oldi

Технологии комплексной защиты информации в корпоративных сетях

Андрей Щеглов

В статье рассматриваются технологии и технические средства защиты информации от несанкционированного доступа, предлагаемые для построения защищенных корпоративных сетей и автоматизированных информационных систем.

Основные идеи, декларируемые в работе, в части реализации эффективных методов разработки и проектирования технических средств защиты информации от НСД в распределенных информационных системах с архитектурой «клиент/сервер» (платформа Intranet) основываются на следующих положениях:

  • Использование TCP/IP в качестве базовых протоколов транспортного и сетевого уровня как основы для обеспечения эффективности архитектуры распределенных корпоративных приложений. В качестве необходимых информационных служб, обеспечивающих обработку информации в корпоративной сети, рассматриваются службы telnet, ftp, smtp, snmp, http, а также службы SQL-запросов.

  • Структура корпоративной сети включает в себя соединенные посредством сети передачи данных общего пользования сегменты ЛВС, отдельные физические подсети которых не используются для предоставления службы доступа к информационным ресурсам различного уровня конфиденциальности. В противном случае отдельные ЛВС строятся на основе объединения сетей клиентских станций и информационных серверов, физически отделенных друг от друга.

  • Для обеспечения взаимодействия процессов обработки данных используются стандартные протоколы. Модификация соответствующего программного обеспечения, как клиентского, так и серверного, не производится.

  • Используется принцип добавленной защиты, то есть специализированные средства не дублируют имеющиеся механизмы стандартного системного и прикладного программного обеспечения.

  • Распределение механизмов защиты по уровням сетевого взаимодействия выполняется в соответствии с рекомендациями ISO/OSI.

  • Выделение сетевой службы обеспечения защиты, построенной на основе специализированного прикладного протокола, в рамках которого обеспечивается:

    • формирование учетных записей в базе данных разграничения прав доступа;

    • конфигурация режимов функционирования средств защиты (сценарии регистрации НСД, режимы обслуживания входящих запросов и.т.д.);

    • установление виртуальных каналов в наложенной сети управления, защищаемых с применением процедур канального шифрования и выборочного шифрования отдельных полей информационных пакетов (например, с целью обеспечения целостности транспортных соединений);

    • протокол расширенной аутентификации с технологией открытого шифрования;

    • диагностика и регистрация состояния защищаемых ресурсных объектов.

  • Для минимального снижения качества функционирования приложений обеспечивается принцип эшелонированной (поточной) защиты. В рамках этого принципа выделяются отдельные режимы функционирования, характеризующиеся, с одной стороны, полнотой защиты, и затратами вычислительных и сетевых ресурсов, требующихся для выполнения соответствующих функций, — с другой стороны. Изменение режимов функционирования осуществляется в соответствии с сигнальными сообщениями от других средств (процессов защиты) в формате протоколов службы управления безопасностью.

  • Данная сеть является наложенной виртуальной сетью относительно транспортной службы TCP.

  • Виртуальное пространство информационных объектов и служб в рамках удаленных (различных по уровню конфиденциальности) сегментов ЛВС, при котором невозможно прямое обращение к защищаемым ресурсам корпоративной сети.

  • Регистрация событий, входящих в контекст безопасности, с возможностью последующего анализа условий возникновения НСД. (Определяет необходимые средства администратора безопасности по решению задач обеспечения розыскных мероприятий.)

В рамках реализации основных принципов построения систем защиты информации — системности и комплексности — предлагается модель многоуровневой иерархической защиты. Комплексность защиты достигается тем, что модель несет в себе возможности защиты информации от всей совокупности угроз, в основу классификации которых предлагается положить возможность их устранения. К устраняемым угрозам относим ошибки и закладки в программном обеспечении, к неустраняемым — угрозы, связанные с необходимостью доступа к информационным ресурсам (доступ запретить нельзя, следовательно, невозможно устранить подобные угрозы). Многоуровневость защиты состоит в использовании дополнительных технических средств с определенными требованиями к архитектуре, как выделенных средств защиты, так и защищаемой системы в целом. (Данный подход, а также метод проектирования систем защиты информации с учетом конфиденциальности защищаемых информационных потоков обрабатываемой информации опубликован в статьях автора в №3 и 4 журнала «Экономика и производство».)

Принцип многоуровневой защиты положен в основу осуществленной разработки ряда технологий и реализующих их технических средств защиты для корпоративных сетей. При этом реализованы следующие направления разработки:

  • Разработка средств защиты рабочих станций и серверов (в том числе и информационных) корпоративной сети, прежде всего в части защиты используемой на них платформы — операционной системы.

  • Разработка протокола установления защищенного соединения «клиент-сервер» для реализации виртуальной (или наложенной на сетевое пространство общего пользования) сети корпорации.

  • Разработка выделенных технических средств защиты ресурсов корпоративной сети.

Рассмотрим компоненты защиты и основные принципы, положенные в основу разработки соответствующих компонентов защиты.

Семейство технических средств защиты рабочих станций и серверов «БРОНЯ». Это семейство включает в себя следующие технические средства:

  1. Программное средство автономной защиты рабочей станции под управлением Windows 95/98.

  2. Программное средство автономной защиты рабочей станции и сервера под управлением Windows NT.

  3. Программное средство автономной защиты сервера под управлением UNIX.

  4. Система сетевой защиты рабочих станций и серверов с выделенным администратором (сервером) безопасности.

В основу реализации комплекса «БРОНЯ» положены следующие принципы построения системы защиты:

  • Реализация эффективного функционирования встроенных в ОС механизмов защиты. Это целесообразно, так как современные ОС, которые используются в корпоративных сетях, имеют достаточно широкий набор встроенных механизмов защиты и нет необходимости их дублировать, что делают такие системы, как, например, Secret Net и Dallas Lock, при их установке на Windows NT (такая реализация механизмов защиты может снижать эффективность функционирования ОС, так как последняя начинает работать на собственную защиту).

  • Непрерывный контроль правильности функционирования встроенных в ОС механизмов защиты и системы «БРОНЯ», контроль целостности данных, в том числе и относящихся к безопасности, запускаемый не по расписанию, как во многих системах (это может приводить к существенному снижению их производительности), а по результатам анализа вторичных признаков. Регистрация всех попыток доступа к информации.

  • Восстановление файлов, в которых обнаружена ошибка.

  • Возможность объединения в единую систему всех средств защиты рабочих станций и серверов, функционирующих под управлением различных ОС.

  • Распределение задач управления функциями защиты между элементом защиты и выделенным сервером безопасности.

  • Копирование (хранение) всей секретной информации и архивов файлов на выделенный сервер безопасности.

В основу разработанного протокола защищенного взаимодействия «клиент-сервер» положена технология, состоящая в реализации двух фаз взаимодействия: фазы установления соединения, осуществляемой по закрытому протоколу, в которой согласовываются права доступа к ресурсам корпоративной сети, и фазы информационного взаимодействия. Во второй фазе осуществляется взаимодействие с использованием открытых протоколов и команд Internet. Таким образом, данный подход позволяет, с одной стороны, строить виртуальные сети с закрытым протоколом, а с другой стороны, использовать открытые информационные технологии и команды по установленному защищенному соединению, существенно повышая при этом защищенность сети.

Разработан межсетевой экран корпорации (МЭК), реализующий данный протокол (его серверную часть) и располагающийся на выделенном компьютере под ОС UNIX, а также клиентские части под управлением Windows и UNIX.

До уровня макетного образца доведено также семейство технических средств защиты корпоративных сетей «ФОРТ», которое основано на МЭК.

К семейству средств защиты «ФОРТ» относятся:

  1. Система разграничения прав доступа к информационному серверу корпорации.

  2. Система защиты виртуального канала сети корпорации, реализующая согласование параметров информационной безопасности между парой МЭК при передаче между ними информации (по виртуальному каналу).

  3. Система защиты корпоративной сети, реализующая маршрутизацию сообщений в соответствии с параметрами информационной безопасности, то есть выбор виртуального канала с требуемым уровнем защищенности и передача по нему информации.

  4. Система освидетельствования прав доступа к информационным ресурсам; функционирует подобно системе Kerberos, обеспечивая при этом разграничение прав доступа к удаленному серверу.

  5. Система пассивного и активного контроля за передаваемой информацией, задаваемой по параметрам доступа к информационным ресурсам, реализует функции оперативных розыскных мероприятий злоумышленника в рамках сети корпорации и возможности выборочного разрешения администратором безопасности доступа из ЛВС в СПД ОП лишь после ознакомления им с текстом передаваемого во внешнюю сеть материала.

Программный комплекс (ПК) «ФОРТ» может использоваться как комплексная сетевая система аутентификации, контроля и разграничения прав доступа, как в рамках локальной сети, так и при взаимодействии локальных сетей по виртуальному каналу. Средство включает в себя три функционально связанных между собой компонента:

Программное обеспечение (ПО) клиентов доступа устанавливается либо на пользовательской рабочей станции, либо на коммуникационном сервере в режиме трансляции нагрузки через защищенный стык LAN/WAN, либо при физическом разделении локальной сети на две подсети: подсеть рабочих станций и подсеть информационных серверов. К настоящему времени имеется законченная версия данного ПО на платформе ОС Linux SlackWare/2.0 (макет), завершается разработка аналогичного ПО для ОС Windows 95 и Windows NT.

ПО серверной части, устанавливаемое на коммуникационных серверах и серверах приложений, функционирует на платформе ОС Linux SlackWare.

ПО сервера безопасности (СБ). Является ядром системы, осуществляя «посредническую» деятельность при передаче конфиденциальных данных через сеть передачи данных общего пользования между клиентской станцией и сервером приложений (например, сервером баз данных). СБ включает в себя три загрузочных модуля, использующихся для приема запросов и дальнейшего сопровождения установленного виртуального соединения (естественно, при отсутствии нарушений в политике безопасности корпоративной сети для данного запроса).

Заметим, что выбор для реализации СБ ОС Linux SlackWare отнюдь не случаен. Не имея отечественной ОС для применения в качестве специализированных ОС для серверов безопасности, мы выбрали путь доработки данной ОС (вся информация о которой сегодня широко доступна) в следующих трех направлениях:

  1. Минимизация состава ядра с целью повышения эффективности функционирования, исключения опасных компонентов, например драйвера обработки команды telnet, если система используется для передачи файлов.

  2. Максимальная открытость ядра для разработчиков средств защиты — мы должны уметь вводить в состав ядра необходимые нам компоненты, в частности, компоненты закрытого протокола установления защищенного соединения.

  3. Максимальная защищенность и внешняя закрытость ОС — должно реализовываться за счет встраивания необходимых механизмов защиты.

Согласно терминологии нормативно-технических документов данный ПК обеспечивает следующие возможности:

  • Закрытый прикладной протокол — обеспечивает поддержку службы управления безопасным доступом к ресурсам защищаемой сети. Функциональные примитивы протокола включают в себя запрос на установление соединения, согласование режимов обслуживания, управление перегрузкой, а также передачу данных в дуплексном режиме между сервером (либо рабочей станцией в локальной сети) и СБ, с одной стороны, и СБ и сервером приложения, с другой. В зависимости от установки, произведенной администратором, возможен режим сквозного шифрования кадров передачи без расшифровки на СБ.

  • Аутентификация пользователей и серверов информационных служб — осуществляется по паролям условно-постоянного действия. Непосредственно перед инициированием соединения с сервером ресурса авторизованный пользователь должен зарегистрироваться на СБ, указав свой секретный идентификатор. В ПО предусмотрены две возможности аутентификации: с использованием симметричного шифрования и на основе шифрования с открытым ключом.

  • Фильтрация пакетов — осуществляется по сетевым адресам и номерам транспортных соединений. Соединения между клиентом с СБ и далее СБ с информационным сервером обеспечиваются через произвольно назначенные номера транспортных портов, что не позволяет осуществить произвольный доступ к СБ из сети, внешней по отношению к защищаемой.

  • Контроль целостности соединений — реализуется для виртуального канала «клиент-СБ-сервер» на основе счетчиков принятых/полученных кадров протокола службы управления безопасностью. В целях обнаружения нарушений целостности (изъятие, модификация или повторное использование пакетов) значения счетчиков протокола по желанию администратора может быть подвергнуто шифрованию. Факты нарушений регистрируются в системном журнале.

  • База данных управления доступом — размещается на СБ и используется для явного указания полномочий зарегистрированных пользователей. Структурно она представлена двумя компонентами: каталогом ресурсов и каталогом пользователей. При поступлении входящего вызова проверяются полномочия субъектов и объектов доступа согласно информации, предоставленной клиентом. Каждая запись указанных структур (запрос на установление соединения, выдаваемый клиентом СБ) данных включает в себя следующие поля: Имя пользователя (ресурса), Пароль пользователя, Метка конфиденциальности, Метка важности (срочности обработки), Список доступных ресурсов с указанием допустимого режима доступа с ограничениями по времени доступа, Адрес, Тип затребованного ресурса, Список вариантов маршрутизации (в порядке убывания приоритета), Режим доступа (чтение, поиск, запись, модификация, выполнение и т.д.). К настоящему времени имеется макетный образец ПО, осуществляющий указанные функции разграничения в отношении файлов и каталогов ресурсных серверов. Позиционирование ресурсов (в данном случае — файлов) на узлы корпоративной сети осуществляется в соответствии с внутренними таблицами отображения, формируемыми администратором безопасности.

Данный подход позволяет организовать в корпоративной сети виртуальную файловую систему, когда пользователь будет обращаться только к СБ, указывая лишь имена каталогов и файлов, а последний — по базам данных безопасности, расположенным на СБ, — уже будет адресовать запрос к соответствующему информационному серверу. Другими словами, клиент здесь не знает не только IP-адресов информационных серверов, но даже их имен, а также того, в одной ли локальной сети с ним располагается сервер с адресуемым каталогом.

  • Механизм мандатного разграничения — реализует доступ к ресурсам по меткам конфиденциальности. В существующей версии ПО число меток не фиксируется и может быть явно указано по желанию администратора безопасности.

  • Подсистема сканирования и диагностики — используется для обработки информационных потоков в следующих режимах: Номинальный (прямое пропускание нагрузки), Нормальный (параметры пропущенной нагрузки протоколируются в системном журнале регистрации), Усиленный (репликация пропущенной нагрузки в системном архиве СБ), Активный (блокирование нагрузки). Каждый из режимов включает в себя действия, определенные для режимов меньшего контроля. К настоящему времени в продуктах семейства «ФОРТ» используются первые два режима, однако в ближайшее время планируется обеспечить полный спектр указанных функций контроля.

Все три части ПО обеспечивают механизмы протоколирования сеансов доступа, регистрируя указанные администратором события в системных журналах для последующего анализа и проведения оперативных мероприятий по устранению угроз НСД к ресурсам, если таковые имели место.

Заметим, что так как трафик от рабочей станции поступает к серверу через СБ в локальной сети, то клиент, устанавливая соединение с сервером, в пакете запроса выдает (в зашифрованном виде) достаточно полную информацию о своих намерениях, следовательно, появляется возможность выборочного активного контроля взаимодействий со стороны администратора безопасности. При этом администратор безопасности может прописать на СБ параметры сообщения, которые тот не должен выдавать на информационный сервер без предварительного ознакомления с передаваемыми материалами администратора безопасности либо иного доверенного лица. В качестве параметров контролируемого взаимодействия может выступать любой набор параметров, получаемый от клиента в пакете установления соединения: имя клиента, имя файла, команда действия с файлом, время начала взаимодействия и т.д. Данная идеология позволяет проводить контроль взаимодействий «потенциально опасных» клиентов.

В зависимости от конфигурации оборудования и внутренних настроек ПК «ФОРТ» может быть использован для решения следующих задач.

Режим защищенного корпоративного экрана

Используется для защиты информационных серверов, обрабатывающих запросы удаленных корпоративных клиентов. Схема взаимодействия подсистем поясняется на рис. 1.

Приведенная схема является асимметричной, то есть она ориентирована на однонаправленный поток запросов (справа налево). Сплошной линией обозначено направление поступления запросов, прерывистые линии обозначают дуплексный канал передачи после установления соединения. При необходимости использования симметричной схемы субъект-объектного взаимодействия применяются два аналогичных СБ, по одному на каждый сегмент ЛВС. При этом на каждой стороне имеется клиентская и серверная часть ПО. В данном режиме СБ функционирует на платформе, имеющей несколько физических интерфейсов. Таким образом, дополнительно обеспечиваются функции маршрутизации в пределах сегмента ЛВС. Сценарий взаимодействия может быть упрощенно представлен в следующем виде:

  1. Клиент выдает запрос на установление соединения с СБ по закрытому протоколу. В запросе сообщаются данные по аутентификации, а также требуемый ресурс и тип стандартного протокола, по которому осуществляется взаимодействие (в реализованном макете поддерживаются протоколы ftp, telnet).

  2. СБ, проверив полномочия пользователя по запрашиваемому виду взаимодействия, устанавливает соединение с ресурсным сервером. Параллельно клиент получает подтверждение соединения, после чего транспортный виртуальный канал между клиентом и информационным сервером считается установленным.

  3. Начинается информационный обмен между клиентом и сервером. При этом СБ реализует функции интеллектуального маршрутизатора транспортного уровня, осуществляя сканирование данного виртуального канала по шаблонам, соответствующим параметрам запроса.

  4. Процесс продолжается до разрыва соединения одной из сторон: клиента — в случае окончания обмена, сервера (СБ) — при обнаружении нарушений в политике безопасности.

Режим c экранирующей ЛВС

В данном режиме выделяется группа информационных серверов, осуществляющих свободную обработку информационных запросов из внешней сети общего пользования (например, рекламный Web-сервер или почтовый сервер). При этом обеспечиваются два уровня защиты: на первом осуществляется контроль конфиденциальных ресурсов внутренней подсети с использованием СБ, на втором — контроль защищенности открытых информационных серверов с использованием стандартных межсетевых экранов. Защита на данном уровне может включать в себя, например, блокирование опасных видов сервиса, а также контроль целостности с использованием средств «БРОНЯ», описываемых далее.

Топология защищенной сети будет иметь вид, представленный на рис. 2. В данном случае СБ и, соответственно, МЭ используются в режиме маршрутизации таким образом, что все входящие конфиденциальные запросы перенаправляются на СБ, а запросы на предоставление открытых служб после регистрации поступают непосредственно к серверам приложений. Функции МЭ в данном случае сводятся к реализации централизованного управления политикой безопасности в открытой сети. При обработке исходящих запросов МЭ функционирует в режиме proxy-сервера, осуществляя действия, аналогичные производимым при регистрации входящих запросов к открытым серверам приложений.

Режим аутентификации и разграничения прав доступа прикладного уровня

Данный режим до некоторой степени аналогичен системе Kerberos. Отличительным моментом является использование закрытого протокола не только при выполнении процедур аутентификации, но также и для трансляции трафика в режиме шлюза виртуальной (наложенной) сети прикладного уровня. То есть взаимодействие «клиент-сервер» реализуется через СБ, который может размещаться произвольным образом относительно сегментов ЛВС. В отличие от режимов, рассмотренных выше, СБ не используется для физической развязки отдельных ЛВС корпоративной сети. Схема функционирования иллюстрируется на рис. 3.

Система защиты рабочих станций и информационных серверов «БРОНЯ»

Cуществующие сегодня средства защиты (Dallas Lock, Secret Net и др.) не достаточно подходят для решения задач защиты информации от НСД, учитывая динамику развития ОС MS Windows, проиллюстрированную на рис. 4 (аналогичным образом сегодня развиваются и ОС Unix). Они в основном ориентированы на слабо защищенные ОС: MS-DOS, Windows 95 и не используют возможностей ОС Windows NT, а также дублируют многие механизмы защиты этой ОС, сильно снижая производительность системы, не принося ощутимого эффекта. Исходя из рассмотренных выше факторов, можно сделать вывод о том, что для использования рабочей станции в Intranet-сети целесообразным является применение ОС Windows NT.

Применение при реализации корпоративных сетей незащищенных ОС Windows 95/98 связано с использованием программно-аппаратных комплексов защиты информации, к которым относятся, в частности, Secret Net, Dallas Lock и т.д., устанавливаемых на рабочие станции помимо ОС. Но все эти решения обладают одним существенным недостатком: они сильно снижают производительность системы, практически заставляя функционировать ОС в целях обеспечения требуемого уровня защищенности рабочей станции.

Современное состояние развития данных систем связано с тем, что созданные для ОС DOS и Windows 95/98, они адаптируются для ОС Windows NT. Системы Secret Net и Dallas Lock имеют богатый набор механизмов, обеспечивающих защиту информации от несанкционированного доступа. Но возникает вопрос: целесообразно ли использовать реализуемые ими механизмы защиты в современных ОС? При ответе на данный вопрос необходимо учитывать динамику создания собственных средств защиты на базе различных ОС.

Фирма Microsoft постоянно совершенствует свои операционные системы, причем в недалеком будущем планируется слияние ОС Windows 95/98 и Windows NT, что, на наш взгляд, приводит к необходимости создания нового поколения принципиально новых систем защиты рабочих станций.

Сказанное обусловливается тем, что большинство механизмов защиты, реализуемых в системах Secret Net и Dallas Lock, по сути, дублируют встроенные механизмы обеспечения безопасности ОС Windows NT (такие, как идентификация и аутентификация, разграничение прав доступа, аудит и т.д.). При этом надо учесть тот факт, что многие из этих механизмов обеспечения безопасности нельзя отключить в процессе функционирования системы, что приводит к существенному снижению производительности всей системы.

Системы защиты Secret Net и Dallas Lock первоначально были разработаны для ОС MS-DOS и локальных станций, входящих в состав сети под управлением ОС Novell NetWare. Для повышения уровня защищенности таких систем требовались внешние механизмы разграничения прав доступа, контроля ресурсов и т.д. С появлением Windows 95 и Windows NT Secret Net и Dallas Lock были перенесены и на эти ОС. Наверное, присутствие таких механизмов оправдано в слабо защищенной ОС Windows 95 или DOS, при условии, что данные системы вообще можно использовать в защищаемых intranet-сетях. В ОС Windows NT данные механизмы являются явно излишними, так как сама ОС содержит подобные средства защиты. С другой стороны, в Secret Net проверяется только собственная целостность, а Dallas Lock при проверках целостности не учитывает внешних факторов (проверки проводятся по расписанию). Кроме того, Dallas Lock ориентирована на применение аппаратных средств защиты.

Немаловажным вопросом является сам метод борьбы с несанкционированным доступом. Возможны два варианта. Первый: обнаружение факта несанкционированного доступа к информации (изменение данных, файлов, программ и т.п.) — контроль. В этом случае основная нагрузка ложится на систему обеспечения целостности. Второй — предотвращение (недопущение) несанкционированного доступа путем анализа косвенных признаков (появление подозрительных процессов, попытки изменения памяти, регистрация новых пользователей). Здесь большая роль отводится аудиту событий. Наибольший эффект дает именно сочетание обоих методов. На наш взгляд, именно в этом направлении и должны развиваться системы защиты рабочих станций нового поколения, а целью их использования должно являться обеспечение надежного функционирования встроенных в ОС механизмов защиты информации и его контроль.

Таким образом, при создании программных и программно-аппаратных комплексов по защите информации на базе ОС Windows NT требуются новые методы борьбы с несанкционированным доступом.

В предлагаемой технологии, в отличие от существующих сегодня аналогов, проверка целостности выполняется в случае выполнения ряда условий, заданных администратором системы (присутствует гибкая система настроек). Программный комплекс работает в фоновом режиме и постоянно отслеживает текущие процессы, пользователей, изменения реестра и т.д., проводя в соответствующие моменты проверку целостности заданных файлов и механизмов ОС. Оставлена также и возможность проверок по расписанию (хотя их и невозможно проводить столь часто, чтобы предотвратить НСД, но тут вступают в силу косвенные признаки попытки нарушения).

Используются также новые возможности по контролю за изменениями самой ОС (например, извещение от файловой системы FindChangeNotification и др.).

Снижение общей производительности системы в отсутствие дисковых операций со стороны комплекса составляет менее 1% (по показаниям встроенного монитора системных ресурсов ОС Windows NT).

Особым случаем являются изменения, внесенные не средствами ОС. Мы, например, можем, загрузившись в DOS, исправить какие-либо данные (даже если установлена не файловая система FAT). Такие изменения будут зарегистрированы при очередной загрузке ОС Windows еще до того, как пользователь успеет ввести свое имя, так как разработанный программный комплекс запускается как встроенный сервис ОС и проверяет целостность выбранных файлов (если это нужно).

Семейство продуктов «БРОНЯ» обеспечивает функции защиты рабочих станций и серверов корпораций в соответствии с основными принципами комплексной технологии защиты, изложенными выше. В рамках указанных принципов реализуются следующие механизмы:

  • Контроль целостности файлов и каталогов — осуществляется с использованием информации следующих типов: дата создания, дата последней модификации, длина файла, атрибуты доступа, контрольные суммы (формируемые с использованием секретных хэш-функций). Имена файлов и каталогов, подвергаемых контролю целостности, задаются администратором безопасности.

  • Контроль системы по списку активных процессов — осуществляется с использованием следующих структур данных, формируемых администратором и отражающих принятую политику безопасности: список процессов, обязательных в системе, список подозрительных процессов, список запрещенных процессов. В случае отсутствия какого-либо обязательного процесса либо присутствия запрещенного процесса фиксируется нештатная ситуация, реакция на которую может вырабатываться автоматически либо с использованием администратора (оператора) в автоматизированном режиме.

  • Контроль системы по списку пользователей. В процессе проверки используются данные о ресурсном бюджете зарегистрированных пользователей, в том числе по времени доступа и списку активных процессов, запущенных данным пользователем. При обнаружении несоответствия осуществляются меры, аналогичные нарушению по процессам.

  • Уровневые механизмы активизации проверок целостности — используются для снижения вычислительной мощности, требуемой для проведения комплексных проверок. В целях снижения ресурсоемкости контролирующих механизмов используются предположения о причинно-следственных связях между возможными контекстами нарушения целостности. Например, в штатном режиме функционирования может осуществляться контроль целостности по процессам либо по пользователям. При обнаружении несоответствий инициируется проверка файловой системы с использованием вышеперечисленных атрибутов. Сценарии активизации проверок задаются системным администратором на основе личного опыта и существующей статистики НСД в условиях среды, сходных с условиями данной корпоративной сети.

  • Диспетчеризация процессов контроля и обеспечения целостности осуществляется с использованием расписания, формируемого системным администратором при инсталляции и сопровождении системы.

  • Регистрация результатов проверок целостности в системном журнале администратора безопасности с указанием даты и времени проведения проверки, а также список объектов, имеющих нарушения целостности.

  • Автоматическая регенерация скомпрометированных объектов, основанная на подсистеме сопровождения и архивирования резервных копий критических файлов и каталогов, непосредственно задаваемых администратором безопасности.

  • Обеспечение целостности модулей и конфигурационных файлов самой системы контроля целостности путем прямого сравнения имеющихся образов с дисковой копии (на дискете) либо образов ПО, получаемых по сети при инициализации рабочей станции или информационного сервера.

  • Поддержка механизмов централизации управления средствами защиты целостности рабочих станций и информационных серверов сегмента ЛВС с выделенного сервера администратора безопасности. Имеются в виду следующие возможности: централизованный сбор и анализ системных журналов проверки целостности, модификация списка объектов контроля (файлы, пользователи, процессы, системные реестры, компоненты самой подсистемы контроля целостности), модификация базы данных контрольных признаков.

К настоящему времени указанные продукты полностью реализованы для платформ Linux Redhat 2.0, Windows NT Client 4.0, Windows NT Server 4.0, завершается разработка системы для рабочей станции Windows 95/98. В последнем случае основа защиты заключается в реализации такой сетевой системы защиты рабочих станций, при которой невозможность отключения ПК «БРОНЯ» (клиента) на рабочей станции обеспечивается ПК «БРОНЯ» (сервером), устанавливаемым на сервер безопасности, с которым сервер «БРОНЯ» периодически обменивается необходимой информацией.

На сегодняшний день систему защиты «БРОНЯ» следует рассматривать как основу защиты информации в локальной сети, так как она обеспечивает сетевую защиту платформы — операционных систем защищенных рабочих станций и информационных серверов.

Некоторые типовые решения для корпоративной сети

С учетом приведенных принципов защиты информации получаем структуру защищенной ЛВС корпорации, подключенной к СПД ОП, приведенную на рис. 5. Здесь реализовано деление связного ресурса (СР), к которому подключены информационные серверы (ИС), на СР2 и СР3, причем к СР2 подключены внутренние серверы корпорации, к СР3 — внешние. На рис. 6, 7, 8, 9 показано расположение средств защиты информации в рамках полученной структуры защищенной ЛВС, структуры всей сети корпорации, структуры сети с учетом реализованных в ней принципов централизованного управления безопасностью и расположение средств защиты во всей сети корпорации.

Замечание. Выше рассмотрены принципы защиты закрытых сервисов корпоративной сети. При интегрировании сервисов (необходим открытый доступ в Internet, например, электронная почта и т.д.) интегрирование осуществляется в рамках разделения сервисов на открытые и закрытые МЭКл. При этом доступ во внешнюю сеть в рамках закрытых сервисов осуществляется через МЭКг, а в рамках открытых сервисов — через обычный МЭ, например FireWall1 компании CheckPoint.

Более подробную информацию об описанных в работе подходах и технических средствах можно получить у автора, обратившись к нему по e-mail: sheglov@cs.ifmo.ru.

КомпьютерПресс 7'1999