Доклад на тему «О некоторых аспектах совершенствования системы сертификации средств защиты информации от нсд»
Вид материала | Доклад |
СодержаниеСостав сертифицируемых объектов оценки. Предложения по совершенствованию системы сертификации. |
- Перспективы развития аппаратных средств защиты от несанкционированного доступа к информации, 335.99kb.
- В. В. Пивоваров московский инженерно-физический институт (технический университет), 28.76kb.
- Аспекты информационной безопасности, 57.21kb.
- Ксз комплекс средств защиты нсд несанкционированный доступ прд правила разграничения, 279.41kb.
- Комплекс средств защиты нсд, 275.7kb.
- Положение об аккредитации испытательных лабораторий и органов по сертификации средств, 416.45kb.
- Рекомендации по моделированию системы инженерно-технической защиты информации Алгоритм, 215.16kb.
- Учебное пособие санкт-Петербург 2008 удк 621. 865. 8 Гатчин Ю. А., Симоненко, 1485.16kb.
- Руководящий документ гостехкомиссии россии автоматизированные системы защиты от несанкционированного, 531.4kb.
- Принципы защиты информации, 434.66kb.
ДОКЛАД
на тему «О некоторых аспектах совершенствования системы сертификации средств защиты информации от НСД».
г. Обнинск. 4 июня 2001 г.
Фетищев Е.А. – генеральный директор
Кировского регионального центра
деловой информации
Совершенствование системы сертификации средств защиты информации от НСД является сегодня одной из наиболее острых и актуальных задач Гостехкомиссии России.
В этой связи хотелось бы обратить ваше внимание на следующих недостатках, имеющих отношение к системе сертификации средств защиты информации от НСД:
1. На основании проведенных в период 1999 – 2000 г.г. исследований сертифицированных Гостехкомиссией России программно – аппаратных средств защиты СВТ от несанкционированного доступа к информации и СЗИ АС от НСД нашим предприятием были сделаны следующие выводы.
Во – первых, ни одно из рассмотренных нами сертифицированных Гостехкомиссией России программно – аппаратных средств защиты СВТ от несанкционированного доступа к информации, отнесенное к 4 классу защищенности и выше, не решает в полном объеме вопрос обеспечения защиты СВТ в части выполнения таких показателей защищенности, как изоляция модулей, очистка памяти, дискреционный принцип контроля доступа (в части «явных» и «скрытых» действий пользователей), сопоставление пользователя с устройством.
Почему это произошло, и что является главной причиной отсутствия реальных механизмов защиты в части указанных выше показателей в этих программно – аппаратных комплексах?
Для получения ответа на эти вопросы необходимо обратиться к истории проблемы защиты информации от НСД.
Как вы знаете, за основу указанного РД была взята так называемая «оранжевая книга» – стандарт США. Указанный стандарт был ориентирован на применении в защищенных СВТ защищенных операционных систем. При этом под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Эта же формулировка применяется и в указанном РД.
Другими словами СВТ – это совокупность ОС, других общесистемных программ и аппаратной платформы.
Если провести анализ построения таких ОС как Windows NT, Unix, которые считаются защищенными, то можно определить, что обеспечение функций защиты от несанкционированных действий производится «ядром безопасности ОС», имеющим самый высокий уровень привилегий среди остальных программных компонентов ОС и другого общесистемного ПО, и взаимодействующим с подсистемой защиты процессора (CPU) ПЭВМ. Уровень привилегий всех программ ПЭВМ и подсистем ОС при этом обеспечивается архитектурой процессора.
Поэтому к проверке механизмов взаимодействия «ядра безопасности ОС» с подсистемой защиты процессора и были предъявлены те требования, которые в РД Гостехкомиссии России мы рассматриваем как показатели защищенности, а именно: изоляция модулей и т.п.
У появившихся ОС, имеющих распределенные функции, таких как, например, Windows 9x, так называемое «ядро безопасности» отсутствует, хотя просто «ядро ОС» безусловно сохранено, так как это требуется для обеспечения взаимодействия между ОС и процессором (CPU) ПЭВМ. При этом взаимодействие ядра ОС с подсистемой защиты процессора происходит только частично, для поддержания многозадачного режима работы ПЭВМ и повышения надежности работы ОС, а многие режимы в подсистеме защиты процессора остались невостребованными.
Когда же начали создаваться отечественные программно – аппаратные комплексы защиты СВТ от НСД к информации, то программную часть СЗ разработчики выполнили на уровне драйвера защиты (программы, обеспечивающей взаимодействие с ОС), имеющего одинаковый уровень привилегий с другими драйверами ОС на уровне процессов в CPU ПЭВМ, без организации взаимодействия с подсистемой защиты процессора.
С целью исключения возможных негативных воздействий со стороны программной среды ПЭВМ некоторыми разработчиками средств защиты информации от НСД были введены следующие дополнительные требования:
- на ПЭВМ с проверенным BIOS установлена проверенная операционная среда;
- достоверно установлена неизменность DOS и BIOS для данного сеанса работы;
- кроме проверенных программ в данной программно – аппаратной среде не запускалось и не запускается никаких иных программ; проверенные программы перед запуском контролируются на целостность;
- исключен запуск проверенных программ в какой – либо иной ситуации, т.е. вне проверенной среды;
- предыдущие условия выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом.
Действительно, такой концептуальный подход теоретически решает проблему защиты информации от НСД, но только при обязательном выполнении вышеперечисленных требований, и в первую очередь при наличии проверенной (доверенной) операционной среды (ОС) с ядром безопастности;
Вполне естественно, что при таком реализованном концептуальном подходе ни о какой изоляции модулей и т.п. требованиях речи быть и не могло.
Однако при разработке и дальнейшей сертификации конкретных программно – аппаратных комплексов защиты информации от НСД, предназначенных для работы с недоверенными (непроверенными) ОС эти дополнительные требования были успешно забыты. А все СЗИ от НСД, имеющие сертификаты Гостехкомиссии России, разработаны и сертифицированы для использования в составе недоверенных (т.е. непроверенных на наличие недекларированных возможностей, наличие отладчиков и программных закладок) ОС.
В результате этого было нарушено требование РД Гостехкомиссии России о том, что «диспетчер доступа» должен быть реализован в СВТ (как в совокупности программных и аппаратных средств обработки информации), так как при таком подходе организовано взаимодействие программной части СЗ только с недоверенной (непроверенной) операционной системой, но без учета подсистемы защиты процессора (CPU) ПЭВМ.
Из-за этого созданная система разграничения доступа к ресурсам СВТ стала носить формальный характер и зависеть от возможных действий, потенциально реализуемых в рамках ОС на уровне других драйверов, имеющих такие же привилегии, что и драйвер защиты.
Исходя из вышесказанного, можно отметить ряд важнейших, на наш взгляд, конкретных недоработок в сертифицированных СЗ СВТ от НСД к информации:
А) в части невыполнения требований по «изоляции модулей»:
- отсутствие в СЗ функций контроля защищенности системных таблиц при работе процессора в защищенном режиме;
- отсутствие в СЗ функций установки и контроля привилегий прерываний в системной таблице прерываний;
- отсутствие в СЗ функций контроля параметров при создании/изменении селекторов задач
- отсутствие в СЗ функций проверки корректности функционирования ядра ОС;
В) в части невыполнения требований по «очистке памяти»:
- отсутствие в СЗ функций контроля очистки буферной памяти
С) в части невыполнения требований к системе разграничения доступа и по
вводу/выводу информации на отчуждаемый носитель:
- СЗ перехватывает лишь некоторое подмножество функции работы ОС с файловой системой из всего множества функций;
- СЗ не обеспечивают полномочного разграничения доступа к контроллерам различных устройств ПЭВМ для драйверов ОС и других системных процессов.
D) в части невыполнения требований по маркировке документов:
- отсутствие в СЗ средств маркировки выходящих документов;
- СЗ не обеспечивают полномочного разграничения доступа к внешним портам ПЭВМ для драйверов ОС и других системных процессов.
Е) в части невыполнения требований по «целостности»:
- отсутствие в СЗ средств динамического контроля целостности областей памяти занимаемых СЗ;
Эффективной защиты СВТ от НСД к информации при применении указанных программно – аппаратных комплексов не может быть достигнуто, поскольку не учитывается возможность НСД со стороны драйверов ОС и других системных процессов, которые могут быть использованы злоумышленником.
Исключением является только процесс защиты от НСД в ПЭВМ (идентификация), так как при его реализации обычно используется аппаратная часть средства защиты, независимая от ОС и работающая до загрузки ОС.
При проведении исследований по вышеуказанной проблеме нами были проанализированы некоторые материалы сертификационных испытаний СЗИ от НСД для различных изделий, любезно предоставленные нашими коллегами с целью изучения подходов при оценке соответствия заявленных к сертификации СЗИ требованиям по «изоляции модулей».
Для примера можно привести такое описание процедуры проверки этого показателя защищенности: «СЗИ предназначена для функционирования в ОС Windows 95/98, которая является многозадачной системой. Механизмы изоляции модулей реализованы средствами ОС Windows 95/98. В ходе практических проверок данного пункта получить доступ к контрольной информации одного процесса из другого процесса не удалась. Пункт такой-то Программы и методики….. выполнен».
Можно предположить наличие таких же формулировок в Протоколах испытаний некоторых других испытательных лабораторий.
Полагаем, что ссылка на то, что функции СЗИ выполняет недоверенная ОС, является некорректной. С другой стороны – влияние процессов программ друг на друга можно оценивать только на уровне их исполнения в процессоре (CPU) ПЭВМ. К тому же о реальных процедурах проверки в предоставленных материалах не было ни слова.
Думаю, что приведенный пример показывает как не должны проводиться сертификационные испытания СЗИ от НСД.
Кстати, такой подход при проведении сертификационных испытаний СЗИ от НСД, который можно сформулировать так: «произвели каким-то неописанным образом попытку получить несанкционированный доступ к контрольной информации и не получилось – значит такой – то показатель защищенности выполнен» сегодня часто можно встретить.
Однако он является формальным и абсолютно некорректным, потому что должны проверяться возможные способы доступа к ресурсам СВТ в том числе с использованием аппаратных особенностей ПЭВМ, а не только прямой доступ к контрольной информации.
С точки зрения математики, как науки, указанный подход называется «неполной индукцией» и не может являться доказательством.
Итак, если эффективной защиты СВТ от НСД к информации на системном уровне потенциально не достигнуто, то при организации АРМ или локальной АС, проблемы защиты информации от НСД увеличиваются. На уже допущенные ошибки дополнительно накладываются другие. Особенно когда ПЭВМ объединяются в сеть.
При наличии широковещательных протоколов передачи данных и отсутствии надежных механизмов аутентификации, ошибки импортного программного обеспечения на транспортном, сетевом и сеансовых уровнях сетевого взаимодействия эталонной модели OSI становятся серьезным и реальным средством НСД удаленного пользователя к информации.
Все вышеуказанные недостатки, связанные, по существу, с неисполнением требований РД Гостехкомиссии России « СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации», нам, как испытательным лабораториям, в первую очередь необходимо исправлять и не допускать их впредь.
Поэтому сейчас усилия должны быть направлены на создание универсальных «диспетчеров доступа», имеющих в ПЭВМ наивысшие привилегии по отношению к любому недоверенному общесистемному ПО, в том числе и по отношению к ОС, а также взаимодействующего с подсистемой защиты процессора (CPU) ПЭВМ. Тем самым будет устранено несоответствие средств защиты информации от НСД требованиям РД Гостехкомиссии России.
Поскольку мы допускаем наличие других мнений по затронутым вопросам, то предлагаем, в этом случае, на страницах журналов, посвященных компьютерной тематике, провести открытое обсуждение всех имеющихся доводов по механизмам и процессам взаимодействия ОС с архитектурой современных ПЭВМ.
Однако, в любом случае, считаем целесообразным выработку и принятие Гостехкомиссией России концептуальной модели защиты информации в АС (ПЭВМ) на уровне требований, предъявляемых к системным процессам. Это позволит избежать в дальнейшем различное толкования более общих нормативных документов Гостехкомиссии России.
Особенно актуально решение указанной задачи на концептуальном уровне при разработке Профилей защиты, как составной части международного стандарта ISO 15408 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Учитывая необходимость решения вышеуказанных проблем, считаем целесообразным осуществить неотлагательное проведение НИР по этим проблемам, подготовку необходимых руководящих и методических документов, обучение экспертов и руководителей испытательных лабораторий и сертификационных центров.
Со своей стороны наше предприятие готово к выполнению этих работ, так как в период 1999 – 2000 г.г. в этом направлении были проведены соответствующие изыскания, и был создан «Анализатор уязвимостей НКВД 2.1.», осуществляющий проверку эффективности средств защиты информации от НСД с учетом их взаимодействия с подсистемой защиты процессора (CPU) персональных ЭВМ, функционирующих под управлением ОС Windows 9х.
Что касается выполнения требований Руководящих документов Гостехкомиссии, в том числе и в части защиты информации от НСД, то одним из важных критериев их выполнения является соответствие произведенной оценки технологическому процессу обработки информации в ПЭВМ. При этом указанные требования должны быть конкретизированы на уровне типовых методик сертификационных испытаний применительно к каждому типу сертифицируемых изделий.
- Состав сертифицируемых объектов оценки.
Рассматривая постоянно обновляемый перечень сертифицированных объектов оценки, можно отметить наличие в нем достаточно разнородных объектов.
Это и средства и системы защиты информации от НСД, и автоматизированные системы, которые состоят только из одного программного обеспечения, имеющего к тому же встроенные программные инструментальные средства; это и импортные операционные системы и СУБД, и даже отдельные встроенные в импортные СУБД элементы ЗИ и т.д.
Понятно, если проводятся сертификационные испытания СЗИ от НСД на соответствие требованиям Руководящих документов Гостехкомиссии в установленном объеме.
Но у нас, как у испытательной лаборатории, возникают следующие вопросы:
- на соответствие каким требованиям проводятся сертификационные испытания, например, элементов защиты импортной СУБД, при отнесении их к 4 классу защищенности СВТ от НСД к информации, если показатели защищенности СВТ от НСД к информации применимы только к защищенным СВТ в целом, т.е. к совокупности ОС, СУБД и аппаратной платформы?
- каким образом можно провести сертификационные испытания, например, автоматизированной системы на соответствие требованиям класса 1В защищенности АС от НСД к информации, если заявленный объект представляет собой только прикладное программное обеспечение, имеющее встроенный язык программирования (т.е. средства редактирования объектного кода программ), а требований к аппаратной архитектуре АС и ОС не предъявляется?
- каким образом можно проводить сертификационные испытания по требованиям безопасности информации средств защиты информации на их соответствие ТУ, если по определению этот вид испытаний должен производиться на соответствие требованиям нормативных документов по защите информации?
Действительно, можно произвести сертификационные испытания, например, элемента СЗИ от НСД. Но только при условии, что эти испытания проводятся на смоделированном защищенном СВТ, и к составу которого предъявлены конкретные требования в виде граничных условий. К сожалению, в документации на СЗИ от НСД такие требования зачастую отсутствуют или являются недостаточно полными. В результате этого, пользователь таких СЗИ от НСД не достигает обеспечения защиты информации при изменении конфигурации ПЭВМ от той, которая использовалась при проведении сертификационных испытаний. Например, при появлении внешних портов USB в ПЭВМ они оказались вне зоны контроля со стороны СЗИ. Второй пример, касающийся функций СЗИ от НСД в части очистки памяти, которые в некоторых сертифицированных СЗИ просто отсутствуют.
С такими вопросами, к сожалению, приходится сталкиваться уже при аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, относящиеся к государственной тайне.
Следует отметить, что система сертификации в сегодняшнем виде не понуждает испытательные лаборатории качественно и в полном объеме проверять выполнение установленных нормативных требований Руководящих документов Гостехкомиссии России, поскольку программы и методики проведения сертификационных испытаний разрабатываются самими испытательными лабораториями в меру своего субъективного понимания требований РД и процессов информационной технологии, а увеличивать трудоемкость испытаний, а соответственно свои затраты эти лаборатории не заинтересованы.
С другой стороны, Заявитель (особенно разработчик СЗИ) тоже не заинтересован в повышении качества испытаний, так как это, в лучшем случае, приведет только к увеличению стоимости проведения работ, а в худшем для Заявителя случае – приведет к необходимости значительных доработок заявленного изделия и повторной сертификации и, соответственно, к дополнительной оплате работ.
Исходя из этого, можно предположить, что достигаемый Заявителем и испытательной лабораторией консенсус по вопросам трудоемкости и стоимости проведения испытаний не всегда подвигает стороны к качественному проведению испытаний.
Но более всего, это наносит удар по разработке и внедрению новых технологий и инструментальных средств контроля эффективности защиты информации от НСД, потому что при таких отношениях в системе сертификации между Заявителем и испытательной лабораторией они становятся ненужными.
При рассмотрении аспекта, связанного с составом сертифицируемых объектов оценки, одной из главных проблем является сертификация импортных ОС и встроенных в ОС элементов защиты.
В последние годы наметилась тенденция по сертификации импортных ОС или встроенных в ОС элементов защиты, причем заявки иногда подаются самими иностранными фирмами – производителями, а заявляемый класс защищенности СВТ - 4, что разрешает их использовать для обработки сведений, составляющих государственную тайну.
Среди таких сертифицированных ОС или встроенных в ОС элементов защиты: ОC NetWare 5.1, ОС MS Windows NT4.0 Server (English) с пакетом обновления Service Pack 5(English), MS Windows NT 4.0 Workstation.
Учитывая изложенное в 1 разделе настоящего доклада, целесообразно, по нашему мнению, еще раз внимательно рассмотреть протоколы сертификационных испытаний, особенно по тем ОС и СУБД, которые используются на критических объектах, а до появления утвержденных Гостехкомиссией России типовых методик - проведение сертификационных испытаний импортных ОС или встроенных в ОС элементов защиты на соответствие высоким классам защищенности СВТ - приостановить.
В этой связи необходимо развеять миф о защищенности ОС MS Windows NT4.0. как сетевой ОС. Устойчивый миф гласит, что ОС MS Windows NT4.0. якобы была сертифицирована по американскому классу защищенности С2. На самом же деле ситуация следующая.
- Была сертифицирована не ОС MS Windows NT4.0., а 3.5, причем обязательно с Service Pack 3.
- Сертификация касалась только локальной (а не сетевой) версии NT, т.е. с отсутствующими сетевыми адаптерами и внешними накопителями.
- Сертификация производилась на конкретной аппаратной платформе, а именно, Compaq Proliant 2000 и 4000 (для платформы Intel/Pentium) и DECpc AXP/150 (для платформы Alpha). При установке на другие платформы сертификат не распространяется.
Причиной нераспространения сертификата на NT 3.5 при ее использовании на других аппаратных платформах и являются те моменты, связанные с уровнем взаимодействия ОС и архитектуры, о которых было сказано выше.
К тому же класс С2 был одним из самых низких в системе сертификации США, не предназначенный для обработки сведений, составляющих «американскую» гостайну.
Также обращаем Ваше внимание на следующую тенденцию в развитии современных ОС семейства Windows.
На смену ОС Windows 2000 в 2001 году придет ОС с кодовым названием Whistler, а в 2002 году – ОС Blackcomb. Одной из важных особенностей последних моделей ОС Windows является наличие в них встроенных «активаторов».
В частности, особенностью новой операционной системы Microsoft Windows XP (Whistler) является наличие:
- Встроенного языка VBScript;
- Встроенной системы Product Activation.
VBScript – язык программирования, позволяющий создавать полнофункциональные программы без особого труда.
Product Activation - система, представляющая собой цепь обязательных действий, предназначенных для активации установленной операционной системы. Без них она не будет функционировать.
Среди них: передача кода, сгенерированного системой на основе данных об оборудовании и серийного номера, в Microsoft – т.е. «закрепление» за серийным номером определённой конфигурации, так же, в обязательном порядке передаются данные о физическом компьютера (страна, регион).
Для получения технической поддержки необходима регистрация, включающая передачу личных данных о пользователе.
Таким образом, складывается ситуация, когда Microsoft всегда «знает» о том, компьютер какой конфигурации и где расположен, а если копия Windows зарегистрирована, «знает» ещё и личные данные пользователя.
В течение двух недель после установки, ОС Windows будет постоянно напоминать о том, что копию нужно активировать. После этого она откажется работать.
Нет никакой гарантии, что при наличии подключения к распределенным (в т.ч. глобальным) сетям связи ОС Windows сама не будет пытаться зарегистрироваться (а такие факты мы уже выявили). Неизвестно и о том, какую именно информацию Windows передаёт во время этих действий, кроме, как со слов Microsoft.
По сути «активаторы» это встроенные программные закладки, предназначенные для самопроизвольной активации в ПЭВМ пользователя удаленного доступа при установке этим пользователем, например, «пиратской» копии ОС или при других некорректных, с точки зрения фирмы Microsoft, действиях пользователя. Вот почему мы выражаем озабоченность в связи с тенденцией подачи заявок на проведение сертификационных испытаний импортных ОС, тем более со стороны иностранных компаний (и не только фирмы Microsoft), и по требованиям безопасности информации для высоких классов защищенности СВТ, предназначенных для обработки информации, составляющей государственную тайну.
Еще один момент, связанный с проведением сертификационных испытаний ОС.
Стандартом ISO 15408 установлены более детальные требования к программному обеспечению, как к самостоятельному объекту оценки, чем в РД Гостехкомиссии России «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации». Это касается не только тестирования объекта оценки и тестовой документации. Даже для самого низкого уровня гарантированности оценки в классе «Управление конфигурацией» («Область УК») предусматривается представление реализации оцениваемого ПО исключительно в виде исходного и объектного кода и отслеживание документации по управлению конфигурацией ПО.
На наш взгляд, при сертификации ПО, в том числе и ОС, целесообразно руководствоваться требованиями гарантированности оценки ПО в соответствии с классами ACM, ADO, ADV, AGD, ALC, ATE, AVA стандарта ISO 15408, поскольку большинство заявляемых к сертификации ОС, СУБД – импортные, и их разработчики находятся в сфере юрисдикции стандарта ISO 15408.
Если проанализировать требования вышеуказанных классов, то можно убедиться в том, что фактически предоставляемые заявителями свидетельства выполнения указанными ОС и СУБД установленных требований безопасности явно недостаточны для принятия решения по их оценке.
- Предложения по совершенствованию системы сертификации.
Исходя из изложенных в докладе аспектов, можно сформулировать следующие предложения по совершенствованию системы сертификации, которые помогут в дальнейшем разрешить вышеназванные проблемы:
- «Состав объектов, подлежащих обязательной сертификации и предъявляемых на сертификационные испытания, должен обеспечивать возможность их проверки на соответствие всем, без исключения, требованиям по безопасности информации, предъявляемым действующими Руководящими документами Гостехкомиссии России применительно к соответствующему классу защищенности».
- «На каждый тип объектов, подлежащих обязательной сертификации по требованиям безопасности информации и включенных в соответствующий утвержденный Перечень на основании критериев по п.1, должны быть разработаны и утверждены типовые методики проведения сертификационных испытаний, обязательные для применения всеми испытательными лабораториями и сертификационными центрами Гостехкомиссии России».
- «Типовые методики проведения сертификационных испытаний должны разрабатываться на основании утвержденных Концептуальных моделей защиты для типовых объектов, подлежащих обязательной сертификации. При этом Концептуальные модели защиты для указанных типовых объектов должны разрабатываться в рамках НИР на основе реальных механизмов, присущих современным информационным технологиям».
- «Учитывая несовершенство инструментальных средств контроля недекларированных возможностей в программном обеспечении, разнообразие языков программирования, используемых при разработке ПО, отсутствие гарантий проектирования на импортные ОС:
- Сертификацию импортных ОС по требованиям безопасности информации для 4 и выше классов защищенности СВТ от НСД к информации не производить.
- Сертификацию средств защиты СВТ от НСД к информации, предназначенных для применения в защищенных СВТ 4 класса защищенности и выше проводить только на основании утвержденных Гостехкомиссией России типовых методик».
- «Ввести проведение обязательных сертификационных испытаний по уровню контроля не декларированных возможностей для прикладного программного обеспечения, имеющего гарантии проектирования и предназначенного для применения в АС классов защищенности 1в, 1б».