Информационная безопасность – обзор основных положений. Часть 3
Информационная безопасность Информационная безопасность

Главная>Информационная безопасность>Информационная безопасность – обзор основных положений. Часть 3
Информационная безопасность Тема номера

Информационная безопасность – обзор основных положений. Часть 3

Дата публикации:
05.03.1996
Посетителей:
1608
Просмотров:
1356
Время просмотра:
2.3
Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.

 

Управление рисками

 

Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности:

 

  • оценку (измерение) рисков;
  • выбор эффективных и экономичных защитных регуляторов.

 

Процесс управления рисками можно подразделить на следующие этапы:

 

  1. Выбор анализируемых объектов и степени детальности их рассмотрения;
  2. Выбор методологии оценки рисков;
  3. Идентификация активов;
  4. Анализ угроз и их последствий, определение слабостей в защите;
  5. Оценка рисков;
  6. Выбор защитных мер;
  7. Реализация и проверка выбранных мер;
  8. Оценка остаточного риска.

 

Этапы 6 и 7 относятся к выбору защитных регуляторов, остальные — к оценке рисков.

 

Уже перечисление этапов показывает, что управление рисками — процесс циклический. По существу, последний этап — это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

 

Выбор анализируемых объектов и степени детальности их рассмотрения — первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

 

Вообще говоря, уязвимым является каждый компонент информационной системы — от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

 

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных средств, способных помочь в ее решении. Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки (кстати, как сейчас правильно называть минимальную денежную единицу в России — рубль? цент?), но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее мы продемонстрируем, как это делается.

 

При идентификации активов, то есть тех ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования.

 Если информационной основой организации является локальная сеть, то в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

 

Управление рисками — процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

 

Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.

 

Краткий перечень наиболее распространенных угроз приведен в Разд. Наиболее распространенные угрозы. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в помещениях, занимаемых организацией. Первые могут повредить кабели, вторые — вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием слабостей в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей проистекает не только из наличия мышей, но и из отсутствия или недостаточной прочности защитной оболочки.

 

Первый шаг в анализе угроз — их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение. Информация из Разд. Наиболее распространенные угрозы может служить при этом отправной точкой.

 

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

 

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность). Опять-таки в Разд. Наиболее распространенные угрозы можно найти опорные данные.

 

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

 

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможности корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

 

Слабости обладают свойством притягивать к себе не только злоумышленников, но и сравнительно честных людей. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет в рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

 

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

 

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Как правило, для ликвидации или сглаживания слабости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

 

Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению (подходящих средств, вероятно, будет несколько). Однако, если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

 

Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

 

Важным обстоятельством является совместимость нового средства со сложившейся операционной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

 

Можно представить себе ситуацию, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.

 

Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.

 

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

 

Безопасность в жизненном цикле системы

 

Если синхронизировать программу безопасности нижнего уровня (см. Разд. Программа безопасности — управленческий аспект) с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок труднее и дороже, чем изначально запроектировать и реализовать ее. То же справедливо и для информационной безопасности.

 

Поскольку в данном документе мы пытаемся встать на точку зрения заказчика (покупателя), то и жизненный цикл сервиса будем трактовать соответствующим образом, то есть выделим в нем следующие этапы:

 

  • Инициация. На этом этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.
  • Закупка. На этом этапе составляются спецификации, прорабатываются варианты закупки, выполняется собственно закупка.
  • Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.
  • Эксплуатация. На этом этапе сервис не только работает и администрируется, но и подвергается модификациям.
  • Выведение из эксплуатации. Происходит переход на новый сервис.

 

Рассмотрим действия, выполняемые на каждом из этапов, более детально.

 

На этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий сервис; выполняются прикидки, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

 

В плане безопасности важнейшим действием на этом этапе является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Необходимо сформулировать ответы на следующие вопросы:

 

  • Какого рода информация предназначается для обслуживания новым сервисом?
  • Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
  • Каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
  • Есть ли какие-либо особенности нового сервиса, требующие принятия специальных операционных мер (например, территориальная разнесенность компонентов)?
  • Каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?
  • Каковы законодательные положения и внутренние правила, которым должен удовлетворять новый сервис?

 

Результаты оценки критичности являются отправной точкой в составлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.

 

Этап закупки — один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, послепродажное обслуживание, обучение персонала. Разумеется, особое внимание должно быть уделено вопросам совместимости нового сервиса с существующей конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

 

Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту (вставили CD-ROM и через несколько минут все готово), установка является очень ответственным делом. Можно провести аналогию с появлением ребенка в доме, когда требуется пересмотр многих сложившихся стереотипов.

 

Во-первых, новый продукт следует сконфигурировать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить. Для большой организации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.

 

Во-вторых, новый сервис нуждается в операционных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

 

После принятия перечисленных мер необходимо провести тестирование. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.

 

Период эксплуатации — самый длительный и сложный. С психологической точки зрения наибольшую опасность в это время составляют небольшие изменения в конфигурации сервиса, в поведении пользователей и администраторов. Если безопасность не поддерживать, она имеет свойство ослабевать. Пользователи не столь ревностно выполняют должностные инструкции, администраторы с меньшей тщательностью анализируют регистрационную информацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности остались одни воспоминания.

 

Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

 

При выведении из эксплуатации затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. Программы, вероятно, просто стираются, если иное не предусмотрено лицензионным соглашением.

 

Наиболее тонким вопросом является выведение данных из эксплуатации. Обычно их переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи. Информационные технологии развиваются очень быстро, и через несколько лет может просто не оказаться устройств, способных прочитать старый носитель. Если данные архивируются в зашифрованном виде, необходимо сохранить ключ и средства расшифровки. При архивировании и хранении архивной информации нельзя забывать о поддержании конфиденциальности данных.

 

Уничтожение информации называется санацией. Имеется три метода уничтожения: перезапись, размагничивание и разрушение носителя. Если речь идет о данных на магнитных носителях, то для санации вполне достаточно тройной перезаписи случайными последовательностями бит. После этого даже с помощью специальной аппаратуры прочитать первоначальную информацию невозможно.

 

Таковы основные управленческие меры обеспечения информационной безопасности.

 

Операционные регуляторы

 

Данный раздел посвящен мерам безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает первостепенного внимания.

 

Будут рассмотрены следующие темы:

 

  • управление персоналом,
  • физическая защита,
  • поддержание работоспособности,
  • реакция на нарушения режима безопасности,
  • планирование восстановительных работ.

 

Управление персоналом

 

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше — с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

 

  • разделение обязанностей,
  • минимизация привилегий.

 

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому — заверять эти заявки.

 

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно — уменьшить ущерб от случайных или умышленных некорректных действий пользователей.

 

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем критичнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла усложнять ее сверх необходимого. В то же время неразумно и совсем отказываться от предварительной проверки, рискуя принять на работу человека с уголовным прошлым или с душевными болезнями.

 

Когда кандидат отобран, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

 

С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий. Техническую сложность составляют временные перемещения сотрудника, выполнение им обязанностей взамен лица, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сначала дать, а через некоторое время взять обратно. В такие периоды профиль активности пользователя резко меняется, что создает трудности при выявлении подозрительных ситуаций. Определенную аккуратность следует соблюдать и при выдаче новых постоянных полномочий, не забывая изымать старые права доступа.

 

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно (в идеале — одновременно с извещением о наказании или увольнении). Возможно и физическое ограничение доступа к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.

 

К управлению сотрудниками примыкает администрирование лиц, работающих по контракту (например, специалистов фирмы-поставщика, помогающих запустить новую систему). В соответствии с принципом минимизации привилегий, им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Проблема, однако, в том, что на начальном этапе внедрения "внешние" сотрудники будут администрировать "местных", а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способность быстро обучаться, а также оперативное проведение учебных курсов. Важны и принципы выбора деловых партнеров.

 

Иногда внешние организации принимают на обслуживание и администрирование ответственные компоненты компьютерной системы, например, сетевое оборудование. Нередко администрирование выполняется в удаленном режиме. Вообще говоря, это создает в системе дополнительные слабости, которые необходимо компенсировать усиленным контролем средств удаленного доступа или, опять-таки, обучением собственных сотрудников.

 

Мы видим, что проблема обучения — одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не сможет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

 

Из педагогической психологии известно: чтобы обучение было эффективным, ему должен предшествовать этап мотивации. Сотрудникам необходимо объяснить, зачем нужна учеба, зачем нужны меры безопасности. Обычно и то, и другое вызывает раздражение, поскольку мешает основной деятельности. Важно, чтобы сотрудники смотрели на вещи шире, имея в виду долговременные интересы организации и свои собственные.

 

Обучение должно проводиться регулярно и в то же время каждый раз по-новому, иначе оно превратится в формальность и потеряет эффективность. К сожалению, здесь не существует общих рецептов, все зависит от изобретательности организаторов.

 

Физическая защита

 

Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

 

Мы кратко рассмотрим следующие направления физической защиты:

 

  • физическое управление доступом,
  • противопожарные меры,
  • защита поддерживающей инфраструктуры,
  • защита от перехвата данных,
  • защита мобильных систем.

 

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п. Средства физического управления доступом известны давно — это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое. Важно в максимальной степени разграничить компьютеры и поток посетителей или, в крайнем случае, позаботиться о том, чтобы от окон и дверей не просматривались экраны мониторов и принтеры. Необходимо, чтобы посетители отличались от штатных сотрудников. Если отличие состоит в том, что посетителям выдаются идентификационные карточки, а сотрудники ходят "без опознавательных знаков", злоумышленнику достаточно снять карточку, чтобы его считали "своим". Очевидно, карточки разных видов нужны всем.

 

Профессия пожарного — одна из древнейших, но пожары по-прежнему случаются и наносят большой ущерб. Мы не собираемся цитировать параграфы противопожарных инструкций или изобретать новые методы борьбы с огнем — для этого есть профессионалы. Отметим лишь крайнюю желательность установки противопожарной сигнализации и автоматических средств пожаротушения. Обратим также внимание на то, как защитные меры могут создавать новые слабости. Если на работу взят новый охранник, это, вероятно, улучшает физическое управление доступом. Если же он по ночам курит и пьет, то повышенная пожарная опасность делает его скорее врагом, чем другом организации.

 

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы, всегда иметь под рукой запчасти.

 

Отдельную проблему составляют аварии водопровода. Они происходят нечасто, но чреваты серьезными материальными потерями. При размещении компьютеров разумно принять во внимание расположение водопроводных и канализационных труб и постараться держаться от них подальше. Сотрудники должны знать, куда следует обращаться при обнаружении протечек.

 

Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, такие как анализ ПЭМИН [9], относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, пытаться держать под контролем линии связи (например, заключать их в надувную оболочку с обнаружением прокалывания) и разместиться в тихом особняке, поодаль от других домов.

 

Мобильные и портативные компьютеры — заманчивый объект кражи. Их довольно часто оставляют без присмотра, в автомобиле или на работе, и унести и спрятать такой компьютер весьма несложно. Следует настоятельно рекомендовать шифрование данных на жестких дисках ноутбуков и лэптопов.

 

Вообще говоря, при выборе средств физической защиты следует производить анализ рисков (см. Разд. Безопасность в жизненном цикле системы). Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в доме, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность нарушений питания, стоимость доступных источников и возможные потери от аварий (выход из строя техники, приостановка работы организации и т.п.). В то же время, во многих случаях решения очевидны. Меры противопожарной безопасности обязательны для всех организаций. Стоимость реализации многих мер (например, установка обычного замка на дверь серверной комнаты) пренебрежимо мала, другие имеют хоть и заметную стоимость, но все же явно меньшую, чем возможный ущерб. К числу последних можно отнести регулярное копирование больших баз данных. Физическая защита, как и другие области информационной безопасности, должна базироваться на здравом смысле, который подскажет большинство решений.

 

Поддержание работоспособности

 

В этом разделе будут рассмотрены рутинные действия, направленные на поддержание работоспособности компьютерных систем и имеющие отношение к информационной безопасности. Как ни странно, именно здесь таится наибольшая опасность. Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных; "в лучшем случае" создаются слабости, облегчающие реализацию угроз.

 

Недооценка факторов безопасности в повседневной работе — ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

 

Можно выделить следующие направления повседневной деятельности:

 

  • поддержка пользователей,
  • поддержка программного обеспечения,
  • конфигурационное управление,
  • резервное копирование,
  • управление носителями,
  • документирование,
  • регламентные работы.

 

Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный "стол справок"; чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов, умных и не очень, уметь выявлять проблемы, связанные с информационной безопасностью. Так, многие трудности пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами; в больших системах, имеющих выходы в глобальные сети, проблемы нередко проистекают из действий хакеров. Целесообразно записывать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для распространенных ситуаций.

 

Поддержка программного обеспечения — одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанавливать программы по своему усмотрению, это чревато заражением вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компьютер, подключенный к сети Ethernet, можно установить программу — сетевой анализатор, позволяющую отслеживать весь сетевой трафик. Обладатель такой программы может довольно быстро "выловить" пароли других пользователей и системных администраторов, получив тем самым по существу неограниченный доступ к сетевым ресурсам. Вполне вероятно также, что самодеятельность пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору.

 

Второй аспект поддержки программного обеспечения — контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержание эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и поддержания целостности.

 

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей версии. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии.

 

Позволим себе одно замечание. Лучший способ уменьшить количество ошибок в рутинной работе — в максимальной степени автоматизировать ее. Хорошим примером являются развитые средства конфигурационного управления, когда одним нажатием можно вызвать внесение или откат сотен согласованных изменений. При ручной работе сделать подобное без ошибок крайне сложно. Тысячу раз правы "ленивые" программисты и системные администраторы, которые, поглядев на море однообразных задач, говорят: "Я ни за что не буду делать этого; я напишу программу, которая сделает все за меня". Автоматизация и безопасность — родные сестры; тот, кто заботится в первую очередь об облегчении собственного труда, на самом деле оптимальным образом формирует режим информационной безопасности.

 

Технологию конфигурационного управления необходимо применять и к изменениям в аппаратуре. Что нового появилось в локальной сети за последний месяц? Куда мы подключили внешние коммуникации? На эти и аналогичные вопросы нужно уметь давать немедленные и точные ответы.

 

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум сформировав компьютерное расписание выполнения полных и инкрементальных копий, а как максимум воспользовавшись безлюдной технологией фирмы Hewlett-Packard [10], с. 20. Нужно также наладить размещение копий в безопасном месте, защищенном от пожаров и иных угроз. К резервному копированию следует относиться как к осознанной необходимости — оно, конечно, мешает, и уже полгода как ничего не приходилось восстанавливать, но... Стоит хоть на день отступить от расписания, и неприятности не заставят себя ждать.

 

Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

 

Управление носителями служит для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечить конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл дискет и лент — от закупки до выведения из эксплуатации (см. Разд. Безопасность в жизненном цикле системы).

 

К управлению носителями можно отнести и контроль потоков данных, выдаваемых на печать. Здесь поучительно отметить необходимость сочетания различных механизмов информационной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но только меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.

 

Документирование — неотъемлемая часть информационной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета дискет. Важно, чтобы документация была актуальной, отражала текущее, а не прошлое, состояние дел, причем отражала в непротиворечивом виде. Здесь необходим правильный технологический подход, когда документы печатаются и сшиваются способом, облегчающим внесение изменений.

 

К хранению некоторых документов (содержащих, например, анализ системных слабостей и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий — требования целостности и доступности (план необходимо найти и прочитать).

 

Регламентные работы — очень серьезная угроза безопасности. Лицо, осуществляющее регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершаются. Здесь на первый план выходит степень доверия к тем, кто выполняет работы. Лет двадцать назад, очевидно, предвидя волну публикаций по сертификации, Кен Томсон, один из создателей ОС UNIX, написал, что нужно верить или не верить не программам, а людям, которые пишут эти программы. Если в общем виде данное утверждение можно оспорить, то применительно к регламентным работам оно абсолютно справедливо.

 

Реакция на нарушения режима безопасности

 

Программа безопасности, принятая организацией, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

 

Реакция на нарушения режима безопасности преследует две главные цели:

 

  • блокирование нарушителя и уменьшение наносимого вреда,
  • недопущение повторных нарушений.

 

В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности. В общем, нужно действовать, как при пожаре: знать, куда звонить, и что делать до приезда пожарной команды. Правда, пользователя может удержать от вызова помощи сознание собственной вины и боязнь наказания, если он сам принес на работу зараженную дискету. Для таких случаев целесообразно предусмотреть процедуру анонимного вызова, поскольку лучше не наказать одного виновного, чем допустить распространение последствий нарушения.

 

Важность быстрой и скоординированной реакции можно продемонстрировать на следующем примере. Пусть локальная сеть предприятия состоит из двух сегментов, администрируемых разными людьми. Пусть, далее, в один из сегментов был внесен вирус. Почти наверняка через несколько минут (или, в крайнем случае, несколько десятков минут) вирус распространится и на другой сегмент. Значит, меры нужны немедленные. Далее, вычищать вирус нужно одновременно в обоих сегментах; в противном случае сегмент, вычищенный первым, заразится от другого, а затем вирус вернется и во второй сегмент.

 

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответы результаты анализа.

 

Выше мы писали о недостатках реактивного подхода к информационной безопасности. Это, безусловно, верно, но некоторая обратная связь все же должна существовать. Заранее все предусмотреть невозможно. Появляются новые вирусы, совершенствуются приемы нападения, новые системы приносят с собой новые угрозы. Кто-то в организации должен отслеживать этот процесс, принимать краткосрочные меры и корректировать программу безопасности для принятия долгосрочных мер.

 

Планирование восстановительных работ

 

Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, чьим-то злым умыслом, халатностью или некомпетентностью. В то же время у каждой организации есть функции, которые она считает критически важными, выполнение которых она хотела бы продолжать, несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

 

Отметим, что меры информационной безопасности можно разделить на три группы, в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений. Большинство мер носят предупредительный характер. Оперативный анализ регистрационной информации и некоторые аспекты реакции на нарушения служат для обнаружения угроз. Планирование восстановительных работ, очевидно, можно отнести к последней из трех названных групп.

 

В существовавшей в свое время науке под названием "гражданская оборона" была разработана концепция СНАВР — спасательных и неотложно-восстановительных работ. Построение этой концепции, если отвлечься от специфического ядерного контекста, было весьма разумным, а большинство предлагавшихся мер применимы и к информационной безопасности.

 

Процесс планирования восстановительных работ можно подразделить на следующие этапы:

 

  • выявление критически важных функций, установление приоритетов;
  • идентификация ресурсов, необходимых для выполнения критически важных функций;
  • определение перечня возможных аварий;
  • разработка стратегии восстановительных работ;
  • подготовка к реализации выбранной стратегии;
  • проверка стратегии.

 

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Значит, необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить деятельность после аварии.

 

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На этом этапе желательно привлечение специалистов разного профиля, способных в совокупности охватить все аспекты проблемы. Критичные ресурсы обычно относятся к одной из следующих категорий:

 

  • персонал,
  • информационная инфраструктура,
  • физическая инфраструктура.

 

Составляя списки критически важных специалистов, следует учитывать, что некоторые из них могут впрямую пострадать от аварии (например, от пожара), кто-то может находиться в состоянии стресса, часть сотрудников, возможно, будет лишена возможности попасть на работу (например, если на улице стреляют). Желательно иметь некоторый резерв специалистов или заранее определить каналы, по которым можно будет на время привлечь дополнительный персонал.

 

Информационная инфраструктура включает в себя следующие элементы:

 

  • компьютеры,
  • программы и данные,
  • информационные сервисы внешних организаций,
  • документацию.

 

Вообще говоря, нужно подготовиться к тому, что на "запасном аэродроме", куда организация будет эвакуирована после аварии, аппаратная платформа может отличаться от исходной. Соответственно, следует продумать меры поддержания совместимости по программам и данным.

 

Среди внешних информационных сервисов для коммерческих организаций, вероятно, важнее всего получение оперативной рыночной информации и связь с государственными службами, курирующими данный сектор экономики.

 

Документация важна хотя бы потому, что не вся информация, с которой оперирует организация, представлена в электронной форме. Скорее всего, план восстановительных работ напечатан на бумаге.

 

К физической инфраструктуре относятся здания, инженерные коммуникации, средства связи, оргтехника и многое другое. Компьютерная техника не может работать в плохих условиях, без нормального электропитания, охлаждения и т.п.

 

Анализируя критичные ресурсы, целесообразно учесть временной профиль их использования. Большинство ресурсов нужны постоянно, но в некоторых нужда может возникать только в определенные периоды (например, в конце месяца или года при составлении отчета).

 

При определении перечня возможных аварий нужно попытаться разработать их сценарии. Как будут развиваться события? Каковы могут оказаться масштабы бедствия? Что произойдет с критичными ресурсами? Например, смогут ли люди попасть на работу? Будут ли выведены из строя компьютеры? Возможны ли случаи саботажа? Будет ли работать связь? Пострадает ли здание организации? Можно ли будет найти и прочитать необходимые бумаги?

 

Стратегия восстановительных работ должна, разумеется, базироваться на наличных ресурсах и быть не слишком накладной для организации. При разработке стратегии целесообразно провести анализ рисков, которым подвержены критичные функции, и попытаться выбрать наиболее экономичное решение.

 

Стратегия должна предусматривать не только работу по временной схеме, но и возвращение к нормальному функционированию. Как ни странно, об этом зачастую забывают, хотя данный процесс не прост и, несомненно, нуждается в планировании.

 

Подготовка к реализации выбранной стратегии состоит в проработке детального плана действий в экстренных ситуациях и по их окончании, а также в обеспечении некоторой избыточности критичных ресурсов. Последнюю цель можно достичь без большого расхода средств, если заключить с одной или несколькими организациями соглашения о взаимной поддержке в случае аварий — те, кто не пострадал, предоставляют часть своих ресурсов во временное пользование менее удачливым партнерам.

 

Конечно, у подобного решения есть и отрицательная сторона, жизнь в "примаках" (как говорят на Украине) — не сахар, но ведь аварии может и не случиться, а тратить деньги в расчете на худшее всегда жалко.

 

Избыточность обеспечивается также мерами резервного копирования, хранением копий в нескольких местах, представлением информации в разных видах (на бумаге и в файлах) и т.д.

 

Разумно заключить соглашение с поставщиками информационных услуг о первоочередном обслуживании в критических ситуациях или иметь соглашения с несколькими поставщиками. Правда, эти меры могут потребовать определенных расходов.

 

Важной частью подготовки к реализации стратегии восстановления является обучение персонала. Снова вспомним гражданскую оборону — не все в ней было плохо.

 

Проверка стратегии производится, конечно, не путем организации тестовых землетрясений или гражданских беспорядков, а путем анализа подготовленного плана, принятых и намеченных мер. Чем большее число специалистов разного профиля уделят этому свое время, тем лучше. Впрочем, для некоторых видов незначительных аварий возможны и "следственные эксперименты".

 

"Гром не грянет — мужик не перекрестится". Это ведь не про нас?

 

Основные программно-технические меры

 

Программно-технические меры образуют последний и самый важный рубеж информационной защиты. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

 

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

 

Мы рассмотрим следующие основные сервисы безопасности:

 

идентификацию и аутентификацию,

управление доступом,

протоколирование и аудит,

криптографию,

экранирование.

 

Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, "проходная" информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

 

Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности".

 

Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:

 

нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.),

нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения),

нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

К сожалению, надежная идентификация и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная система основывается на информации в том виде, как она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник мог воспроизвести ранее перехваченные данные. Следовательно, необходимо принять меры для безопасного ввода и передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями. Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать. В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность подглядывания за вводом. В-четвертых, чем надежнее средство защиты, тем оно дороже. Особенно дороги средства измерения биометрических характеристик.

 

Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования первых двух из трех перечисленных выше базовых механизмов проверки подлинности; однако, в целях ясности изложения, мы рассмотрим их современную трактовку по очереди.

 

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность, — секретные криптографические ключи пользователей.

 

Обратим внимание на то, что процесс идентификации и аутентификации может идти не только между пользователем и системой — его целесообразно применять и к равноправным партнерам по общению, а также для проверки подлинности источника данных (см. Разд. Рекомендации X.800). Когда аутентификации подвергаются процесс или данные, а не человек, выбор допустимых средств сужается. Компьютерные сущности не могут чем-то обладать, у них нет биометрических характеристик. Единственное, что у них есть, это информация; значит, проверка подлинности может основываться только на том, что процесс или данные знают. С другой стороны, память и терпение у компьютерных сущностей не в пример лучше человеческих, они в состоянии помнить или извлекать из соответствующих устройств и многократно применять длинные криптографические ключи, поэтому в распределенных средах методы криптографии выходят на первый план; по существу им нет альтернативы.

 

Любопытно отметить, что иногда фаза аутентификации отсутствует совсем (партнеру верят на слово) или носит чисто символический характер. Так, при получении письма по электронной почте вторая сторона описывается строкой "From:"; подделать ее не составляет большого труда. Порой в качестве свидетельства подлинности выступает только сетевой адрес или имя компьютера — вещь явно недостаточная для подлинного доверия. Только использование криптографии поможет навести здесь порядок. В таких условиях монополизация криптографических услуг одним ведомством и связанные с этим однобокость и замедленность развития очевидным образом вредят информационной безопасности.

 

Главное достоинство парольной аутентификации — простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности [17]. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

 

Надежность паролей основывается на способности помнить их и хранить в тайне. Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через каждое слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф.

 

Иногда пароли с самого начала не являются тайной, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена. Правда, это можно считать аспектом простоты использования программного продукта.

 

Ввод пароля можно подсмотреть (это называется подглядыванием из-за плеча). В экзотических случаях для подглядывания используются оптические приборы.

 

Пароли нередко сообщают коллегам, чтобы те смогли выполнить какие-либо нестандартные действия (например, подменить на некоторое время владельца пароля). Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.

 

Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (алгоритм шифрования предполагается известным).

 

Нередко на персональных компьютерах пароли используются как средство управления доступом. Подобную практику едва ли можно приветствовать. Во-первых, многочисленные пароли трудно использовать и администрировать. Во-вторых, они быстро становятся известными практически всем.

 

Пароли уязвимы по отношению к электронному перехвату. Это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход — использование криптографии для шифрования паролей перед передачей по линиям связи или для того, чтобы вообще их не передавать, как это делается в сервере аутентификации Kerberos.

 

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

 

наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

управление сроком действия паролей, их периодическая смена;

ограничение доступа к файлу паролей;

ограничение числа неудачных попыток входа в систему (это затруднит применение метода грубой силы);

обучение пользователей (например, тому, что пароли, в отличие от обеда, лучше не разделять с другом);

использование программных генераторов паролей [17] (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов [19].

 

Токен — это предмет (устройство), владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

 

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника — мало украсть или подделать карточку, нужно узнать еще и личный номер "жертвы".

 

Обратим внимание на необходимость обработки аутентификационной информации самим устройством чтения, без передачи в компьютер — это исключает возможность электронного перехвата.

 

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

 

Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостатками. Прежде всего, они существенно дороже паролей. Их необходимо делать, раздавать пользователям, обслуживать случаи потери. Они нуждаются в специальных устройствах чтения. Пользоваться ими не очень удобно, особенно если организация установила у себя интегрированную систему безопасности. Чтобы сходить, например, в туалет, нужно вынуть карточку из устройства чтения, положить ее себе в карман, совершить моцион, вернуться, вновь вставить карточку в устройство чтения и т.д. Пользователей придется убеждать, что повышенные меры безопасности действительно необходимы.

 

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования. Выборочные обследования показали, что подобная операция была проделана хакерами на многих хостах Internet. Удивительно, что некоторые банкоматы, обслуживающие клиентов по карточкам с магнитной полосой, подверглись аналогичной модификации. Лица, получившие доступ к накопленной информации, могли подделывать карточки и пользоваться ими от имени законных владельцев. Против таких технических новинок рядовые граждане бессильны.

 

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты (стандартизованные ISO) и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

 

По принципу действия интеллектуальные токены можно разделить на следующие категории:

 

  • Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.
  • Динамическая генерация паролей: токен генерирует пароли, периодически (например, раз в минуту) изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.
  • Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), на дисплее токена видит ответ и переносит его на клавиатуру терминала.

 

Главным достоинством интеллектуальных токенов является возможность их применения при аутентификации по открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения интеллектуальные токены реализуют механизм одноразовых паролей.

 

Еще одним достоинством является потенциальная многофункциональность интеллектуальных токенов. Их можно применять не только для целей безопасности, но и, например, для финансовых операций.

 

Основным недостатком интеллектуальных токенов является их высокая стоимость. (Правда, это хотя бы отчасти можно трактовать и как достоинство, поскольку тем самым затрудняется подделка.) Если у токена нет электронного интерфейса, пользователю при аутентификации приходится совершать много манипуляций, что для владельцев дорогих устройств должно быть особенно обидно. Администрирование интеллектуальных токенов по сравнению с магнитными картами усложнено за счет необходимости управления криптографическими ключами.

 

За безопасность действительно приходится платить — деньгами и неудобствами.

 

Устройства контроля биометрических характеристик сложны и дороги, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.

 

Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянно поддерживать конфиденциальность, целостность и доступность соответствующей информации, что особенно непросто в сетевой разнородной среде. Целесообразно, наряду с ранее декларировавшимся тезисом всемерной автоматизации, применить максимально возможную централизацию информации. Достичь этого можно применением выделенных серверов проверки подлинности (таких как Kerberos) или средств централизованного администрирования (таких как CA-Unicenter). Некоторые операционные системы, например, Solaris или NetWare, предлагают сетевые сервисы, которые могут служить основой централизации административных данных.

 

Отметим, что централизация облегчает жизнь не только системным администраторам, но и пользователям, поскольку позволяет реализовать важную концепцию единого входа. Единожды пройдя проверку подлинности, пользователь получает доступ ко всем ресурсам сети (естественно, в пределах своих полномочий).

 

Управление доступом

 

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь идет о логическом (в отличие от физического) управлении доступом, который реализуется программными средствами. Логическое управление доступом — это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

 

Рассмотрим формальную постановку задачи. Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

 

Отношение (субъекты, объекты) можно представить в виде матрицы, в строках которой перечислены субъекты, в столбцах — объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, так, как это показано в Таб. 5.

Таблица 5. Фрагмент матрицы доступа.

 

 

Тема логического управления доступом — одна из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты. Например, в ОС Solaris имеются отображения со своими видами доступа.

 

Для систем управления реляционными базами данных объект — это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа. И список этот можно продолжать до бесконечности.

 

Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту конкретную операцию. Теоретически это согласуется с современными объектно-ориентированными воззрениями, на практике же приводит к значительным трудностям. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов (возможно, при этом придется преодолеть некоторые технические трудности). Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой (разобравшись предварительно в структуре хранения объектов базы данных). В результате при задании матрицы доступа нужно принимать во внимание не только разумность распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла). Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

 

Контроль прав доступа производится разными компонентами программной среды — ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д. Тем не менее, можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие методы хранения матрицы доступа.

 

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

 

  • Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного управления доступом (см. Разд. Произвольное управление доступом).
  • Атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа принудительного управления доступом (см. Разд. Метки безопасности и Разд. Принудительное управление доступом). В последнее время все большее распространение в системах управления базами данных получает понятие роли. В самом общем виде роль можно трактовать как атрибут, который субъект может получить, пройдя процедуру дополнительной аутентификации. На практике роли ассоциируют с приложениями (например, ввод данных о зарплате или генерация годового отчета) и защищают разделяемыми (то есть общими для нескольких субъектов) паролями. Последнее обстоятельство снижает реальную ценность роли как механизма безопасности.
  • Место действия (системная консоль, надежный узел сети и т.п.).
  • Время действия (большинство действий целесообразно разрешать только в рабочее время).
  • Внутренние ограничения сервиса (число пользователей, записанное в лицензии на программный продукт, сумма, которую разрешается выдавать наличными и т.п.).

 

Матрицу доступа, ввиду ее разреженности (большинство клеток — пустые), неразумно хранить в виде двумерного массива. В принципе можно представлять ее по строкам, поддерживая для каждого субъекта перечень доступных ему объектов, однако, поскольку объекты гораздо динамичнее субъектов (они чаще создаются и уничтожаются), подобный подход чрезмерно усложняет администрирование. Практичнее хранить матрицу по столбцам, то есть для каждого объекта поддерживать список "допущенных" субъектов вместе с их правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит существенным подспорьем администратору. Некоторые проблемы возникают только при удалении субъекта, когда приходится устранять его имя из всех списков доступа; впрочем, операция эта нечастая.

 

Списки доступа — исключительно гибкое средство. С их помощью легко выполнить требования класса безопасности C2 о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом [13].

 

Ограниченная форма списков доступа реализована в ОС UNIX. В UNIX-списке всегда три элемента: владелец, группа владельца и прочие пользователи. Теоретически, создав достаточно большое число групп, можно и при ограниченной форме добиться индивидуальной гранулярности прав, но на практике это, конечно, нереально (да и не особенно нужно).

 

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления — гибкость. Вообще говоря, для каждой пары (субъект, объект) можно независимо задавать права доступа (особенно легко это делать, если используются списки управления доступом). К сожалению, у "произвольного" подхода есть ряд принципиальных недостатков. Рассредоточенность управления доступом ведет к тому, что надежными должны быть многие пользователи, а не только системные операторы или администраторы. Рассеянность или некомпетентность владельца секретной информации может открыть ее (информацию) всем прочим пользователям. Следовательно, произвольность управления должна быть дополнена жестким контролем за проведением избранной политики безопасности.

 

Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл. Подобная "отделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

 

Имеется третий, функциональный способ представления матрицы доступа, когда ее вообще не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта, в защитных надстройках над операционными системами класса MS-DOS запрашивается пароль, при использовании шифрования необходимо знать секретный ключ (иначе информацию не удастся прочитать). Из соображений построения эшелонированной обороны целесообразно сочетать применение списков управления доступом (в полной или ограниченной форме) и функционального представления (обычно основанного на шифровании информации).

 

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС UNIX. Вне всяких сомнений, лучше совсем не вводить в искушение, чем потом долго рассказывать про мучения грешников в аду.

 

В заключение раздела хотелось бы еще раз подчеркнуть важность управления доступом не только на уровне операционной системы, но и в рамках других сервисов, входящих в состав современных приложений, а также, насколько это возможно, на "стыках" между сервисами. Здесь на первый план выходят существование единой политики безопасности организации, а также квалифицированное и согласованное системное администрирование.

 

Протоколирование и аудит

 

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

 

Аудит — это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (например, раз в день).

 

Реализация протоколирования и аудита преследует следующие главные цели [12]:

 

  • обеспечение подотчетности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий;
  • обнаружение попыток нарушения информационной безопасности;
  • предоставление информации для выявления и анализа проблем.

 

Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались пе речисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность. Разумный подход к данному вопросу предлагается в "Оранжевой книге" (см. Разд. Анализ регистрационной информации).

 

Еще одна особенность протоколирования и аудита — зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистраци онной информации. Возможно, для защиты привлекаются и криптографические методы.

 

Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

 

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

 

Обнаружение попыток нарушений информационной безопасности — тема сложная, требующая, вообще говоря, привлечения методов искусственного интеллекта. Как выявлять подозрительные события? Иногда это легко (что может быть подозрительнее последовательности неудачных входов в систему?), иногда сложно (некто больше обычного пользуется модемом, чтобы передать за пределы организации конфиденциальную информацию). В любом случае, организуя оперативный или периодический аудит, следует сформулировать для себя или для программы критерии отбора записей, требующих детального анализа. При правильной постановке подобная деятельность может существенно усилить защиту. Напомним, что поимка немецких хакеров, действовавших по заказу КГБ, началась с выявления подозрительного расхождения в несколько центов в ежедневном отчете крупного вычислительного центра.

 

Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

 

Трудной проблемой является организация согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами (см. Разд. Распространение подхода клиент/сервер на информационную безопасность), которые возьмут протоколирование на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.

 

Протоколирование и аудит можно превратить в бессмысленную формальность, а можно — в эффективный инструмент поддержания режима информационной безопасности.

 

Криптография

 

Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и, в то же время, последним (а подчас и единственным) защитным рубежом (см. Разд. Рекомендации X.800). Например, для портативных компьютеров, физически защитить которые крайне трудно, только криптография позволяет гарантировать конфиденциальность информации даже в случае кражи.

 

Криптографии посвящено множество книг, статей и указов, поэтому мы ограничимся кратким обзором.

 

Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и стандарт на подобные методы — ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".

 

 

Рисунок 1. Использование симметричного метода шифрования.

 

 

Рис. 1 иллюстрирует использование симметричного шифрования. Для определенности мы будем вести речь о защите сообщений, хотя события могут развиваться не только в пространстве, но и во времени, когда шифруются и расшифровываются никуда не перемещающиеся файлы.

 

Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель на основании наличия шифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

 

В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с адресом пользователя) используется для шифровки, другой (секретный, известный только получателю) — для расшифровки. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями.

 

Использование асимметричного шифрования проиллюстрировано Рис. 2.

 

 

Рисунок 2. Использование асимметричного метода шифрования.

 

 

Асимметричные методы позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения — открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

 

Пусть E(T) обозначает результат шифрования текста T с помощью открытого ключа, а D(T) — результат дешифровки текста Т (как правило, шифрованного) с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации электронной подписи, необходимо выполнение тождества

 

E(D(T)) = D(E(T)) = T

 

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. (Асимметричные методы на 3 — 4 порядка медленнее симметричных.) Так, для решения задачи рассылки ключей сначала сообщение симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

 

 

Рисунок 3. Эффективное шифрование сообщения.

 

 

На Рис. 3 отображено эффективное шифрование, реализованное путем сочетания симметричного и асимметричного методов, а Рис. 4 показывает расшифровку эффективно зашифрованного сообщения.

 

 

Рисунок 4. Расшифровка эффективно зашифрованного сообщения.

 

 

При практической реализации электронной подписи также дешифруется не все сообщение, а лишь так называемый дайджест, или хэш, защищающий послание от нелегального изменения. Нетрудно видеть, что электронная подпись выполняет две функции — гарантирует целостность сообщения и удостоверяет личность отправителя.

 

Рисунок 5. Эффективная генерация электронной подписи.

 

 

Проиллюстрируем Рис. 5 процедуру эффективной генерации электронной подписи, а проверка эффективно сгенерированной электронной подписи может быть реализована способом, изображенным на Рис. 6.

 

Рисунок 6. Проверка эффективно сгенерированной электронной подписи.

 

 

 Два российских стандарта, "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и "Функция хэширования", объединенные общим заголовком "Информационная технология. Криптографическая защита информации", регламентируют вычисление дайджеста и реализацию электронной подписи.

 

Обратим внимание на то, что при использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

 

Отметим, что услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.

 

Криптографические методы позволяют надежно контролировать целостность информации. В отличие от традиционных методов контрольного суммирования, способных противостоять только случайным ошибкам, криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, практически исключает все возможности незаметным образом изменить данные.

 

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей [18]. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут в установленном порядке получить его (ключа) половинки и дальше действовать обычным для симметричной расшифровки образом.

 

Составные ключи — отличный пример следования принципу разделения обязанностей (см. Разд. Управление персоналом). Они позволяют сочетать право граждан на тайну с возможностью эффективно следить за нарушителями закона, хотя, конечно, здесь очень много тонкостей и технического, и юридического плана.

 

Несомненно, криптография должна стать обязательным компонентом защиты всех сколько-нибудь развитых систем. К сожалению, этому мешает огромное количество самых разных барьеров.

 

Экранирование

 

По-видимому, настоящая работа является первой, где экранирование рассматривается как самостоятельный (причем принципиально важный) сервис безопасности. Это представляется удивительным, поскольку сетевые реализации данного сервиса, называемые межсетевые экранами (предлагаемый нами перевод английского термина firewall), распространены весьма широко; сложилась терминология, оформилась классификация механизмов — в общем, налицо все признаки зрелости и самостоятельности научно-технического направления.

 

Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (Рис. 7).

 

Рисунок 7. Экран как средство разграничения доступа.

 

 

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю (Рис. 8).

 

Рисунок 8. Экран как последовательность фильтров.

 

 

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

 

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана — устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

 

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

 

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

 

Чаще всего [28] экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором — экранирующий транспорт, в третьем — экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов.

 

Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков сетевого и (быть может) транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации — порт, через который пакет поступил в маршрутизатор.

 

Современные маршрутизаторы (такие, как продукты компаний Bay Networks или Cisco) позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе (при поступлении в маршрутизатор), так и на выходе. В принципе, в качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

 

Основные достоинства экранирующих маршрутизаторов — дешевизна (на границе сетей маршрутизатор нужен практически всегда, дело лишь в том, чтобы задействовать его экранирующие возможности) и прозрачность для более высоких уровней модели OSI. Основной недостаток — ограниченность анализируемой информации и, как следствие, относительная слабость обеспечиваемой защиты.

 

Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта — продукт TCP wrapper [29].

 

По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации). Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток — сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент.

 

Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты — по одному для каждого обслуживаемого прикладного протокола. При подобном подходе, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует, то есть заслоняет, внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток экранирующих шлюзов — отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.

 

Примером инструментария для построения экранирующих шлюзов является TIS Firewall Toolkit компании Trusted Information Systems.

 

В гибридных системах, таких как Firewall-1 компании Sun Microsystems, действительно удается объединить лучшие качества экранирующих систем, то есть получить надежную защиту, сохранить прозрачность для приложений и удержать накладные расходы в разумных пределах. Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи информации в рамках датаграммных протоколов.

 

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети. Пример возможной конфигурации многокомпонентного экрана представлен на Рис. 9.

 

 

Рисунок 9. Многокомпонентный экран.

 

 

 

 

Таким образом, экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей.

 

Подчеркнем, что экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подобной среды — объектно-ориентированные программные системы, когда для активации методов объектов выполняется (по крайней мере, в концептуальном плане) передача сообщений. Представляется весьма вероятным, что в будущих объектно-ориентированных средах экранирование станет одним из важнейших инструментов разграничения доступа к объектам.

 

Заключение

 

Мы завершили обзор основных положений информационной безопасности. Наша цель состояла в том, чтобы ознакомить читателей с важнейшими понятиями данной области знания и снабдить их практическими рекомендациями по формированию и поддержанию режима безопасности. Хочется еще раз подчеркнуть обязательность комплексного, систематического подхода, необходимость сочетания законодательных, организационных и программно-технических мер. Особенно важно, чтобы вопросы безопасности попали в сферу особого внимания руководителей организаций — без их поддержки (точнее, без их напора) сделать что-нибудь существенное невозможно.

 

Тема информационной безопасности необычайно важная, обширная и сложная. В таких странах, как США, она вынесена на правительственный и законодательный уровень, ей уделяется первостепенное внимание. Различные формы распространения знаний по безопасности охватывают по существу все слои общества; без таких знаний уже не мыслится компьютерная грамотность.

 

В России пока не так, однако хотелось бы верить, что постепенно положение начнет меняться к лучшему.

 

Литература

 

  1. Гостехкомиссия России -- Руководящий документ. Концепция защиты СВТ и АС от НСД к информации -- Москва, 1992
  2. Гостехкомиссия России -- Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации -- Москва, 1992
  3. Гостехкомиссия России -- Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации -- Москва, 1992
  4. Гостехкомиссия России -- Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники -- Москва, 1992
  5.  Гостехкомиссия России -- Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения -- Москва, 1992
  6. Федеральный Закон "Об информации, информатизации и защите информации" -- Российская газета, 22 февраля, 1995
  7. Президент Российской Федерации -- Указ от 3 апреля 1995 г. # 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" , 22 февраля, 1995
  8. В Гайкович , А Першин -- Безопасность электронных банковских систем -- Москва, Единая Европа, 1994
  9. В.К Левин -- Защита информации в информационно-вычислительных системах и сетях -- Программирование, 5, 1994, с. 5-16
  10. Продукты года. — LAN — русское издание , апрель 1995, том 1, номер 1, с. 6-25
  11. Department of Defense Trusted Computer System Evaliation Criteria -- DoD 5200.28-STD, 1993
  12. National Computer Security Center -- A Guide to Understanding Audit in Trusted Systems -- NCSC-TG-001, 1987
  13. National Computer Security Center -- A Guide to Understanding Discretionary Access Control in Trusted Systems -- NCSC-TG-003, 1987
  14. National Computer Security Center -- Trusted Network Interpretation -- NCSC-TG-005, 1987
  15. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France — Germany — the Netherlands — the United Kingdom -- Department of Trade and Industry, London, 1991
  16. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800 -- CCITT, Geneva, 1991
  17. Announcing the Standard for Automated Password Generator -- Federal Information Processing Standards Publication 181, 1993
  18. Escrowed Encryption Standard -- Federal Information Processing Standards Publication 185, 1994
  19. Announcing the Guideline for the Use of Advanced Authentication Technology Alternatives -- Federal Information Processing Standards Publication 190, 1994
  20. Specifications for Guideline for The Analysis Local Area Network Security -- Federal Information Processing Standards Publication 191, 1994
  21. L.E Bassham , W.T Polk -- Threat Assessment of Malicious Code and Human Threats (NISTIR 4939) -- National Institute of Standards and Technology, Computer Security Division, 1992
  22. An Introduction to Computer Security: The NIST Handbook. Draft -- National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994
  23. The Generally Accepted System Security Principles (GSSP). Exposure Draft -- GSSP Draft Sub-committee, 1994
  24. Threats to Computer Systems: an Overview -- Computer Systems Laboratory Bulletin, March 1994
  25. P Holbrook (ред.), J Reynolds (ред.) -- Site Security Handbook -- Request for Comments: 1244, 1991
  26. D Russel , G.T. Sr Gangemi -- Computer Security Basics -- O'Reilly & Associates, Inc, 1992
  27. D.J Stang , S Moon -- Network Security Secrets -- IDG Books Worldwide Inc, 1993
  28. W.R Cheswick , S.M Bellovin -- Firewalls and Internet Security: Repelling the Wily Hacker -- Addison-Wesley, 1994
  29. W Venema -- TCP WRAPPER: Network monitoring, access control and booby traps -- Proceedings of the Third Usenix Unix Security Symposium, Baltimore, MD, September 1992, p. 85-92

Уведомления об обновлении тем – в вашей почте

О лицензировании и сертификации в области защиты информации

Не проходящий и не снижающийся интерес к проблемам лицензирования и сертификации в области защиты информации, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно ...

Руководство по информационной безопасности

В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) — ...

Хорошая безопасность работает с людьми

Топы, рядовые пользователи, подрядчики… Выстраиваем с ними ИБ-отношения? Как мы обучаем сотрудников нашей компании защите от фишинга? Почему в ИБ нужны экстраверты?

Аудит информационных систем

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию ...

Пентест CRM: как шкатулка с секретами превращается в ящик Пандоры

«Ширли-мырли» в CRM. Про недостатки в управлении пользовательскими сессиями: неограниченное время жизни, неконтролируемый выпуск токенов, отсутствие механизма отзыва и др. Конь троянский. Недостатки, связанные с загрузкой файлов и получением доступа к ним (от классической загрузки шелла и хранимой XSS в файле аватарки (SVG) до кейсов с S3 и CDN). Так и запишем. Чрезмерное и небезопасное логирование. К чему приводит бесконтрольная запись действий пользователя.

Как реагировать на нарушения информационной безопасности

Цель настоящего документа – сформулировать ожидания Интернет-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Нет возможности определить набор ...

ИБ-ликбез в формате small talk. Под капотом — защита облаков, Deception, киберполигон

Пошаговый чек-лист для построения защиты облаков с нуля. Рекомендации, как выстроить Digital Risk Protection, и подборка Open Source утилит. Сравнение трех лидеров рынка автопентестов: PenTera, Cymulate, Cronus CyBot.

«Оставим иллюзии, что мы защищены»: как прошел Инфофорум-2023

Почему российским компаниям рано расслабляться? Могут ли отечественные решения справиться с современными угрозами? Чего бизнесу ждать в будущем?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня