System bezpieczeństwa teleinformatycznego
Krzysztof LIDERMAN
Zakład Systemów Komputerowych, Instytut Automatyki i Robotyki WAT ul. Kaliskiego 2, 00-908 Warszawa
STRESZCZENIE: W artykule została przedstawiona propozycja formalizacji opisu systemu bezpieczeństwa teleinformatycznego spełniającego warunki kompleksowości, spójności i niesprzeczności. Opis taki może być pomocny przy budowie lub ocenie systemów bezpieczeństwa teleinformatycznego.
1. Wstęp
W literaturze z zakresu bezpieczeństwa informacji oraz nauk komputerowych można znaleźć szereg formalnych modeli związanych z bezpieczeństwem informacji w systemach teleinformatycznych. Modele te dotyczą jednak tylko wybranych elementów bezpieczeństwa takich systemów i najogólniej można je podzielić na:
1. Modele kontroli dostępu do informacji, np.: model kratowy [14], [17], [25], model Bell-LaPaduli [6], [14], [17], [25], model Biba [25].
2. Modele ochrony informacji w bazach danych, np.: model Wooda [7], [17], [25], model „Sea View” [7], [17], [25].
3. Modele teoretycznych ograniczeń systemów ochrony informacji, np.: model Grahama-Denninga [9], [17], [25], model HRU (Harrison-Ruzzo-Ullman) [10], [17], [25], model „take-grant” [11], [17], [25].
Pełniejszy przegląd modeli wraz z ich podstawowymi charakterystykami jest zamieszczony w tabeli 1.
Pod pojęciem formalnego modelu bezpieczeństwa należy rozumieć precyzyjne matematycznie określenie sposobu (często używa się tutaj terminu
„polityka”) zabezpieczania informacji przed nieuprawnionym dostępem i nieuprawnionymi działaniami na niej. Większość znanych modeli dotyczy głównie sposobu kontroli dostępu do informacji oraz kontroli jej przepływu, czyli pokazuje jak (teoretycznie) można zapewnić jej poufność. Modele te są często implementowane w systemach operacyjnych – dobrym przykładem jest tutaj model Bella i LaPaduli [6], [25], zaimplementowany w systemach unixowych.
Żaden z modeli (znanych piszącemu te słowa) nie podaje sposobu opisu systemu bezpieczeństwa teleinformatycznego jako całości, ujmującego w spójnym zapisie elementy systemu teleinformatycznego wraz z ich podatnościami, środowisko (w którym działa taki system) wraz z zagrożeniami przez nie stwarzanymi oraz środków bezpieczeństwa które są (lub mogą być) zastosowane do likwidacji podatności1.
Tabela 1. Charakterystyka modeli bezpieczeństwa (za [25])
Bezpieczeństwo Polityka bezpieczeństwa
obowiązkowa
MODEL bazy danych systemu
operacyj-nego uznaniowa poufność integralność Kontrola dostępu Kontrola przepływu informacji lub dostępu pośredniego macierzowy 9 9 9 9 „take-grant” 9 9 9 9 Wooda 9 9 9 Bella-LaPaduli 9 9 9 9 Biby 9 9 9 9 9 9 Diona 9 9 9 9 9 Sea View 9 9 9 9 9 9 Jajodii-Sandhu 9 9 9 9 Smitha-Winslett 9 9 9 9 kratowy 9 9
Żaden z opisów znanych modeli nie definiuje też w jasny sposób terminu „system bezpieczeństwa”, chociaż często takim terminem się operuje, pozostawiając jego interpretację intuicji czytelnika. W szczególności, nie dla wszystkich czytelników może być jasne, że „system” to coś więcej niż suma
1 Np. model opracowany przez Clementsa i prezentowany np. w [25] nie jest adekwatny, ponieważ
włącza zagrożenia do systemu bezpieczeństwa (zagrożenia są zewnętrzne w stosunku do takiego systemu) oraz nie uwzględnia podatności elementów chronionego systemu teleinformatycznego.
elementów na ten system się składających – „system” powinien w efekcie dać nową jakość, nie wynikającą ze zwykłego dokładania elementów.
Model systemu bezpieczeństwa teleinformatycznego (jeżeli nie ma być „sztuką dla sztuki” lecz do czegoś pożytecznego przydatny) powinien też uwzględniać w maksymalnym stopniu dobrą praktykę inżynierską w zakresie budowania systemów bezpieczeństwa. Wynika z niej na przykład, że każdy ze znanych sposobów zabezpieczania można zakwalifikować do jednej z następujących grup:
1) fizycznej i technicznej ochrony przed nieupoważnionym dostępem, ogniem i wodą (np. systemy alarmowania o włamaniach, monitoringu, ppoż., sejfy, atestowane zamki itd.);
2) sprzętowo-programowych (np. redundancje sprzętowe, oprogramowanie antywirusowe, IDS/IRS, szyfrowanie, stosowanie zapór sieciowych itd.); 3) organizacyjnych i kadrowych (np. udokumentowane procedury
postępowania w zakresie bezpieczeństwa teleinformatycznego, klasyfikacja informacji, formalne dopuszczenia do pracy z informacją klasyfikowaną itd.).
Należy tutaj nadmienić, że w świadomości przeciętnego użytkownika systemów teleinformatycznych (i niestety często też w świadomości osób z kadry kierowniczej dysponującej środkami finansowymi które można przeznaczyć na wdrożenie i rozwój bezpieczeństwa teleinformatycznego), bezpieczeństwo teleinformatyczne sprowadza się wyłącznie do drugiej z wymienionych grup, tj. sprzętowo-programowej („...nasi użytkownicy już
korzystają z systemu Windows 2000 i stosują hasła, zainstalujemy jeszcze dobry program antywirusowy, postawimy zaporę sieciową na wyjściu do Internetu i będziemy bezpieczni”).
Z tego powodu jednym z celów niniejszego artykułu jest przekonanie Czytelnika, że poprawnie budowane bezpieczeństwo teleinformatyczne musi obejmować przedsięwzięcia z wszystkich trzech ww. grup łącznie (bo w przeciwnym razie np. zainstalowaliśmy oprogramowanie antywirusowe, ale brak jest osoby odpowiedzialnej za jego aktualizację i dopilnowanie warunków licencji).
Kolejną cechą poprawnie zbudowanego pod względem inżynierskim systemu bezpieczeństwa teleinformatycznego, która powinna zostać uwzględniona w opisie formalnym jest kompleksowość takiego systemu. Rozumiana jest ona tutaj w ten sposób, że zastosowane zabezpieczenia powinny uwzględniać każdą z uprzednio wymienionych grup i powinny być zorganizowane w taki sposób, żeby zapewnić wykrycie naruszenia
bezpieczeństwa (oraz prób takich działań) oraz skuteczną ochronę pomimo przełamania części zabezpieczeń (czyli powinny być zorganizowane według schematu tzw. „obrony w głąb”, której najlepszą wizualizacją jest średniowieczny zamek odpowiednio umiejscowiony w terenie, otoczony fosami i kilkoma pasami murów obronnych wzmocnionych wieżami; pokonanie fosy i przerwanie zewnętrznego pasa murów obronnych przez napastników zwykle nie prowadziło do utraty zamku, ponieważ obrońcy wycofywali się za drugi, wewnętrzny pas murów obronnych i bronili się dalej).
Warunkami dodatkowymi do wymogu kompleksowości jest spójność (rozumiana jako brak luk w systemie ochrony, które mogłyby stworzyć ścieżkę penetracji2 bez konieczności przełamywania zabezpieczeń) oraz niesprzeczność (rozumiana jako brak kolizji pomiędzy zastosowanymi zabezpieczeniami).
W dalszej części artykułu jest zamieszczona propozycja formalnego opisu systemu bezpieczeństwa spełniającego wymienione uprzednio wymagania kompleksowości, spójności i niesprzeczności. Przy budowie modelu formalnego będą uwzględniane przede wszystkim te cechy systemowe, chociaż można rozwijać ten model uwzględniając np. ograniczenia finansowe, stopień skuteczności zabezpieczeń czy prawdopodobieństwo wykorzystania podatności przez zagrożenia.
2. Stosowane pojęcia i terminy
Przy wyjaśnianiu stosowanych dalej pojęć i terminów zostały w maksymalnym stopniu uwzględnione wytyczne polskiej normy terminologicznej [44] (pomimo negatywnej o niej opinii piszącego te słowa, ale lepsza taka norma niż żadna).
• obiekt – element składowy systemu teleinformatycznego. Obiekt może być bierny (np. przechowujący dane) lub czynny (tzw. podmiot – może żądać dostępu do obiektów);
• środki bezpieczeństwa – środki fizyczne (np. płot), techniczne (np. system alarmowy), ludzkie (np. wartownik), programowe (np. oprogramowanie antywirusowe) lub działania organizacyjne (np. szkolenia), stosowane w celu przeciwdziałania wykorzystaniu podatności przez zagrożenia.
• podatność (cytat punktu 3.1.064 z PN-I-02000: 1998)
wady lub luki w strukturze fizycznej, organizacji, procedurach, personelu, zarządzaniu, administrowaniu, sprzęcie lub oprogramowaniu, które mogą być wykorzystane do spowodowania szkód w systemie informatycznym lub działalności użytkownika (3.1.102)
UWAGI
1 – Istnienie podatności nie powoduje szkód samo z siebie. Podatność jest jedynie warunkiem lub zestawem warunków, które umożliwiają uszkodzenie systemu lub zakłócenie działalności użytkownika przez atak.
2 – Jeśli podatność odpowiada zagrożeniu, istnieje ryzyko. vulnerability
• zagrożenie (cytat punktu 3.1.115 z PN-I-02000: 1998) potencjalne naruszenie zabezpieczenia systemu informatycznego
threat
Na marginesie podanej tutaj terminologii warto zauważyć, że nie będzie używany termin „atak”. Jest to faktycznie jedno z możliwych zagrożeń, niestety w wielu przypadkach (analizy ryzyka czy budowy systemu zabezpieczeń) termin ten jest nadużywany tak, że całość zagadnień bezpieczeństwa teleinformatycznego jest widziana przez pryzmat ataku i utożsamiana tylko i wyłącznie z „atakiem”3, co w efekcie prowadzi do nieporozumień i błędów
w budowie systemu bezpieczeństwa.
3. Formalizacja
Niech będzie dany zbiór obiektów OT taki że:
OT =OS∪OP∪OL
gdzie:
• OS – zbiór obiektów sprzętowych (technicznych) i infrastruktury (takich jak
budynki czy pomieszczenia),
• OP – zbiór obiektów programowych i dokumentów (np. instrukcji, procedur,
planów);
• OL – zbiór obiektów-ludzi.
3 Dość dziwnie wygląda nazwanie „atakiem” awarii zasilania wywołanej uderzeniem pioruna lub
wylanie kawy na klawiaturę przez nieuważnego operatora (i w efekcie spowodowanie przerwy w pracy stacji roboczej – byłby to chyba „atak kawowy”?).
Definicja 1
Systemem teleinformatycznym4 T nazywamy parę 〈O
T, ∆〉
gdzie:
OT = {oi | i ∈ 1 , m } jest niepustym zbiorem obiektów (czynnych i/lub
biernych)
∆ = {δj | j ∈1 , n } jest niepustym zbiorem relacji określonych na
obiektach ze zbioru OT, niezbędnych do realizowania
przez system T założonych zadań: δj = {〈oi, op〉 ∈ OT×OT }
co dla konkretnej relacji zapisujemy: δj (oi, op). * * * Jak można zauważyć, tak sformułowana definicja systemu teleinformatycznego włącza do niego również obiekty szeroko rozumianej infrastruktury, takie jak budynki i pomieszczenia w których są rozmieszczone elementy systemu teleinformatycznego, urządzenia zasilające, klimatyzacyjne, etc.
Niech będzie dane środowisko E w którym mogą wystąpić zagrożenia ze zbioru zagrożeń Z oraz system teleinformatyczny T.
Definicja 2
Systemem bezpieczeństwa STE dla systemu teleinformatycznego T osadzonego
w środowisku E nazywa się uporządkowaną piątkę: STE = 〈OT, BT, RT, RB, ΩT〉
taką że:
OT = {oi | i ∈ 1 , m } jest niepustym zbiorem obiektów (czynnych
i/lub biernych) systemu STE posiadających
podatności
jest zbiorem środków bezpieczeństwa
(zabezpieczeń) zastosowanych w systemie STE;
4W tym kontekście „teleinformatyczny” oznacza brak ograniczeń przestrzennych nałożonych na
umiejscowienie elementów systemu. BT = {bp p∈ 1, r }
jest zbiorem podatności istniejących w systemie STE, przy czym w ogólnym przypadku
prawdziwa jest formuła:
¬ [∀oi∈OT∀rs∈RT ∃bj∈BT[ω(oi, bj, rs)]]
RB⊆RT jest zbiorem podatności chronionych przed
zagrożeniami, tj.
∀oi∈OT∀rs∈RB ∃bj∈BT[ω(oi, bj, rs)]
jest niepustym zbiorem relacji określonych w iloczynie kartezjańskim OT×BT×RB,
wiążących elementy zbioru OT z posiadanymi
przez nie podatnościami ze zbioru RB,
chronionymi za pomocą środków
bezpieczeństwa ze zbioru BT:
ωy = {〈oi, bp, rs〉 ∈ OT×BT×RB }
co dla konkretnej relacji zapisujemy: ωy(oi, bp, rs) * * * W tym miejscu może się nasunąć pytanie, jaki jest sens wyróżniania RB
i RT? Sens ten wynika z praktyki, ponieważ może być tak, że ze względów
różnych, np. finansowych, nie zabezpiecza się znanych podatności, godząc się z określonym, zwiększonym ryzykiem utraty bezpieczeństwa teleinformatycznego.
Definicja 3
System bezpieczeństwa STE jest spójny (inaczej: system T jest całkowicie
zabezpieczony), jeżeli dla każdego obiektu oi∈OT posiadającego podatności
(r1, ..., rs)∈RT, dla każdej podatności istnieje co najmniej jedno zabezpieczenie
bj∈BT, tj.
∀oi∈OT∀rk∈RT ∃bj∈BT[ω(oi, bj, rk)] gdzie k 1, s∈
* * * Z definicji 3 wynika, że RB=RT. Jak zostało stwierdzone wcześniej,
z przyczyn praktycznych zwykle nie jest to prawdą, a zatem rzadko w praktyce spotyka się spójne systemy bezpieczeństwa. Niemniej wprowadzenie definicji spójności pozwala na świadome podjęcie decyzji co do poziomu akceptowanego ryzyka.
RT = {rs s∈ 1, t }
Przykład 1
Poniższa tabela przedstawia powiązania pomiędzy podatnościami, obiektami i środkami ochrony.
są związane z obiektami om∈OT
Podatności ri∈ RT są niwelowane środkami ochrony bp∈BT
o1 – płot wewnętrzny
o2 – płot zewnętrzny
r1 – dziurawy płot b1 – wymiana segmentu płotu
{o3, ..., ok} – personel
firmy {ok+1, ...,om} – personel
firm obcych
r2 – źle przeszkolony (lub wcale)
personel w zakresie bezpieczeństwa
b2 – wdrożenie systemu szkoleń
b3 – kontrola szkoleń om+1 – ekran monitora komputera_1 om+2 – doprowadzenia kabli do komputera_1
r3 – ulot informacji na drodze
promieniowania elektromagnetycznego b4 – zastosowanie ekranowanych pomieszczeń om+3 – LAN_1 om+4 – LAN_5 r4 – brak zabezpieczeń
antywirusowych b5 – zainstalowanie oprogramowania
antywirusowego w sieciach b6 – wyznaczenie osoby
odpowiedzialnej za aktualizację tego oprogramowania
b2 – wdrożenie systemu szkoleń
... ... ...
• • • Z definicji 3 wynika, że RB=RT. Jak zostało stwierdzone wcześniej,
z przyczyn praktycznych zwykle nie jest to prawdą, a zatem rzadko w praktyce spotyka się spójne systemy bezpieczeństwa. Niemniej, wprowadzenie definicji spójności pozwala na świadome podjęcie decyzji co do poziomu akceptowanego ryzyka.
Zgodnie z tym co zostało już zasygnalizowane we wstępie, w zbiorze środków bezpieczeństwa BT można wyróżnić zabezpieczenia:
• organizacyjne i kadrowe BTO,
• fizyczne i techniczne BTF,
BT= BTO ∪BTF∪BTSP
Analogicznie, podatności składające się na zbiór RT podatności5 systemu
teleinformatycznego T, należą do jednego z następujących podzbiorów:
• RTO – podatności organizacyjnych i kadrowych (osobowych,
administrowania, zarządzania), związanych z obiektami ze zbioru OP i/lub
OL ;
Przykłady: brak weryfikacji wiarygodności personelu, brak szkoleń z zakresu bezpieczeństwa teleinformatycznego, zakupy sprzętu komputerowego i oprogramowania od przypadkowych dostawców, itd.
• RTF – podatności w ochronie fizycznej i technicznej (np. dziurawy płot,
popsuty automat zamykający drzwi), związanych z obiektami ze zbioru OS ;
• RTSP – podatności sprzętowo-programowych (np. źle skonfigurowane
aplikacje, urządzenia lub systemy, błędy w stosowanym oprogramowaniu),
związanych z obiektami ze zbioru OP i/lub OS.
RT= RTO ∪RTF∪RTSP
przy czym nie należy podzbiorów wyróżnionych w BT i RT uważać za
odpowiadające sobie, tzn. uważać, że podatności z podzbioru np. RTO
zabezpieczamy wyłącznie środkami z podzbioru BTO , etc.
System bezpieczeństwa STE powinien być systemem kompleksowym,
wykorzystującym zabezpieczenia: • organizacyjne i kadrowe BTO,
• fizyczne i techniczne BTF,
• sprzętowo-programowe BTSP,
zorganizowane jako „obrona w głąb”. Kompleksowość należy tutaj rozumieć jako postulat, aby przy budowie systemu bezpieczeństwa dla każdej podatności sprawdzić, czy zabezpieczenie z podzbioru np. BTO dla poprawnej realizacji
swojej funkcji nie wymaga wsparcia zabezpieczeniami z podzbiorów BTF i/lub
BTSP (i na odwrót), i w razie potrzeby takie zabezpieczenie zastosować.
5
Jednym z zadań analizy ryzyka dla potrzeb bezpieczeństwa teleinformatycznego jest identyfikacja elementów zbioru RT.
ZT = {zj j∈ 1, k } Definicja 4
Zbiorem ścieżek penetracji PSE w systemie STE nazywa się piątkę:
PSE = 〈ZT, OT, BT, RN, ΠSE〉
gdzie:
jest niepustym zbiorem zagrożeń działających na STE;
OT = {oi | i∈ 1 , m } jest niepustym zbiorem obiektów (czynnych i/lub
biernych) systemu STE posiadających podatności;
jest zbiorem środków bezpieczeństwa
(zabezpieczeń) zastosowanych w systemie STE
które zostały przełamane, przy czym zachodzi: BN ⊆ BT;
RN = RT ⁄RB ∪ RP jest zbiorem niezabezpieczonych podatności lub
zbiorem RP⊆RB podatności, których
zabezpieczenia zostały przełamane;
jest niepustym zbiorem relacji określonych w iloczynie kartezjańskim:
Z× OT × BN ×RN
wiążących oddziaływanie pojedynczego zagrożenia zj∈ZT z odpowiadającymi mu
niezabezpieczonymi podatnościami (lub podatnościami których zabezpieczenia zostały przełamane), związanymi z obiektami ze zbioru OT, tak że:
πk = {〈zj, oi, bp, rs〉 ∈ Z× OT × BN × (RT ⁄RB ∪ RP)}
których spełnienie (relacji) prowadzi do utraty poufności, integralności lub dostępności informacji, tj. do utraty bezpieczeństwa teleinformatycznego.
* * * Ścieżkę penetracji pSEk∈PSE wyznacza konkretna relacja
π
k(z
j, o
i, b
p, r
s)
Niech PSE będzie zbiorem ścieżek penetracji w systemie STE takich, że
PSE ⊆ ZT× OT×BN×RN.
Niech Rπk ⊆ RN będzie zbiorem podatności wyznaczonych przez relację πk dla
ścieżki penetracji pSEk.
BN = {bp p∈ 1, r }
Przyjmijmy założenie, że wszystkie zabezpieczenia mogą zostać przełamane, tj. potencjalnie BN=BT oraz że nie ma podatności nie zabezpieczonych,
tj. RB =RT. Definicja 5
System bezpieczeństwa STE jest zorganizowany według zasady „obrony w głąb”, jeżeli dla wszystkich ścieżek penetracji PSE spełniony jest warunek:
1) jeżeli dla ścieżki penetracji pSEk zbiór podatności Rπk
wyznaczonych przez relację πk dla konkretnego elementu oi∈OT
jest zbiorem co najmniej dwuelementowym, to dla każdego elementu rs∈RN istnieje co najmniej jedno zabezpieczenie bj∈BT,
lub warunek następujący
2) jeżeli dla ścieżki penetracji pSEk zbiór podatności Rπk
wyznaczonych przez relację πk dla konkretnego elementu oi∈OT
jest zbiorem jednoelementowym, to dla tego elementu rs∈RN
istnieją co najmniej dwa zabezpieczenia {b1,..., br}∈BT.
czyli:
∀ pSEk∈PSE ⇒
[((∃pSEk∈PSE| (Rπk≥ 2)) ⇒ ∀rs ∈RN ∃({b1,..., br}∈BT ∧ r≥1))]
∨
[((∃pSEk∈PSE| (Rπk=1))⇒ rs ∈RN∃({b1,..., br}∈BT ∧ r≥2))]
gdzie Rπk oznacza liczebność zbioru Rπk
* * * Definicja 6
System bezpieczeństwa STE jest niesprzeczny jeżeli, nie występują kolizje
pomiędzy zastosowanymi zabezpieczeniami.
* * * Np. zastosowanie jednocześnie bi i bj, gdzie bi, bj∈BT, nie prowadzi do
utworzenia nowej podatności rnew lub odbezpieczenia którejś z wcześniej
zabezpieczanych.
Przykład 2 (na podstawie [14], str. 70)
Pracownicy pewnej instytucji przy angażowaniu do pracy dostają kartę magnetyczną z wypisanymi na niej danymi osobowymi, służbowymi i zdjęciem oraz PIN. Karta magnetyczna służy jako przepustka okazywana strażnikowi na bramie oraz (wraz z PIN-em) jako elektroniczny klucz otwierający te drzwi (i tylko te!) które wolno otworzyć danemu pracownikowi.
Rys. 1. Ścieżka penetracji i podatności wyznaczone za pomocą drzewa zdarzeń dla przykładowego systemu ochrony przed nieupoważnionym dostępem
Hipotetyczny system komputerowy jest zabezpieczony następującymi zabezpieczeniami fizycznymi i programowymi {b1, b2, b3, b4, b5}: strażnik przy
wejściu do budynku sprawdzający przepustki (b1), elektroniczne zabezpieczenia
wejść (czytnik karty magnetycznej + PIN) do korytarzy (b2), elektroniczne
zabezpieczenia wejść do pomieszczeń służbowych (j.w. – b3), elektroniczne
zabezpieczenie komputera (b4: czytnik karty + klawiatura do wprowadzenia
Na rys. 1 jest przedstawione drzewo zdarzeń (por. [14]) wraz z zaznaczoną pogrubieniem ścieżką penetracji:
{({z1}, {o1}, {b1}, {r1}), ({z1}, {o2}, {b2}, {r2}), ({z1}, {o3}, {b3}, {r2}), ({z1}, {o4}, {b4}, {r2}), ({z1}, {o1}, {b5}, {r2, r3})}
odpowiadającą próbie fizycznego dostania się nieupoważnionej osoby do wskazanego komputera i uruchomienia na nim sesji.
Interpretacja podatności jest następująca:
r1 – niedbałe wykonywanie obowiązków przez strażnika (brak porównania
osoby ze zdjęcia z osoba okazująca przepustkę); r2 – źle wyszkoleni użytkownicy:
• użytkownik nie zgłosił kradzieży karty magnetycznej • użytkownik zapisał PIN flamastrem na odwrocie karty • używane było słabe hasło (nazwisko użytkownika).
r3 – brak okresowych kontroli siły haseł przez administratora ds. bezpieczeństwa
• • • Przykład 3
Na rys.2 jest przedstawiony problem z przykładu 2 z pokazaniem zawartości zbiorów OT, BT, RT, RB, Z, oraz relacji pomiędzy elementami tych zbiorów.
Interpretacja poszczególnych elementów zbiorów jest następująca: 1. Elementy zbioru OT (obiekty):
o1 – strażnik; o2 – drzwi do korytarza;
o3 – drzwi do pomieszczenia; o4 – komputer;
o5 – system operacyjny
2. Elementy zbioru BT (środki bezpieczeństwa): b1 – kontrola przepustek przez strażnika;
b2 – czytnik karty i pinpad zabezpieczający drzwi korytarza;
b3 – czytnik karty i pinpad zabezpieczający drzwi pomieszczenia;
b4 – czytnik karty i pinpad zabezpieczający komputer;
o1 • o2 • o3 • o4• o5 • b1 • b2 • b3 • b4 • b5 • r1 • r2 • r3 • • z1
O
TB
R
T= R
BZ
Rys. 2 Problem z przykładu 2 z pokazaniem zawartości zbiorów OT, BT, RT, RB, Z, oraz relacji pomiędzy elementami tych zbiorów
obiekty środki ochrony podatności zagrożenia
3. Elementy zbioru RT (podatności; w przykładzie, RT = RB):
r1 – niedbałe wykonywanie obowiązków przez strażnika (brak porównania
osoby ze zdjęcia z osoba okazująca przepustkę); r2 – źle wyszkoleni użytkownicy:
• użytkownik nie zgłosił kradzieży karty magnetycznej • użytkownik zapisał PIN flamastrem na odwrocie karty. • używane było słabe hasło (nazwisko użytkownika).
r3 – brak okresowych kontroli siły haseł przez administratora ds. bezpieczeństwa
4. Elementy zbioru Z (zagrożeń):
z1 – bezpośredni dostęp szpiega (konkurencji, instytucji państwowych) do
komputera zawierającego chronioną informację.
4. Podsumowanie
W artykule została przedstawiona propozycja sformalizowanego opisu systemu bezpieczeństwa teleinformatycznego spełniającego warunki kompleksowości, spójności i niesprzeczności. Opis taki może być pomocny w formalnym ujęciu zagadnień praktycznych związanych z budową lub oceną systemów bezpieczeństwa teleinformatycznego. W treści artykułu podano definicje ww. warunków oraz zdefiniowano pojecie ścieżki penetracji, niezwykle istotne przy analizie ryzyka dla potrzeb bezpieczeństwa.
W szczególności należy zwrócić uwagę na następujące wnioski wypływające z przedstawionej w tym artykule propozycji:
1) nie można mówić o skutecznej ochronie informacji, jeżeli system ochrony nie jest budowany w sposób kompleksowy, niesprzeczny i spójny (w sensie podanym w niniejszym artykule), a zastosowane środki bezpieczeństwa nie są zorganizowane według koncepcji „obrony w głąb”;
2) przełamanie6 jednego zabezpieczenia nie musi prowadzić do utraty
poufności, dostępności lub integralności informacji (podatność w systemie „obrony w głąb” jest zabezpieczona większą liczbą zabezpieczeń);
3) wykorzystanie konkretnej podatności nie musi prowadzić do utraty poufności, dostępności lub integralności informacji, ponieważ ta podatność może być jedną z wielu na ścieżce penetracji;
4) podatności są związane z obiektami. Podatność jednego rodzaju może być przypisana do wielu obiektów (por. przykłady 2 i 3).
Oczywiście, mówiąc o „skutecznym” systemie bezpieczeństwa teleinformatycznego należy pamiętać, że nie istnieje coś takiego jak „stuprocentowo bezpieczny system teleinformatyczny”. Wyniki badań wymienionych we wstępie modeli teoretycznych ograniczeń bezpieczeństwa informacji wskazują, że jest to niemożliwe. Zresztą nie trzeba uciekać się do modeli formalnych – jednym z atrybutów bezpieczeństwa informacji jest jej dostępność, a tej nigdy nie możemy w pełni zagwarantować. Wystarczy pamiętać o klęskach żywiołowych (takich jak powódź w sierpniu 2002 roku w Saksonii i Czechach) czy atakach terrorystycznych, takich jak ten z 11 września 2001 roku na WTC w Nowym Jorku, aby zdać sobie sprawę z praktycznych ograniczeń wszystkich systemów bezpieczeństwa (nie tylko) teleinformatycznego.
W spisie literatury został podany obszerniejszy zbiór publikacji niż wynikający z cytowań zamieszczonych w niniejszym artykule. Ma to na celu
6 Jest jednak naruszeniem bezpieczeństwa teleinformatycznego i przez poprawnie zbudowany
zainteresowanemu zagadnieniami bezpieczeństwa teleinformatycznego Czytelnikowi ułatwić poszukiwanie informacji na ten temat.
5. Wykaz oznaczeń
STE – system bezpieczeństwa systemu teleinformatycznego T osadzonego
w środowisku E;
OT – zbiór obiektów systemu teleinformatycznego T;
BT – zbiór środków bezpieczeństwa (zabezpieczeń) zastosowanych w systemie
STE;
BN – zbiór środków bezpieczeństwa (zabezpieczeń) zastosowanych w systemie
STEktóre zostały przełamane;
RT – zbiór podatności istniejących w systemie STE;
RB – zbiór podatności chronionych przed zagrożeniami;
RP – zbiór podatności których zabezpieczenia zostały przełamane;
RN – zbiór niezabezpieczonych podatności i podatności których zabezpieczenia
zostały przełamane;
Rπk – zbiór podatności wyznaczonych przez relację πk dla ścieżki penetracji pSEk;
PSE – zbiór ścieżek penetracji w systemie STE;
ZT – zbiór zagrożeń oddziaływujących na STE;
ΠSE – zbiór relacji wiążących oddziaływanie pojedynczego zagrożenia
z odpowiadającymi mu niezabezpieczonymi lub przełamanymi podatnościami związanymi z obiektami systemu STE;
∆ – jest niepustym zbiorem relacji określonych na obiektach ze zbioru OT,
niezbędnych do realizowania przez system teleinformatyczny T założonych zadań;
Ω – jest niepustym zbiorem relacji wiążących elementy zbioru OT
z posiadanymi przez nie podatnościami ze zbioru RB, chronionymi
za pomocą środków bezpieczeństwa ze zbioru BT
pSEk – ścieżka penetracji wyznaczona przez relację πk ;
Literatura
[1] Amoroso E.: Wykrywanie intruzów. Wydawnictwo RM. Warszawa.1999.
[2] Boboli A.: Bezpieczeństwo Systemów Informatycznych. Opracowanie Ministerstwa Sprawiedliwości. 1998.
[3] Brauer E., van Essen U.: Common Criteria (Version 1.0) – gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik. BSI-Fachinformationen.
[4] Dudek A.: Nie tylko wirusy. Helion. 1998.
[5] Findeisen W. (red): Analiza systemowa - podstawy i metodologia. PWN. Warszawa. 1985.
[6] Furtak J., Suski Z., Zieliński Z.: Eksploatacja systemów komputerowych. Administrowanie systemem UNIX. WAT. Warszawa. 1995.
[7] Gałach A.: Ochrona baz danych. CITCOM – PW. 1998.
[8] Garfinkel S., Spafford G.: Bezpieczeństwo w Unixie i Internecie. Wydawnictwo RM. Warszawa. 1997.
[9] Graham R., Denning P.: Protection – Principles and Practice. Proc. AFIPS Spring Joint Comp. Conf. V. 40, 1972 pp. 417-429.
[10] Harrison M. et al: Protection in Operating Systems Comm. AM, V. 19, No 8, Aug. 1976. pp. 461-471.
[11] Jones A.: Protection Mechanism Models: Their Usefulness. In: Foundations of secure Computation. 1978 pp. 237-252.
[12] Kaeo M.: Tworzenie bezpiecznych sieci. Mikom. Warszawa. 2000. [13] Klander L.: Hacker Proof. Mikom. Warszawa. 1998.
[14] Liderman K.: Bezpieczeństwo teleinformatyczne. IAiR WAT. Warszawa. 2001. [15] Nowicki Z. T.: Alarm o przestępstwie. TNOiK. Toruń. 1997.
[16] Patkowski A.E.: Z perspektywy napastnika. W: NetWorld. Str. 56-64. Nr 6. 2001. [17] Pfleeger Ch.: Security in Computing. Prentice Hall. 1997.
[18] Polus T. i in.: Windows 2000 Bezpieczny System Operacyjny. Hardening. BSI sp. z o.o. Seria FAQ#. Kraków. 2001
[19] Polus T. i in.: Microsoft Windows® XP Professional. Bezpieczny System
Operacyjny. Hardening. BSI sp. z o.o. Seria FAQ#. Kraków. 2002
[20] Rivest R., Shamir A., Adelman L.: A Method for Obtaining Digital Signatures and Public Key Cryptosystems. Communications of ACM. Vol.21. No 2. February 1978.
[21] Rychlica J.: Konstrukcja nowoczesnych urządzeń drukujących z uwzględnieniem możliwości ulotu informacji. Praca dyplomowa S. P. WPTW. WAT. Warszawa. 1998.
[22] Scambry J., McClure S., Kurtz G.: Hakerzy – cała prawda: sekrety zabezpieczeń sieci komputerowych. Wydawnictwo Translator. 2001.
[23] Schiffman M.: Hakerzy – wyzwanie. Wydawnictwo Translator. Warszawa. 2002. [24] Stallings W.: Ochrona danych w sieci i intersieci. W teorii i praktyce. WNT.
Warszawa. 1997
[25] Stokłosa J., Bilski T., Pankowski T.: Bezpieczeństwo danych w systemach informatycznych. PWN. Warszawa–Poznań. 2001.
[26] Stawowski M.: Badanie zabezpieczeń sieci komputerowych. ArsKom. Warszawa. 1999
[27] Stokalski A.: Standardy cyklu rozwojowego oprogramowania. VI Konferencja Systemy Czasu Rzeczywistego SCR’99. Zakopane. 1999.
[28] Wiktorko W.: Certyfikacja urządzeń i usług związanych z ochroną informacji w siłach zbrojnych RP. Praca dyplomowa S. P. WPTW. WAT. Warszawa. 1998.
[29] Materiały Bundesamt für Sichercheit in der Informationstechnik. IT- Grundschutzhandbuch. Niemcy. 1998.
[30] Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model. May 1998. Version 2.0. CCIB-98-026.
[31] Common Criteria for Information Technology Security Evaluation. Part 2: Security functional requirements. May 1998. Version 2.0. CCIB-98-027
[32] Common Criteria for Information Technology Security Evaluation. Part 3: Security assurance requirements. May 1998. Version 2.0. CCIB-98-028.
[33] ITSEC. Version 1.2. June 1991.
[34] Trusted Computer System Evaluation Criteria. DoD. 15 August 1983. CSC-STD-001-83.
[35] COBIT™ Control Objectives. April 1998. 2nd Edition. COBIT Steering Committe
and the Information Systems Audit and Control Foundation.
[36] BS 7799-1:1999: Part 1: Code of practice for Information Security Management. BSI.
[37] BS 7799-2:1999: Part 2 Specification for Information Security Management Systems. British Standards Institute.
[39] PN-92/T-20001.02: Systemy przetwarzania informacji. Współdziałanie systemów otwartych (OSI). Podstawowy Model Odniesienia. Architektura zabezpieczeń.1993. [40] PN-ISO 9001: Systemy jakości: Model zapewniania jakości w projektowaniu,
pracach rozwojowych, produkcji, instalowaniu i serwisie. Marzec. 1996.
[41] PN-ISO 9002: Systemy jakości: Model zapewniania jakości w produkcji, instalowaniu i serwisie. Marzec. 1996.
[42] PN-ISO 9003: Systemy jakości: Model zapewniania jakości w kontroli i badaniach końcowych. Marzec. 1996.
[43 PN-ISO 9000-3: Wytyczne do stosowania normy ISO 9001 podczas opracowywania, dostarczania i obsługiwania oprogramowania.1994.
[44] PN-I-02000: Technika informatyczna. Zabezpieczenia w systemach informatycznych. 1998.
[45] PN-89/T-01016.08. Przetwarzanie informacji i komputery. Terminologia. Kontrola, integralność i zabezpieczenia danych. 1990.
[46] PN-93/T-01016.20. Przetwarzanie informacji i komputery. Terminologia. Opracowywanie systemów informatycznych. 1992.
[47] PN-ISO/IEC 10116:1996. Technika informatyczna. Techniki zabezpieczeń. Tryby pracy algorytmu szyfrowania bloków n-bitowych.
[48] PN-ISO/IEC 9797:1996. Technika informatyczna. Techniki zabezpieczeń. Mechanizm integralności danych wykorzystujący kryptograficzną funkcję kontroli z algorytmem szyfrowania blokowego.
[49] PN-ISO/IEC 9798. Technika informatyczna. Techniki zabezpieczeń: 1 - Mechanizmy uwierzytelniania podmiotów. Model ogólny.
2 - Uwierzytelnianie podmiotów. Mechanizmy wykorzystujące symetryczne algorytmy szyfrowania.
3 - Mechanizmy uwierzytelniania podmiotów. Uwierzytelnianie podmiotów z wykorzystaniem algorytmu klucza publicznego.
4 - Uwierzytelnianie podmiotów. Mechanizmy wykorzystujące kryptograficzną funkcję kontrolną.
[50] PN-ISO 9160: 1997. Szyfrowanie danych. Wymagania dotyczące współpracy w warstwie fizycznej.
[51] PN-ISO/IEC 2382-1:1996. Technika informatyczna. Terminologia. Terminy podstawowe.
[52] PN-I-13335-1: 1999. Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.
[53] Materiały z konferencji IT.FORUM-SECURE_2000 „Bezpieczeństwo – być na bieżąco”. Warszawa. 18-19 października 2000.
[54] Materiały V Krajowej Konferencji zastosowań Kryptografii. Warszawa. 15-18 maja 2001.
[55] Miesięcznik WinSecurity Magazine.
Recenzent: prof. dr hab. inż. Marian Chudy Praca wpłynęła do redakcji 5.10.2002
