Лекция: Достоинства и недостатки ПСЗ
ПРАКТИЧЕСКАЯ РАБОТА № 6. Часть 1
.
Тема: Программные СЗИ
Цель: Разобрать классификации ПСЗ, познакомится с функциональными возможностями программных СЗ.
Теоретическая часть.
Достоинства и недостатки ПСЗ
Программными средствами защиты информации называются специальные программы, которые включают в состав программного обеспечения АС для решения в них (самостоятельно или в комплексе с другими средствами) задач защиты.
Программные средства являются важнейшей и непременной частью механизма защиты современных АС.
Такая роль определяется следующими их достоинствами:
• универсальностью;
• гибкостью;
• надежностью;
• простотой реализации;
• возможностью модификации и развития.
При этом под универсальностью понимается возможность решения Программными средствами большого числа задач защиты.
Гибкость программных средств защиты включает в себя две характерные особенности этого класса средств защиты:
1) при параметрической реализации программ защиты они могут автоматически адаптироваться к конкретным условиям функционирования АС;
2) программные средства защиты могут быть адаптированы в структуре АС различным образом (могут быть включены в состав ОС и СУБД, могут функционировать как самостоятельные пакеты программ защиты, их можно распределять между отдельными элементами АС и т. д.).
Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям к достоверности управляющих воздействий при наличии различных дестабилизирующих факторов.
Простота реализации программных средств защиты очевидна по сравнению с возможностью реализации любых других средств защиты.
Программные возможности изменения и развития программных средств защиты определяются самой их природой. Существенным недостатком программных средств защиты является возможность их реализации только в тех структурных элементах АС, где имеется процессор, хотя функции защиты могут реализовываться, осуществляя безопасность других структурных элементов.
Основными недостатками использования программных средств защиты являются следующие:
• необходимость использования времени работы процессора, что ведет к увеличению времени отклика системы на запросы и, как следствие, к уменьшению эффективности ее работы;
• уменьшение объемов оперативной памяти и памяти на внешних запоминающих устройствах, доступной для использования функциональными задачами;
• возможности случайного или злоумышленного изменения, вследствие чего программы могут не только утратить способность выполнять функции защиты, но и стать дополнительным каналом утечки информации; ограниченность использования жесткой ориентацией на архитектуру определенных типов ЭВМ (даже в рамках одного класса);
• зависимость программ от особенностей базовой системы ввода-вывода, таблицы векторов прерываний и т. п.
Для организационного построения программных средств до настоящего времени наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, в число которых обычно входит опознавание пользователей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ЗУ и т. п. (см. табл. «Потенциально возможные средства решения задач ЗИ»).
Достоинства таких программ очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недостаток состоит в стихийности развития программ защиты, что, с одной стороны, не дает гарантий пол ноты имеющихся средств, а с другой — не исключает дублирования одних и тех же задач защиты. Вторым существенным недостатком является жесткая фиксация в каждом из комплексов программ защитных функций. И еще один большой недостаток — ориентация подавляющего большинства имеющихся программных средств на конкретную среду применения: тип ЭВМ и операционную среду.
Отсюда вытекает три принципиально важных требования к формированию программных средств: функциональная полнота, гибкость и унифицированность использования.
Что касается первого требования, то, как нетрудно уяснить, приведенный выше перечень программных средств составлен именно с таким расчетом, чтобы возможно более полно охватить все классы задач защиты.
Удовлетворение остальным двум требованиям зависит от форм и способов представления программ защиты. Анализ показал, что наиболее полно требованиям гибкости и унифицированности удовлетворяет следующая совокупность принципов:
— сквозное модульное построение;
— полная структуризация;
— представление на машинно-независимом языке.
Принцип сквозного модульного построения заключается в том, что каждая из программ любого уровня (объема) должна представляться в виде системы вложенных модулей, причем каждый модуль любого уровня должен быть полностью автономным и иметь стандартные вход и выход, обеспечивающие комплексирование с любыми другими модулями. Нетрудно видеть, что эти условия могут быть обеспечены, если программные комплексы будут разрабатываться по способу сверху вниз.
Представление на машинно-независимом языке предопределяет, что представление программных модулей должно быть таким, чтобы их с минимальными усилиями можно было включить в состав программного обеспечения любой ОС. Как известно, в настоящее время имеются алгоритмические языки высокого уровня, трансляторы с которых включаются в состав программного обеспечения наиболее распространенных ЭВМ.
В общем случае угрозы перевода программного обеспечения системы защиты в пассивное состояние могут быть классифицированы следующим образом:
— угроза загрузки системы без механизмов защиты (загрузки ОС без полностью либо частично системы защиты);
— угроза перевода механизмов защиты (или системы защиты в целом) в пассивное состояние в процессе функционирования защищаемого объекта;
— если с целью добавочной защиты используется аппаратная компонента (осуществляющая мониторинг активности ПО системы защиты), то появляется дополнительная угроза — угроза удаления оборудования системы защиты (аппаратной компоненты) с целью последующего перевода ПО системы защиты в пассивное состояние одним из перечисленных выше способов.
Как и ранее, данные угрозы могут быть классифицированы как явные и скрытые. Скрытые угрозы могут быть осуществлены с использованием собственных программ злоумышленника, а также с использованием ошибок и закладок в программном обеспечении.
Рассмотрим данные группы угроз, применительно к ОС семейства Windows. Угроза загрузки системы без механизмов защиты (в предположении, что система защиты запускается как сервис при старте операционной системы) связана со следующими возможностями:
— загрузка системы с альтернативных носителей, например, с CD(DVD)-диска, Flash-карты и т. п. В этом случае, поскольку загрузка ОС, в качестве сервиса которой должна запускаться система защиты, осуществляется не с жесткого диска, система защиты не загружается;
— загрузка системы в безопасном режиме (например, Safe Mode для ОС Windows), либо в ином режиме, например, в DOS или в другой альтернативной ОС. При этом можно блокировать загрузку драйверов (основных механизмов защиты), т. е. загрузить систему с урезанными функциями. Это не страшно для встроенных механизмов операцией ной системы — встроенная система защиты не позволит их отключить, но критично для механизмов добавочной защиты, т. к. для операционных устройств драйверы и прикладные средства добавочной защиты являются внешними средствами. Поэтому она не обеспечивает противодействие возможному их отключению. Здесь же отметим, что принципиальным отличием загрузки в безопасном режиме для операционных систем UNIX и Windows (версия NT и выше) будет то, что для ОС UNIX подобную загрузку может осуществить только пользователь «root» после авторизации, в ОС Windows — любой текущий пользователь после авторизации.
Практически в полном объеме те же угрозы присущи и для операционных систем семейства UNIX, т. е. рассматриваемая задача защиты характеризуется общностью для альтернативных семейств операционных систем.
Данные угрозы могут быть как явными (например, загрузка в режиме Safe Mode), так и скрытыми, например, инженерные пароли BIOS, возможность программно сбросить настройки BIOS в исходное состояние (модифицировав его контрольные суммы) и т. д. Угроза перевода механизмов (или системы защиты) в пассивное состояние в процессе функционирования защищаемого объекта связана с явными и скрытыми возможностями по остановке выполнения процесса системы защиты (либо вообще удаления данного процесса из системы). Так, возможностью отображения списка запущенных процессов и удаления процесса из списка обладают большинство системных мониторов и множество оболочек, например, Far. Для ОС (например, Windows 95/98/Ме), где все процессы запускаются как пользовательские (операционная система не делит процессы на системные и пользовательские), из этой оболочки может быть остановлено выполнение любого процесса, в том числе и процесса системы защиты. Это очевидная явная угроза основанная на архитектурных особенностях данной операционной системы. Однако можно предположить, что существуют и аналогичные скрытые угрозы. По крайней мере, утверждать обратное невозможно.
С целью противодействия данным угрозам в систему защиты может добавляться аппаратная компонента. В этом случае, чтобы модифицировать программное обеспечение системы защиты злоумышленник сначала должен удалить аппаратную компоненту из слота защищаемого объекта, предварительно сняв крышку корпуса компьютера. То есть здесь появляется угроза физического удаления аппаратной компоненты системы защиты.