Понятие сервисов безопасности

Для решения перечисленных задач в ВС создаются специальные механизмы защиты (или сервисы безопасности). Их перечень и со­держание для общего случая могут быть представлены следующим образом:

1. Идентификация / аутентификация. Современные средства иден­тификации / аутентификации должны удовлетворять двум условиям:

• быть устойчивыми к сетевым угрозам (пассивному и активно­му прослушиванию сети);

• поддерживать концепцию единого входа в сеть. Первое требование можно выполнить, используя криптографи­ческие методы. (Еще раз подчеркнем тот очевидный факт, что со­временная криптография есть нечто гораздо большее, чем шифро­вание; соответственно, разные ветви этой дисциплины нуждаются в дифференцированном подходе с нормативной точки зрения.) В на­стоящее время общепринятыми являются подходы, основанные на системе Kerberos или службе каталогов с сертификатами в стандар­те Х.509.

Единый вход в сеть — это, в первую очередь, требование удоб­ства для пользователей. Если в корпоративной сети много инфор­мационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слиш­ком обременительной. К сожалению, пока нельзя сказать, что еди­ный вход в сеть стал нормой, доминирующие решения пока не сформировались.

Дополнительные удобства создает применение биометрических методов аутентификации, основанных на анализе отпечатков (точ­нее, результатов сканирования) пальцев. В отличие от специальных карт, которые нужно хранить, пальцы «всегда под рукой» (правда, „под рукой должен быть и сканер). Подчеркнем, что и здесь защита от нарушения целостности и перехвата с последующим воспроизве­дением осуществляется методами криптографии.

2. Разграничение доступа. Разграничение доступа является самой исследованной областью информационной безопасности.

В настоящее время следует признать устаревшим (или, по край­ней мере, не полностью соответствующим действительности) поло­жение о том, что разграничение доступа направлено исключительно на защиту от злоумышленных пользователей. Современные инфор­мационные системы характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

Динамичность современной программной среды в сочетании со сложностью отдельных компонентов существенно сужает область применимости самой употребительной — дискреционной модели управления доступом (называемой также моделью с произвольным управлением). При определении допустимости доступа важно не только (и не столько) то, кто обратился к объекту, но и то, какова семантика действия. Без привлечения семантики нельзя выявить троянские программы, противостоять которым произвольное управ­ление доступом не в состоянии.

В последнее время появляются новые модели управления досту­пном, например модель «песочницы» в Java-технологии.

Активно развиваемое ролевое управление доступом решает не I столько проблемы безопасности, сколько улучшает управляемость систем (что, конечно, очень важно). Суть его в том, что между поль­зователями и их привилегиями помещаются промежуточные сущно­сти — роли. Для каждого пользователя одновременно могут быть ак­тивными несколько ролей, каждая из которых дает ему определен­ные права.

Сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, их (ролей) использование способствует понижению сложности и, следовательно, улучшению управляемости. Кроме того, на основании ролевой модели можно реализовать такие важные принципы, как разделение обязанностей (невозможность в одиночку скомпрометировать критически важный процесс). Между ролями могут быть определены статические или динамические отношения несовместимости (невозможности одному субъекту по очереди или одновременно активизировать обе роли), что, и обеспечивает требуемую защиту.

Для некоторых употребительных сервисов таких, как Web, роле­вое управление доступом может быть реализовано относительно просто (в Web-случае — на основе cgi-процедур).

3. Протоколирование/аудит. Протоколирование и аудит традици­онно являлись рубежом обороны, обеспечивающим анализ послед­ствий нарушения информационной безопасности и выявление зло­умышленников. Такой аудит можно назвать пассивным.

Довольно очевидным обобщением пассивного аудита для сете­вой среды является совместный анализ регистрационных журналов отдельных компонентов на предмет выявления противоречий, что важно в случаях, когда злоумышленнику удалось отключить прото­колирование или модифицировать журналы.

В современный арсенал защитных средств несколько лет назад вошел активный аудит, направленный на выявление подозритель­ных действий в реальном масштабе времени. Активный аудит вклю­чает два вида действий:

• выявление нетипичного поведения (пользователей, программ или аппаратуры);

• выявление начала злоумышленной активности. Нетипичное поведение выявляется статистическими методами, путем сопоставления с предварительно полученными образцами. Начало злоумышленной активности обнаруживается по совпадению с сигнатурами известных атак. За обнаружением следует заранее за­программированная реакция (как минимум — информирование си­стемного администратора, как максимум — контратака на систему предполагаемого злоумышленника).

Важным элементом современной трактовки протоколирова­ния/аудита является протокол автоматизированного обмена инфор­мацией о нарушениях безопасности между корпоративными систе­мами, подключенными к одной внешней сети. В наше время систе­мы не могут считаться изолированными, они не должны жить по закону «каждый за себя»; угрозам следует противостоять сообща.

4. Экранирование. Экранирование, как сервис безопасности выпол­няет следующие функции:

• разграничение межсетевого доступа путем фильтрации переда­ваемых данных;

• преобразование передаваемых данных.

Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с тра­диционными операционными системами, реализовывать гораздо более гибкую политику безопасности. При комплексной фильтра­ции, охватывающей сетевой, транспортный и прикладной уровни, в правилах могут фигурировать сетевые адреса, количество передан­ных данных, операции прикладного уровня, параметры окружения (например, время) и т. п.

Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом слу­чае обычно имеется в виду трансляция адресов, помогающая скрыть топологию защищаемой системы. Это уникальное свойство сервиса экранирования, позволяющее скрывать существование некоторых объектов доступа. Преобразование данных может состоять, напри­мер, в их шифровании.

В процессе фильтрации (точнее, параллельно с ней) может вы­полняться дополнительный контроль (например, антивирусный). Возможны и дополнительные преобразования, наиболее актуаль­ным из которых является исправление заголовков или иной служеб­ной информации, ставшей некорректной после наступления 2000 года.

Применение межсетевого экранирования поставщиками Интер­нет-услуг в соответствии с рекомендациями разработчиков позволи­ло бы существенно снизить шансы злоумышленников и облегчить их прослеживание. Данная мера еще раз показывает, как важно рас­сматривать каждую информационную систему как часть глобальной инфраструктуры и принимать на себя долю ответственности за об­щую информационную безопасность.

5. Туннелирование. Его суть состоит в том, чтобы «упаковать» пере­даваемую порцию данных, вместе со служебными полями, в новый «конверт». Данный сервис может применяться для нескольких це­лей:

• осуществление перехода между сетями с разными протокола­ми (например,IPv4 и IPv6);

• обеспечение конфиденциальности и целостности всей переда­ваемой порции, включая служебные поля.

Туннелирование может применяться как на сетевом, так и при­кладном уровнях. Например, стандартизовано туннелирование для IP и двойное конвертование для почты Х.400.

Комбинация туннелирования и шифрования (с необходимой криптографической инфраструктурой) на выделенных шлюзах по­зволяет реализовать такое важное в современных условиях защит­ное средство, как виртуальные частные сети. Такие сети, наложен­ные обычно поверх Интернета, существенно дешевле и гораздо безопаснее, чем действительно собственные сети организации, по­строенные на выделенных каналах. Коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше из­начально исходить из предположения об уязвимости и соответст­венно обеспечивать защиту. Современные протоколы, направлен­ные на поддержку классов обслуживания, помогут гарантировать для виртуальных частных сетей заданную пропускную способ­ность, величину задержек и т. п., ликвидируя тем самым единст­венное на сегодняшний день реальное преимущество собственных сетей.

6. Шифрование. Шифрование — важнейшее средство обеспечения конфиденциальности и самое конфликтное место информационной безопасности. У компьютерной криптографии две стороны — собственно криптографическая и интерфейсная, позво­ляющая сопрягаться с другими частями информационной системы.

Криптографией, в осо­бенности шифрованием, должны, разумеется, заниматься профес­сионалы. От них требуется разработка защищенных инвариантных компонентов, которые можно было бы свободно (по крайней мере, с технической точки зрения) встраивать в существующие и перспек­тивные конфигурации.

У современного шифрования есть и внутренние проблемы как технические, так и нормативные. Из технических наиболее острой является проблема производительности. Программная реализация на универсальных процессорах не является адекватным средством (здесь можно провести аналогию с компрессией видеоизображе­ний). Еще одна техническая задача — разработка широкого спектра продуктов, предназначенных для использования во всех видах компьютерного и сетевого оборудования, — от персональных ком­муникаторов до мощных шлюзов.

Контроль целостности. В современных системах контроль цело­стности должен распространяться не только на отдельные порции данных, аппаратные или программные компоненты. Он обязан охватывать распределенные конфигурации, защищать от несанкцио­нированной модификации потоки данных.

В настоящее время существует достаточно решений для контро­ля целостности и с системной, и с сетевой направленностью (обыч­но контроль выполняется прозрачным для приложений образом как часть общей протокольной активности). Стандартизован програм­мный интерфейс к этому сервису.

7. Контроль защищенности. Контроль защищенности представляет собой попытку «взлома» информационной системы, осуществляемого силами самой организации или уполномочен­ными лицами. Задача данного сервиса в том, чтобы обнаружить слабости в защите раньше злоумышленников. Имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок адми­нистрирования или из-за невнимания к обновлению версий про­граммного обеспечения.

Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках. Очевидна их схожесть с антивирусными средствами; формально последние мож­но считать их подмножеством. Очевиден и реактивный, запаздыва­ющий характер подобного контроля (он не защищает от новых |атак). Следует помнить, что оборона должна быть эшелонирован­ной, так что в качестве одного из рубежей контроль защищенности вполне адекватен. Подавляющее большинство атак носит рутинный характер; они возможны только потому, что известные уязвимости годами остаются не устраненными.

Существуют как коммерческие, так и свободно распространяе­мые продукты для контроля защищенности. Впрочем, в данном слу­чае важно не просто один раз получить и установить их, но и посто­янно обновлять базу данных уязвимостей. Это может оказаться не проще, чем следить за информацией о новых атаках и рекомендуе­мых способах противодействия.

8. Обнаружение отказов и оперативное восстановление. Обнаруже­ние отказов и оперативное восстановление относятся к числу сервисов, обеспечивающих высокую доступность (готовность). Его ра­бота опирается на элементы архитектурной безопасности, а именно на существование избыточности в аппаратно-программной конфи­гурации.

В настоящее время спектр программных и аппаратных средств данного класса можно считать сформировавшимся. На програм­мном уровне соответствующие функции берет на себя программное обеспечение промежуточного слоя. Среди аппаратно-программных продуктов стандартом стали кластерные конфигурации. Восстанов­ление производится действительно оперативно (десятки секунд, в крайнем случае, минуты), прозрачным для приложений образом.

Обнаружение отказов и оперативное восстановление может иг­рать по отношению к другим средствам безопасности роль инфраст­руктурного сервиса, обеспечивая высокую готовность последних. Это особенно важно для межсетевых экранов, средств поддержки виртуальных частных сетей, серверов аутентификации, нормальное функционирование которых критически важно для корпоративной информационной системы в целом. Такие комбинированные про­дукты получают все более широкое распространение.

9. Управление. Управление относится к числу инфраструктурных сервисов, обеспечивающих нормальную работу функционально по­лезных компонентов и средств безопасности. Сложность современ­ных систем такова, что без правильно организованного управления они постепенно (а иногда и довольно быстро) деградируют как в плане эффективности, так и в плане защищенности.

Важной функцией управления является контроль со­гласованности конфигураций различных компонентов (имеется в виду семантическая согласованность, относящаяся, например, к на­борам правил нескольких межсетевых экранов).

10. Место сервисов безопасности в архитектуре информационных сис­тем. Выше был перечислен десяток сервисов безопасности. Как объединить их для создания эшелонированной обороны, каково их место в общей архитектуре информационных систем?

На внешнем рубеже располагаются средства выявления зло­умышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они вместе со средствами поддержки виртуальных частных сетей (обыч­но объединяемых с межсетевыми экранами) образуют периметр бе­зопасности, отделяющий корпоративную систему от внешнего мира.

Сервис активного аудита должен присутствовать во всех крити­чески важных компонентах и, в частности, в защитных. Это позво­лит быстро обнаружить атаку, даже если по каким-либо причинам она окажется успешной.

Управление доступом также должно присутствовать на всех сервисах, функционально полезных и инфраструктурных. Доступу дол­жна предшествовать идентификация и аутентификация субъектов.

Криптографические средства целесообразно выносить на специ­альные шлюзы, где им может быть обеспечено квалифицированное администрирование. Масштабы пользовательской криптографии следует минимизировать.

Наконец, последний рубеж образуют средства пассивного ауди­та, помогающие оценить последствия нарушения безопасности, найти виновного, выяснить, почему успех атаки стал возможным. ' Расположение средств обеспечения высокой доступности определяется критичностью соответствующих сервисов или их компонентов.

Для обеспечения доступности (непрерывности функционирования) могут применяться следующие защитные меры:

• внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т. п.). Это эле­мент архитектурной безопасности, рассматриваемой в следующем разделе;

• наличие средств обнаружения отказов. Если требуется посто­янная высокая готовность, необходим специализированный сервис.В остальных случаях достаточно протоколирования/аудита в квази­реальном времени;

• наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергших­ся атаке на доступность. Это или специализированная функция, или одна из функций управления;

• рассредоточенность сетевого управления, отсутствие единой точки отказа. Это, как и следующий пункт, — элементы архитектур­ной безопасности;

• выделение подсетей и изоляция групп пользователей друг от друга. Данная мера ограничивает зону поражения при возможных нарушениях информационной безопасности.

Каждый компонент, вообще говоря, не обязан поддерживать все перечисленные выше сервисы безопасности. Важно, чтобы он обла­дал программными и/или протокольными интерфейсами для полу­чения недостающих сервисов от других компонентов и чтобы не су­ществовало возможности обхода основных и дополнительных за­щитных средств.