Технологии построения защищенных информационных систем.

Построение сложных защищенных информационных систем связано с решением следующих двух ключевых взаимосвязанных проблем:

· распределение задач администрирования средствами защиты информации между субъектами управления системой;

· использование встроенных механизмов защиты на всех уровнях иерархии системы.

 

Первая проблема обусловлена иерархическими принципами построения сложной системы - как правило, можно выделить уровень платформы (операционная система), общесистемный уровень (СУБД и другие системные средства), уровень приложений. Каждый уровень требует своего администрирования. В сложной системе в общем случае выделяются следующие задачи администрирования:

· системное администрирование (настройка ОС, конфигурация и маршрутизация сетевого трафика и т.п.);

· администрирование СУБД и других общесистемных средств;

· администрирование прикладных приложений.

При этом на уровне системного администрирования в сложных системах может присутствовать разделение задач по функциональному назначению объектов - рабочие станции, файл-серверы и серверы приложений, серверы доступа к внешним сетям и др.

В рамках представленной иерархии задач администрирования в сложной системе вводятся соответствующие администраторы, каждый из которых отвечает за свою компоненту управления.

Кроме рассмотренных задач, в сложных защищенных информационных системах, предназначенных для обработки конфиденциальной информации, выделяется самостоятельная компонента управления - управление информационной безопасностью системы. Возникает проблема включения данной компоненты в исходную схему администрирования, связанная с тем, что администратором каждого уровня иерархии управления решаются в том числе (если не в первую очередь) и задачи администрирования информационной безопасностью в рамках соответствующего уровня иерархии. Возникает вопрос, каким образом распределить данные задачи при включении в схему администратора безопасности, какими его функциями делегировать и какие функции администрирования информационной безопасностью возложить на остальных администраторов системы.

Другая проблема (тесно взаимосвязанная с рассмотренной выше) состоит в использовании встроенных средств защиты, распределении задач между встроенными и добавочными средствами защиты. Данная задача осложнена тем, что, с одной стороны, невозможно в полной мере доверять встроенным в системы иностранного производства средствам защиты, с другой, нельзя и отказываться от этих механизмов в полном объеме, иначе для всех видов ОС, СУБД и т.д. потребуется разрабатывать добавочные средства защиты, а это не всегда (при отсутствии исходных текстов) возможно реализовать в принципе или приведет к существенному усложнению системы.

В части разрешения сформулированных проблем очевидны следующие альтернативные подходы:

Все задачи администрирования информационной безопасностью системы возложить на администратора безопасности. Это невозможно по двум соображениям, во первых, задача администрирования становится недопустимо сложной и требует для решения чрезвычайно высокой квалификации администратора безопасности, во вторых, для использования данного решения необходимо разграничивать функции администрирования на всех уровнях иерархии системы, что возможно только с реализацией защиты на всех уровнях добавочными средствами.

Задачи администрирования информационной безопасностью системы распределить между соответствующими администраторами на соответствующих уровнях иерархии. В этом случае не ясны задачи и функции администратора безопасности как такового как центрального звена управления информационной безопасностью сложной защищенной системы (обеспечить какую-либо безопасность системы при распределенном решении данной задачи невозможно в принципе).

Предлагается компромиссное решение рассматриваемой задачи, реализуемое с использованием метода уровневого контроля целостности списков санкционированных событий.

Суть метода заключается в следующем: все ресурсы системы делятся на уровни (по функциональному признаку). Текущая конфигурация каждого уровня заносится в соответствующий эталонный список, хранящийся в системе защиты (СЗИ) и недоступный никому, кроме администратора безопасности, целостность которого контролируется с малым периодом (малая величина списка). Случай обнаружения расхождений текущего и эталонного списка является признаком НСД, в качестве реакции на которое СЗИ, помимо восстановления изначальной конфигурации, может выполнить дополнительные реакции. В контролируемых списках могут находиться - списки зарегистрированных пользователей, списки их паролей, списки разрешенных к запуску процессов, настройки ОС (например, ключи реестра для MS Windows), настройки собственно СЗИ и т.д.

Рассмотрим применение метода для решения задачи распределения функций администрирования безопасностью в сложной системе.

Все настройки информационной безопасности на соответствующих уровнях иерархии задаются соответствующим администратором - системным, приложений, СУБД при контроле со стороны администратора безопасности, реализованном организационными мероприятиями. По завершении настроек они сохраняются администратором безопасности в эталонных списках СЗИ, к которым имеет доступ только администратор безопасности. В процессе функционирования системы данные списки непрерывно контролируются и автоматически восстанавливаются СЗИ из эталонных копий в случае обнаружения их искажений.

Таким образом, компромисс предлагаемого решения состоит в следующем. Администраторы уровней иерархии сами реализуют (осуществляют настройки механизмов защиты) требования разграничительной политики доступа к ресурсам при непосредственном контроле со стороны администратора безопасности. СЗИ обеспечивает невозможность изменения заданных настроек без участия администратора безопасности, в том числе и остальным администраторам системы. Данный подход позволяет разделить задачи администраторов без использования добавочных средств защиты и в полном объеме использовать встроенные механизмы защиты на всех уровнях иерархии системы.

Ключевым вопросом здесь остается распределение функций системного администратора и администратора безопасности. По экономическим и иным соображениям функции этих администраторов в сложной информационной системе следует совмещать. При этом могут быть в полной мере использованы и механизмы защиты, встроенные в ОС. Разделение же функций системного администратора и администратора безопасности возможно лишь при условии, что система разграничения доступа к ресурсам на уровне ОС будет реализована как добавочное средство защиты (в противном случае системный администратор получит доступ к эталонным спискам событий, хранящимся в СЗИ).

Итак, преимуществом предложенного подхода является возможность разделения задач администрирования при максимальном использовании встроенных средств защиты на всех уровнях иерархии сложной системы. Однако здесь появляется другая проблема (сформулированная ранее) - проблема доверия встроенным механизмам защиты, которые могут содержать как ошибки, так и закладки, что при определенных условиях позволит злоумышленнику их преодолеть. Решение этой проблемы возможно с помощью рассмотренного ранее метода уровневого контроля целостности списков санкционированных событий, а также метода противодействия ошибкам и закладкам в средствах информационной системы, сущность которого состоит в следующем.

При доступе пользователя (санкционированного либо злоумышленника) к информации должен произойти ряд событий - авторизация пользователя (идентификатор пользователя должен быть занесен в список имен, пароль - в список паролей), должен быть запущен некоторый процесс (программа) на исполнение, при доступе к информации (файлу, таблице) должны быть проверены права доступа пользователя, при этом собственно ОС и СУБД должны обладать некоторым набором заданных администраторами свойств и т.д. СЗИ создает эталонные копии списков контролируемых событий и осуществляет их непрерывный контроль в процессе функционирования системы. При искажении исходного списка вырабатывается реакция СЗИ (например, восстановление исходного списка, выключение компьютера и т.д.).

Таким образом, если доступ к информации осуществляет санкционированный пользователь и не нарушает своих прав в рамках заданной администратором безопасности разграничительной политики, он получает доступ к информации. В противном случае, нарушителю необходимо осуществить какое-либо изменение контролируемого события при доступе к информации (иначе ему просто не получить доступ к данным, противоречащий разграничительной политике). В этом случае СЗИ будет оказано противодействие НСД. Важнейшей особенностью данного подхода является то, что для СЗИ неважно, за счет чего злоумышленником осуществляется попытка модификации контролируемого события при доступе к информации, в том числе и за счет использования им ошибки либо закладки. Фиксируется не причина попытки изменения события, а сам факт подобного изменения.

Применение данного подхода позволяет повысить доверие к встроенным механизмам защиты информационной системы и, как следствие, рассматривать их как основные средства защиты при построении сложной защищенной информационной системы.

К преимуществам рассмотренных принципов реализации системы добавочной защиты (СЗИ) можно отнести то, что она реализуется на прикладном уровне, т.е. практически инвариантна к типу используемых в информационных системах ОС, СУБД и приложений (легко переносима на различные платформы), и ее применение практически не приводит к снижению надежности функционирования системы.

Следует отметить, что предложенный подход к построению системы добавочной защиты может использоваться и для решения иных задач, в частности, для асинхронного контроля целостности файловых объектов, локального и сетевого контроля активности СЗИ и др.