О журнале
Рекомендации
Тенденции развития систем контроля доступа к информационным ресурсам
Курило А.П., Ухлинов Л.М.
_______________________________
Курило А.П., Ухлинов Л.М.
Проведен анализ назначения и функций контроля доступа к ресурсам информационных систем. Показано, что существующие системы контроля доступа имеют ряд общих свойств, позволяющих говорить об их унифицированности. Сформулированы основные направления развития средств и систем контроля доступа, обеспечивающие возможность управления безопасностью информации в территориально рассредоточенных автоматизированных системах ее обработки.
В современных системах обеспечения безопасности информации особое место занимают средства контроля доступа. Традиционно контроль доступа к информационно-вычислительным ресурсам предполагает определение и ограничение доступа пользователей программ или процессов к устройствам, программам и данным вычислительной системы. Однако с развитием информационных технологий, переходом к использованию для доступа к информационным базам систем телекоммуникаций с широким спектром услуг несколько расширяется и область применения средств контроля доступа.
Контроль доступа обычно обеспечивает три формы защиты: контроль доступа в помещения, предотвращающий попытки физического несанкционированного доступа (НСД) к средствам вычислительной техники; системный контроль доступа, предотвращающий НСД к вычислительным ресурсам системы обработки данных и контроль доступа к данным, предотвращающий НСД к обрабатываемой информации. При этом используются следующие механизмы контроля доступа [1]:
- авторизация ресурсов;
- идентификация пользователей;
- аутентификация (подтверждение подлинности) пользователя; управление регистрацией пользователей и ресурсов системы; контроль использования ресурсов; управление парольной информацией;
- протоколирование и аудит выполняемых операций с ресурсами;
- контроль целостности программного обеспечения и данных.
Авторизация информационно-вычислительных ресурсов является основой реализации механизмов контроля доступа. Процесс авторизации представляет собой классификацию информационных ресурсов на основе принятых в системе принципов контроля доступа и формальной модели безопасности. Различаются три базовых принципа контроля доступа (рисунок): дискреционный контроль доступа; мандатный контроль доступа; многоуровневый контроль доступа. Авторизация в большей степени является административным процессом. Независимо от того, как классифицируются или не классифицируются информационно-вычислительные ресурсы, необходимо иметь некоторый критерий для принятия решений по авторизации. Это может быть интуиция администратора или результат формальной оценки степени риска. В задачи администратора входит выдача разрешения (санкции) на владение информацией и разработка математических правил санкционирования. Основными параметрами при этом являются идентификаторы субъектов (операторов, прикладных процессов и программ) и объектов доступа (сетевых устройств, файлов, каталогов, таблиц, полей и записей баз данных и т.д.), права доступа, а также предикаты (условия), ограничивающие возможность использования субъектом прав доступа по отношению к некоторому объекту. Спецификация этих четырех компонентов управления доступом предполагает логическое разбиение информационно-вычислительных ресурсов и выделение минимальной единицы спецификации, называемой атомом защиты [2]. Один атом защиты содержит все ресурсы системы, на которые определенный субъект имеет одинаковые права доступа при заданной категории секретности. При этом права доступа в зависимости от принятой модели безопасности могут иметь разнообразные модификации, а также содержать другие управляющие параметры (например, криптографические ключи и пароли, структуры доступа и т.д.).
Идентификация и аутентификация пользователя выполняются в начале сеанса на специализированной рабочей станции. Однако процедуры идентификации и подтверждения подлинности (аутентификации) могут быть активизированы вновь в процессе установления различных сетевых соединений и до получения доступа к сетевым ресурсам с целью дополнительного контроля доступа.
В процессе идентификации система контроля доступа запрашивает имя пользователя и идентификатор. Если указанная пара идентифицирующих элементов отсутствует в списках контроля доступа, то выполнение каких-либо операций в системе не разрешается. При этом идентифицирующая информация используется для протоколирования каждого конкретного подключения к системе. В результате идентификации определяется источник запроса на доступ. На следующем этапе СКД устанавливает подлинность субъекта. Для этого предназначен механизм аутентификации.
Обычно для аутентификации используется пароль, который представляет собой секретный, уникальный код, известный только определенному пользователю. Предоставление доступа обычно не выполняется до тех пор, пока не будет введен пароль, соответствующий идентификатору и типу запроса. В отличие от идентификаторов пароли должны быть секретными и изменяемыми.
Кроме проверки пароля возможны другие способы аутентификации пользователя, в том числе:
- применение элементов аппаратного обеспечения, находящихся в распоряжении пользователя: электронных ключей, магнитных карточек, интеллектуальных карточек, микросхем;
- проверка характерных персональных особенностей пользователя (биометрический способ подтверждения подлинности): отпечатков пальцев, рисунков сетчатки глаза, размеров фигуры, тембра голоса и других более сложных медицинских и биохимических свойств;
- проверка характерных приемов и черт поведения пользователя в режиме реального времени: особенностей динамики, стиля работы на клавиатуре, скорости чтения, умения использовать манипуляторы и т.д. Почерк пользователя также может быть параметризован с помощью таких величин, как средняя скорость, максимальное ускорение, нажим;
- проверка характеризующих пользователя привычек, например, использования специфических компьютерных заготовок и т.д.;
- проверка навыков и знаний пользователя, обусловленных образованием, культурой, обучением, воспитанием, семьей и т.д.
Конкретная реализация различных способов подтверждения полномочий достаточно подробно изложена в ряде работ [1, 3, 4].
Следующим механизмом контроля доступа является механизм регистрации. При регистрации определяются условия, соблюдение которых обязательно для получения доступа. В большинстве случаев доступ будет предоставлен только тогда, когда и идентификатор, и пароль санкционированы. В более сложных системах контроля предоставление или отказ доступа основывается на анализе типа компьютерного подключения (например, локальный или удаленный терминал, сеть, групповой процесс или подпроцесс). Такие системы могут управлять доступом, основываясь на типе терминала или удаленного компьютера. Доступ может быть предоставлен только в том случае, если пользователь или программа локализованы с определенным сетевым адресом, а их подключение разрешено в определенное время дня и в конкретный день недели. В еще более сложных системах при неуспешной попытке регистрации посылается сообщение администратору безопасности и блокируется место попытки до тех пор, пока администратор не отменит блокировку.
После успешной идентификации пользователя и установления его подлинности выполняется контроль использования информационно-вычислительных ресурсов. В большинстве случаев система контроля отслеживает все этапы взаимодействия между пользователем и защищаемыми ресурсами. При этом выполняются следующие функции:
- анализируются прерывания операционной системы, возникающие при запросе доступа к ресурсам;
- определяется принадлежность запрашиваемого ресурса к защищаемым объектам сети;
- из служебной базы данных получаются права доступа к запрашиваемому ресурсу и определяется их соответствие запросу;
- статус запроса передается операционной системе, которая затем реализует или отвергает его.
Методы управления парольной информацией предназначены для обеспечения безопасности и своевременного обновления используемых в системе паролей. Основное внимание при этом уделяется генерированию новых значений пароЛей и уничтожению тех, время использования которых истекло, формированию ловушек для обнаружения несанкционированного -использования чужих паролей, обеспечению одностороннего шифрования и сохранения паролей в защищенном системном файле.
Протоколирование и аудит выполняемых с ресурсами операций предназначены для ведения специальных системных журналов. Анализ этих журналов позволяет администратору безопасности:
- идентифицировать нарушения доступа и пользователя, осуществившего попытку НСД;
- выполнять трассировку операций определенного пользователя;
- управлять средствами контроля доступа при изменении условий или характеристик их функционирования.
В более сложных системах контроля доступа возможен выбор специфических событий для протоколирования, что позволяет минимизировать затраты на аудит. Кроме этого, при наступлении данных событий могут немедленно формироваться сообщения администратору безопасности. Наиболее часто в качестве таких событий для аудита выбираются следующие:
- попытки выборочного использования файлов и устройств;
- попытки регистрации, выхода и прерывания работы;
- фиксация операций конкретных пользователей;
- регистрация попыток модификации паролей;
- изменение меток дисков и томов;
- выполнение транзакций определенных типов;
- модификация профилей защиты.
Таким образом, современные СКД к ресурсам ИБС реализуют множество функций, совокупность которых образует механизмы контроля доступа.
К настоящему времени у нас в стране и за рубежом разработан широкий спектр различных систем контроля доступа. При этом список фирм, специализирующихся на их создании, насчитывает более 30 для стран Европы, более 20 — для США и около десятка отечественных. Описание основных изделий, ориенти-рованных на применение в распределенных информационно-вычислительных системах, приведено в [3]. На основании анализа их характеристик и свойств можно сделать следующие выводы:
- контроль доступа в основном осуществляется при выполнении сетевых операций, к которым относятся логическое подключение к системе, установление соединения, терминация соединения, организация обмена данными;
- для идентификации и аутентификации пользователя применяются идентификаторы, пароли, метки прав доступа, биометрические приборы идентификации, индивидуальные генераторы паролей, встроенные автоматические приборы аутентификации, устройства считывания информации с магнитных или интеллектуальных карточек, программные средства ведения диалога с абонентом для получения характеристик аутентификации;
- практически во всех системах контроля доступа реализовано многоуровневое разграничение полномочий пользователей. При этом в большинстве систем количество уровней (категорий) доступа либо устанавливается при введении системы в эксплуатацию, либо является достаточно большим (неограниченным);
- подсистемы криптографического закрытия информации реализованы не во всех системах. В случае реализации в основном используется алгоритм DES или собственной разработки, о характеристиках которого не сообщается. Для криптографического закрытия данных применяется как специальное программное обеспечение, так и аппаратура шифрования данных.
В отдельное направление развития систем контроля доступа следует выделить интеллектуальные средства управления безопасностью информации [5], применение которых обусловлено необходимостью учета следующих факторов:
- администратор безопасности не в состоянии обеспечить требуемую оперативность реакции на попытки НСД при большой сложности структуры и территориальной распределенности систем обработки информации;
- с изменением условий функционирования информационных систем и с развитием методов и средств осуществления НСД могут появляться ситуации, для которых не предусмотрены алгоритмы реагирования.
В настоящее время существует несколько прототипов специализированных экспертных систем, используемых для управления безопасностью информации. К ним относятся системы IDES, NIDX [6] и "Символ" [7, 8]. Прототипы экспертных систем IDES и NIDX базируются на модели обнаружения вторжений, основанной на предположении, что при попытке взломать систему контроля доступа нарушитель проявит какие-либо элементы аномального поведения. Такое аномальное поведение может быть выявлено путем анализа контрольного журнала в реальном масштабе времени, что позволяет выдать соответствующий сигнал тревоги и рекомендации по дальнейшим действиям администратору безопасности.
Однако эффективное применение данных систем требует большого объема статистических данных о поведении санкционированных пользователей.
Многофункциональные программные среды "Символ-ЕС" и "Символ-ПК" разработаны для широкого круга применения, одним из которых может быть управление безопасностью информации. В их основе лежит потоковая символьно-продукционная система, обеспечивающая естественное и компактное описание логики символьных (битовых) сообщений, поступающих в реальном масштабе времени от различных источников. Основная проблема при реализации этого подхода заключается в -представлении неявных знаний, дифференциации нормативных положений по контролю доступа и опыта их практической реализации в условиях слабой формализации и отсутствия соответствующих прикладных методик.
Более перспективным решением в этих условиях является применение специализированных систем поддержки принятия решений (СППР) [5, 9], идея которых основывается на концепции сложности и неоднозначности процессов выработки решений в реальной вычислительной среде. Специально разработанные СППР для управления безопасностью позволяют максимально автоматизировать и ускорить процесс выработки управляющих воздействий при обнаружении попыток НСД к информационно-вычислительным ресурсам.
Таким образом, в заключение можно сделать вывод о достаточно высокой степени унификации систем контроля доступа, базирующихся на четком определении решаемых ими задач и механизмов реализации защитных функций. При этом перспективным направлением развития систем контроля доступа является повышение их интеллектуальности, обеспечивающей переход от реализации частных функций защиты информации в отдельных элементах автоматизированных систем ее обработки к управлению безопасностью информации в территориально рассредоточенных системах сложной структуры.
Литература
1. DataPro Reports on Information Security. - Vol. 3, April 1992.
2. Хоффман Л. Дж. Современные методы защиты информации. М.: Советское радио, 1980. — 256 с.
3. DataPro Reports on Information Security. — Vol. 3, March 1993.
4. Мафтик С- Механизмы защиты в сетях ЭВМ: Пер. с англ. - М.: Мир, 1993. - 216 с.
5. Ухлинов Л.М. Управление безопасностью информации в автоматизированных системах. - М.: МИФИ, 1996. - 112 с.
6. Denning D.E. An intrusion-detection model // IEEE Transactions on Software Engineering, 1987. V- 13. № 2. P. 222-232.
7. Барсуков В.С, Дворяикин С.В., Шеремет И.А. Безопасность связи в каналах телекоммуникаций // Технологии электронных коммуникаций, 1992. Т. 20..
8. Шеремет И.А. Интеллектуальные программные среды для АСОИ. - М.: Физматлит., 1994. - 544 с.
9. Скиба В.Ю., Ухлинов А.М. Базовые модели СППР по управлению безопасностью (сохранностью) информации // Известия Академии Наук. Теория и системы управления. 1995. № 1. С. 139-148.
Статья поступила в редакцию в мае 1996 г. Совет безопасности Российской Федерации
© Информационное общество, 1996, вып. 1, с. 67-72.