Сканирование объектов доступа АРМ.

Для сканирования ресурсов используется команда «Сканировать ресурсы».

Перед сканированием необходимо выполнить настройку - определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить в списке ресурсов требуемые: дисководы, локальные диски, диски СО-ШЭМ, сетевые диски, виртуальные диски, сеть, локальные принтеры, сетевые принтеры, неизвестные устройства, все ресурсы.

Перед выбором ресурсов администратор АС получит предупреждение - «Сканирование ресурсов необходимо выполнять с правами администратора. Все назначенные полномочия доступа будут утеряны».

Если в процессе сканирования будут найдены устройства, которые невозможно прочесть (например, пустой дисковод), Анализатор уязвимостей НКВД 2.3 считает, что данный объект доступа закрыт паролем и предлагает его ввести.

После завершения сканирования и при наличии хотя бы одного зарегистрированного Анализатором уязвимости НКВД 2.3 пользователя на панели «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файловой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств. Полученные данные используются в качестве исходных данных в НКВД 2.2.

Анализатор уязвимостей НКВД 2.2 - средство автоматизации проверки соответствия полномочий, предоставляемых пользователям СЗИ по доступу к объектам доступа, полномочиям пользователей, указанным в модели СРД, разработанной на основе НКВД 2.3. НКВД 2.2 сравнивает данные, полученные после сканирования структуры объектов доступа с данными, указанными в описании модели СРД пользователей к объектам доступа, потом проверяет установленные в модели СРД полномочия пользователей по доступу к объектам доступа на соответствие установленным правилам разрешительной системы доступа. НКВД 2.2 осуществляет проверку реального предоставления пользователям полномочий по доступу к объектам доступа в соответствии с установленными моделью СРД полномочиями. По результатам проверок формируются соответствующие протоколы в виде текстовых файлов.

В общем, указанные средства проверки средств разграничения доступа выполняют одинаковые функции и являются сертифицированными ФСТЭК РФ, однако линейка НКВД по функциональным возможностям уступают линейке Ревизоров. При сканировании локальных или сетевых ресурсов Ревизор позволяет выбрать для сканирования конкретный диск, НКВД же сканирует все диски сразу. Кроме того, Ревизор, помимо проверки дискреционного принципа доступа (доступа субъектов доступа к защищаемым ресурсам в соответствии с матрицей доступа), позволяет проверить и мандатный принцип контроля доступа (управление потоками информации с помощью меток конфиденциальности), что принципиально при тестировании объекта оценки. Еще одно преимущество линейки Ревизор - они работают не только в среде ?шс1оУ8, но и Ьлпих.

Проверка идентификации. Задачей идентификации является фиксирование множеств допустимых объектов и субъектов АС (физические и логические ресурсы, пользователи и процессы) и отношения между ними. Для определения множества объектов и субъектов сети на данном этапе логично провести инвентаризацию сети, т.е. определить:

  • - состав и конфигурацию сети (рабочие станции, устройства, ОС, стек протоколов, средства защиты информации);
  • - сетевые ресурсы, в первую очередь открытые для совместного пользования;
  • - пользователей и группы;
  • - приложения и идентификационные маркеры;
  • - общие параметры политик безопасности и т.д.

Проверка правильности идентификации объектов доступа в АС проверяется путем обращения к ним субъектов доступа по идентификаторам объектов, которые должны соответствовать Р(п)=Р(и), где Р(п) - множество проверенных, а Р(и) - множество идентификаторов известных системе. Обращение должно осуществляться однозначно только к данному объекту.

Объекты доступа определяются в соответствии с РД ФСТЭК России «Автоматизированные системы Защита от НСД к информации. Классификация АС и требования по защите информации» и актом классификации АС.

Проверка правильности идентификации субъектов доступа проверяется путем обращения субъектов доступа АС к объектам доступа при помощи штатных средств. Проверке подлежат методы идентификации основанные на знании (пароль), на обладании предметом (электронные ключи, карты с магнитной полосой), на воплощенных характеристиках (отпечатки пальцев, геометрию ладони, рисунок сетчатки глаза, голос, динамику подписи и т.д.).

При обращении должна проводиться проверка принадлежности предъявленного субъектом идентификатора множеству всех зарегистрированных в объекте оценки идентификаторов субъектов Р(п)=Р(з), где Р(п) - это проверенные идентификаторы, а Р(з) - множество всех зарегистрированных в АС идентификаторов. Если субъект доступа предъявляет идентификатор, не известный системе, то средства управления должны прекращать процесс предоставления доступа.

На данном этапе целесообразно провести анализ уязвимости сети с целью корректировки и фиксации обновлений и настроек ОС и приложений.

Для проведения инвентаризации сети можно использовать различные системные утилиты и специализированные средства управления сетью, что так же должно соответствовать равенству множеству заявленных программ и множеству программ после проверки Р(з)=Р(п). Однако с точки зрения испытаний логичнее было бы использовать современные сканеры уязвимостей сетевого, системного и прикладного уровней.

Современные сканеры уязвимостей анализируют рабочие станции, сервера, межсетевые экраны, сетевое оборудование, сервисы и приложения, составляют список уязвимостей, классифицируя их по степени опасности, и предлагают рекомендации по устранению уязвимостей. Это позволяет их эффективно использовать при тестировании объекта оценки - анализе угроз администрирования, конфигурирования и политики безопасности.

В настоящее время достаточно много сканеров уязвимостей представлено на рынке. Выделяется ряд критериев для выбора таких средств: количество реально обнаруживаемых ими уязвимостей (в т.ч. в сервисах, установленных на нестандартных портах), количество ложных срабатываний, удобство пользования сканером. Для выявления актуальных угроз очень важным является поддержка регулярных обновлений баз уязвимостей и интеграция по ним с IDS-продуктами. Из общеизвестных сканеров можно выделить следующие.

Продукты компании ISS (Internet Scanner, System Scanner) как полнофункциональные системы анализа защищенности, поддерживающие базу уязвимостей XForce, современные технологии сканирования, технологию клиент-сервер и т.д. Одна из версий Internet Scanner имела сертификат ФСТЭК РФ. К недостаткам относят высокую стоимость, медленность сканирования.

Сетевой сканер Nessus - единственный сканер, сертифицированная версия которого распространяется ФСТЭК РФ бесплатно. Серверная часть сканера работает в среде Unix. Nessus предоставляет широкие возможности по поиску уязвимостей сетей и исследованию структуры сетевых сервисов, постоянно обновляется и является одним из самых эффективных сетевых сканеров. Нельзя не сказать об отечественном сетевом сканере XSpider (Positive Tech.), к сожалению, несерти- фицированного. В печати отмечается его эффективность, однако при лаконичности отчетной информации.

В качестве системных сканеров следует выделить средства, поставляемые разработчиками операционных сред, а именно: MSB А для Windows, ASET для Solaris. Сканеры проверяют типовые уязвимости, правильность конфигурации, контролируют целостность файлов, своевременность установки сервисных пакетов операционных сред.

В системах, основанных на промышленных базах данных, могут быть использованы сканеры уязвимости СУБД, например Database Scanner (ISS).

Таким образом, обследовав систему сканерами и получив автоматизированные протоколы, можно решить две задачи:

  • - провести проверку уязвимости текущих настроек операционных, коммуникационных и прикладных сред;
  • - зафиксировать конфигурацию и состав АС, подлежащей аттестации.

При подтверждении аутентификации проверяется действительная принадлежность субъекту доступа предъявленного им идентификатора.

В качестве идентификатора могут быть использованы, например, биометрические признаки субъекта, специальные устройства (магнитная карточка, жетон и т.д.), пароль временного действия.

При проверке надежности аутентификации должна оцениваться вероятность подбора или несанкционированного получения (хищения) секретного (личного) признака или устройства посторонним субъектом доступа за период действия этого признака (устройства).

Правильность определения системой полномочий и предоставления доступа субъектам по отношению к объектам проверяется следующим образом. По описанию применения СЗИ выявляются виды полномочий (читать, изменять, выполнять, передавать и т.д.), по которым различаются права субъектов на доступ к объектам. Проверяется правильность предоставления доступа в соответствии с установленными правами субъектов по отношению к конкретным объектам. Должно выполняться Р(з)=Р(п), где Р(з) - множество заявленных прав данному пользователю, а Р(п) - множество прав после проверки.

Управление потоками информации осуществляется на основании сопоставления меток конфиденциальности объектов доступа Р(з)=Р(д), где Р(з) - множество заявленных меток конфиденциальности, а Р(д) - множество меток конфиденциальности прошедших проверку. Необходимо проверить наличие меток конфиденциальности на всех информационных объектах доступа. Метки конфиденциальности (грифы) должны быть ранжированы по важности помечаемой информации.

Наличие и надежность средств управления потоками информации в объекте оценки проверяется путем моделирования информационных потоков в реальном технологическом процессе по всем выявленным средствам перемещения информации.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >