Объектно-ориентированные технологии распределенной обработки

Сегодня наибольшее применение для разработок приложе­ний распределенной обработки находят две компонентные модели — DCOM и CORBA. Эти технологии реатизуют трех­уровневую архитектуру модели «клиент — сервер». Введение специального промежуточного слоя — сервера приложений, ко­торому «делегированы полномочия» организации взаимодейст­вия клиента и сервера, обеспечивает возможность интеграции объектов, размещенных на машинах разных платформ и под управление разнотипных операционных систем.

Обе модели распространяют принципы вызова удаленных процедур на объектные распределенные приложения и обеспе­чивают прозрачность реализации и физического размещения серверного объекта для клиентской части приложения; поддер­живают возможность взаимодействия объектов, созданных на различных объектно-ориентированных языках и скрывают от приложения детали сетевого взаимодействия.

Основу этого подхода составляет «минимальная» объектная модель, обладающая ограниченными возможностями, но имею­щая обязательные аналоги в наиболее распространенных объ­ектных системах. В архитектуре CORBA используется модель Core Object Model с соответствующим языком спецификации интерфейсов объектов (Interface Definition Language — IDL). Чтобы обеспечить возможность взаимодействия объекта, суще­ствующего в одной системе программирования, с некоторым объектом из другой системы программирования, в исходный текст первого объекта (объявления его класса) должна быть по­мещена IDL-спецификация интерфейса (имя метода, список имен и типов данных входных и выходных параметров) того объекта, метод которого должен быть вызван. Аналогичная спе­цификация должна быть помещена на стороне вызываемого объекта. Далее, спецификации, транслированные IDL-процес- сором в выражения языка программирования, включаются в ис­ходный текст программы на языках Си, Java.

В DCOM-технологии, представленной на рис. 7.12, взаимо­действие между клиентом и сервером осуществляется через двух посредников. Клиент помещает параметры вызова в стек и обра­щается к методу интерфейса объекта. Это обращение перехваты­вает посредник Proxy, упаковывает параметры вызова в СОМ-пакет и адресует его в Stub, который в свою очередь рас­паковывает параметры в стек и инициирует выполнение метода объекта в пространстве сервера. При этом объект должен быть предварительно зарегистрирован на локальной машине, чтобы клиент с помощью распределенной службы имен (в качестве ко-

Рис. 7.12. DCOM-технология взаимодействия «клиент — сервер»

 

торой Microsoft предлагает Active Directory) мог его отыскать по глобальному уникальному идентификатору (GUId).

CORBA-технология также использует интерфейс объекта, но в этом случае схема взаимодействия объектов (рис. 7.13) включа­ет промежуточное звено (Smart agent), реализующее доступ к уда­ленным объектам. Smart agent, установленный на машинах сете­вого окружения (сервере локальной сети или Internet-узле), мо­делирует сетевой каталог известных ему серверов объектов. Регистрация объектов сервера в каталоге одного или нескольких Smart agent'oB происходит автоматически при создании сервера.

Рис. 7.13. CORBA-технология взаимодействия «клиент — сервер»

 

Связи между брокерами осуществляются в соответствии с требованиями специального протокола General Inter ORB Protocol, определяющего низкоуровневое представление данных и множество форматов сообщений.

На машине клиента создаются два объекта-посредника: Stab (заглушка) и ORB (Object Required Broker — брокер вызываемого объекта). Так же как и в DCOM-технологии, Stub передает пере­хваченный вызов брокеру, который посылает широковещатель­ное сообщение в сеть. Smart agent, получив сообщение, отыскива­ет сетевой адрес сервера и передает запрос брокеру, размещенно­му на машине сервера. Вызов требуемого объекта производится через специальный базовый объектный адаптер (BOA). При этом данные в стек пространства вызываемого объекта помещает осо­бый объект сервера (Skeleton — каркас), который вызывается адаптером.

CORBA имеет два механизма реализации запросов к объ­ектам:

• статический, предполагающий использование заглушек и каркасов, интерфейсы которых были сгенерированы при создании объекта;

• динамический вызов с помощью интерфейса динамическо­го вызова (DII).

Интерфейс динамического вызова позволяет определять объ­екты и их интерфейсы во время выполнения, а затем формиро­вать заглушки. Аналогично, на стороне сервера может использо­ваться динамический интерфейс каркасов (DSI), что позволяет обращаться к реализации объекта, для которого на этапе созда­ния не был сформирован каркас.

Ключевым компонентом архитектуры CORBA является язык описания интерфейсов IDL, на уровне которого поддерживают­ся «контрактные» отношения между клиентом и сервером и обеспечивается независимость от конкретного объектно-ориен­тированного языка. CORBA IDL поддерживает основные поня­тия объектно-ориентированной парадигмы (инкапсуляцию, по­лиморфизм и наследование). При этом CORBA-объекты могут быть преобразованы в объекты языков программирования (на­пример, Java, С, С++), т. е. будут сформированы файлы:

• исходного клиентского кода, содержащего интерфейсные заглушки;

• исходного серверного кода, содержащего каркасы;

• заголовков, которые включаются в клиентскую и сервер­ную программы.

В модели DCOM также может использоваться разработан­ный Microsoft язык IDL, который, однако, играет вспомогатель­ную роль и используется в основном для удобства описания объ­ектов. Реальная интеграция объектов в DCOM происходит не на уровне абстрактных интерфейсов, а на уровне бинарных кодов, и это одно из основных различий этих двух объектных моделей.

Как DCOM, так и CORBA, в отличие от процедурного RPC, дают возможность динамического связывания удаленных объек­тов: клиент может обратиться к серверу-объекту во время вы­полнения, не имея информации об этом объекте на этапе ком­пиляции. В CORBA для этого существует специальный интер­фейс динамического вызова DII. а СОМ использует механизм OLE-Automation. Информацию о доступных объектах сервера на этапе выполнения клиентская часть программы получает из спе­циального хранилища метаданных об объектах — репозитария интерфейсов Interface Repositary в случае CORBA, или библиоте­ки типов (Type Library) в модели DCOM. Эта возможность очень важна для больших распределенных приложений, поскольку по­зволяет менять и расширять функциональность серверов, не внося существенных изменений в коя клиентских компонентов программы. Например, банковское приложение, основная биз­нес-логика которого поддерживается сервером в центральном офисе, а клиентские системы — в филиалах, размещенных в раз­ных городах.

Контрольные вопросы

1. Какие разновидности систем «клиент — сервер» вы знаете?

2. Что такое файловый сервер?

3. Что такое сервер баз данных?

4. Что такое сервер приложений?

5. Сформулируйте основные требования к системам управления рас­пределенными базами данных.

6. Перечислите основные условия и предпосылки появления систем управления распределенными базами данных.

7. Перечислите основные различия системы распределенной обработки данных и системы распределенных баз данных.

8. Обоснуйте целесообразность разделения «клиентских» и «сервер­ных» функций.

9. Проведите сравнительный анализ распределения функций для различ­ных базовых архитектур.

10. Определите основные принципы и примерные структурные схемы сервера распределенной обработки.

11. Перечислите основные решения распределенной обработки на основе межмодульного взаимодействия.

Глава 8

ЗАЩИЩЕННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Концентрация информации в компьютерах — аналогична концентрации наличных денег в банках — заставляет все более усиливать контроль в целях зашиты информации. Юридические вопросы, частная тайна, национальная безопасность — все эти соображения требуют усиления внутреннего контроля в ком­мерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопас­ность информации. Специалист в области безопасности инфор­мации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопас­ности, направленной на поддержание целостности, пригодно­сти и конфиденциальности накопленной в организации инфор­мации. В его функции входит обеспечение физической (техни­ческие средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

Сложность создания системы зашиты информации опреде­ляется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими. а не в уничтожении или изме­нении.

Обеспечение безопасности информации — дорогое дело, и не столько из-за затрат на закупку или установку средств, сколь­ко из-за того, что трудно квалифицированно определить грани­цы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

Средства защиты информации нельзя проектировать, поку­пать или устанавливать до тех пор, пока не произведен соответ­ствующий анатиз. Анализ риска должен дать объективную оцен­ку многих факторов (подверженность появлению нарушения ра­боты, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности сис­темы, общественные отношения, юридические проблемы) и пре­доставить информацию для определения подходящих типов и уровней безопасности.

В связи с этим большую актуальность приобретает разработ­ка защищенных информационных технологий (ЗИТ), являющихся неотъемлемой компонентой современных систем обработки данных, информационных систем и ресурсов.

8.1. Информационная безопасность и защита информации

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба вла­дельцам или пользователям информации и поддерживающей ин­фраструктуры.

Зашита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и пере­дачи данных.

Отметим, что меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликви­дацию последствий нападений. Большинство мер носят преду­предительный характер. Оперативный анализ регистрационной информации и некоторые аспекты реакции на нарушения слу­жат для обнаружения угроз.

Уровни обеспечения информационной безопасности

Проблемы обеспечения безопасности носят комплексный характер, включают необходимость сочетания законода­тельных, организационных и программно-техни­ческих мер.

К сожалению, законодательная база отстает от по­требностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в данном случае от государства требу­ется в первую очередь поддержка, организация и координация работ. В других странах это поняли довольно давно. Так, в США в 1987 г. был принят закон о компьютерной безопасно­сти (Computer Security Act, вступил в силу в сентябре 1988 г.). Этот закон предусматривает комплекс мер по обучению поль­зователей, имеющих дело с критичной информацией, разъяс­нительных руководств и т. д., без чего сознательное поддержа­ние режима безопасности просто невозможно. И данный за­кон на самом деле выполняется.

Проблемы законодательного уровня мы здесь не рассматри­ваем, отсылая читателей, например, к учебному пособию [30].

Следующим после законодательного, можно назвать управленческий (организационный) уровень. Ру­ководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управлен­ческий уровень, это выработать политику безопасности, которая задает общее направление работам в данной области и управленческие регуляторы безопасности. Операционные регу­ляторы применяются к окружению компьютерных систем и пре­жде всего к людям. Имеются в виду способы подбора персонала, его обучения, обеспечения дисциплины. Сюда же относятся меры по физической защите помещений и оборудования и неко­торые другие.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку ос­новная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

Ключевые механизмы безопасности программно-техниче­ского уровня:

• идентификация и аутентификация;

• управление доступом;

• протоколирование и аудит;

• криптография;

• экранирование.

Строго говоря, всем защитным мерам должен предшество­вать анализ угроз. Информационная безопасность начинается не тогда, когда случилось первое нарушение, а когда идет формиро­вание будущей компьютерной системы. Она начинается с со­ставления спецификаций на приобретаемое оборудование и про­граммное обеспечение.

Наиболее распространенные угрозы

Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание воз­можных угроз, а также уязвимых мест защиты, которые эти уг­розы обычно эксплуатируют, необходимо для того, чтобы выби­рать наиболее экономичные средства обеспечения безопасности.

Отметим, что само понятие угроза в разных ситуациях за­частую трактуется по-разному. Например, для подчеркнуто от­крытой организации может просто не существовать угроз кон­фиденциальности — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим некоторую типичную организацию. Впрочем, многие угрозы (например, пожар) опасны для всех.

Ошибки пользователей. Самыми частыми и самыми опасны­ми (с точки зрения размера ущерба) являются непреднамерен­ные ошибки пользователей, операторов, системных администра­торов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами (неправильно введен­ные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Утверждают, что 65 % потерь — следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Очевидно, са­мый радикальный способ борьбы с непреднамеренными ошиб­ками — максимальная автоматизация и строгий контроль за пра­вильностью совершаемых действий.

Кражи и подлоги. На втором месте по размерам ущерба рас­полагаются кражи и подлоги. По данным газеты USA Today, в результате подобных противоправных действий с использовани­ем персональных компьютеров американским организациям ежегодно наносится суммарный ущерб в размере не менее 1 млрд долларов. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследо­ванных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитны­ми мерами. Еще раз мы убеждаемся в том, что внутренняя угро­за гораздо опаснее внешней.

Весьма опасны так называемые обиженные сотрудни­ки — нынешние и бывшие. Как правило, их действиями руко­водит желание нанести вред организации-обидчику, например:

• повредить оборудование;

• встроить логическую бомбу, которая со временем разрушит программы и/или данные;

• ввести неверные данные;

• удалить данные;

• изменить данные и т. д.

Обиженные сотрудники, даже бывшие, знакомы с порядка­ми в организации и способны вредить весьма эффективно. Не­обходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отли­чаются большим разнообразием. В первую очередь следует выде­лить нарушения инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением, граж­данские беспорядки и т. п. Опасны, разумеется, стихийные бед­ствия и события, воспринимаемые как стихийные бедствия — пожары, наводнения, землетрясения, ураганы. По известным данным, на долю огня, воды и аналогичных «врагов» (среди ко­торых самый опасный — низкое качество электропитания и его перебои) приходится 13 % потерь, нанесенных информацион­ным системам.

Хакеры. Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Известно, что почти каж­дый Internet-cepBep по нескольку раз в день подвергается попыт­кам проникновения; верно, что иногда такие попытки оказыва­ются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров (в сравнении с другими угрозами) представляется не столь уж значительным. Вероятно, больше всего пугает непредсказуе­мость действий людей такого сорта. Представьте себе, что в лю­бой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто посмот­реть, нет ли чего интересного, приятного в этом мало.

Программные вирусы. Много говорят и пишут и о программ­ных вирусах. Как показало проведенное исследование, несмотря на экспоненциальный рост числа известных вирусов, аналогич­ного роста количества инцидентов, вызванных вирусами, не за­регистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где ра­ботают, а не играют, число зараженных компьютеров составляет лишь доли процента. Справедливости ради отметим лишь, что зловредный код поражает не только персональные компьютеры, но и системы других типов.

Первый шаг в анатизе угроз — их идентификация. Ана­лизируемые виды угроз следует выбрать из соображений здраво­го смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбран­ных видов провести максимально полное рассмотрение.

Целесообразно выявлять не только сами угрозы, но и источ­ники их возникновения — это поможет в выборе дополнитель­ных средств зашиты. Например, нелегальный вход в систему мо­жет стать следствием воспроизведения начального диалога, под­бора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из пере­численных способов нелегатьного входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить веро­ятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) веро­ятность).

Кроме вероятности осуществления, важен размер потен­циального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по некоторой шкате.

Оценивая тяжесть ущерба, необходимо иметь в виду не толь­ко непосредственные расходы на замену оборудования или вос­становление информации, но и более отдаленные, такие, как подрыв репутации, ослабление позиций на рынке и т. п. Пусть, например, в результате дефектов в управлении доступом к бух­галтерской информации сотрудники получили возможности корректировать данные о собственной заработной плате. Следст­вием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложе­ние коллектива, грозящее развалом организации.

Слабости обладают свойством притягивать к себе не только злоумышленников, но и сравнительно честных людей. Не вся­кий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет с рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подва­ле дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к со­жалению, оказывается существенно выше средней.

Таковы основные угрозы, на долю которых приходится льви­ная доля урона, наносимого информационным системам. Рас­смотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.

Управленческие меры обеспечения информационной безопасности

Главная цель мер, предпринимаемых на управленческом уровне, — сформировать программу работ в области информа­ционной безопасности и обеспечить ее выполнение, выделяя не­обходимые ресурсы и контролируя состояние дел.

Политика безопасности. Основой программы является по­литика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой без­опасности понимают совокупность документированных управ­ленческих решений, направленных на защиту информации и ас­социированных с ней ресурсов.

С практической точки зрения политику безопасности целе­сообразно подразделить на три уровня.

К верхнему уровню можно отнести решения, затраги­вающие организацию в целом. Они носят весьма общий харак­тер и, как правило, исходят от руководства организации. Поли­тика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы орга­низации (или даже больше, если политика регламентирует неко­торые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

К среднему уровню можно отнести вопросы, касаю­щиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к передовым (но, воз­можно, недостаточно проверенным) технологиям, доступ к Internet (как сочетать свободу получения информации с зашитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т. д.

Политика безопасности нижнего уровня отно­сится к конкретным сервисам. Она включает в себя два аспек­та — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо де­тальнее. Есть много вещей, специфичных для отдельных серви­сов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти веши настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Программа безопасности. После того, как сформулирована политика безопасности, можно приступать к составлению про­граммы ее реализации и собственно к реализации.

Проведение политики безопасности в жизнь требует исполь­зования трех видов регуляторов — управленческих, операцион­ных и программно-технических. Рассмотрим управленческий ас­пект программы безопасности.

Чтобы понять и реализовать любую программу, ее целесооб­разно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространен­ном случае достаточно двух уровней — верхнего, или централь­ного, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или груп­пам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отве­чающее за информационную безопасность организации. У этой программы следующие главные цели:

• управление рисками (оценка рисков, выбор эффективных средств защиты, см. следующий раздел);

• координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

• стратегическое планирование;

• контроль деятельности в области информационной без­опасности.

Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администри­рование, отслеживается состояние слабых мест и т. п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Выбирая подходящий способ защиты, целесообразно учиты­вать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Масса- чусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Регулирование режима безопасности

Рассмотрим подробнее меры безопасности, которые ориен­тированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает первостепенного внимания. Сюда входят следую­щие вопросы:

• управление персоналом;

• физическая защита;

• поддержание работоспособности;

• реакция на нарушения режима безопасности;

• планирование восстановительных работ.

Управление персоналом начинается с приема нового сотруд­ника на работу и даже раньше — с составления описания долж­ности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютер­ных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

• разделение обязанностей;

• минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. На­пример, нежелательна ситуация, когда платежи от имени орга­низации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому — заверять эти заявки.

Принцип минимизации привилегий предписыва­ет выделять пользователям только те права доступа, которые не­обходимы им для выполнения служебных обязанностей. Назна­чение этого принципа очевидно — уменьшить ущерб от случай­ных или умышленных некорректных действий пользователей.

Проблема обучения — одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с по­литикой безопасности своей организации, он не может стре­миться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не сможет их соблюдать. Напро­тив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Физическая защита. Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для зашиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компь­ютеров.

Известны следующие направления физической защиты:

• физическое управление доступом;

• противопожарные меры;

. защита поддерживающей инфраструктуры;

• защита от перехвата данных;

• защита мобильных систем.

Меры физического управления доступом позво­ляют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, на­пример, те, где расположены серверы, коммуникационная аппа­ратура и т. п. Средства физического управления доступом извест­ны давно — это охрана, двери с замками, перегородки, телекаме­ры, датчики движения и многое другое.

'Противопожарные меры. Отметим лишь крайнюю желательность установки противопожарной сигнализации и ав­томатических средств пожаротушения. Обратим также внимание на то, как защитные меры могут создавать новые слабости. Если на работу взят новый охранник, это, вероятно, улучшает физи­ческое управление доступом. Если же он по ночам курит и пьет, то повышенная пожарная опасность делает его скорее врагом, чем другом организации.

К поддерживающей инфраструктуре можно от­нести системы электро-, водо- и теплоснабжения, кондиционе­ры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информаци­онным системам. Для обеспечения целостности нужно защи­щать оборудование от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с макси­мальным временем наработки на отказ, дублировать ответствен­ные узлы, всегда иметь под рукой запчасти.

Перехват данных может осуществляться самыми раз­ными способами: подсматриванием за экраном монитора, чте­нием пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, такие как анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, пытаться держать под контролем ли­нии связи (например, заключать их в надувную оболочку с обна­ружением прокатывания) и разместиться в тихом особняке, по­одаль от других домов.

Мобильные и портативные компьютеры — за­манчивый объект кражи. Их довольно часто оставляют без при­смотра, в автомобиле или на работе, и унести и спрятать такой компьютер весьма несложно. Следует настоятельно рекомендо­вать шифрование данных на жестких дисках ноутбуков и лэпто­пов.

Поддержание работоспособности включает в себя рутинные действия, направленные на поддержание компьютерных систем и имеющие отношение к информационной безопасности. Как ни странно, именно здесь таится наибольшая опасность. Неча­янные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и дан­ных; «в лучшем случае» создаются слабости, облегчающие реа­лизацию угроз.

Недооценка факторов безопасности в повседневной рабо­те — ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Можно выделить следующие направления повседневной дея­тельности:

• поддержка пользователей;

• поддержка программного обеспечения;

• конфигурационное управление;

• резервное копирование;

• управление носителями;

• документирование;

• регламентные работы.

Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный «стол справок», чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов, ум­ных и не очень, уметь выявлять проблемы, связанные с инфор­мационной безопасностью.

Поддержка программного обеспечения — одно из важней­ших средств обеспечения целостности информации. Прежде все­го, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанав­ливать программы по своему усмотрению, это чревато заражени­ем вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компью­тер, подключенный к сети Ethernet, можно установить програм­му _ сетевой анализатор, позволяющую отслеживать весь сете­вой трафик. Обладатель такой программы может довольно быст­ро «выловить» пароли других пользователей и системных администраторов, получив тем самым по существу неограничен­ный доступ к сетевым ресурсам.

Конфигурационное управление позволяет контро­лировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как мини­мум возвращаться к прошлой, работающей версии. Далее, фик­сация изменений позволит легко восстановить текущую версию после аварии. Лучший способ уменьшить количество ошибок в рутинной работе — в максимальной степени автоматизировать ее. Хорошим примером являются развитые средства конфигура­ционного управления, когда одним нажатием можно вызвать внесение или откат сотен согласованных изменений.

Резервное копирование необходимо для восстанов­ления программ и данных после аварий. Здесь также целесооб­разно автоматизировать работу, как минимум сформировав ком­пьютерное расписание выполнения полных и инкрементальных копий, а как максимум воспользовавшись безлюдной технологи­ей фирмы Hewlett-Packard. Нужно также наладить размещение копий в безопасном месте, защищенном от пожаров и иных уг­роз. К резервному копированию следует относиться как к осоз­нанной необходимости — стоит хоть на день отступить от распи­сания и неприятности не заставят себя ждать.

Управление носителями служит для обеспечения физической защиты и учета дискет, CD, лент, печатных выдач и т. п. Управление носителями должно обеспечить конфиденци­альность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь по­нимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителя­ми должно охватывать весь жизненный цикл дискет и лент — от закупки до выведения из эксплуатации.

К управлению носителями можно отнести и контроль пото­ков данных, выдаваемых на печать. Здесь поучительно отметить необходимость сочетания различных механизмов информацион­ной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но толь­ко меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.

Документирование — неотъемлемая часть информаци­онной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета дискет. Важ­но, чтобы документация была актуальной, отражала текущее, а не прошлое состояние дел, причем отражала в непротиворечи­вом виде. Здесь необходим правильный технологический подход, когда документы печатаются и сшиваются способом, облегчаю­щим внесение изменений.

К хранению некоторых документов (содержащих, например, анализ системных слабостей и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий — требования целостности и дос­тупности (план необходимо найти и прочитать).

Регламентные работы — очень серьезная угроза без­опасности. Лицо, осуществляющее регламентные работы, полу­чает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершают­ся^ Здесь на первый план выходит степень доверия к тем, кто вы­полняет работы. Лет двадцать назад, очевидно, предвидя волну публикаций по сертификации, Кен Томсон, один из создателей ОС UNIX, написал, что нужно верить или не верить не програм­мам, а людям, которые пишут эти программы. Если в общем виде данное утверждение можно оспорить, то применительно к регла­ментным работам оно абсолютно справедливо.

Реакция на нарушения режима безопасности