Informačné systémy - skriptá - 9

INFORMAČNÉ SYSTÉMY BEZPEČNOSŤ INFORMAČNÝCH SYSTÉMOV

179

9. Bezpečnosť informačných systémovVzhľadom k tomu, že informačné systémy sa stávajú čoraz významnejším faktorom dlhodobého

úspechu alebo neúspechu podniku, musí sa venovať zvláštna pozornosť ich ochrane. Ochranou ISrozumieme komplex organizačných, programových, technických a sociálno-personálnych opatreníspojených s minimalizáciou možných strát vzniknutých v dôsledku poškodenia, zničenia alebo zne-užitia IS. Ochrana IS by mala byť organickou súčasťou komplexu všetkých ochranných opatrení, ktorésú v podniku uplatňované na akékoľvek jeho aktíva.

Škody, ktoré môžu vzniknúť možno rozdeliť na :1. Priame straty v dôsledku nelegálnych finančných transakcií, ktoré sú typické najmä pre finančné

podniky (banky, poisťovne, …).2. Nepriame straty v dôsledku prerušenia normálnej činnosti podniku (výroby, expedície, …) a

z toho vyplývajúce straty z nerealizovaných tržieb (a teda aj zisku). Okrem toho môže dôjsť ajk strate dobrého mena podniku, strate zákazníkov a pod.

3. Nekvalitné alebo zlé rozhodovanie v dôsledku nesprávnych informácií (napr. chybné rozhodnutieo prijatí zákazky, na ktorú nemáme potrebné kapacity).

4. Zvýšené náklady na získanie potrebných informácií, ktoré nemôžeme získať v dôsledku poškode-ného IS.

5. Zvýšené základy na odstránenie dôsledkov škôd spôsobených výpadkom IS

Ochrana IS sa vzťahuje nielen na údaje ale aj na programy, pretože ich poškodenie vediek nesprávnej funkcii systému. Problematike ochrany IS sa treba venovať po celú dobu životného cyklu(t.j. v predprojektovej príprave, pri projektovaní, pri programovaní aj počas rutinného používania).

Pod pojmom bezpečnosť informačného systému, teda rozumieme ochranu všetkých údajov, ktorésystém obsahuje, sú doň vkladané, spracúvané a prenášané, ako aj ochranu všetkých častí - technic-kých aj netechnických prostriedkov informačného systému. Ako bude podrobnejšie rozvedenév ďalších častiach, bezpečnosť informačného systému integruje fyzickú, počítačovú, komunikačnú,personálnu, administratívnu a prevádzkovú bezpečnosť. V systémoch s náročnejšími požiadavkamik týmto opatreniam pribudnú ešte opatrenia na zabránenie elektromagnetického vyžarovania. Súčas-ťou bezpečnosti informačných systémov sú nielen technické ale aj organizačné opatrenia.

Ochranné opatrenia vždy prinášajú zvýšenie nákupných aj prevádzkových nákladov a pre pracov-níkov a používateľov IS prinášajú niekedy aj nepohodlné obmedzenia. Všeobecne sa považuje za pri-merané venovať približne 10 až 20% celkových nákladov na IS na zabezpečenie jeho ochrany.

9.1 Príčiny ohrozenia ISPríčiny ohrozenia IS možno rozdeliť na úmyselné a neúmyselné.

K úmyselným príčinám zaraďujeme predovšetkým tzv. počítačové pirátstvo, ktorého cieľom jepreniknúť do IS a alebo neoprávnene získať dáta, ktoré sú predmetom utajenia, alebo ich neoprávnenemeniť. Niekedy môže byť cieľom aj úmyselné zničenie IS. Treba rozlišovať, či ide o poškodenie prí-ležitostné alebo o systematickú cieľavedomú činnosť.

Medzi úmyselné príčiny možno tiež zaradiť ohrozenie IS prostredníctvom počítačových vírusov,aj keď toto ohrozenie väčšinou nie je motivované poškodením určitého konkrétneho IS.

Neúmyselné príčiny môžu byť príčiny spôsobené:• ľudským faktorom - predovšetkým chybami operátorov, chybami vstupných dát, neautorizova-

ným prístupom a pod.,• programovým vybavením - chybami v systémových alebo aplikačných programoch,• technickým vybavením - zlyhaním niektorej časti počítača alebo komunikačného vybavenia,

BEZPEČNOSŤ INFORMAČNÝCH SYSTÉMOV INFORMAČNÉ SYSTÉMY

180

• prostredím - napr. klimatizáciou, výpadkom napájania, prírodnou katastrofou a pod.

9.2 Základný pohľad na informačnú bezpeč-nosť

Každý informačný systém sa skladá z určitého množstvakomponentov, ktoré spolu tvoria ucelený systém (Obr. 9.1).Vždy je tvorený minimálne technickým vybavením, operač-ným systémom a aplikačným programovým vybavením. Nadtechnickým vybavením pracuje operačný systém, ktorý pos-kytuje základné služby užívateľom aplikáciám. Aplikácie pos-kytujú ďalšie služby užívateľom a sprístupňujú im prostred-níctvom systému riadenia bázy dát (SRBD) potrebné údajeuložené v báze dát. SRBD zaisťuje správu dát a v podstatevytvára vlastný databázový operačný systém zložitý obdobneako operačný systém. Často ide o systém v systéme, ktorý mápod kontrolou technické vybavenie (najmä operačnú pamäť adisky).

Základné úlohy pre zaistenie bezpečnosti sútieto štyri základné ciele : dostupnosť, dôver-nosť, integrita a zodpovednosť. Tieto vlastnostimožno považovať za základné atribúty informač-ného systému. Možno ich definovať nasledujúcimspôsobom :• integrita reprezentuje neporušiteľnosť vlože-

nej informácie zásahom technickej časti sys-tému alebo ľudského činiteľa. Neporušiteľnosťmožno vyjadriť ako náhodný proces udalostí,ktoré znamenajú neautorizovaný príjem, nea-utorizované vyslanie alebo neautorizovanútransformáciu informácií.

• dôvernosť je vlastnosť informácie, ktorá zais-ťuje, že informácia nebude poskytnutá, nemô-že byť odhalená alebo zneužitá neoprávnenýmsubjektom. Pojem subjekt v tomto významezahŕňa nielen osoby, ale aj technické pros-triedky a programové vybavenie. Dôvernosťpredstavuje hierarchicky usporiadaný mecha-nizmus, ktorý zaručí požadovaný stupeňoprávnenia na zápis a čítanie informáciív určenej časti zabezpečovacieho systémustrojom alebo človekom. Stupeň (úroveň) dô-vernosti možno vyjadriť ako náhodný procesúspešného alebo neúspešného pokusu o jejporušenie.

• dostupnosť je časová charakteristika, ktorávyjadruje závislosti medzi požiadavkami ria-deného systému a splnením týchto požiada-viek. Obvykle sa reprezentuje v mierke roz-delenia pravdepodobnosti oneskorenia medzižiadosťou o službu a jej realizáciou.

Databázováaplikácia

Aplikácia

Užívateľ

OS

HW

SRBDMiddleware

Obr. 9.1 Vrstvová architektúrasystému

úschova

prenostransformácia

získavanie(akvizícia)

Obr. 9.2 Základné procesy informačného systému

dôvernosť

integrita

dostupnosť

Obr. 9.3 Komplexné vlastnosti zabezpečovacieho sys-tému


181

• zodpovednosť (accountability) je vlastnosť, ktorá zaisťuje evidenciu udalostí spojenýchs bezpečnosťou vo vzťahu k užívateľovi. Zaisťuje, že jednotlivé akcie spojené s určitou entitoumôžu byť spätne sledované.

Z vyššie uvedeného vyplýva, že existujú tri základné spôsoby ohrozenia informácií:• porušenie alebo strata integrity informácií,• porušenie alebo strata dôvernosti informácií,• strata dostupnosti informácií.

Komplexné vlastnosti zabezpečovacieho systému možno vyjadriť plochou trojuholníka (Obr.9.3). Je potrebné posudzovať vždy všetky základné vlastnosti. Komplexné posúdenie úrovne zabezpe-čovacieho podsystému treba robiť s ohľadom na požiadavky riadeného systému. Pri zabezpečovaní ISje potrebné vychádzať zo základných funkcií, pre ktoré je systém určený. Napríklad u systému obsa-hujúceho veľké databázy bez citlivých údajov, bude prevládať požiadavka na zaistenie integrity preddôvernosťou a dostupnosťou. U spoločnosti poskytujúcej telefónne služby bude jednoznačne prevlá-dať požiadavka na zaistenie dostupnosti pre ostatnými cieľmi.

Čoraz viac sa kladie dôraz na zaistenie zodpovednosti. Pre tento účel boli v európskych kritériáchpre hodnotenie bezpečnosti informačných systémov (ITSEC) definované tri kategórie používateľov:

• správca - môže vykonávať privilegované akcie v rozsahu svojej plnej pôsobnosti,• operátor - privilegované akcie môže vykonávať v obmedzenom rozsahu, ktorý mu predtým bol

preddefinovaný správcom (Napr. môže mať právo zastaviť systém alebo zálohovať systémovédáta).

• používateľ - nemôže vykonávať privilegované operácie.

Jednou z metód používaných k zaisteniu požadovanej úrovne zodpovednosti je audit. S ním jespojených niekoľko pojmov:

• auditovaná udalosť (audit event) – systémom detegovaná akcia, ktorá môže vyvolať spustenie azápis auditu; potom ide o zaznamenanú udalosť;

• auditný záznam (audit trail) – evidencia, ktorá umožňuje kontrolu funkčnosti časti systému avyužitie systému;

• položka auditného záznamu (audit record) – skupina dát zaznamenaná v auditnom zázname privýskyte zaznamenanej udalosti; položka auditného záznamu sa skladá z popisu auditu,z ktorých každý má množinu súvisiacich atribútov auditu;

• popis auditu (audit description) – časť položky auditného záznamu, kde je popísaný jeden zosubjektov alebo objektov, ktoré sa na niektorej zaznamenanej udalosti podieľali;

• atribút auditu (audit attribute) – určitá informácia o zaznamenanej udalosti alebo o jednom zosubjektov alebo objektov, ktoré sa na udalosti podieľali.

Informačné systémy možno deliť z rôznych klasifikačných hľadísk. Z hľadiska typu informač-nej bezpečnosti rozlišujeme tieto druhy bezpečnosti (Obr. 9.4):

• PHYSEC – fyzická bezpečnosť – zahŕňa pôsobenie hrozieb na hmotné aktíva potrebné pre pre-vádzkovanie IS. Tieto aktíva sú nasadené do konkrétneho prostredia, ktoré sa dynamicky vyvíja.Fyzická bezpečnosť teda znamená ochranu informačného systému a jeho častí proti neoprávnené-mu vniknutiu osôb (prevenciu a detekciu neoprávneného vniknutia), spôsoby zničenia už nepo-trebných informácií alebo už nepotrených médií s informáciami (archivačných médií, tlačových ainých výstupov informačného systému), ochranu proti požiaru, ochranu proti vode, plánovanie ha-várií a riešenie krízových situácií (tzv. krízový manažment).

• COMSEC – komunikačná bezpečnosť – treba eliminovať hrozby na hmotné aj nehmotné aktívanevyhnutné pre komunikáciu. Tu treba zahrnúť ako technické vybavenie, tak aj všeobecné štruktú-ry (napr. definície komunikačných protokolov, …). Ide teda o ochranu komunikácií medzi jednot-livými časťami informačného systému a to nielen z hľadiska výpočtovej techniky ale aj z hľadiskaprenosu faxových správ alebo telefonických rozhovorov.


182

• COMPUSEC – počítačová bezpečnosť – zahŕňa hrozby na hmotné aj nehmotné aktíva potrebnépre spracovanie informácií. V praxi sa ďalej delí na bezpečnosť technického vybavenia a progra-mového vybavenia. Pri zaisťovaní požadovanej bezpečnosti technických prostriedkov ide napríklado výber a spoľahlivosť týchto prostriedkov, zabezpečenie ich okamžitého servisu, kontrolu prístu-pu k týmto prostriedkom, ich ochranu pred elektrostatickou elektrinou a elektromagnetickým vyža-rovaním. Bezpečnosť programových prostriedkov smeruje napríklad k vyladeniu operačného sys-tému takým spôsobom, aby bol skutočným filtrom prístupu k informáciám uloženým v IS – t.j. abybola zabezpečená kontrola prístupu, identifikácia a autentizácia užívateľov, rozdelenie právomocíužívateľom, sledovanie a záznam činnosti systému aj užívateľov. Patrí sem tiež výber a spoľahli-vosť programového vybavenia, jeho licenčná čistota, kontrola prístupu k nemu a pod.

• INFOSEC – informačná bezpečnosť – zahŕňa pôsobenie hrozieb na nehmotné aktíva nevyhnutnépre fungovanie IS z hľadiska organizačného spracovania informácie. Tu treba zohľadniť najmäcitlivosť, životnosť, platnosť dát a pod. Pri zaisťovaní bezpečnosti dát sa zaoberáme ochranou dátv súboroch a v databázach proti chybám, vírusom, ochranou citlivých dát prostriedkami autorizáciea riadenia prístupu k dátam.

• PERSEC – personálna bezpečnosť – zaoberá sa predovšetkým elimináciou hrozieb spôsobenýchľudským faktorom. Ide v nej o ochranu pracovníkov ako súčasti informačného systému ale tiež oochranu IS pred dôsledkami udalostí spôsobených nekorektným jednaním pracovníkov.

Z hľadiska rozsiahlosti delíme IS na :

• plošné systémy veľkého rozsahu – v týchto systémoch prevažuje COMSEC a v rámci jednotli-vých lokalít COMPUSEC. Do tejto skupiny možno tiež zahrnúť veľké systémy riadenia pracujúcev reálnom čase.

Technická bezpečnosť

Počítačová bezpečnosť(COMPUSEC)

Radiačná bezpečnosť(TEMPSEC)

Dokumentačnábezpečnosť a ďalšie druhy

Komunikačná bezpečnosť(COMSEC)

Dokumentačnábezpečnosť a ďalšie druhy

Personálna bezpečnosť(PERSEC)

Fyzická bezpečnosť(PHYSEC)

Netechnická bezpečnosť

Bezpečnostné pohľady

Obr. 9.4 Prvky bezpečnosti informačných technológií


183

• hierarchické systémy stredného rozsahu – v týchto systémoch prevláda INFOSEC a COMSEC.Spravidla ide o heterogénnu množinu počítačov a programového vybavenia, ktorá je začlenená dodefinovanej organizačnej štruktúry.

• systémy lokálneho charakteru – v týchto systémoch dominuje INFOSEC v kombináciis COMPUSEC a PERSEC. Do tejto skupiny možno zaradiť lokálne systémy tvorené sieťou LANs obmedzenou vonkajšou komunikáciou.

• systémy minimálneho rozsahu – v týchto systémoch prevláda COMPUSEC a INFOSEC. Možnosem zaradiť samostatné PC alebo malú skupinu týchto počítačov.

9.3 Bezpečnostná analýzaBezpečnostná analýza je komplex činností zameraný na optimálne nasadenie bezpečnostných o-

patrení do IS. Analýzu možno robiť z viacerých pohľadov ⇒ rôzne druhy analýzy :

• nákladná analýza – snaží sa pristupovať k bezpečnostným opatreniam na základe ich ceny. tátocena sa porovnáva s cenou IS bez ochrany a zvažuje sa vhodný kompromis.

• kryptografická analýza – robí sa u systémov pracujúcich s nejakou formou šifrovej ochrany.Analyzujú sa možnosti získania šifrovacieho kľúča na základe znalosti otvoreného a šifrovanéhotextu.

• analýza rizík – snaží sa navrhnúť najefektívnejšie bezpečnostné opatrenia analýzou hrozieb, sla-bín systému a hodnoty aktív, na ktoré sú protiopatrenia aplikované.

• analýza bezpečnostných tokov – používa sa u tzv. bezpečnostných modelov, ktoré popisujú reál-ne systémy na základe matematických dôkazov. Informačným tokom sú priradené premenné a pri-radením bezpečnostných úrovní týmto premenným možno identifikovať tzv. skryté kanály. Analý-zy skrytých kanálov sa musí robiť u systémov s vyššou úrovňou bezpečnosti.

• informačno-bezpečnostná analýza – umožňuje stanoviť úroveň rizík, ktorým sú vystavené in-formácie v prostredí reálneho IS. Cieľom tejto analýzy je špecifikácia bezpečnostných zásad (bez-pečnostnej politiky), ktorým by mal IS vyhovovať.

9.3.1 Analýza rizík

Zmyslom bezpečnostného manažmentu je z globálneho hľadiska výber metód a techník, s ktorýmimožno dosiahnuť bezpečnostné ciele s maximálnou efektívnosťou a kvalitou. Tento manažmentovplyvňuje celý cyklus vývoja bezpečnostných technológií. Najdôležitejšou časťou by mala byť ana-lýza rizík zakončená návrhom protiopatrení. Analýza rizík je komplex opatrení zahŕňajúci nasledujúcečinnosti:

• Stanovenie hraníc systému – treba zvážiť, čo všetko sa bude analyzovať a v akom rozsahu. Mô-žeme sa napr. rozhodnúť, že nebudeme riešiť WAN komunikácie a túto oblasť prenecháme špecia-lizovanej firme.

• Identifikácia a ocenenie aktív – treba vytvoriť zoznam všetkých dôležitých častí systému a vyko-nať ich ohodnotenie na základe napr. ceny alebo časovej dostupnosti a pod. Toto ocenenie musízohľadniť účel a priority celého informačného systému.

• Identifikácia a ocenenie hrozieb – treba zistiť aké hrozby pôsobia na systém a aká je pravdepo-dobnosť ich výskytu.

• Identifikácia a ocenenie slabín (zraniteľnosť) – treba identifikovať slabé miesta systému, oceniťich a rozhodnúť o ich eliminácii.

• Profil a miera rizika – zahŕňa ocenenie dopadu jednotlivých hrozieb na konkrétne aktíva systému.Vo všeobecnosti možno tento proces nazvať stanovením miery ohrozenia systému.


184

• Návrh protiopatrení – hlavným cieľom týchto opatrení je eliminovať dopad hrozieb na konkrétnečasti systému.

9.3.2 Metódy analýzy rizík

1. Metóda ALE (MALE) – vhodná pre hodnotenie rizík aj vo veľkých systémoch v čase, keď sú užprevádzkované. Vtedy už sú dostatočne známe všetky hmotné aktíva, ktoré systém zahŕňa a možnoaj s odpovedajúcou presnosťou stanoviť dopad hrozieb z hľadiska zničenia alebo narušenia integ-rity dát, straty dostupnosti a pod.

2. Metóda matíc (MM) – je výhodná pre systémy lokálneho charakteru či už vo fáze vývoja alebovyužívania. Jej výhodou je schopnosť podchytiť veľké množstvo vzájomných vzťahov medzihmotnými a nehmotnými aktívami, hrozbami a slabinami. Vyžaduje však kvalifikovaný personál,ktorý musí byť schopný veľmi dobre zhodnotiť funkčné a dátové aspekty informačného systému.

3. Metóda anketovej analýzy (MAA) – využiteľná pre všetky skupiny systémov v čase prevádzky.Kladením vhodných otázok možno získať množstvo kvalitných informácií využiteľných v metódematíc (pri stanovení hodnôt prvkov matice) a v metóde podpory rozhodovania (pri distribúcii vá-hových koeficientov v uzloch rozhodovacieho stromu).

4. Metóda analýzy scenárov (MAS) – sú opodstatnené vo veľkých systémoch v čase ich projekcie ajvyužitia. Základom týchto metód sú analytické alebo dokonca simulačné modely, a preto musiabyť vytvorené na mieru pre každú aplikáciu. Vyžadujú vysoko kvalifikovaný analytický team azodpovedajúce náklady.

5. Metódy využitia skúseností (MVS) – majú len obmedzený význam a možno ich aplikovať len preniektoré menšie lokálne systémy. Sú založené na podobnosti s iným systémom, pre ktorý už exis-tujú preverené rizikové charakteristiky. Čím je systém väčší, tým ťažšie je nájsť vhodnú analógiu.

6. Metóda DELPHI panelu (MDP) – predpokladá existenciu vysoko kvalifikovaného kolektívu,ktorého každý člen je schopný hodnotiť hrozby, slabiny a potenciálne straty. Táto metóda je vý-hodná najmä pri riešení krízových situácií v rozsiahlych systémoch, ktoré sú už v prevádzke.Z jednej strany vyžaduje riešenie krízovej situácie vysokú odbornosť, na druhej strane však exis-tuje relatívne obmedzený priestor (vymedzený „súradnicami“ HROZBA, DOPAD, OBNOVENIEPÔVODNÉHO STAVU), v ktorom možno metódou konsenzu dospieť k optimálnemu riešeniu.

9.3.3 Nástroje pre analýzu rizík

Vzhľadom k veľkej technickej a časovej náročnosti sa pre analýzu rizík v zahraničí využívajúšpeciálne expertné nástroje, ktoré umožňujú efektívnu analýzu aj pri rozsiahlych systémoch. Expertnýsystém zaisťuje inteligentný počítačový proces, ktorý používa bázu znalostí a odvodené pravidlá preriešenie problémov, ktoré sú príliš obtiažne na riešenie bez znalostí expertov v konkrétnom odbore.

CRAMM

CRAMM je analytický nástroj z Veľkej Británie, ktorý vznikol pod patronátom Central Computerand Telecommunication Agency (CCTA). Jeho názov je skratka CCTA Risk Analysis and Manage-ment Method. Táto metodika je vo Veľkej Británii schválená pre odporúčanie vhodných bezpečnos-tných protiopatrení pre štátne IS spracovávajúce neklasifikované a citlivé klasifikované dáta. Systémzahŕňa metódu analýzy rizík, ktorá má rozhranie na SSADM (System Structured Analysis and DesignMethod) a PRINCE (Projects IN Controlled Environments).


185

Systém CRAMM rozlišuje dve zá-kladné aktivity : analýzu rizík a ma-nažment rizík. Pod analýzou rizík sarozumie identifikácia a ohodnotenieúrovne rizík na základe matematickýchmetód. Dáta sa získavajú od jednotli-vých respondentov pomocou dopytovusporiadaných do štruktúrovaných do-tazníkov. Pod pojmom manažment rizíksa rozumie výber a aplikovanie adek-vátnych protiopatrení, ktoré eliminujúhrozby pri minimalizácii nákladov(Obr. 9.5). Systém CRAMM vychádzazo znalosti dátových tokov a preto sa dávyužiť najmä pre systémy menšieho a stredného rozsahu v štádiu používania.

Analýza systému sa robí v troch etapách. Časovo najnáročnejšia je I. etapa, ktorá zahŕňa najmä :− presné vymedzenie hraníc obsahu štúdie (menovitý zoznam osôb, lokality, …),− popis programov a technického vybavenia (PC, komunikačný systém,…),− popis personálnej štruktúry (organizačná schéma, popis funkcií,…),− ustanovenie závislosti medzi dátami, programami a technickým vybavením.

CRAMM umožňuje kvantitatívne aj kvalitatívne ocenenie aktív. Na konci prvej etapy možno ur-čiť, či je potrebné urobiť úplnú analýzu (t.j. ďalšie dve etapy) alebo sa použijú už overené (spravidlaorganizačné) opatrenia. Prvá etapa je charakterizovaná zberom údajov. V rámci tejto etapy možnoaktíva zoskupovať do logických skupín, na ktoré možno aplikovať nasledujúce etapy.

V druhej etape (ak sa k nej pristúpi) systém kladie podrobné otázky pre bližšiu špecifikáciu hro-zieb a slabín. Tieto otázky sú veľmi podrobné a nemožno ich meniť podľa potrieb užívateľov. Vý-sledkom druhej etapy sú celkové prehľady z hľadiska stanovenia úrovne hrozieb a slabín.

V tretej etape systém spolupracuje pri návrhu protiopatrení na potlačenie účinkov hrozieb a sla-bín. Protiopatrenia sú rozdelené na hardwarové, softwarové, komunikačné, fyzické, procedurálne apersonálne.

Systém CRAMM spĺňa všetky predpoklady pre použitie pri analýze rizík. Obsahuje prepracovanúbázu informácií, ktorá zahŕňa hrozby, slabiny a protiopatrenia. Celý systém dôsledne zdôrazňuje cenuvlastných dát, od ktorých sa odvíja všetka aktivita systému. Výsledkom činnosti systému je kompletnáspráva, ktorá môže slúžiť ako záverečná správa pre vrcholový manažment, obsahujúca výsledky ana-lýzy a navrhované opatrenia.

RiskPAC

Tento systém vyvinula americká firma CPA (špecializuje sa na problematiku analýzy rizík). Ide oexpertný systém, do ktorého sú implementované prvky umelej inteligencie. Systém dôsledne oddeľujeanalýzu a manažment rizík a nadväzujú naň ďalšie balíky programov - RecoveryPac (umožňuje vytvá-rať plány obnovy funkčnosti IS) a System Manager (umožňuje užívateľovi vytvoriť vlastné dotazní-ky).

V systéme sú obsiahnuté konkrétne dotazníky špecifické pre jednotlivé oblasti bezpečnosti (fy-zická bezpečnosť, poisťovníctvo, bankovníctvo, systémové aplikácia, PC, komunikácie, …). Po vypl-není dotazníka systém vygeneruje jednotlivé hrozby a úrovne rizík. Systém tiež pre jednotlivé kategó-rie rizík navrhuje množinu eliminujúcich protiopatrení.

Systém RiskPAC pozostáva zo 4 hlavných častí :

• Otázky – sú vyvinuté expertmi a sú analyzované v jednoduchej alebo viacúrovňovej postupnostipre uľahčenie opakujúcej sa analýzy. Otázky môžu mať viac odpovedí. Vetvenie je možné a je za-

protiopatrenia

riziká

hrozby slabinyaktíva

ANALÝZA

MANAŽMENT

Obr. 9.5 Koncepcia analýzy rizík v systéme CRAMM


186

ložené na vyhodnotení predchádzajúcich odpovedí. Každá otázka boduje jednu z 26 možných rizi-kových kategórií.

• Profily – definujú rizikové kategórie a popisujú ohrozenie primerané k týmto kategóriám. Rizikású rozčlenené do 5 úrovní, do ktorých sa zaraďuje riziko od nízkeho k vysokému. Zhrnutie otázokvypočítava tzv. skóre d˙.

• Mapujúce súbory – vzťahujú sa k daným profilovým hodnotám a špecifikujú požiadavky na vý-roky, štandardy alebo odporúčania.

• Požiadavky – poskytujú radu v oblasti návrhu protiopatrení a sú združené do špecifických odpo-vedí alebo cez rizikovú kategóriu a úroveň. Reporty RiskPACu umožňujú užívateľovi zvoliť sikonkrétne riziko, hodnotu alebo kritérium ohrozenia. Výsledok je potom zostavený vzájomnoukombináciou všetkých troch volieb.

Nasledujúce tabuľka obsahuje prehľad metód, ktoré podporujú systémy CRAMM RiskPAC :Metóda

Systém MM MPR MALE MAA MAS MDP

CRAMM

RiskPAC

Pomocou týchto systémov možno pokryť všetky kľúčové metódy a analyzovať tak väčšinu bež-ných systémov, ktoré nevyžadujú špeciálny druh analýzy.

9.4 Fyzická bezpečnosť informačných systémovAko už bolo uvedené skôr, fyzická bezpečnosť znamená ochranu informačného systému a jeho

častí proti neoprávnenému vniknutiu osôb (prevenciu a detekciu neoprávneného vniknutia), spôsobyzničenia už nepotrebných informácií alebo už nepotrených médií s informáciami (archivačných médií,tlačových a iných výstupov informačného systému), ochranu proti požiaru, ochranu proti vode, pláno-vanie havárií a riešenie krízových situácií (tzv. krízový manažment).

Fyzickou bezpečnosťou môžeme rozumieť fyzickú ochranu a organizáciu fyzického prístupuk zdrojom inštitúcie, umiestnenie zabezpečovacích a monitorovacích zariadení, stanovenie zodpoved-nosti a hierarchií. Fyzické zabezpečenie IS zahŕňa opatrenia, ktoré by mali byť analyzované a prípad-ne prijaté na zabezpečenie ochrany objektov (budov, priestorov, miestností), v ktorých sú umiestnenéprostriedky IS (technické vybavenie IS, archivované dáta, záložné dáta) a ich technologické vybavenie(energetické zdroje, klimatizácia, …).

9.4.1 Vlastnosti objektov

Pri posudzovaní potreby zabezpečenia informačných systémov je potrebné brať do úvahy ajvhodné umiestnenie objektu z hľadiska:

− seizmickej aktivity priestoru, kde je umiestnený objekt,− elektrických VVN rozvodu,− vedenia plynovodov, prípadne ropovodov.

Projekt výstavby (novostavby alebo rekonštrukcie objektu) musí rešpektovať odporúčania vychá-dzajúce z bezpečnostnej analýzy objektu a stanovenej bezpečnostnej politiky.

Klimatizačné zariadenia

Technológia vzduchotechnického zariadenia musí byť inštalovaná mimo bežne prístupných prie-storov. K ovládaniu smie mať prístup len obslužný personál. Klimatizačná stanica by mala byť u-


187

miestnená v miestnosti bez okien, aby nemohlo dôjsť k ohrozeniu objektu zvonka. Ovládanie klimati-zácie musí mať väzbu na elektrickú požiarnu signalizáciu.

Energetické zdroje

Zdroj elektrickej energie pre prevádzku informačnej technológie musí zabezpečiť stabilitu (napä-tia, frekvencie, …) zdroja. Podľa charakteru informačného systému je potrebné zabezpečiť určitúúroveň zálohovania zdroja - použitie zdroja nepretržitého napájania (Uninterruptible Power Supply -UPS), ktorý je v závislosti od konštrukcie schopný zabezpečiť v prípade výpadku energetickej sietenapájanie celého IS alebo jeho dôležitých uzlov (napr. serverov) po dobu niekoľko minút až niekoľkohodín.

Elektrické rozvody pre napájanie informačných technológií by s ohľadom na zvýšenie fyzickejbezpečnosti IS mali byť vedené samostatne a byť chránené proti prepätiu a statickým výbojom.

Je samozrejmé, že rozvody elektrickej energie ale aj ďalších energií (rozvody plynu, tepla, vody)a aj všetky inštalácie spotrebičov musia byť realizované v súlade s platnými normami.

9.4.2 Stráženie objektu

Strážna služby, ktorá zabezpečuje stráženie objektu, by mala byť zaistená prostredníctvom profe-sionálne j bezpečnostnej agentúry na základe zmluvy. Súčasťou zmluvy o zaistení stráženia objektumajú byť smernice a plán stráženia. Spracovanie smerníc a plánu stráženia musí vychádzaťz bezpečnostnej analýzy objektu. Počet a kvalifikácia pracovníkov agentúry, ktorí strážia objektv jednej smene musí rešpektovať požiadavky na obsluhu technických prostriedkov, ktoré realizujútechnické zabezpečenie objektu. Ide predovšetkým o obsluhu týchto zariadení:

• ústredňa elektrickej požiarnej signalizácie;• ústredňa elektrickej zabezpečovacej signalizácie;• monitorovacie prostriedky.

Smernice pre stráženie objektu musia obsahovať aj právomoci strážnikov pre prípad potreby rea-govať pri narušení objektu páchateľom. Je samozrejmé, že všetky činnosti a právomoci pracovníkovbezpečnostných služieb zaisťujúcich stráženie objektu, musia byť v súlade so zákonom pre činnosťcivilných bezpečnostných služieb.

9.4.3 Mechanické zabezpečenie objektu

Účelom mechanických zábranných systémov je vytvoriť systém bariér resp. zábran, ktorév prípade napadnutia objektu vytvoria časové oneskorenie medzi časom napadnutia objektu a časomdokončenia útoku, takže spomalia páchateľa pri narušení objektu. Toto časové oneskorenie - nazývasa mechanická odolnosť - sa považuje za kritérium pre posúdenie bezpečnostnej úrovne mechanické-ho zábranného systému.

Z hľadiska zámeru potenciálneho útočníka môžeme rozlíšiť tieto ciele útoku:• násilné preniknutie osôb do chránenej zóny (napr. za účelom získania prístupu k terminálom IS,

utajovaným informáciám, a pod.);• poškodenie alebo znehodnotenie techniky a zariadení vnútri chránenej zóny (napríklad zničenie

záložných kópií citlivých dát, poškodenie servera, v ktorom sú dáta fyzicky uložené a pod.);• odcudzenie predmetov alebo iných hodnôt z chráneného priestoru (napr. krádež utajovaných in-

formácií, médií s dátami a pod.);• umiestnenie nebezpečného materiálu do chránenej zóny (napr. umiestnenie bomby do výpočto-

vého strediska spracovávajúceho citlivé informácie, implementácia vírusového napadnutia dosystému a pod.).

Vo všeobecnosti je každý mechanický zábranný systém prekonateľný. Jeho bezpečnosť teda ur-čuje množstvo vynaloženej energie potrebnej na prekonanie zábrany, časové oneskorenie (spomale-


188

nie) pohybu páchateľa pri útoku, prípadne agresívnosť použitého náradia. Podľa rizika napadnutiamechanických zábran ich môžeme rozdeliť na:

• časti vonkajšej ochrany objektu (ploty, vráta, závory, ochranné múry, …) - tzv. perimetrickáochrana objektu,

• stavebné prvky budov (steny, podlahy, strop, strecha, …),• stavebné otvory budov (okná, dvere, …),• objekty na úschovu (schránky, skrine, trezory, …).

9.4.4 Elektrická zabezpečovacia signalizácia

Základným účelom zariadení elektrickej zabezpečovacej signalizácie (EZS) je zaznamenať naru-šenie objektu a tento stav vhodne signalizovať. Vlastný návrh a realizácia ochrany objektu pomocouEZS vychádza zo spracovanej analýzy bezpečnosti. Na spôsob realizácie zabezpečenia objektu majúokrem iných vplyv predovšetkým tieto faktory:

• okolie objektu,• prístupy do objektu z okolia,• vnútorná charakteristika objektu (napr. počet a veľkosť okien, vstupy do objektu - prechody cez

strechu, pivnice, svetlíky, strešné okná, veľké sklenené plochy, dvere, členitosť a stav interiéru,…),

• nájomníci objektu a ich pohyb v rámci objektu,• technologické rozvody (elektrina, plyn, teplo, telefón, …), ktoré spravuje a udržiava iná organi-

zácia a pracovníkom tejto organizácie musia byť prístupné,• iné prevádzky umiestnené v objekte,• vchody do garáží, ktoré ústia von z objektu,• podzemné garáže, napr. všeobecne prístupné, z ktorých vchody, schodištia alebo výťahy ústia

do chráneného objektu.

Systém elektrickej zabezpečovacej signalizácie pozostáva z nasledujúcich základných častí :• detektory,• ústredne,• signalizačné zariadenia (optické, akustické, pre diaľkovú signalizáciu),• zdroje.

Detektory

Účelom detektorov je vyhodnotiť narušenie stráženého objektu na základe zmeny nejakej fyzi-kálnej veličiny. Medzi základné typy detektorov používaných v systémoch EZS patria:

• magnetické alebo mechanické kontakty – vyhodnocujú otvorenie okna alebo dverí,

• detektory rozbitia skla (Glass Brake Detector) – vyhodnocujú charakteristický zvuk, ktorý vznikápri trieštení skla,

• pasívne infračervené detektory (Passive Infra Red detector - PIR) – vyhodnocujú zmenu tepelné-ho žiarenia pri pohybe osoby v zornom poli detektora,

• ultrazvukové detektory (Ultra Sound detector - US) – vyhodnocujú zmenu frekvencie zvukovéhosignálu vysielaného detektorom, ku ktorej dochádza pri pohybe objektu v chránenom priestore,

• mikrovlné detektory (Micro Wave detector - MW) – vyhodnocujú zmenu frekvencie elektromag-netického žiarenia vysielaného detektorom, ku ktorej dochádza pri pohybe objektu v chránenompriestore.

• duálne detektory – obsahujú dva vyhodnocovacie systémy - napr. PIR-MW alebo PIR-US. Ichvýhodou je zmenšenie pravdepodobnosti vzniku falošných poplachov, pretože duálne detektoryvyhodnotia narušenie, keď ho zaznamenajú súčasne obidva detektory.


189

Detektory sa vhodne umiestňujú do chráneného priestoru a združujú sa do zón. Výstupy detekto-rov sa pripájajú na ústredne EZS.

Ústredne EZS

Účelom ústrední je vyhodnotiť signály z pripojených detektorov a v závislosti od stavu ústredne(je v pohotovostnom režime, režime stráženia alebo servisnom režime) vyhlásiť poplach. Podľa kon-štrukcie existujú ústredne:

• slučkové - jednotlivé detektory sa pripájajú k ústredni prostredníctvom slučiek, v ktorých sú vý-stupné kontakty detektorov umiestnených v jednotlivých zónach. Pre každú zónu sa spravidlapoužíva samostatná slučka, čo pri zložitejšom objekte s väčším počtom zón vedie k pomernevysokým nárokom na potrebný počet vedení. Určitou nevýhodou princípu, je fakt, že v prípadepoplachu ústredňa nepozná presné miesto narušenia, len slučku (zónu) v ktorej došlok poplachu.

• s priamym adresovaním (zbernicové) - detektory sú k ústredni pripojené prostredníctvomzbernice, ku ktorej sa pripájajú paralelne. Rozdelenie jednotlivých detektorov do zón sa reali-zuje prostredníctvom pridelenia adresy jednotlivým detektorom, ktoré potom priamo komuni-kujú s ústredňou. Výhodou tohoto princípu je znalosť presného miesta narušenia v prípadepoplachu, nevýhodou je najmä väčšia zložitosť a teda aj cena detektorov.

• kombinované - detektory sú realizované jednoduchšie s výstupnými kontaktmi a zapájajú sa doslučiek, ktoré sú pripojené k tzv. koncentrátorom. Koncentrátory sú s ústredňou prepojené pros-tredníctvom zbernice.

Signalizačné zariadenia

Základnou úlohou signalizačných zariadení je indikovať poplach. Poplach možno signalizovaťlokálne - prostredníctvom optickej a akustickej signalizácie umiestnenej vo vnútri alebo na vonkajšejstrane stráženého objektu. S ohľadom na pomerne malú účinnosť lokálnej signalizácie sa pri ochraneobjektu s vyššími nárokmi na bezpečnosť používa aj druhý stupeň signalizácie narušenia prostredníc-tvom tzv. automatického telefónneho hlásiča (pri signalizácii poplachu vytočí naprogramované tele-fónne číslo a niekoľkokrát zopakuje správu nahranú vopred do rečového modulu) alebo automatické-ho komunikátora pultu centralizovanej ochrany (pri signalizácii poplachu sa určeným kanálom -telefonickým v hovorovom alebo nadhovorovom pásme alebo rádiovým - spojí s pultom centralizova-nej ochrany, ktorému odovzdá digitálnu správu o stave ústredne, druhu poplachu, mieste narušenia apod.).

9.4.5 Elektrická požiarna signalizácia

Účelom zariadení elektrickej požiarnej signalizácie (EPS) je signalizácia vzniku požiaru. Je topomocné zariadenie, ktoré nezabraňuje vzniku požiaru, ale umožňuje skrátiť čas medzi vznikom po-žiaru a hasiacim zásahom proti nemu. Systém EPS je v trvalej prevádzke, signál o vzniku požiaru jepo samostatnej komunikačnej linke vedený do ohlasovne požiarov. Vyššie typy ústrední EPS umož-ňujú pripojenie externých zariadení a jedným z nich je stabilné hasiace zariadenie, ktoré umožňujepriamo hasiť vzniknutý požiar. Zariadenie EPS pozostáva z týchto základných častí:

• hlásiče požiaru (tlačidlové, automatické),• ústredne EPS,• signalizačné zariadenia (optické, akustické, pre diaľkovú signalizáciu požiaru),• napájacie zdroje,• doplňujúce zariadenia (požiarne klapky, automatické dvere, stabilné hasiace zariadenia, …).

9.4.6 Riadenie vstupu a pohybu osôb

Systémy pre riadenie vstupu a pohybu osôb v chránenom objekte prispievajú k zvýšeniu fyzickejbezpečnosti, pretože automaticky kontrolujú oprávnenie osôb k vstupu do objektu alebo jeho častí, av prípade, že osoby takéto oprávnenie nemajú, systémy im vstup do objektu neumožnia. Systémy


190

spravidla vyžadujú identifikáciu osoby vhodným spôsobom - napr. určitou znalosťou (napr. hesla,číselného kódu a pod.), predmetom (štítok s čiarovým kódom, magnetická karta, čipová karta, …)alebo vlastnosťou kontrolovanej osoby (otlačok prstov, snímka sietnice, dúhovky, tvar prstov, ruky apod.).

Pre výber vhodného systému je rozhodujúce, čo od systému pre riadenie vstupu a pohybu osôbpožaduje jeho budúci užívateľ alebo majiteľ objektu. Od toho sa odvíjajú systémové možnosti a týmaj voľba vhodného typu zariadenia. Pre návrh systému je potrebné špecifikovať:

− počet kontrolovaných zón,− hierarchiu prístupu do zón,− množstvo vyhodnocovaných informácií,− spôsob identifikácie osôb,− požadované väzby na iné informačné systémy,− rozľahlosť chráneného objektu.

9.4.7 Systémy priemyslovej televízie

Systémy priemyslovej televízie sa používajú predovšetkým pre účely monitorovania chránenéhoobjektu. Spravidla sa používajú v spolupráci so systémami elektrickej zabezpečovacej signalizáciealebo systémami pre riadenie vstupu a pohybu osôb v objekte. Aplikáciu priemyslovej televízie mož-no zhrnúť predovšetkým do týchto oblastí:

• monitorovanie vstupov a vjazdov do objektov,• monitorovanie objektov a pozemkov,• monitorovanie obvodu pozemku (napr. plotov) obvykle v spolupráci so zariadením EZS,• monitorovanie exponátov v múzeách, galériách, na výstavách a pod.,• monitorovanie prevádzky v obchodných domoch, bankách, sporiteľniach,• monitorovanie parkovísk,

Systémy priemyslovej televízie slúžia nielen pre účely monitorovania ale spravidla aj pre účelyzáznamu obrazovej informácie. Spravidla pozostávajú z týchto častí:

• televízne kamery s príslušenstvom (objektívy, clony, polohovacie zariadenia),• televízne monitory,• zariadenia pre zlúčenie obrazu z viacerých kamier (kamerové prepínače, deliče obrazu, multi-

plexery),• záznamové zariadenia (videomagnetofóny s dlhou dobou záznamu, digitálne videomagnetofó-

ny),• doplňujúce zariadenia (diaľkové ovládanie kamier, záznamu, prenosové systémy, systémy pre

kompresiu obrazu, …).

Nasadenie videotechniky je pre každý jednotlivý prípad špecifické a prístup k jeho návrhu musíbyť v súlade s celkovou bezpečnostnou politikou a ostatnými opatreniami pre zaistenie fyzickej bez-pečnosti informačných systémov.

9.5 Komunikačná bezpečnosťKódovanie prenášaných správ len znižuje pravdepodobnosť odhalenia informácie neoprávnenou

osobou, nijako však nebráni pirátskemu vysielaniu podvrhnutých správ, kladeniu neoprávnených otá-zok a pod. Preto okrem šifrovania je potrebné venovať pozornosť aj metódam preverovania pôvod-nosti správ (autentizácia), preverovania oprávnenosti prístupu k dátam a podpisovaniu vysielanýchspráv ich odosielateľom.


191

9.5.1 Autentizácia správ

Plnenie mnohých služieb v počítačovej sieti je často viazané na konkrétnu identitu klienta. Potre-ba autentizácie správ sa objavuje aj v prípade zasielania tajných správ šifrovaných verejným kľúčompríjemcu. Verejným kľúčom môže zašifrovať odosielanú správu ktokoľvek a teda možno aj podvrhnúťfalošnú správu.

C(M) × KPAM × KSA

Správa MSpráva M

KPA

KPA

KSA

generátorkľúčov

verejný kanálC(M)

BA

dôveryhodnýObr. 9.6 Autentizácia správy zaslanej z A do B

Autentizáciu možno riešiť s využitím asymetrickej šifry (Obr. 9.6). Na zašifrovanie správy sa po-užije tajný kľúč KSA odosielateľa. Verejný kľúč odosielateľa potrebný na dešifrovanie správy by malpríjemca obdržať dôveryhodným spôsobom. Aby mal istotu, že tento kľúč nie je podvrhnutý. Je tedapotrebný dôveryhodný kanál - môže to byť napríklad oficiálna tlačovina a pod.

Nasledujúci obrázok (Obr. 9.7) ukazuje možnosť zlúčenia utajenia a autentizácie. Najskôr saspráva zašifruje vlastným tajným kľúčom KSA (pre následnú autentizáciu) a potom verejným kľúčom

príjemcu KPB. Po zašifrovaní sa správa prenesie verejným kanálom. Príjemca prijatú správu odšifrujev obrátenom poradí. Najskôr vlastným tajným kľúčom KSB a potom verejným kľúčom odosielateľaKPA. Ak je takto dešifrovaná správa čitateľná, je autentická.

Problém autentizácie požiadavky klienta možno vyriešiť aktivitou servera, ktorý sa žiadajúcehoklienta opýta, či skutočne požaduje vykonanie služby. Pre zabezpečenie autentizačného dopytu protipirátskemu odpočúvaniu a následnému falošnému potvrdeniu môže server použiť princípy kryptogra-fie s verejným kľúčom - tzv. autentizáciu výzvou (Obr. 9.8). Server (centrála) vygeneruje z dôvodov

C(M) × KSB ×KPAM × KSA × KPB

Správa MSpráva M

KPA

KPA

KSA

generátorkľúčov

generátorkľúčov

verejný kanálC(M)

BA

dôveryhodný

KPB

KPB

KSB

Obr. 9.7 Zaslanie dôvernej správy z A bo B vrátane autentizácie správy


192

neopakovateľnosti náhodné číslo N, ktoré klient žiadajúci o prístup zašifruje svojim tajným kľúčom aodošle serveru. Ten potom na základe znalosti verejného kľúča klienta overí jeho totožnosť.

C(N) ×KPAN × KSA

N

KPA

KPA

KSA

podpisoverený

verejný kanál

C(N)

Bvyzývajúci

server

Aautentizovaný

klient

dôveryhodný

≡≡≡≡

Obr. 9.8 Autentizácia uzla A na výzvu uzla B

Autentizácia výzvou môže prebehnúť aj modifikovaným spôsobom. Klient pri otváraní službyserveru predá svoj verejný kľúč a nechá si odpovedajúci tajný kľúč. Keď server prijme požiadavku navykonanie služby, zvolí náhodné číslo (N), zakóduje ho klientovým verejným kľúčom a túto správupošle žiadajúcemu klientovi. Klient tajným kľúčom číslo dešifruje a svoju identitu potvrdí vrátenímsprávne dešifrovaného čísla. Pirátsky klient nepozná tajný kľúč, nemôže teda vrátiť správnu odpoveď.Šancu nemá ani vytrvalý pirát, ktorý trvalo sleduje prevádzku v sieti, pretože server volí číslo preautentizačný dopyt náhodne.

9.5.2 Podpisovanie správ

Autentizácia správ umožní, aby si príjemca správy overil, či prijatá správa pochádza od pravéhoodosielateľa. Pre mnoho aplikácií (napríklad bankovníctvo) je však potrebné silnejší aparát, ktorýpríjemcovi umožní „presvedčiť nezávislého sudcu“, že správu odoslal ním udaný odosielateľ. Takýtoaparát teda umožňuje príjemcovi overiť si identitu odosielateľa a zároveň odosielateľovi znemožňujeneskoršie popretie autorstva odoslanej správy. Takúto funkciu plní digitálny podpis.

Digitálny podpis musí byť závislý ako na obsahu správy, tak na identite odosielateľa. Ak by ne-bola splnená táto podmienka, mohol by príjemca správy text podpísanej správy pozmeniť, resp. odo-slaný podpis pridať k úplne inej správe


193

DP ×KPAMAC(M) × KSA

MAC(M)

MAC(M) MAC(M)

Správa MDátumČas

DátumČasSpráva M

KPA

KPA

KSA

správaoverená

verejný kanál

DP

BA

dôveryhodný

≡≡≡≡

Obr. 9.9 Digitálny podpis správy zaslanej z A do B

Správa, ktorá má byť digitálne podpísaná, sa spravidla opatrí návesťou, dátumom a časom vyho-tovenia. Potom sa charakterizuje vhodnou funkciou, napríklad zo všetkých znakov správy sa vypočítaautentizačný kód MAC(M) (pozri kap.2). Zmena jediného bitu správy má za následok zmenu tohtokódu. Ak je prijatá správa autentická, potom autentizačný kód vypočítaný na strane príjemcu musísúhlasiť s tým, ktorý sa získa odšifrovaním digitálneho podpisu DP. Dvojica [MAC(M),DP=MAC(M)×KSA] potom tvorí digitálny podpis, ktorý nemožno odvolať, pretože ho mohol vytvoriťlen ten, kto poznal niečo výlučné, známe len jemu – tajný kľúč KSA.

Vo viacerých predchádzajúcich spôsoboch autentizácie a digitálneho podpisu sa predpokladá e-xistencia dôveryhodného kanálu pre prenos verejného kľúča odosielateľa alebo prijímateľa správ. Akby sme mali polygonálnu sieť s n uzlami a chceli by sme vždy medzi dvomi uzlami mať samostatnýdôveryhodný kanál, potrebovali by sme n(n-1)/2 kanálov. Pri počte 100 uzlov je to 4950 kanálov, čoje veľmi ťažko technicky realizovateľné.

Praktické riešenie tohto problému ponúka vybudovanie certifikačnej autority, ku ktorej si všetciúčastníci siete vybudujú každý svoj dôveryhodný kanál. Potrebný počet takých kanálov je len n-1, čonapr. pri sieti so 100 účastníkmi predstavuje len 99 kanálov. V rozsiahlych a heterogénnych sieťach jemožné vytvoriť sústavu certifikačných autorít vrátane ich hierarchického usporiadania. Ako uznávanáa nezávislá certifikačná autorita môže pôsobiť zvolený uzol siete, ktorý musí mať vhodnú ochranu.

Príklad riešenia certifikačnej autority je zobrazený na nasledujúcom obrázku (Obr. 9.10). Certifi-kačná autorita vytvorí z identifikačných dát uzla A - IDA pomocou tajného kľúča certifikačnej autority(KSCA) certifikovanú hodnotu identifikačných údajov uzla A (CVA), ktorá sa následne využívav komunikácii s ostatnými účastníkmi siete. Certifikačná autorita okrem toho všetkým účastníkomposkytne svoj verejný kľúč (KPCA). Zaslanie trojice [CVA, IDA, KPA] uzlom A uzlu B stačí na to, abyuzol B overil pravosť verejného kľúča KPA a zaradil ho do svojho chráneného zásobníka kľúčov. Ďal-šia komunikácia medzi uzlami A a B sa zaobíde bez zriaďovania dôveryhodného kanálu medzi nimi.


194

CVA ×××× KPCA

KSCA ×××× IDA

IDA

verejný kanál B

KPCA

KPCA

CVA

CVA

zhodaKPA

IDA

IDA

Certifikačná autorita (CA)

A

dôveryhodný

≡≡≡≡

IDA

CVA

KPCA

KSA

KPA

KPX

KPY

...

KSCA

KPCA

chránená pamäť

IDB

CVB

KPCA

KSB

KPB

KPA

chránená pamäť

Obr. 9.10 Realizácia dôveryhodného kanálu pomocou certifikaènej autority

9.5.3 Štandard bezpečnosti ISO 7498-2

Jednou zo základných vlastností systému musí byť ochrana medzi procesmi a jednotlivými použí-vateľmi. Tieto ochranné vlastnosti boli samozrejmosťou už v časoch minipočítačov. V súčasnej dobedistribuovaných informačných systémov a systémov založených na technológii PC sú s bezpečnosťouväčšie problémy. Operačný systém navrhnutý pre zaistenie vyššieho stupňa bezpečnosti nie je nikdytak ľahko ovládateľný ako systém prioritne určený pre prevádzkovanie užívateľských aplikácií. Vovšeobecnosti je najväčším problémom rozpor medzi požiadavkami na bezpečnosť a jednoduchosťoupoužitia výpočtovej techniky. Pri návrhu zabezpečenia treba zvoliť vhodný kompromis a najvhodnej-šie je vychádzať z príslušných noriem. Jednou zo starších noriem je dokument ISO 7498-2 vydanýv roku 1988. Hlavným cieľom štandardu ISO 7498-2 je definovanie bezpečnostných služieb a ichumiestnenie do jednotlivých vrstiev referenčného modelu OSI.

Bezpečnosť v prostredí OSI je len jednou z častí bezpečnosti celého informačného procesu a bez-pečnosti dátovej komunikácie. Ak ochranné prostriedky používané v prostredí OSI majú byť efektív-ne, vyžadujú podporu ďalších prostriedkov, ktoré do OSI nepatria. Norma napríklad predpokladá za-istenie fyzickej bezpečnosti pre všetky kľúčové aktíva sietí.

V norme ISO 7498-2 sú pre všetky vrstvy základného referenčného modelu určené základné bez-pečnostné služby a mechanizmy a ich príslušné umiestnenie. Naviac sú na úrovni architektúry určenévzťahy bezpečnostných služieb a mechanizmov k základnému referenčnému modelu. Bezpečnostnéfunkcie OSI sa týkajú len takých viditeľných aspektov komunikačných ciest, ktoré dovoľujú konco-vým systémom uskutočniť bezpečný vzájomný prenos informácií. bezpečnosť v Osi sa netýka bezpeč-nostného vybavenia potrebného v koncových systémoch okrem prípadov, kedy ovplyvnia výber aumiestnenie bezpečnostných služieb viditeľných v rámci OSI.


195

Bezpečnostné služby

Vo všeobecnosti nie je možné jednoducho určiť, ktoré bezpečnostné služby sú najdôležitejšie av praxi záleží na potrebách užívateľov. V rámci Osi je definovaných 5 bezpečnostných služieb :

• autentizácia• riadenie prístupu• utajenie dát• integrita dát• neodmietnutie zodpovednosti za službu

Vlastná norma definuje okrem týchto služieb tiež podtriedy pre jednotlivé služby, takže sa mô-žeme stretnúť napr. so spojovanými a nespojovanými službami pre zaistenie integrity, s obnovou abez obnovy a pod.

Tab. 9-1 Umiestnenie bezpečnostných služieb v rámci modelu OSI

VrstvaSlužba 1 2 3 4 5 6 7

autentizácia funkčnej jednotky entity • • A A • • Aautentizácia pôvodu dát • • A A • • Aslužba riadenia prístupu • • A A • • Autajenie spojenia A A A A • • Autajenie rozviazania spojenia • A A A • • Autajenie selektívneho poľa • • • • • • Autajenie prenosového toku A • A • • • Aintegrita spojenia s možnosťou obnovy • • • A • • Aintegrita spojenia bez možnosti obnovy • • A A • • Aintegrita spojenia výberového poľa • • • • • • Aintegrita nespojovaných služieb • • A A • • Anespojovaná služba integrity vybraného poľa • • • • • • Aneodmietnutie požiadavky na spojenie s previerkou autenti-city

• • • • • • A

neodmietnutie požiadavky na spojenie s previerkou doručeniapožiadavky

• • • • • • A

Vysvetlivky : A áno, služby môže byť zahrnutá do štandardov pre vrstvu ako správca voľby• nezabezpečené (neposkytované)

Poznámky : 1) Tabuľka sa nepokúša indikovať, aké vstupy majú rovnocennú váhu alebo dôležitosť2) Prezentačná vrstva obsahuje určité množstvo bezpečnostných prostriedkov, ktoré

podporujú poskytovanie bezpečnostných služieb aplikačnou vrstvou

Riadenie prístupu

Riadenie prístupu má z pohľadu sietí špecifickú úlohu a nie je typickou bezpečnostnou funkciou.Keď napr. žiadame o spojenie, nežiadame priamo o riadenie prístupu, ale táto služba je volaná expli-citne. Naviac táto služba musí spolupracovať s autentizáciou a sieťovým a aplikačným manažmentom.Táto služby poskytuje ochranu pred neautorizovaným použitím prostriedkov dostupných cez OSI.Táto služba sa môže použiť pre jednotlivé druhy prístupov k prostriedkom (použitie komunikačnýchprostriedkov, čítanie, zápis, vymazanie informácií, spracovanie, …) alebo pre všetky prístupyk prostriedkom. Prakticky je táto služba zaistená na jednotlivých úrovniach OSI nasledovne :

• na linkovej úrovni – napr. pomocou filtrov v mostoch;


196

• na sieťovej úrovni – v smerovačoch s obmedzeniami založenými na sieťových adresách;• na transportnej úrovni – v smerovačoch s obmedzeniami na báze TCP „socketov“;• na aplikačnej úrovni – v jednotlivých aplikáciách.

Kontrola prístupu v nižších vrstvách môže podstatne redukovať možnosti útoku na systém.V praxi sa používajú predovšetkým zoznamy pre riadenie prístupu (Access Control) v smerovačoch aďalšie vlastnosti konkrétnej sieťovej technológie.

Norma ISO 7498-2 nepopisuje ako sú jednotlivé bezpečnostné služby detailne implementované.K tomu, aby bolo možné realizovať bezpečnostné služby, slúžia nasledujúce špecifické bezpečnostnémechanizmy :

• šifrovanie,• digitálny podpis,• mechanizmus riadenia prístupu,• mechanizmus integrity dát,• mechanizmus autentizačnej výmeny,• mechanizmus vyplňovania prevádzky,• kontrola smerovania,• mechanizmus notára.

Okrem toho existujú aj nešpecifikované bezpečnostné mechanizmy, ktoré nezaisťujú žiadnu jed-notlivú bezpečnostnú službu a nie sú preto zaradené do žiadnej konkrétnej vrstvy. Napriek tomu môžubyť v praxi použité. Niektoré z týchto mechanizmov možno považovať za súčasť správy bezpečnosti.Všeobecne platí, že dôležitosť týchto mechanizmov priamo súvisí s požadovanou úrovňou bezpeč-nosti. Medzi nešpecifické bezpečnostné mechanizmy patrí napr.:

• dôveryhodná funkcionalita,• bezpečnostné návesti,• detekcia udalostí,• audit bezpečnosti,• bezpečnostné zotavenie.

Tab. 9-2 Vz�ah medzi bezpeènostnými mechanizmami a slu�bami

MechanizmySlužba Šifrovanie Digitálny

podpisKontrolaprístupu

Integritadát

Autenti-začná

výmena

Vyplňo-vanie

prevádzky

Kontrolasmero-vania

Mechaniz-mus notára

autentizácia funkčnej jednotkyentity

A A • • A • • •

autentizácia pôvodu dát A A • • • • • •služba riadenia prístupu • • A • • • • •utajenie spojenia A • • • • • A •utajenie rozviazania spojenia A • • • • • A •utajenie selektívneho poľa A • • • • • • •utajenie prenosového toku A • • A • A A •integrita spojenia s možnosťouobnovy

A • • A • • • •

integrita spojenia bez možnostiobnovy

A • • A • • • •

integrita spojenia výberovéhopoľa

A • • A • • • •


197

MechanizmySlužba Šifrovanie Digitálny

podpisKontrolaprístupu

Integritadát

Autenti-začná

výmena

Vyplňo-vanie

prevádzky

Kontrolasmero-vania

Mechaniz-mus notára

integrita nespojovaných služieb A A • A • • • •nespojovaná služba integrityvybraného poľa

A A • A • • • •

neodmietnutie požiadavky naspojenie s previerkou autenticity

• A • A • • • A

neodmietnutie požiadavky naspojenie s previerkou doručeniapožiadavky

• A • A • • • A

Vysvetlivky : A áno, mechanizmus je považovaný za vhodný buď samostatne alebo v kombinácii s ďalšímmechanizmom,

• mechanizmus nie je považovaný za vhodný pre zaistenie tejto služby

Bezpečnostný manažment

Kľúčovým opatrením pre zaistenie bezpečnostných služieb je manažment. Sieťová architektúrapotrebuje podporu manažmentu pre zaistenie zmien v bezpečnostnej politike pri jej presadzovanív systéme. Typickým príkladom môže byť manažment kľúčov a služieb pre zaistenie utajenia a integ-rity. V prípade služieb riadenia prístupu treba riadiť informácie o tejto kontrole (napr. Access ControlList) a v prístupových úlohách užívateľov. V sieťovom prostredí (predovšetkým vo veľkých sieťach)neexistuje jediná autorita, ktorá by kontrolovala celé prostredie. Spravidla býva niekoľko autorít, kto-ré zastávajú nasledujúce bezpečnostné autority:

• autorita pre riadenie kontroly prístupu,• autentizačná autorita,• autorita manažmentu kľúčov,• auditačná autorita.

9.6 Informačná bezpečnosťDôležitou časťou informačnej bezpečnosti je problematika programov ohrozujúcich bezpečnosť.

Ide o programy, ktoré môžu poškodiť alebo úplne zničiť dáta, spôsobiť prezradenie utajovaných sku-točností, prípadne vylúčiť funkčnosť celého systému. V zásade ide o programy, ktoré narušujú integ-ritu alebo dôvernosť údajov uložených v informačnom systéme, prípadne narušením funkčnosti sys-tému útočia proti dostupnosti služieb systému.

9.6.1 Útoky proti integrite a dôvernosti dát

Trapdoors

Ide o nedokumentované vstupy do programových modulov, ktoré bývajú spravidla vytvorenév rámci tvorby programových modulov za účelom ich ľahšieho odladenia. Najčastejšie sa vyskytujútakéto typy:

• doplnenie príkazov do množiny príkazov, ktoré modul normálne vykonáva. Doplnený príkaznapríklad aktivuje rôzne výpisy na obrazovku alebo tlačiareň pre účely ladenia a pod.

• chybne ošetrené vstupy programového modulu, kedy modul nerozozná neprípustné vstupné dátaalebo sa pri ich vstupe nechová korektne,

• príkazy doplnené do modulu pre realizáciu auditu systému.

Tieto nedokumentované vstupy sa spravidla odstránia pred dokončením programového modulu.Niekedy sa však na ne pozabudne, alebo sa ponechajú pre ľahšie odladenie ďalších programových


198

modulov alebo ľahšiu správu dokončeného programu. Niekedy sa v module ponechávajú úmyselnepre získanie neoprávneného prístupu k hotovému bežiacemu programu.

Trójske kone

Ide o programy, ktoré okrem svojich „riadnych“ funkcií vykonávajú ďalšie skryté funkcie. Spra-vidla sú to programy, ktoré si do systému vloží sám užívateľ pre dosiahnutie nových funkcií alebo akodoplnky originálnych nainštalovaných programov.

Salámový útok

Ide o programy, ktoré sa snažia využívať vo svoj prospech malé zaokrúhľovacie chyby na hranicipresnosti počítača. Napríklad v bankových systémoch sa vyskytli programy, ktoré prevádzali nakonto programátora zvyšky vznikajúce zaokrúhlením pri výpočte úrokov. Pri veľkom počte výpočto-vých operácií sa tak na jeho konto pripísali celkom zaujímavé sumy. Iným spôsobom salámovéhoútoku je úprava programu, ktorý zaisťuje bezhotovostné platby tak, že z času na čas zvýši zákazníkovipoplatky o malú čiastku, ktorú následne prevedie na vhodný účet.

Skryté kanály

V systémoch spravujúcich utajované informácie aplikační programátori spravidla nemajú prístupk fungujúcim programom po ukončení vývoja. Ak chcú získať prístup k spravovaným informáciámvytvoria skrytý kanál - malé doplnenie vhodného programového modulu, ktorý im po zadaní vhodné-ho hesla (napríklad pri určitej kombinácii kláves a pod.) sprístupní služby systému.

9.6.2 Útoky proti dostupnosti informácií

„Hladné“ programy

Vo všeobecnosti ide o programy, ktoré uberajú strojový čas iným službám informačného systémua tým znižujú dostupnosť služieb systému. Ide napríklad o takéto typy programov:

• na mnohých počítačoch pracujú programy vykonávajúce rôzne zdĺhavé výpočty, ktoré majú veľminízku prioritu. Nechcené alebo úmyselné zvýšenie priority môže znamenať zahltenie celého systé-mu.

• procesy, ktoré generujú veľké množstvo synovských procesov, často chybou programu;

• programy pracujúce v nekonečnej slučke. Operačné systémy často obsahujú obranné mechanizmy,ktoré násilne ukončia programy, ktoré bežia príliš dlho.

• v čase vykonávania vstupno-výstupných operácií nebeží virtuálny čas procesu. Takže proces, ktorýgeneruje veľmi veľké množstvo I/O operácií, môžu bežať takmer neobmedzený čas.

Vírusy

Vírus je program, ktorý má schopnosť okrem svoje zjavnej funkcie pridať svoju vlastnú kópiu(často modifikovanú) k iným programom - má autoreprodukčnú schopnosť. Charakteristické vlast-nosti vírusov :

• Spravidla sa pripojí k programu alebo nahradí časť kódu napadnutého programu. Pri spustení tohtoprogramu sa najskôr vykoná kód vírusu, ktorý sa nainštaluje do pamäti a prevezme alebo pozmeníniektoré funkcie systému.

• Vírusy často obsahujú obranné mechanizmy proti detekcii – napr. sú schopné inštanciu od inštan-cie podstatným spôsobom meniť svoj vlastný kód, po nainštalovaní do pamäti vykonajú operácie,ktoré ostatným programom znemožnia používať časť pamäti obsadenú vírusom a pod.

• Veľmi často určitý čas vykonávajú len vlastnú reprodukciu bez akýchkoľvek vedľajších prejavov.V čase odhalenia alebo prejavenia vírusu, tak môže byť napadnutá obrovská väčšina programovv systéme.


199

• Následky činnosti vírusov sú veľmi rozmanité – od neškodných obrazových alebo zvukových e-fektov, ktoré len rozptyľujú obsluhu a zbytočne zaťažujú počítač až po rozsiahle poškodenie všet-kých dát a programov alebo dokonca technického vybavenia počítača.

• Podmienkou šírenia vírusov je neopatrná manipulácia s programovým vybavením, prenášanie ne-legálneho software a pod. Šírenie vírusov čiastočne obmedzuje nástup systémov, ktoré poskytujúochranu pamäti a dokonalejšiu správu prostriedkov počítača. Tieto systémy však sú pomerne kom-plikované a môžu tak poskytnúť úkryt dokonalejším vírusom.

Celkovo však možno konštatovať, že z nástupom nových operačných systémov typu WINDOWS96 a WINDOWS NT postupne klesá výskyt klasických súborových aj boot vírusov. Je to spôsobenéokrem iného faktom, že nové programy pre tieto operačné systémy sú pomerne rozsiahle a distribuujúsa CD-ROM a podstatne menej na disketách.

Podstatne väčší výskyt však v poslednom čase zaznamenali tzv. makrovírusy. Makrovírusy vyu-žívajú fakt, že moderné aplikácie sú veľmi silnými nástrojmi a vo svojich dátových súboroch neus-chovávajú len čisté dáta, ale aj nástroje pre ich ďalšie spracovanie - rôzne formátovacie príkazy a pod.Ako príklad môžu slúžiť napríklad makrá programu MS-WORD. Tieto makrá sú uložené v rovnakomdokumente ako text a mnoho z nich môže byť spustených automaticky po otvorení dokumentu., alebospojených s položkou menu, s ikonami alebo s ľubovoľným klávesom. Existuje jednoduchý spôsob,ako makro skopírovať z dokumentu do globálnej šablóny, odkiaľ môže byť makrovírus aktivovaný prikaždom ďalšom spustení programu MS-WORD. Makrá sú písané v jazyku WORDBASIC alebov prípade MSOFFICE 97 priamo vo VBA. Tieto jazyky sú pomerne jednoduché a pritom veľmi silné.Naviac mnoho užívateľov si vymieňa svoje dokumenty s využitím elektronickej pošty, čo výraznenapomáha šíreniu nákazy. V súčasnosti existuje okolo 700 druhov rôznym makrovírusov.

Červy

Červy sú sieťovou obdobou vírusov, ktoré majú schopnosť šíriť sa medzi počítačmi prostredníc-tvom komunikačných liniek. Vo všeobecnosti majú účinky obdobné ako vírusy, avšak vďaka schop-nosti šíriť sa samostatne počítačovými sieťami dnes už v celosvetovom merítku, je ich expanzia om-noho rýchlejšia a teda aj dopad ich pôsobenia je výraznejší.

Ochranou proti červom je kvalitná správa programového vybavenia, používanie len dobre otesto-vaných programov a rozdelenie siete na domény, medzi ktorými dochádza k minimálnemu zdieľaniuinformácií, ktoré je navyše podrobené dôkladnej kontrole.

9.7 Počítačová bezpečnosťAko už bolo uvedené v úvode tejto kapitoly, počítačová bezpečnosť zahŕňa bezpečnosť technic-

kého a programového vybavenia. V tejto časti sa budeme zaoberať tzv. internou bezpečnosťou, ktoráje implementovaná v technickom a programovom vybavení systému. Aby interná bezpečnosť bolaefektívna, musí byť doplnená externou bezpečnosťou, ktorá zahŕňa predovšetkým fyzický prístupk systému (a teda fyzickú a personálnu bezpečnosť). Aby bolo možné definovať bezpečnosť je najskôrpotrebné definovať hranice systému, pretože všetko, čo bude vo vnútri systému, je chránené, všetkomimo je nechránené. Z obrázku (Obr. 9.11) možno vidieť rozdiel medzi hranicou systému a bezpeč-nostnou oblasťou (Security perimeter - bezpečnostný perimeter). Hranica systému tvorí rozhraniemedzi externou a internou bezpečnosťou zaisťujúcou vlastné vynucovacie mechanizmy. Prvky vovnútri systémovej hranice možno rozdeliť na dve skupiny - skupina, ktorá vynucuje a udržiava bez-pečnosť a ostatné. Oddelenie týchto dvoch skupín prvkov vytvára imaginárnu hranicu - bezpečnostnýperimeter. Operačný systém (OS) a vlastný hardware spravidla ležia vo vnútri bezpečnostného peri-metra, užívateľské programy, terminály, modemy, tlačiarne a pod. spravidla ležia mimo tohto perimet-ra.

Všetky prvky vo vnútri bezpečnostného perimetra musia byť presne definované, implementovanéa kontrolované, pretože ich zlyhanie môže viesť k vážnemu narušeniu celého systému. Požiadavky na


200

pdvky mimo bezpečnostného perimetra nemusia byť také prísne. Prakticky musí byť definované roz-hranie, ktoré môže byť tvorené napríklad množinou systémových volaní jadra OS alebo definíciouelektrických signálov komunikačného protokolu.

Notebook

Modem

I/OI/O

I/Ozariadenia

Router

login proces

OS SRBD

Administrátorskýterminál

Administrátori

Systémovésúbory

Bezpečnostný perimeter

prepínačeLokálne tlačiarne

Sieťové tlačiarneužívateľské

médiá

užívateľsképrogramy

dokumentácia

systémovémédiá

Hranica systému

užívateľskémédiá

PCTerminálX-terminál

Obr. 9.11 Urèenie hraníc systému

Všetko, čo súvisí s vynucovaním bezpečnosti je vždy uložené v tzv. jadre, ktoré vykonáva funk-ciu tzv. referenčného monitora. Jadro je kombinácia technických a programových prostriedkov, ktoráje z hľadiska bezpečnosti zodpovedná za vynucovanie bezpečnostnej politiky systému. V jadre jeumiestnená databáza prístupových kontrol, ktorá obsahuje informácie o bezpečnostných atribútoch aprístupových právach. Táto databáza je dynamická a mení sa podľa toho ako sa menia objekty a sub-jekty so svojimi prístupovými právami.

Musí byť zaistené, že referenčný monitor kontroluje úplne všetky prístupy subjektov k objektom.Tvorcovia operačných systémov sa usilujú o to, aby jadro bolo čo najmenšie z dôvodu väčšej efektív-nosti a predovšetkým preto, že malé jadro sa dá lepšie otestovať a overiť z hľadiska jeho bezpečnosti.V systéme jadra môžeme vysledovať malú časť, ktorá je podmnožinou bezpečnostného perimetra aktorá má na starosť všetky dôležité činnosti súvisiace s bezpečnosťou. Táto malá časť sa nazýva dôve-ryhodná výpočtová báza (Trusted Computer Base - TCB). Obdobne v distribuovanom prostredí počí-tačových sietí je definovaná sieťová dôveryhodná výpočtová základňa (Network Trusted ComputerBase - NTCB).

Hlavným cieľom implementácie bezpečnostnej bázy (TCB alebo NTCB) do informačných systé-mov je vybudovať ochranný val, o ktorý sa môžu „oprieť“ všetky významné bezpečnostné funkcie.Chrbticu súčasných informačných systémov tvoria operačné systémy, preto sa ďalšia kapitola budevenovať implementácii bezpečnostných mechanizmov do operačných systémov.

9.7.1 Bezpečnosť operačných systémov

Bezpečný operačný systém je charakteristický vykonávaním týchto funkcií:• autentizácia používateľov,• ochrana pamäte - medzi užívateľmi aj v rámci jedného užívateľského priestoru medzi aplikáciami,


201

• riadenie prístupu k súborom a vstupno-výstupným zariadeniam - ochrana pred neautorizovanýmprístupom,

• riadenie prístupu k všeobecným objektom - zabezpečenie bezproblémového súčasného prístupuviacerých používateľov k rovnakému objektu,

• zabezpečenie zdieľania - predovšetkým zaistenie integrity a konzistentnosti,• medziprocesová komunikácia a synchronizácia - systém poskytuje mechanizmus pre bezpečné

predávanie správ medzi procesmi, ktoré navzájom nekomunikujú priamo ale prostredníctvom ope-račného systému.

9.7.1.1 Operačný systém UNIX

Základom celého operačného systému je jadro a systém súborov. V UNIXe platí zásada, že všet-ko je súbor alebo proces. Jadro má na starosť predovšetkým riadenia pamäte a vstupno-výstupnýchzariadení a vykonáva funkciu referenčného monitora bezpečnosti. Súborový systém zabezpečuje or-ganizačnú štruktúru pre ukladanie a čítanie dát. Systémové služby rozširujú možnosti jadra o ďalšievlastnosti. Aplikácie zabezpečujú používateľom zlepšený komfort ovládania, pričom používajú vlast-nosti systémových služieb. V každom UNIXe je dostupných niekoľko príkazových interpretov (tzv.shell), ktoré spracovávajú príkazy používateľa a zabezpečujú prostredníctvom systémových služiebkomunikáciu s jadrom. Operačný systém UNIX v súčasnosti patrí medzi najlepšie OS pre spracovaniekritických aplikácií veľkého rozsahu. Jeho hlavnou výhodou je viacužívateľské a viacúlohové prostre-die, ktoré má veľmi dobrú podporu bezpečnosti. Medzi kľúčové charakteristiky OS UNIX z hľadiskabezpečnosti patrí:

• všetko čo beží musí mať identifikátor užívateľa (User Identifier Descriptor - UID) a identifiká-tor procesu (Process Identifier Descriptor - PID),

• všetky akcie v systéme môžu byť zaznamenané pomocou auditu,• prístup k špeciálnym súborom - t.j. aj k periférnym zariadeniam je zhodný a prebieha cez rov-

nakú prístupovú kontrolu,• identifikácia užívateľov pri prihlasovaní pomocou hesla,• autorizačná kontrola,• identifikácia „host“ počítačov pri komunikácii medzi servermi,• riadenie prístupu k súborom a adresárom (súbory sú aj všetky vstupno-výstupné zariadenia),• sieťové služby sú integrálnou súčasťou systému a teda spadajú pod kontrolu referenčného mo-

nitora,• audit OS, ktorý umožňuje detegovať aj systémové volania,• ďalšie prídavné vlastnosti - napr. možnosť šifrovania súborov a pod.

9.7.1.2 WINDOWS NT - server

TCB operačného systému WINDOWS NT je tvorená viacerými časťami, ktoré presadzujú a vy-nucujú bezpečnosť systému. TCB obsahuje nasledujúce systémové časti:

• spustiteľné, ktoré bežia v privilegovanom stave procesora nazývanom kernel mód,• chránené servery (podsystémy), ktoré bežia v neprivilegovanom stave procesora nazývanom u-

žívateľský mód,• administrátorské nástroje, ktoré tiež bežia v užívateľskom móde.

Všetka interakcia medzi používateľom a operačným systémom sa začína procesom prihláseniapoužívateľa. Tento proces sa iniciuje súčasným stlačením klávesov CTRL-ALT-DEL. Tým sa inicia-lizuje tzv. bezpečná cesta, ktorá okrem iného slúži aj ako ochrana pred programom typu trójsky kôň,ktorý by na obrazovke len simuloval proces prihlásenia za účelom získania užívateľského hesla. Poúspešnom zadaní mena, hesla, názvu servera alebo domény prebehne proces autentizácie užívateľaprostredníctvom správcu bezpečnosti účtov (SAM), ktorý porovná získané údaje s údajmi uloženýmiv zašifrovanej bezpečnostnej databáze. Ďalšia súčasť bezpečnostného mechanizmu - lokálna bezpeč-nostná autorita (Local Security Authority - LSA) poskytne prihlasovanému klientovi informáciu o


202

užívateľovi - najmä jeho prístupové práva, domovský adresár a ďalšie premenné. Ak je celý procesprihlásenia úspešný, vytvorí bezpečnostný systém samostatný objekt nazývaný prístupový token.Tento objekt obsahuje okrem iného aj bezpečnostnú identifikáciu užívateľa (Security ID - SID), uží-vateľské meno a zoznam užívateľských skupín, do ktorých užívateľ patrí. Tento token alebo jeho kó-pie sú spojené so všetkými procesmi, ktoré užívateľ spustil.

V systéme je implementovaná objektová technológia - základnými stavebnými prvkami sú ob-jekty (príkladom objektov môžu byť procesy, súbory, adresáre, tlačiarne, udalosti a pod.). O tietoobjekty sa stará správca objektov, ktorý zaisťuje vytváranie, rušenie, ochranu a evidenciu všetkýchobjektov. WINDOWS NT majú implementovanú politiku prístupových práv k súborom a adresárom apolitiku prideľovania práv na vykonávanie závažných akcií (napr. zmena systémového času). Prístu-pové a užívateľské práva možno prideliť každému (everyone), skupine užívateľov (groups) alebo jed-notlivcom.

Systém taktiež umožňuje audit. Činnosť systému je trvalo monitorovaná a je zabezpečené akookamžité vyrozumenie používateľov, tak aj zaznamenanie menej kritických udalostí do záznamu. Za-znamenávané udalosti sa ukladajú do troch súborov s týmto určením:

• systémové záznamy - zaznamenávajú systémové udalosti (napr. výpadok ovládača v priebehunabiehania systému),

• bezpečnostné záznamy - zaznamenávajú udalosti bezpečnostného charakteru,• aplikačné záznamy - uchovávajú udalosti, ktoré generujú aplikácie určené tvorcami aplikácií.

Tieto záznamy je možné pravidelne analyzovať. Prakticky možno monitorovať úspech alebo ne-úspech nasledujúcej množiny udalostí:

− prihlásenie a odhlásenie užívateľov,− prístupy k súborom a objektom,− použitie privilégií užívateľa,− zmeny užívateľa alebo skupiny,− zmeny bezpečnostnej politiky,− inicializácia alebo ukončenie systému,− trasovanie procesov.

V oblasti zabezpečenia odolnosti proti chybám na záznamových médiách je podpora niekoľkýchsúborových systémov:

• FAT – súborový systém vyvinutý pre MS-DOS (pozri kap. 4) je k dispozícii pre zachovanie kom-patibility s predchádzajúcimi verziami WINDOWS a DOS. Tento systém nie je schopný využívaťbezpečnostné vlastnosti WIN NT a neponúka ani bezpečnú obnovu v prípade poruchy.

• NTFS (NT File System) – nový súborový systém vyvinutý pre WIN NT, ktorý je schopný využiťbezpečnostné vlastnosti tohto OS. Je zaistená možnosť zotavenia po chybe disku alebo výpadkusystému. Táto vlastnosť je zabezpečená prostredníctvom žurnálového záznamu, kde sa uchovávajúinformácie pre zopakovanie alebo zrušenie operácie v prípade chyby transakcie. Tento systém ne-možno použiť na disketách.

• HPFS (High Performance File System) – súborový systém vytvorený pre operačný systém OS/2.Systém OS/2 nepodporuje bezpečnostné funkcie NT a neponúka takú úroveň opravy chýb.

9.7.2 Identifikácia a autentizácia užívateľov

Identifikácia a autentizácia užívateľov patrí medzi základné bezpečnostné funkcie, ktoré sa pou-žívajú spolu s funkciou riadenia prístupu k zvýšeniu bezpečnosti informačných systémov. Identifiká-cia je proces prihlásenia sa užívateľa do systému, predstavenia sa. Autentizácia je proces overeniatotožnosti užívateľa systémom. Na základe úspešnej identifikácie a autentizácie systém spravidla sprí-stupní svoje služby používateľovi.


203

Identifikáciu aj autentizáciu používateľov možno v zásade realizovať tromi základnými spôsob-mi:

• na základe znalosti užívateľa – znalosťou hesla, šifrovacieho kľúča, …

• na základe vlastníctva užívateľom – vlastnením identifikačného predmetu,

• na základe vlastnosti užívateľa – vyhodnotením biometrických vlastností užívateľa

9.7.2.1 Identifikácia a autentizácia znalosťou

Ide o najstarší, najjednoduchší, najlacnejší a najrozšírenejší spôsob identifikácie a autentizácie.Jeho podstata spočíva v zadaní vhodného hesla. V prípade identifikácie heslom sa v informačnýchsystémoch najčastejšie používa meno užívateľa, prípadne jeho skratka. Pre autentizáciu sa používatajné heslo ktoré by malo mať tieto vlastnosti:

• okrem veľkých a malých písmen obsahuje tiež číslice a ďalšie značky, ktoré sa vyskytujú naklávesnici,

• má dostatočnú dĺžku (niektoré operačné systémy vyžadujú dĺžku minimálne 6 znakov),• nie je to obvyklé slovo alebo fráza,• nie je možné ho odvodiť zo znalosti osoby používateľa tohto hesla,• často sa obmieňa,• nie je poznačené niekde v okolí prístupového terminálu do IS.

V súvislosti s používaním bankových informačných systémov pre výber peňazí - bankomatov,platenia platobnými alebo kreditnými kartami sa ako heslo používajú číselné reťazce štandardnej dĺž-ky (napr. 4-miestne) – tzv. identifikačné číslo užívateľa (personal identification number - PIN).

Pretože heslo môže byť zachytené v priebehu vkladania alebo pri prenose do cieľového uzla a na-viac jeho časté zmeny používateľa zaťažujú, jednou z metód zadávania hesla sú tzv. systémy odpovedina výzvu (challenge-response systems). Ich podstata spočíva v tom, že po identifikácii užívateľa musystém zašle výzvu v podobe náhodnej správy a užívateľ ako heslo vráti správnu reakciu - napr. tútonáhodnú správu zašifruje jemu známym tajným kľúčom a pod.

Ako ďalšia možnosť použitia hesla sú tzv. pass-phrases – sú to vlastne dlhé heslá (napr. častipiesní, básničiek, citátov a pod.). Ak sa použije vhodný kompresný algoritmus, možno takúto frázutransformovať na pomerne kvalitné heslo.

Prevažná väčšina súčasných ochranných systémov využívajúcich ochranu heslom je založená naprogramovom riešení bez hardwarových doplnkov. Tento spôsob je veľmi jednoduchý ale na druhejstrane pomerne zraniteľný a vedie sa proti nemu množstvo útokov. Tieto útoky vyplývajú na jednejstrane z podstaty ochrany. Ak je ochrana založená na softwarovom riešení, útoky sa vedú buď pros-tredníctvom špeciálnych programov, ktorými možno „odchytávať“ heslá zadávané užívateľmi kláves-nicou prostredníctvom vhodných rezidentných programov alebo sa programovo generuje kombináciaznakov, ktorými sa program pokúsi o prienik do systému, pričom postup sa opakuje dovtedy, kým saprienik nepodarí. Proti tomuto spôsobu prieniku sa možno brániť napr. obmedzením počtu chybnýchpokusov o prihlásenie pre daného užívateľa, pričom po prekročení stanoveného počtu chybných pri-hlásení sa prístup užívateľovi znemožní buď natrvalo alebo len dočasne.

Druhá skupina útokov proti ochrane heslom vyplýva zo subjektívneho postoja užívateľov. Mnohínerešpektujú zásady používania bezpečného hesla. Veľmi často je heslo odvodené z mena alebo zá-kladných údajov používateľa (krstné meno, meno manželky alebo priateľky, dátum narodenia a pod.).Užívatelia veľmi často svoje heslo značia na prístupné miesta (napr. na monitor, spodnú časť kláves-nice, rôzne lístky prilepené na počítač a pod.) často si navzájom vymieňajú heslá a nie sú ochotní siheslo pravidelne obmieňať.


204

9.7.2.2 Identifikácia a autentizácia vlastníctvom

Ide o spôsob, ktorý je spoľahlivejší a bezpečnejší ako predchádzajúci. Jeho podstata spočívav preukázaní totožnosti pomocou určeného predmetu (token), ktorý jednoznačne identifikuje aleboautentizuje vlastníka. Tento predmet musí byť jedinečný a ťažko napodobiteľný.

Najčastejšou technológiou implementácie tohto spôsobu je použitie magnetických kariet, kde jeinformácia zapísaná na magnetickom pásiku umiestnenom na plastovej karte. Magnetické karty súvýrobne nenáročné, ich výrobnou výhodou avšak bezpečnostnou nevýhodou je možnosť prepisu zápi-su na karte alebo jej kopírovanie. Preto v aplikáciách s vyššími nárokmi na bezpečnosť sa používajútzv. čipové karty, ktoré majú informáciu potrebnú pre identifikáciu alebo autentizáciu zapísanúv pamäťovom čipe. Podľa najvýznamnejšieho výrobcu týchto kariet sa často nazývajú DALLAS čipyalebo podľa spôsobu použitia „touch memory“, pretože informácia sa z nich prenáša len jednoduchýmpriložením k snímaciemu zariadeniu.. Čipové karty môžu byť použité ako pamäťové karty, prípadneako tzv. inteligentné karty (smart cards), ktoré majú implementované aj mikroprocesorové obvodyschopné realizovať určité výpočty a pod. Pamäťové karty môžu byť realizované ako jednoduché, ktorémajú v pamäti (typu ROM) uložené jednoznačný identifikačný reťazec. Tento sa prečíta po priloženíkarty k čítaciemu zariadeniu. Zložitejšie pamäťové karty udržujú heslá – po zadaní jednoduchéhoužívateľského hesla vydajú určený kvalitný kľúč, prípadne ak obsahujú logiku, sú schopné spracová-vať podnety typu vydaj nasledujúci kľúč, vydaj cyklickú sekvenciu kľúčov a pod., pričom môžu maťobmedzený počet použití. Tento typ karty môže napríklad generovať tzv. one-time heslo pre jednopoužitie. Inteligentné karty sú vhodným doplnkom už spomínaných challenge-response systémov, kdekarta generuje kľúč pre zašifrovanie odpovede. Tieto karty môžu byť vybavené vlastným vstupnýmzariadením pre komunikáciu s užívateľom, vlastnou časovou základňou, môžu zabezpečovať šifrova-nie, generovať náhodné čísla a pod.

Bezpečnosť identifikačných a autentizačných predmetov je vyššia ako pri použití hesla. Napriektomu ich používanie má niektoré nevýhody. Predovšetkým to je potreba mať predmet k dispozícii -existuje možnosť jeho straty alebo poškodenia, čo znemožní aj oprávnenému užívateľovi prístup dosystému. Naviac, predmet možno odcudziť a zneužiť. Nevýhodou sú aj vyššie finančné náklady narealizáciu zabezpečenia s využitím identifikačných alebo autentizačných predmetov.

9.7.2.3 Identifikácia a autentizácia vlastnosťou

Tento spôsob sa používa v prípade ochrany najvyššej úrovne, pretože patrí medzi najbezpečnejšiespôsoby. Jeho podstata spočíva vo využívaní osobných charakteristík ľudí - identifikácia alebo auten-tizácia osoby sa realizuje pomocou vyhodnotenia vybranej charakteristickej biologickej vlastnosti.Najčastejšie sa pre tieto účely používa tieto biometrické metódy :

• vyhodnotenie otlačkov prstov – systém vykonáva štatistický rozbor výskytu tzv. markantov - hr-bolcov, slučiek a špirál v otlačku prsta a ich vzájomnej polohy. K tomu je však potrebné zosnímaťotlačok prsta a snímku pre účely rozboru digitalizovať. Zákony v niektorých štátoch zakazujú uk-ladať v databáze otlačky prstov, preto mnohé systémy z prečítaného otlačku prsta vypočítajú digi-tálnu vzorku, z ktorej nie je možné spätne vytvoriť tvar otlačku prsta, a len túto vzorku ukladajú dodatabázy.

• vyhodnotenie geometrie dlane, tvaru prstov alebo celej ruky – je obdobou predchádzajúcej metó-dy. Systém opäť sníma obraz, v ktorom sa po digitalizácii vyhodnocuje dĺžka a šírka dlane, tvarjednotlivých prstov, bočný profil ruky alebo prstov a pod. Výsledkom je spravidla malá digitálnavzorka uložená v databáze.

• vyhodnotenie obrazu sietnice – systém pri pohľade hodnotenej osoby do snímacieho zariadenias kamerou získa obraz štruktúry sietnice v okolí slepej škvrny, obraz digitalizuje a transformuje navzorku dĺžky približne 40 bytov. Obraz sietnice má obdobné charakteristické vlastnosti ako otlačkyprstov.


205

• vyhodnotenie kresby dúhovky – je obdobou vyhodnotenia obrazu sietnice. Kresba dúhovky jeobdobne ako obraz sietnice alebo otlačky prstov veľmi individuálna a vhodná pre identifikáciu a-lebo autentizáciu osôb.

• vyhodnotenie hlasu – testovaný subjekt prečíta systémom náhodne zvolenú frázu, zosnímaná zvu-ková stopa sa frekvenčne obmedzí (obvykle na 3 kHz) a urobí sa rozbor zvuku na základe pôvodujednotlivých zložiek zvuku v činnosti hlasového aparátu človeka. Výsledok sa vhodným spôsobomkomprimuje na vzorku veľkosti 1 až 2 kB a porovná sa s porovnávacou vzorkou v databáze. Kom-plikáciou tejto metódy sú zmeny hlasu spôsobené starnutím osôb, chorobou a nakoniec aj odlišnézafarbenie hlasu v priebehu dňa, ktoré prinášajú dodatočné požiadavky na technické a programovévybavenie na realizáciu inak jednoduchej metódy.

• hodnotenie dynamiky podpisu – pri tomto spôsobe sa sledujú zmeny tlaku, zrýchlenie v jednotli-vých častiach podpisu, celkový priebeh zrýchlenia, zarovnanie jednotlivých častí podpisu, celkovárýchlosť, celková dráha a čas pohybu pera na a nad papierom a pod. Zo získaných hodnôt sa opäťvytvorí vzorka, ktorá sa porovná s porovnávacou vzorkou v databáze. Výhodou tejto metódy je jejprirodzenosť a sociálna akceptovateľnosť, nevýhodou je pomerne vysoká variabilita podpisu ujednotlivých ľudí a pomerne malá mechanická odolnosť snímačov.

Uvedené a prípadné ďalšie biometrické metódy sa v zásade môžu použiť ako pre identifikáciu,tak aj pre autentizáciu osôb. Proces identifikácie biometrickými metódami je však zložitejší a zdĺha-vejší, pretože systém na základe zosnímanej vzorky vhodnej biometrickej veličiny musí určiť totož-nosť identifikovanej osoby. To ale znamená, že v databáze nesmú byť dve alebo viaceré zhodné iden-tifikačné vzorky. Táto požiadavka však priamo kladie nároky na komplikovanejšie vzorky v databázea tým na celkovú rýchlosť identifikačného systému. Vzhľadom k tomu sa biometrické metódy častej-šie používajú pre účely autentizácie osôb.

Kvalitu biometrických spôsobov autentizácie možno posudzovať pomocou veličín:• početnosť chybných odmietnutí autentizovaného subjektu (failed rejected rate - FRR),• početnosť chybných prijatí útočníka (failed accepted rate - FAR).

9.8 Hodnotenie bezpečnostiAko už bolo niekoľkokrát uvedené v predchádzajúcich kapitolách, bezpečnosťou informačného

systému rozumieme predovšetkým zaistenie dôvernosti a integrity informačnej základne IS a dostup-nosti služieb poskytovaných IS. Pre splnenie týchto požiadaviek je potrebné, aby systém plnil mnohopodporných služieb ako je napr. účtovateľnosť všetkých dôležitých akcií, aby bolo možné preukázaťprístup jednotlivých subjektov ku konkrétnym informáciám a zdrojom informačného systému. Mieruzávažnosti a obsah jednotlivých zložiek bezpečnosti pre konkrétny systém špecifikuje bezpečnostnápolitika. Bezpečnostná politika systému pracujúceho pre ministerstvo obrany bude zrejme klásť dôrazna zabezpečenie dôvernosti, bezpečnostná politika komerčnej firmy na integritu dát a bezpečnostnápolitika systému telefónnej spoločnosti na dostupnosť služieb.

Bezpečnostná politika môže mať charakter buď povinných zásad meniteľných len niekoľkýmisprávcami, alebo nepovinných ustanovení, ktorých uplatnenie určujú vlastníci jednotlivých informač-ných zdrojov. Povinné zásady lepšie chránia pred únikom dát spôsobených napríklad omylom obslu-hy.

Systém, ktorý svojou realizáciou spĺňa bezpečnostnú politiku, nazývame dôveryhodný systém. Zadôveryhodný systém považujeme taký informačný systém, za ktorý môžeme poskytnúť záruku, že plnístanovenú bezpečnostnú politiku. Je potrebné si uvedomiť, že absolútne bezpečný IS nie je možnévybudovať už len s ohľadom na rôznu úroveň legislatívy v rôznych krajinách.

Kritériá pre hodnotenie bezpečnosti

Vzhľadom k širokému uplatneniu informačných technológií v rôznych oblastiach spoločnosti ne-stačí iba vytvoriť bezpečný IS. Užívateľ IS musí veriť, že nám používaný IS je bezpečný a pre nákup


206

vhodného IS potrebuje vhodné merítka, ktoré mu umožnia porovnať úroveň bezpečnosti rôznych IS.Preto sa objavili snahy zaviesť vhodné kritériá bezpečnosti IS, ktoré by spĺňali nasledujúce požiadav-ky:

− kritériá by mali poskytnúť užívateľom merítko pre vyjadrenie stupňa dôvery, ktorú môže vložiťdo IS, ktorý chce použiť pre spracovanie dôležitých informácií;

− kritériá by mali poskytnúť výrobcom vodidlo, ktoré prvky bezpečnosti majú zabudovať do vytvá-raného IS, aby tento spĺňal požadovaný stupeň bezpečnosti;

− kritériá by sa mali stať základom hodnotenia stupňa bezpečnosti IS certifikačným orgánom.

Medzi najznámejšie kritériá bezpečnosti patria tieto :

• TCSEC (Trusted Computer System Evaluation Criteria) – vydané Ministerstvom obrany USAv roku 1983

• ITSEC (Information Technology Security Evaluation Criteria) – spoločné harmonizované požia-davky na bezpečnosť informačných technológií prijaté západoeurópskymi krajinami v rámci integ-račného úsilia v roku 1990

• CTCPEC – vydané v roku 1990 kanadským ústavom pre bezpečnosť komunikácií (CE)

• FCITS – vydané v roku 1993v USA ako výsledok spolupráce Národného normalizačného úrad(NIST) a Národnej agentúry pre bezpečnosť (NSA)

• CCITSE – pracovný návrh všeobecných kritérií hodnotenia bezpečnosti informačných technológií,o ktorom sa začalo diskutovať v rámci krajín EU v roku 1995

9.8.1 Kritériá TCSEC

Kritériá TCSEC nazývané aj oranžová kniha (pomenované podľa farby obalu prvého vydania)zaviedli pojem trieda bezpečnosti, špecifikovali jednotlivé triedy a priradili im označenie. Jednotlivétriedy sú ďalej členené na podtriedy:

• Trieda D – nemá podtriedu. Systém zaradený do tejto triedy nevyhovel požiadavkám na zaradeniedo vyššej triedy. Ide o produkty, ktorým chýbajú niektoré bezpečnostné vlastnosti, alebo produkty,ktoré nevyhoveli z formálnych dôvodov. Systémy zaradené do tejto triedy neposkytujú žiadnuochranu.

• Trieda C – má dve podtriedy. Zariadenia spĺňajúce podmienky zaradenia do tejto triedy disponujútzv. „výberovou“ ochranou, teda nie sú komplexne chránené. Podtriedy sú charakterizované :• trieda C1 - voľná ochrana – oddelenie užívateľov od dát; musí existovať metóda umožňujúca

užívateľom chrániť vlastné dáta pred ostatnými, pričom užívateľ si zvolí, či tieto metódy budepoužívať.

• trieda C2 - kontrolovaný prístup – systém stále vykonáva voľnú ochranu zdrojov vedenú až naúroveň jednotlivých užívateľov - musí byť vedený prehľad prihlásení. Naviac musí byť imple-mentovaná ochrana proti rezíduám (zvyškom obsahu pamäti, registrov, …, potom, čo procesprestane tieto prostriedky využívať). Rezíduá nesmú byť sprístupnené niekomu inému.

• Trieda B – okrem splnenia predchádzajúcich požiadaviek patrí k najvýznamnejším podmienkamzaradenia do tejto triedy zavedenie ochrany údajov, kde je každý dokument evidovaný a sú presnedefinované zásady jeho pohybu od vzniku až po zánik, vrátane určenia kto je oprávnený doku-menty čítať, prípadne ich modifikovať. Trieda má 3 podtriedy :• trieda B1- značkovaná ochrana – každý kontrolovaný subjekt a objekt musí mať priradený

stupeň utajenia a musí byť týmto stupňom označený. Každý prístup musí byť overovaný, musíexistovať popis implementovaného formálneho modelu, systém sa podrobuje testovaniu.

• trieda B2 - štruktúrovaná ochrana – musí byť k dispozícii verifikovateľný globálny návrhsystému, musí byť rozdelený do dobre definovaných nezávislých modulov, návrh musí zohľad-ňovať princíp najmenších možných oprávnení, bezpečnostné mechanizmy musia byť uplatňo-


207

vané voči všetkým objektom a subjektom vrátane všetkých zariadení, musí existovať analýzamožných skrytých kanálov. Vlastný systém musí bežať v rámci svojej bezpečnostnej domény avykonávať kontroly svojej integrity.

• trieda B3 - bezpečnostné domény – systém musí byť schopný tzv. extenzívneho testovania, mu-sí existovať úplný popis celkovej štruktúry návrhu systému, musí byť konceptuálne jednodu-chý. Musia existovať ochranné mechanizmy na úrovni jednotlivých objektov, každý prístupmusí byť testovaný, kontrola na úrovni vykonávania jednotlivých typov prístupu daného sub-jektu. Systém musí byť vysoko odolný voči prienikom. Zariadenie, ktoré vykonáva audit prihlá-sení, musí byť schopné odhadnúť hroziace nebezpečenstvo.

• Trieda A – zaručuje najvyššiu bezpečnosť. Pre zaradenie do tejto triedy musí byť návrh systémuformálne verifikovaný, musí existovať formálny model bezpečnostného mechanizmu s dôkazomkonzistentnosti, formálna špecifikácia systému s overením, že zodpovedná formálnemu modelu,musí byť overené, že implementácia nie je odlišná od formálnej špecifikácie, musí byť realizovanáformálna analýza skrytých kanálov.

9.8.2 Kritériá ITSEC

Tieto kritériá slangovo nazývané „Superman book“ boli vytvorené v roku 1990 ako harmonizova-ná verzia národných kritérií prijatých vo Francúzsku, Nemecku, Anglicku a Holandsku, do skúšobné-ho používania boli dané v roku 1991.

V terminológii ITSEC je produkt alebo systém, ktorý bude hodnotený nazývaný hodnotenýpredmet, strana, ktorá ponúka predmet hodnotenia sa nazýva sponzor. Sponzor musí predložiť naposúdenie produkt alebo systém, ktorý bude hodnotený spolu s dokumentovanou špecifikáciou svojhobezpečnostného cieľa, potenciálnych hrozieb a príslušných protiopatrení a mechanizmov..

ITSEC špecifikujú 7 tried miery záruky E0 až E6 a v prílohe definuje ďalších 10 tried funkčnostiF. Triedy miery záruky vychádzajú zo štyroch základných skupín kritérií: proces vývoja IS, prostredievývoja IS, prevádzková dokumentácia IS a prevádzkové prostredie IS. Päť tried funkčnosti (F-C1, F-C2, F-B1, F-B2 a F-B3) zodpovedá rovnomenným triedam kritérií TCSEC. Na rozdiel od TCSEC,ktorá vznikla pre vojenské prostredie a zameriavala sa predovšetkým na dôvernosť informácií, súkritériá ITSEC koncipované omnoho všeobecnejšie a pokrývajú čiastočne aj požiadavky zabezpečeniaintegrity a dostupnosti informácií.

Kritériá ITSEC sú určené pre tri skupiny užívateľov kritérií: pre užívateľov IS, pre predajcov IS(subjekty, ktoré IS vyrábajú, kompletizujú a predávajú) a pre hodnotiteľov (posudzovateľov) IS.Z hľadiska bežného užívateľa poskytujú tieto kritériá nasledujúce komponenty :

• požiadavky na mieru záruky,

• požiadavky na funkčnosť,

• požiadavky na definíciu produktu (systému).

Požiadavky na mieru záruky a požiadavky na funkčnosťOddelené definovanie požiadaviek na mieru záruky a na funkčnosť je najvýraznejšou výhodou

týchto kritérií oproti „jednorozmerným“ kritériám TCSEC, v ktorých je definovaná len hierarchiatried, ktorá v sebe zahŕňa ako požiadavky funkčnosti tak, aj požiadavky na mieru záruky.

Rozsahom najväčšiu časť kritérií tvorí definícia kritérií miery záruky - v zásade ide o kritériá prehodnotenie korektnosti. Ku kritériám hodnotenia funkčnosti sú pridané pre zvýšenie dôveryhodnostisystému. V tejto časti je definovaných 7 tried záruky E0 (najmenšia) až E6 (najvyššia). Ich stručnýobsah je nasledujúci:

• E1 – testovanie,• E2 – kontrola konfigurácie a distribúcie,• E3 – overenie detailného návrhu a zdrojového kódu,


208

• E4 – podrobná analýza slabín systému,• E5 – dôkaz, že implementácia zodpovedá detailnému návrhu,• E6 – formálne modely, formálne popisy a ich vzájomná korešpondencia.

Nepredpokladá sa, že by užívatelia menili definície týchto tried, alebo že by si definovali triedyvlastné.

Požiadavky na funkčnosť kritérií ITSEC nepredpisujú žiadnu vopred danú množinu tried funk-čnosti. Len vytyčujú zásady ako triedu funkčnosti vytvoriť. Pre uľahčenie práce užívateľom súv prílohe kritérií uvedené príklady tried funkčnosti. Päť z týchto tried funkčnosti (F-C1, F-C2, F-B1,F-B2 a F-B3) je hierarchických a priamo zodpovedá rovnomenným triedam kritérií TCSEC. Zostáva-júcich päť tried nemá hierarchickú štruktúru. Tieto triedy funkčnosti sú triedy so zvýšenými bezpeč-nostnými požiadavkami v niektorej oblasti bezpečnosti :

• F-IN – hodnotenie integrity systému,• F-DI – hodnotenie integrity dát pri komunikácii,• F-AV – hodnotenie dostupnosti systémových zdrojov,• F-DC – hodnotenie utajenia komunikácie,• F-DX – hodnotenie bezpečnosti v rámci celej siete.

Každé z týchto kritérií môže byť vyhodnocované nezávisle. Uvedené triedy funkčnosti nie sú zá-väzné a majú slúžiť pre uľahčenie práce užívateľom kritérií ITSEC. Užívateľ má niekoľko možnostíako kategorizovať funkčnosť produktu alebo systému:

1. Priamo použije niektorú z tried funkčnosti uvedenú v kritériách. V takom prípade si spravidla vy-berie niektorú z tried, ktoré sú hierarchické a zodpovedajú členeniu TCSEC.

2. Užívateľ použije vhodnú kombináciu niektorých z tried. Táto možnosť dovoľuje užívateľovi vy-tvoriť triedu funkčnosti, ktorá najlepšie vyhovuje jeho požiadavkám.

3. Užívateľ použije niektorú už vytvorenú triedu, ktorá nie je súčasťou kritérií ITSEC, ale je vytvore-ná v súlade s týmito kritériami a najlepšie vyhovuje požiadavkám užívateľa.

4. Užívateľ si vytvorí sám vlastnú triedu funkčnosti, ktorá je v súlade s požiadavkami kritérií ITSEC.

Požiadavky na definíciu produktu (systému)

Podľa kritérií ITSEC je dokumentom, ktorý definuje bezpečnostné vlastnosti produktu špecifiká-cia bezpečnosti. Špecifikácia bezpečnosti sa skladá z nasledujúcich častí :

• popis produktu alebo systémová bezpečnostná politika,

• požadované bezpečnostné mechanizmy,

• minimálna sila mechanizmov,

• požadovaná úroveň hodnotenia.

Toto rozdelenie je definované v kritériách ITSEC a je záväzné.

Proces hodnotenia bezpečnosti podľa kritérií ITSEC

Procesu hodnotenia sa zúčastňujú štyri subjekty :

• sponzor – obvykle predávajúci (v prípade produktu) alebo užívateľ alebo dodávateľ (v prípadesystému), ktorý si praje demonštrovať, že hodnotený predmet spĺňa špecifikáciu bezpečnosti.Sponzor požiada o hodnotenie predmetu hodnotiacu organizáciu, zaistí vypracovanie špecifikáciebezpečnosti a uzatvára kontrakt s hodnotiacou organizáciou. Ak hodnotenie skončí úspešne, spon-zor obdrží od hodnotiacej organizácie certifikát bezpečnosti.

• vývojár – obvykle organizácie, ktorá vyrába hodnotený predmet. Ak súčasne nie je sponzorom,musí s ním spolupracovať a tiež musí spolupracovať s hodnotiacou organizáciou.


209

• hodnotiaca organizácia – jej úlohou je vykonávať nezávislé hodnotenie hodnoteného predmetus cieľom nájsť slabiny hodnoteného predmetu a určiť, v akom rozsahu sú splnené požiadavky uve-dené v špecifikácii bezpečnosti. Hodnotenie sa musí vykonávať v súlade s kritériami ITSEC av súlade s národnými štandardami krajiny, kde sa hodnotenie realizuje. Hodnotiaca organizáciavypracuje správu o hodnotení, ktorú odovzdá certifikačnému orgánu a sponzorovi.

• certifikačný orgán – štátna organizácia, ktorá ako jediná má oprávnenie vydávať certifikát bez-pečnosti informačného systému. Tento certifikát potvrdzuje, že úroveň bezpečnosti hodnotenéhopredmetu zodpovedá požiadavkám uvedeným v špecifikácii bezpečnosti a že hodnotený predmetdosiahol niektorú z tried miery záruky podľa kritérií ITSEC. Certifikačný orgán má dve úlohy:

− vytvára hodnotiacej organizácii podmienky pre nestranné a objektívne hodnotenie a kontro-luje dodržanie nestrannosti, objektivity a konzistencie hodnotenia,

− vydáva nestranný certifikát (potvrdenie) bezpečnosti.

Hodnotenie produktu sa vykonáva v troch fázach:

1. Prípravná fáza. V tejto fáze sponzor kontaktuje všetkých účastníkov hodnotenia, uzavrie s nimikontrakty a zaistí vypracovaniešpecifikácie bezpečnosti, ktorúdodá všetkým účastníkom..Hodnotiaca organizácia vypra-cuje odhad predpokladanej ús-pešnosti hodnotenia a v klad-nom prípade sa ujme hodnote-nia.

2. Vlastné hodnotenie. V prie-behu tejto fázy hodnotiaca or-ganizácia vykoná vlastné hod-notenie. Vytvorí sa zoznamslabých miest hodnotenéhopredmetu. Prípadné problémysú riešené podľa ich charakterubuď s certifikačným orgánomalebo v súčinnosti so sponzo-rom hodnotenia a s vývojárom.V priebehu hodnotenia sa vy-pracuje správa o hodnotení,ktorá je nakoniec odovzdanásponzorovi a certifikačnémuorgánu.

3. Záverečná fáza. V nej certifikačný orgán analyzuje výsledky hodnotenia uvedené v správe o hod-notení a určí, či boli splnené požiadavky uvedené v špecifikácii bezpečnosti. V kladnom prípadeudelí hodnotenému predmetu certifikát a odovzdá ho sponzorovi.

Vývojárhodnoteného

produktu alebosystému

Vývojár

Nezávisláorganizácia

vykonávajúcahodnoteniepredmetu

Hodnotiacaorganizácia

Užívateľ,dodávateľ alebo

predávajúci,ktorý požaduje

certifikáciu

Sponzor

Sleduje proceshodnotenia a

vydávacertifikát ovýsledku

Certifikačnýorgán

Výsledokhodnotenia

Certifikát

Podklady Podklady

Obr. 9.12 Proces hodnotenia

Documents

Informačné systémy - skriptá - 9