропрограммных) и аппаратных компонентов, реализующих механизмы защиты, определяемые политикой безопасности – понимают многие компании-интеграторы.

При формировании аппаратно-программной вычислительной платформы в защищенном исполнении для современных систем вопрос формирования доверия стоит на первом месте. При этом немаловажная роль уделяется используемым подходам в обеспечении защищенности выполнения критичных вычислительных операций. Говоря о современных тенденциях, также необходимо учитывать смещение выбора аппаратной базы для построения АС в пользу терминальных решений. Кроме того, в последние годы задача проектирования все чаще осуществляется с учетом концепции облачных вычислений, постепенно проникающей в отечественную бизнес-структуру.

Все чаще при построении систем терминального доступа (СТД) в качестве автоматизированного рабочего места пользователя выбираются бездисковые терминалы – так называемые аппаратные тонкие клиенты (ТК), представляющие собой предельно упрощенный компьютер, в составе которого нет ни одной движущейся детали: вентиляторов, оптического привода, даже жесткого диска. Использование такой архитектуры позволяет обеспечить повышенный уровень информационной безопасности (ИБ), поскольку локально на рабочих местах пользователей никакие данные не хранятся. Но несмотря на разнообразие представленных в области защиты информации механизмов и средств для пользовательских рабочих станций, гарантия корректности их функционирования строится на доверии к операционной системе (ОС), загружаемой по сети на ТК. Уязвимости, присутствующие в полученном с сервера образе, позволяют злоумышленнику, изменив свойства системы защиты, реализовать несанкционированный доступ (НСД) к устройству и защищаемым данным.

Соответственно, одна из приоритетных задач, которая должна быть решена на данном этапе – это доверенная загрузка ОС, обеспечивающая контроль целостности загружаемого образа. Однако, среди представленных на рынке ИБ средств защиты информации (СЗИ) в условиях удаленной загрузки на бездисковый ТК данная задача не решена, что не позволяет обеспечить необходимую степень доверия к вычислительной среде (ВС) с целью гарантии корректного функционирования программных продуктов и СЗИ. Поэтому основной задачей является повышение степени доверия к ВС ТК путем

разработки ориентированных на соответствующую аппаратную платформу алгоритмов и методов построения ДВС.

Степень разработанности проблемы. Поскольку вместе с развитием СЗИ, функционирующих на различных вычислительных платформах, возник вопрос о гарантиях выполнения их свойств, тот же самый вопрос затронул и реализацию всех критичных вычислений с точки зрения защиты процесса. В связи с этим в зарубежной литературе в 80-е годы прошлого века было сформулировано понятие доверенной вычислительной среды (trusted computing base, ДВС), корректно реализующей выполняемые в ее рамках операции и гарантирующей свойства заданной модели безопасности. Позже данная концепция и развитие связанных с нею методов отразились в работах российских специалистов, наметив тенденцию к появлению решений по реализации описываемых механизмов.

В последовавших вслед за этим исследованиях в качестве одной из основных задач концепции ДВС рассматривалась реализация контроля целостности. В том числе было обозначено, что первым и обязательным этапом для этого является доверенная загрузка ОС. Изучению данного механизма отводилось достаточно большое место среди работ по информационной безопасности. Часть из них описывали формирование новых архитектурных решений (в том числе и мобильных), реализующих доверенную загрузку для определнного класса задач. В соответствии с существующими практическими потребностями параллельно происходило развитие механизмов для доверенной загрузки в Windows- и Linux-ориентированных платформах.

В свете возникающей тенденции широкого использования систем терминального доступа, в том числе при подключении к облачной инфраструктуре, было отмечено, что защита серверных компонентов системы бессмысленна без обеспечения ДВС на пользовательских рабочих станциях. Также были выявлены особенности данной задачи по сравнению с реализацией ДВС в привычных ранее корпоративных информационных средах. Данная область исследования освещалась и в работах зарубежных авторов.

В качестве альтернативы построению перманентной ДВС развивалась концепция доверенного сеанса связи удалнных пользователей с сервисами доверенной распределенной информационной системы. Тем не менее, доверенная загрузка ОС (во время такого сеанса) оставалась обязательным этапом. В рамках решения этой задачи разрабатывались способы контроля целостности и аутентичности образов ОС, загружаемых по сети на стационарный компьютер, изучались особенности доверенной загрузки на ТК с использованием в качестве источника загружаемого образа различных компонентов (аппаратного модуля доверенной загрузки, отчуждаемого usb-носителя, сервера).

В силу того, что предложенные методы формирования ДВС на бездисковых ТК либо недостаточно универсальны, поскольку подразумевают применение адаптированных аппаратных средств, либо недостаточно формализованы, исследуемая задача окончательно не решена. Кроме того, остается открытым вопрос эффективности применяемых для этого СЗИ.

Целью настоящего исследования является повышение степени доверия со стороны пользователей к безопасности вычислительной среды на бездисковых аппаратных тонких клиентах.

Задачи исследования:

1. Проведение анализа методов построения ДВС для объектов СТД.

2. Построение базовой модели нарушителя и классификации угроз информационной безопасности в СТД.

3. Формирование перечня требований, необходимых для выполнения при построении ДВС на ТК.

4. Разработка метода загрузки и проверки целостности ОС на ТК.

5. Разработка алгоритма аутентификации с использованием одноразовых паролей.

6. Разработка алгоритма аутентификации участников информационного взаимодействия при удаленной загрузке ОС на ТК.

7. Разработка метода анализа эффективности системы защиты информации.

8. Разработка метода повышения степени доверия безопасности ВС на ТК.

9. Апробация разработанных методов и алгоритмов.

Объектом исследования являются СТД, процессы загрузки ОС и дальнейшей обработки информации на аппаратных ТК в составе СТД.

Предметом исследования являются аппаратная платформа, протоколы загрузки и передачи информации, основное и дополнительное программное обеспечение аппаратных тонких клиентов.

Научная новизна исследования:

10. Разработаны новые подходы, методы и алгоритмы, способствующие повышению степени доверия безопасности терминальных систем на основе формирования ДВС на ТК, отличающиеся от существующих тем, что гарантия корректного выполнения необходимых требований ИБ к ВС обеспечивается реализацией доверенной сетевой загрузки ОС на бездисковый ТК.

11. Разработан метод доверенной сетевой загрузки ОС, отличающийся от известных методов применением инфраструктуры открытых ключей (ИОК), аппаратно-программного модуля на бездисковом ТК и в результате более высоким показателем защищенности от НСД к его компонентам.

12. Предложен алгоритм аутентификации, позволяющий реализовать взаимную аутентификацию пользователя, ТК и защищенного usb-носителя с применением одноразовых паролей, отличающийся от существующих алгоритмов повышенной защищенностью от компрометации данных за счет обновления контрольных значений при каждом сеансе доступа.

13. Предложен алгоритм, позволяющий реализовать взаимную аутентификацию всех компонентов, задействованных в процессе загрузки ОС (пользователя, сервера, ТК и защищенного usb-носителя, содержащего загрузчик ОС), на основе пар открытых и закрытых ключей и организовать защищенный обмен информацией на основе вырабатываемых вспомогательных ключей, в отличие от существующих алгоритмов использующий

криптографические примитивы в соответствии с государственными

стандартами (при отсутствии отечественного стандарта на асимметричную криптографию).

5. Разработан метод анализа эффективности построенной системы защиты информации, отличающийся от существующих методов детальной проработкой атак непосредственно на СЗИ, а также применением многопараметрических моделей нарушителя, атак и самих СЗИ, что позволяет достичь полноты, непересекаемости и четкости формируемых критериев оценки.

6. Разработан метод повышения степени доверия безопасности ВС на ТК, отличающийся от существующих возможностью оценить выполнимость требований к ВС на ТК и обеспечить постоянный контроль значения степени доверия на необходимом уровне.

Теоретическая значимость работы заключается в том, что проведенные исследования и полученные результаты развивают и дополняют теоретическую базу для построения систем терминального доступа в защищенном исполнении.

Практическая значимость работы состоит в создании прототипа аппаратного модуля доверенной сетевой загрузки ОС на ТК, реализующего в собственной микропрограмме разработанные в ходе исследования методы и алгоритмы. Преимуществом такого модуля является его универсальность и гибкость, поскольку не накладываются ограничения ни на используемое оборудование, ни на тип ОС. Данное решение может быть реализовано как в виде отдельного аппаратного модуля и применяться в качестве средств наложенной защиты, так и в качестве прошивки для сетевой карты. Во втором случае это позволит выпускать ТК (в совокупности с защищенным usb-носителем) сразу в защищенном исполнении. Предлагаемое решение может быть востребованным для применения в системах с повышенными требованиями к обеспечению информационной безопасности, например, при подключении к государственным информационным системам. Теоретические аспекты диссертационного исследования нашли свое применение в учебных процессах Университета ИТМО в материалах учебно-методической базы по курсу «Экспертные системы комплексной оценки безопасности объекта / Технологии и методы комплексной защиты объектов», в публикациях, а также в выступлениях на международных и отечественных конференциях, отчетах по полученным грантам. Результаты диссертационной работы внедрены в ООО «Акрибия. Проекты и сервис» и применены в рамках проектной деятельности организации по обеспечению безопасности информационных систем. Практическое использование результатов работы подтверждено соответствующими актами внедрения.

Методология исследования. Методы исследования базируются на использовании теории защиты информации, математических моделей информационной безопасности, методов математической логики и экспертного оценивания.

Положения, выносимые на защиту:

1. Метод загрузки и проверки целостности ОС на ТК.

2. Алгоритм аутентификации с использованием одноразовых паролей.

3. Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке ОС на тонкий клиент.

4. Метод анализа эффективности системы защиты информации.
Степень достоверности результатов подтверждается внутренней

непротиворечивостью логики исследования, корректным использованием современного научного аппарата и методов исследований, согласованностью вытекающих из них следствий с практически полученными результатами апробации разработанных методов и алгоритмов, публикацией основных результатов диссертации в ведущих рецензируемых журналах.

Апробация результатов:

1. Международная научно-практическая Интернет-конференция «Научные исследования и их практическое применение. Современное состояние и пути развития 2012», г. Одесса, 2012.

2. Научно-практическая конференция "Информационная безопасность и непрерывность бизнеса", г. Санкт-Петербург, 2012.

3. II, III, IV Всероссийские конгрессы молодых ученых, г. Санкт-Петербург, 2013-2015.

4. Научно-практическая конференция «Комплексная безопасность бизнеса в условиях экономической нестабильности», г. Санкт-Петербург, 2014.

5. Конгресс по интеллектуальным системам и информационным технологиям «IS&IT'14», «IS&IT'16», пос. Дивноморское, 2014, 2016.

6. XIV-ая Международная научно-техническая конференция «Интеллектуальные системы ‘14» (AIS’14), пос. Дивноморское, 2014.

7. Всероссийская молодежная научно-техническая конференция «Информационные системы и технологии - 2014», пос. Дивноморское, 2014.

8. Конференция в рамках конкурса «IT-прорыв» (Региональный этап), г. Санкт-Петербург, 2015.

9. Победитель конкурса грантов «Участник молодежного научно-инновационного конкурса (УМНИК)», г. Санкт-Петербург, 2014.

10. Конкурс грантов 2014, 2015, 2016 годов для студентов вузов,
расположенных на территории Санкт-Петербурга, аспирантов вузов,
отраслевых и академических институтов, 2014-2016.

Область исследования. Содержание диссертации соответствует

паспорту специальности 05.13.19 "Методы и системы защиты информации, информационная безопасность" по следующим областям исследования:

п. 10. Модели и методы оценки эффективности систем (комплексов) обеспечения информационной безопасности объектов защиты;

п. 11. Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа;

п. 12. Принципы и решения (технические, математические,

организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения ИБ.

Публикации. По теме диссертации опубликовано 13 печатных работ, из которых 5 опубликованы в журналах, входящих в утвержденный Высшей

Аттестационной комиссией «Перечень ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора и кандидата наук».

Личный вклад. Все научные результаты, приведенные в диссертационной работе и сформулированные в положениях, выносимых на защиту, получены автором лично. Во всех опубликованных работах автор принимал главное участие в постановке и решении задач, построении экспериментальной части исследования, обсуждении полученных результатов, их интерпретации и последующем написании статей.

Структура диссертации. Диссертация состоит из введения, четырех глав, заключения и списка литературы, состоящего из 137 наименований, включая труды автора. Материал изложен на 187 страницах машинописного текста, содержит 19 рисунков и 28 таблиц.

Системы терминального доступа

Концепция доверенной вычислительной среды (ДВС) [39] уже достаточно давно закрепилась в мировой практике информационной безопасности (ИБ). При этом выбор понятия "доверенная" объясняется тем, что такое свойство объекта как «безопасный» является, скорее, дискретным: объект либо соответствует некоторому набору требований и в результате определяется как «безопасный», либо нет, если не выполняется хотя бы одно из выдвигаемых требований. Осознавая, что невозможно создать абсолютно безопасный объект, специалисты решили ввести более гибкий термин, который позволил бы оценить, насколько объект соответствует предъявляемым требованиям [40]. Таким образом появилось свойство «доверенный», более адекватно демонстрирующее ситуацию, в которой оценка «безопасности» объекта определяется не мнением создателей, а по совокупности факторов, будь то результаты независимой экспертизы, исследований или значения формализуемых параметров объекта. Основное место в процессе проектирования современных защищенных

АС занимает вопрос обеспечения доверия аппаратно-программной платформе, особенно в части выполнения критичных вычислительных операций. Пользователи АС предпочитают быть уверенными в соответствии необходимым требованиям безопасности используемой IT-системы. Примечательно, что сама концепция ДВС определяется по-разному как в различных научных работах и статьях, так и в основополагающих международных/государственных стандартах в области защиты информации. Это может объясняться тем, что формирование концепции происходило в разных контекстах и с отличающимся целями. Например, в "Критериях оценки доверенных компьютерных систем" [3] (стандарт Министерства обороны США, значительно повлиявший в свое время на процесс стандартизации ИБ в мире) понятие ДВС определяется как базовое для оценки такого параметра, как степень доверия к АС. В качестве основных критериев при этом выбраны политика безопасности и уровень гарантированности. Под первым понимается «набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию». Строгость и многообразность такой политики обязана соответствовать степени доверия, оказываемой АС. Политика безопасности, согласно данному стандарту, – это активный аспект защиты, включающий оценку потенциальных угроз и создание способов их нейтрализации. Второй критерий, уровень гарантированности, определяется как «мера доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты)».

Другой международный стандарт «Гармонизированные критерии Европейских стран» [41] рассматривает вопрос гарантированности безопасности функционирования АС, исходя из «корректности и эффективности ее архитектуры и реализации механизмов безопасности». Главный акцент при этом ставится на обеспечение основных свойств безопасности данных (конфиденциальности, целостности и доступности) обрабатываемых данных за счет набора сервисов ИБ, которые смогут. Само понятие ДВС в данном стандарте не формулируется, но главным условием для признания надежности АС является степень уверенности (гарантированности) в эффективности и корректности функционирования механизмов ИБ. Таким образом, можно построить прямую связь с понятием уровня гарантированности, вводимым в "Критериях оценки доверенных компьютерных систем".

Из отечественных стандартов в качестве основополагающего необходимо рассмотреть Нормативные документы в области ЗИ от НСД Гостехкомиссии РФ [42,43,44,45,46]. В стандарте от 2003 года по разработке профилей защиты и заданий по безопасности [47] требования доверия к безопасности «определяют степень уверенности в правильности реализации функций безопасности объекта оценки». При этом важным этапом защиты АС является процесс оценки эффективности, комплексно рассматривающей применяемые аппаратные/программные СЗИ защиты и практическое исполнение механизмов ИБ. При этом обязательным этапом является анализ СЗИ от НСД в части гарантии корректного функционирования систем защиты (в том числе, контроля доступа), что также можно рассматривать как отсылку к концепциям, применяемым в упомянутых международных стандартах.

Таким образом, наблюдается схожее восприятие понятия «степень доверия к АС», которое можно определить, как характеристику, определяющую весомость априорных, дополнительных и косвенных доказательств способности владельца системы гарантировать выполнение заданной (регламентациями высшего уровня) целевой функции в течение всего времени функционирования АС. В термине «гарантированность» при этом необходимо рассматривать два аспекта (согласно «Критериям оценки доверенных компьютерных систем» [3]): операционную и технологическую.

При разработке и внедрении механизмов ИБ акцент ставится на операционной гарантированности, позволяющей быть уверенными, что АС действительно соответствует принятой политике безопасности и на уровне архитектуры, и в части исполнения конкретных требований. Операционная гарантированность подразумевает контроль непосредственно архитектуры системы, ее целостности, тайных каналов передачи информации, процессов доверенного восстановления после сбоев и доверенного администрирования. При этом целью технологической гарантированности является исключить НСД и утечку защищаемых данных для всего времени функционирования АС. Концепция ДВС как основа создания и функционирования доверенной АС в дальнейшем будет использоваться и для оценки степени доверия к системе. ДВС должна включать все составные компоненты и механизмы защищенной АС, которые отвечают за реализацию политики безопасности. Все остальные компоненты системы будут основываться на том факте, что ДВС корректно исполнит свои функции, даже если высококвалифицированные злоумышленники вмешаются в функционирование остальных модулей и подсистем АС и нарушат поддерживаемую политику ИБ. При этом компонентам вне ВС не обязательно быть доверенными, но безопасность всей АС в целом не должна зависеть от этого. То есть чтобы оценить степень доверия безопасности АС, необходимо определить, насколько можно доверять её вычислительной среде.

Состав работ по проведению анализа нарушителя и угроз ИБ

Исходя из мировых практик проектирования защитных систем, процесс формирования требований для реализации построения ДВС на тонких клиентах должен включать следующие этапы [32]: 1) принятие решения о необходимости обеспечения ИБ; 2) построение модели нарушителя и классификации угроз ИБ; 3) определение требований ИБ для обеспечения ДВС на основе построенных моделей. Таким образом, по результатам второго этапа необходимо сформулировать перечень требований к ДВС, выполнение которых обеспечивает защиту от наибольшего количества актуальных угроз безопасности данных на тонких клиентах и повышает степень доверия безопасности вычислительной среды. При этом необходимо отталкиваться от функционала, который должна выполнять ДВС. К такому функционалу относятся следующие пункты: 1. Обеспечение повышенного уровня защиты особо критичной, в том числе, ключевой информации (включая защиту от копирования); 2. Разграничение прав доступа к загрузке ОС; 3. Разграничение прав доступа к обрабатываемым данным; 4. Контроль аутентичности данных, поступающих на тонкий клиент; 5. Обеспечение целостности кода ОС и применяемого ПО (в том числе СЗИ); 6. Обеспечение замкнутой программной среды; 7. Наличие интерфейса взаимодействия с недоверенной средой.

В качестве исходного списка требований целесообразно использовать требования Руководящего документа Гостехкомиссии в части построения АС [43], поскольку данные требования широко используются на протяжении многих лет при разработке средств защиты, на соответствие им проводятся аттестация АС и сертификация СЗИ. Следует отметить, что были выбраны требования к автоматизированным системам поскольку для определения степени доверия к вычислительной среде необходимо рассматривать свойства, присущие автоматизированной системе (Таблица 4). Например, для полноты моделей необходимо рассматривать пользователя. Для определения необходимого к реализации списка требований определим соответствующие веса, оставив при этом только те требования, которые влияют на формирование доверия к вычислительной среде. Считаем, что чем более широко применяется требование, тем его вес выше. Затем нормируем полученные значения. Таблица 4 – Требования, необходимые предъявляемые к АС, для обеспечения доверия к ВС

Очевидно, что для обеспечения перечисленного функционала на тонких клиентах необходимо наличие комплекса механизмов ИБ, позволяющих реализовать каждое требование, что в итоге обеспечит построение ДВС.

Для защищенной обработки особо критичной информации уже достаточно давно применяются отдельные специализированные устройства, самостоятельно реализующие криптографические алгоритмы – токены и смарт-карты. При этом разграничение доступа к зашифрованным контейнерам, хранящимся в памяти таких носителей, осуществляется, как правило, с помощью PIN-кода. Защита от модификации реализуемых такими устройствами алгоритмов обеспечивается на аппаратном уровне производителями и подтверждается соответствующей сертификацией.

Для обеспечения разграничения прав доступа к обрабатываемым данным, реализации механизма замкнутой программной среды, обеспечения целостности ПО и безопасного взаимодействия с недоверенной средой на рынке средств защиты в настоящее время достаточно полно представлены классы средств, как отечественных, так и зарубежных, в том числе, имеющих сертификаты регуляторов ИБ. К таким средствам относятся и средства защиты от несанкционированного доступа (Secret Net, Dallas Lock), и антивирусы, и хостовые системы обнаружения вторжений (HIPS). Все перечисленное является программными средствами и функционирует поверх ОС независимо от наличия жесткого диска в аппаратной конфигурации рабочей станции.

Описание разрабатываемого модуля доверенной сетевой загрузки

Согласно построенной ранее классификации угроз, одной из самых распространенных проблем систем терминального доступа [101] является непроработанный механизм аутентификации, в том числе слабая парольная политика и недостаточная защита от подбора учетных данных (bruteforce). Часто встречающийся недостаток механизма идентификации пользователей — предсказуемый формат идентификаторов или раскрытие информации о существующих в системе идентификаторах. Например, использование в качестве имени пользователя различных комбинаций фамилии и имени пользователя является распространенной и вполне оправданной практикой как с точки зрения удобства администрирования систем, так и простоты запоминания для самих пользователей. Кроме того, это вполне соответствует принципу Керкгоффса - в подобном механизме в секрете должен держаться только пароль, все остальное подразумевается известным злоумышленнику. И, тем не менее, такое использование идентификаторов в сочетании с различными находящимися в широком доступе средствами автоматизации значительно повышает вероятность успеха атак на учетные записи пользователей (например, словарная атака) и в качестве результата – предоставление доступа в систему. Такое заключение дает повод задуматься о механизме формирования идентификаторов, которые бы не осложняли жизнь пользователей и администраторов, но соответствовали требованиям безопасности.

Для защищенной обработки особо критичной информации уже достаточно давно применяются токены и смарт-карты – специализированные устройства, самостоятельно реализующие криптографические алгоритмы. Факт обладания таким устройством уже является одним из факторов, подтверждающих подлинность пользователя. В этом случае вместо предсказуемого имени пользователя используется идентификатор токена. При этом разграничение доступа к зашифрованным контейнерам, хранящимся в памяти таких носителей, осуществляется, как правило, с помощью PIN-кода, что является вторым фактором аутентификации. Защита от модификации реализуемых такими устройствами алгоритмов обеспечивается на аппаратном уровне производителями и подтверждается соответствующей сертификацией.

Для реализации контроля аутентичности данных, поступающих на тонкий клиент, необходимо ограничить круг источников (например, доверенным сервером). Целостность загружаемого образа ОС и разграничение доступа к процессу загрузки должны быть реализованы в механизме доверенной сетевой загрузки, включающем реализацию защищенного протокола загрузки.

Таким образом, разрабатываемый алгоритм взаимной аутентификации должен позволять реализовать следующие требования: 1) токен должен аутентифицировать тонкого клиента, т.е. тонкий клиент должен доказать токену, что входит в состав системы; 2) тонкий клиент должен аутентифицировать токен, т.е. токен должен доказать тонкому клиенту, что является легитимным носителем и был выпущен администратором системы; 3) тонкий клиент должен аутентифицировать пользователя, т.е. пользователь должен доказать системе, что предъявленный токен принадлежит ему и он является легитимным пользователем системы. Поставленная задача осложняется тем фактом, что на практике, как правило, необходимо предусматривать работу многопользовательской системы терминального доступа (СТД) с терминальным сервером, хранящим ОС, и парком аппаратных тонких клиентов (ТК) [27]. При этом на одном и том же ТК могут работать разные пользователи и, соответственно, иметь возможность после успешной аутентификации загружать персонифицированный образ ОС с назначенными именно им правами доступа.

Отдельно стоит заметить, что одним из основных предполагаемых целевых использований разрабатываемого модуля являются государственные информационные системы [112]. Это обусловлено наличием требований по обеспечению доверенной загрузки операционной системы в нормативной документации в таких системах [43,113]. В силу этого, дополнительным требованием к реализации механизма аутентификации является соответствие используемых криптографических алгоритмов российским стандартам (ГОСТ).

Исходя из результатов анализа угроз, рассматриваемых в отношении компонентов, участвующих в процессе загрузки ОС [101], первым этапом разрабатываемого алгоритма должна быть аутентификация СТД в лице ТК на токене. Этот шаг выполняется в первую очередь, т.к. необходимо обеспечить защиту хранящейся на токене информации (загрузчика ОС) от несанкционированного доступа (НСД) со стороны потенциальных нарушителей, если предположить, что ТК подключен в нелегитимную систему. Только после этого пользователь, предварительно доказав владение токеном, может предоставить СТД возможность проверить легитимность загрузчика.

Идентификация и аутентификация субъектов доступа и объектов доступа

В состав пользователей СТД медицинского центра входят: - медицинский персонал, включающий заведующих отделениями и врачей, осуществляющих прием пациентов; - сотрудники клинико-диагностической лаборатории, заносящие результаты анализов и исследований в медицинские карты пациентов; - административный персонал, включая сотрудников подразделений маркетинга и рекламы, программ ДМС и др.; - сотрудники подразделения информационных технологий и безопасности. Наряду с должностями системных администраторов в рассматриваемом медицинском центре выделен отдельный сотрудник, занимающий должность администратора информационной безопасности (администратор ИБ).

Информация, обрабатываемая в рамках основной деятельности медцентра, включает: - персональные данные пациентов (в том числе, данные, составляющие медицинскую тайну); - персональные данные сотрудников и кандидатов на трудоустройство; - информацию по собственным разрабатываемым препаратам; - иную информацию, относящуюся к коммерческой тайне. Все перечисленные категории данных относятся к конфиденциальной информации. Помимо желания руководства медцентра обеспечить необходимые меры защиты обрабатываемой конфиденциальной информации, некоторые категории данных попадают также под защиту законодательства о персональных данных [129,130,131,134], об основах охраны здоровья [135], трудового законодательства[136] и иных нормативных актов [137], предъявляющих требования по мерам, обязательным к применению для защиты обрабатываемой информации. Таким образом, в случае, если для защиты данных будут применяться средства криптографической защиты информации, они должны соответствовать требованиям Приказа ФСБ РФ №378 [131].

Исследуемая СТД состоит из рабочих мест пользователей (аппаратных бездисковых тонких клиентов), расположенных в территориально распределенных клиниках, которые имеют доступ к сети Интернет. Тонкие клиенты используются для удаленного подключения к ЦОД, в котором расположено серверное оборудование: сервера приложений, сервера БД, почтовый сервер, терминальный сервер. ЦОД территориально размещен в отдельном запираемом серверном помещении на территории контролируемой зоны (КЗ). Функционал тонких клиентов позволяет пользователю ввести учетные данные, подключиться к терминальному серверу в ЦОД в целях загрузки ОС, осуществлять необходимые подключения к остальным серверам в соответствии с должностными обязанностями и назначенными полномочиями. Непосредственно в клиниках защищаемые данные не хранятся и могут обрабатываться только при подключении тонких клиентов к серверам в ЦОД. Схема подключения к ЦОД изображена ниже (Рисунок 18): Медицинский Центр Рисунок 18 – Схема взаимодейтсвия компонентов МИС К основным предпосылкам, приводящим к возможности реализации анализируемых угроз, относятся: - на рабочих местах пользователей присутствует подключение к сети Интернет; - осуществляется передача защищаемой информации по открытым каналам связи; - осуществляется передача паролей по открытым каналам; - отсутствуют средства защиты информации; - защищаемая информация отображается на экранах пользователей СТД; - отсутствуют инструкции пользователей по работе с защищаемой информацией, программным и аппаратным обеспечением; - отсутствуют инструкции пользователей по работе с оборудованием; - отсутствуют инструкции пользователей по работе с учетной информацией; - отсутствует обучение пользователей основам ИБ. На объекте реализованы следующие защитные меры: - в здании реализован пропускной режим, присутствует охрана; - доступ в помещения ограничен, двери запираются на ключ; - в кабинетах используются жалюзи на окнах, мониторы расположены таким образом, чтобы исключить несанкционированный просмотр выводимой информации; - для аутентификации пользователей используется встроенные механизмы ОС (логин/пароль); - доступ к сетевому оборудованию и внутренним каналам связи ограничен (каналы связи убраны в короба, сетевое оборудование находится в запираемом серверном шкафу); - в медицинском центре реализуются программы повышения лояльности персонала. В состав анализируемых активов медицинского центра входят: - серверное оборудование (терминальные серверы, серверы приложений и баз данных); - аппаратные тонкие клиенты; - сетевое оборудование; - средства защиты информации; - внешние каналы связи; - внутренние каналы связи; - конфиденциальная информация; - персонал.

В процессе построении модели нарушителя и классификации угроз для Медицинского центра использовались базовые модели и классификации, разработанные в рамках настоящего диссертационного исследования (Раздел 2.1). В силу того, что обрабатываемая на объекте исследования информация не является актуальной и значимой для сотрудников спецслужб иностранных государств, будем считать нарушителя Н3 не актуальным для рассматриваемой системы.

Поскольку разрабатываемые в рамках настоящего исследования методы создания ДВС направлены на защиту именно рабочих мест пользователей, и в качестве начальных условий предполагалось, что защита серверных компонентов СТД и внешних каналов связи за рамками исследования, в предлагаемой классификации угроз не рассматриваются угрозы, направленные на нарушение конфиденциальности, целостности, доступности данных активов. Используемые дополнительные обозначения и сокращения: - МПО – микропрограммное обеспечение; - BIOS - Basic Input / Output System; - UEFI - Unified Extensible Firmware Interface; - НИ – носитель информации; - ФС – файловая система; - СУ – сетевой узел. В случае, когда в качестве объекта угрозы указаны составные аппаратные или программные компоненты (МПО, ПО, реестр, ФС и др.), данные объекты рассматриваются в отношении следующих активов: тонкие клиенты, сетевое оборудование, СЗИ. Построенная в результате 119 проведенного обследования и анализа классификация угроз (с учетом базовой модели угроз ФСТЭК [91]) представлена далее (Таблица 12):