УДК 681.5
А. Е. ГЕОРГИЕВСКИЙ
A. E. GEORGIEWSKIJ
ОБЩИЕ ПОДХОДЫ К ЗАЩИТЕ ИНФОРМАЦИИ В РАСПРЕДЕЛЁННЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
THE GENERAL APPROACHES TO PROTECTION OF THE INFORMATION IN THE DISTRIBUTED COMPUTER NETWORKS
Рассмотрены общие задачи комплексной системы информационной безопасности распределённой вычислительной сети. Проведён обзор типичных проблем безопасности сетей, приведены и описаны наиболее распространённые угрозы и уязвимые места распределённых сетей. Существенное внимание уделено политике безопасности, службам безопасности и механизмам защиты. Сформулировано шесть актуальных вопросов, на которые должен ответить разработчик системы безопасности сети.
Ключевые слова: защита информации, угрозы, распределённые сети, политика безопасности, управление риском.
The general problems of complex system of information safety of the distributed computer network are considered. The review of typical problems of safety of networks Is lead, the most widespread threats and weak spots of the distributed networks are resulted and described. The essential attention is given to a policy of safety, security services and mechanisms of protection. It is formulated six pressing questions which the developer of system of safety of a network should answer.
Keywords: protection of the information, the threat, the distributed networks, a policy of safety, management of risk.
Введение
В последние годы сохраняется тенденция увеличения инфраструктуры распределённых вычислительных сетей (РВС), которые используются многими государственными и частными организациями для обработки и передачи данных. До использования РВС основная часть обработки и обмена данными была централизована ‑ информация и управление ею были сосредоточены в одном центре. В настоящее время РВС организаций логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей среде информационного обмена.
Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей РВС. Например, посылка конфиденциального файла, который защищён с помощью сильной системы управления доступом в некоторой ЭВМ, через РВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Защита сети должна быть интегрирована во всю РВС и действующей для всех пользователей [3].
Использование обычной электронной почты не даёт гарантий конфиденциальности между отправителем и получателем и уверенности в том, что послание не было подменено. Для многих РВС проблематично обеспечить гарантии того, что сообщение действительно послано названным отправителем. Поэтому стоит вопрос об обязательном применении таких технологий, как шифрование, цифровая подпись и протоколы аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии защиты информации.
Постановка задачи
Современные РВС должны отвечать требованиям безопасности информации, которая циркулирует и хранится в них, причём её объёмы и интенсивность трафиков имеют тенденцию экспоненциального увеличения с каждым годом. Для пользователей должны быть созданы все условия достоверного и безопасного информационного обмена, а также максимального удобства применения средств защиты как при нормальной работе систем, так и при аварийных ситуациях, когда требуется быстрая локализация последствий нарушения безопасности линий связи, узлов коммутации и серверов с базами данных. Должен обеспечиваться понятный и корректный интерфейс для работы субъектов и компонентов системы РВС.
Децентрализация ресурсов и процессов в сетях является зачастую необходимым условием функционирования РВС, но распределённые топологии объективно выдвигают перед разработчиками и пользователями множество специфических проблем, связанных с трудностями обеспечения защиты информации.
Планирование системы информационной безопасности и оперативное (ситуационное) управление сталкиваются с неполной или несвоевременной информацией о состоянии системы, что ведёт к необходимости принятия решений при отсутствии достаточного объёма достоверных данных в условиях дефицита временного ресурса. В то же время, одиночные сбои и атаки злоумышленников на отдельные сегменты РВС зачастую не приводят к выходу из строя всей информационной системы, а в ряде случаев могут быть не распознаны и не классифицированы по степени опасности угрозы. Вследствие того, что в РВС могут не соблюдаться требования поддержания службы единого времени, требуется высокая согласованность мер по пресечению возникающих угроз и чёткая синхронизация конкретных действий подразделений, служб и процессов [3].
Распределённое хранение файлов и удалённые вычисления обеспечивают пользователей прозрачным доступом к части дисковой памяти удалённого сервера, предоставляет такие возможности, как удалённую работу с файлами, печать и предполагает возможность изменения содержания файлов.
Для обеспечения эффективного противодействия угрозам безопасности РВС требуется:
1) наиболее полно описать и классифицировать существующие и потенциальные разновидности активных и пассивных вторжений злоумышленников в ресурсы РВС, процессы и информационное пространство сети;
2) разработать модель нарушителя и адекватную ей модель системы безопасности РВС;
3) разработать процедуры и алгоритмы автоматического сканирования состояния РВС, текущего анализа трафика и корректности работы программного обеспечения, выдачи сигналов аварийного состояния сети и сигналов автоматического управления по изоляции поражённых участков с переключением ресурсов на резервные (обходные) маршруты, комплекты, варианты и режимы работы;
4) разработать общие принципы построения и конкретные варианты комплексной системы безопасности связи, включающей шифрование информации, применение защищённых криптографических протоколов информационного обмена, некриптографические методы защиты информации от утечки по технических (побочным) каналам, обеспечение организационно-технических и режимных специальных требований по размещению, монтажу, соблюдению режимов эксплуатации сетевого и оконечного оборудования;
5) предложить новые методики оценки эффективности защиты информации.
Проблемы безопасности РВС
1) Проблемы распределённого хранения файлов. Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к его рабочей станции для дальнейшего использования как локальный диск. Это представляет две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешён доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой РВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нём. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестаёт быть защищённым теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК.
2) Проблемы удалённых вычислений. Удалённые вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удалённым компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удалённых пользователей, запрашивающих услуги или приложения. Эти запросы могут также выдаваться локальными и удалёнными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удалённым серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через РВС.
3) Проблемы топологии и протоколов. Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к адресату. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений, и частоту сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).
4) Проблемы служб обмена сообщениями. Эти службы увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищённая электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения [1].
5) Прочие проблемы безопасности РВС включают: неадекватную политику управления и безопасности РВС; недостаточный уровень подготовки персонала и отсутствие обучения особенностям использования РВС и защиты; неадекватные механизмы защиты для рабочих станций; неадекватную защиту в ходе передачи информации [1, 3].
Слабая политика безопасности также увеличивает риск, связанный с РВС. Должна иметься формальная политика безопасности, которая бы определяла бы правила использования РВС для демонстрации позиции управления организацией по отношению к важности защиты имеющихся в ней ценностей. Политика безопасности является сжатой формулировкой позиции высшего руководства по вопросам информационных ценностей, ответственности по их защите и организационным обязательствам. Политика должна определять роль, которую имеет каждый служащий при обеспечении того, что РВС и передаваемая в ней информация адекватно защищены.
Управление РВС должно иметь необходимые финансовые средства, время и ресурсы. Слабое управление сетью может привести к ошибкам защиты. В результате этого могут появиться следующие проблемы: ослабленная конфигурация защиты, небрежное выполнение мер защиты или даже неиспользование необходимых механизмов защиты.
Отсутствие осведомлённости пользователей в отношении безопасности РВС также увеличивает риск. Пользователи, не знакомые с механизмами и мерами защиты, могут использовать их неправильно и, возможно, менее безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде РВС обычно ложится на самих пользователей. Они должны иметь достаточно высокую квалификацию, позволяющую поддерживать приемлемый уровень защиты в среде РВС. Необходима система своевременного информирования сотрудников службы безопасности и пользователей обо всех критических событиях в РВС и негативных последствиях, а также новых возможностях и внедряемых механизмах защиты информации.
Угрозы и уязвимые места РВС
Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда РВС. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла [2]. Угрозой может быть также природное явление, влияющее на аппаратную часть сети. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.
Уязвимыми местами являются недостаточно защищённые компоненты РВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ может быть осуществлён нарушителем, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест РВС может снизить или вообще устранить риск от угроз. Например, средство, которое может помочь пользователям выбрать надёжный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к РВС.
Воздействие угрозы приводит к раскрытию, модификации, разрушению или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных, потере человеческой жизни или иным долговременным эффектам. По аналогии с локальными вычислительными сетями в отношении к РВС возможны следующие виды воздействий [1]:
1) Неавторизованный доступ к РВС в результате получения неавторизованным субъектом права вхождения в сеть.
2) Несоответствующий доступ к ресурсам РВС в результате получения возможности работать в сети легальным или нелегальным субъектом неавторизованным способом.
3) Раскрытие данных в результате получения доступа к информации, в т. ч. её чтения человеком и возможного раскрытия содержания информации случайным или неавторизованным намеренным образом.
4) Неавторизованная модификация данных и программ в результате изменения, удаления или разрушения данных и программного обеспечения сети неавторизованным или случайным образом.
5) Раскрытие трафика РВС в результате получения доступа к информации и её чтения человеком и возможного её разглашения случайным или неавторизованным намеренным образом при её передачи по каналу связи.
6) Подмена трафика РВС в результате появлений сообщений, имитирующих работу законного отправителя, но сформированных не им.
7) Неработоспособность РВС в результате реализации угроз, которые не позволяют ресурсам сети быть своевременно доступными.
Службы и механизмы защиты
Служба защиты является совокупностью механизмов защиты и организационных мер, которые помогают защитить сеть от конкретных угроз. Например, служба аутентификации и идентификации помогает защитить РВС от неавторизованного доступа, требуя чтобы пользователь идентифицировал себя и подтвердил истинность своего идентификатора. Средство защиты надёжно настолько, насколько надёжны механизмы и процедуры, которые составляют его.
В РВС действуют следующие службы безопасности [1]:
1) Идентификация и установление подлинности ‑ служба, которая помогает гарантировать, что в РВС работают только аутентифицированные лица.
2) Управление доступом ‑ служба, которая помогает гарантировать, что ресурсы РВС используются разрешённым способом.
3) Конфиденциальность данных и сообщений ‑ служба, которая помогает гарантировать, что данные сети, программное обеспечение и сообщения не раскрыты злоумышленниками.
4) Целостность данных и сообщений ‑ служба, которая помогает гарантировать, что данные сети, программное обеспечение и сообщения не изменены неправомочными лицами.
5) Контроль участников взаимодействия ‑ служба, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нём. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).
6) Регистрация и наблюдение ‑ служба, с помощью которой может быть прослежено использование всех ресурсов РВС.
Существует ряд важнейших механизмов обеспечения безопасности при информационном обмене [2]. Механизм криптографической защиты строится на алгоритмах преобразования исходных текстов с целью скрыть их содержание от прямого прочтения без знания ключа. К этому же механизму относится применение цифровой подписи, удостоверяющей авторство и факт передачи сообщения. Механизмы контроля доступа осуществляют проверку полномочий объектов на доступ к ресурсам сети. В основе его лежит система разграничения доступа к информации и процессам с регистрацией событий и учётом информации. Механизмы обеспечения целостности сообщений применяются к отдельным блокам или к потоку данных. Механизмы аутентификации подразделяются на односторонне и взаимное опознавание корреспондентов. Механизмы подстановки трафика или подстановки текста используются для создания фиктивных блоков и их ввода в систему для обработки по общим правилам. Тем самым создаётся избыточность информации и нейтрализуется возможность получения сведений о реальном трафике, составе пользователей и их активности на сети. Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения блоков информации по сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным или физически ненадёжным каналам. Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами, третьей, доверенной стороной (арбитром). Для этого вся информация проходит и через арбитра, что позволяет ему при необходимости подтверждать факт её передачи и её характеристики [2].
Механизмы защиты являются сложной системой средств, реализованных для обеспечения служб защиты РВС. Например, система аутентификации, основанная на использовании смарт-карт, может быть механизмом, реализованным для обеспечения службы идентификации и аутентификации. Другие механизмы, которые помогают поддерживать конфиденциальность аутентификационной информации, могут также считаться частью службы идентификации и аутентификации.
Управление риском
Для определения соответствующих мер защиты РВС должен использоваться системный подход. Он означает оптимальное сочетание программно-аппаратных средств и организационных мер защиты, подтверждённое практикой создания отечественных и зарубежных систем защиты [2]. Решение, как обеспечить защиту, где реализовать защиту в сети, какими должны быть типы и мощность мер и средств защиты, требует значительных расчётов. Управление риском определяется как процесс оценки возможных потерь из-за использования или зависимости от технологии автоматизированной информационной системы. Одновременно проводится анализ потенциальных угроз и уязвимых мест системы, которые влияют на оценки возможных потерь, а также выбор оптимальных по цене мер и средств защиты, которые сокращают риск до приемлемого уровня.
Результаты, полученные из оценки риска, должны быть полезны при обеспечении защиты РВС. Проблемы, которые должны быть решены при оценке защищённости РВС, включают:
1) Ценности ‑ Что должно быть защищено?
2) Угрозы ‑ От чего необходимо защищать ценности и какова вероятность того, что угроза реализуется?
3) Воздействия ‑ Каковы будут непосредственные разрушения после реализации угрозы (например, раскрытие информации, модификация данных)?
4) Последствия ‑ Каковы будут долгосрочные результаты реализации угрозы (например, ущерб репутации организации, потеря бизнеса)?
5) Меры защиты ‑ Какие эффективные меры защиты (службы безопасности и механизмы) требуются для защиты ценностей?
6) Прогнозируемая эффективность ‑ После реализации мер защиты приемлем ли остаточный риск?
Политика безопасности РВС
Компьютерная политика безопасности ‑ краткое заявление высшего руководства относительно его позиции по поводу ценности информации, ответственности должностных лиц по её защите и распределения организационных обязанностей. Эта политика ‑ один из ключевых компонентов общей программы защиты компьютерных систем. Она является тем политическим заявлением, в котором могут быть сформулированы начальные требования к защите РВС.
Политика безопасности сети должна быть разработана на соответствующем уровне руководства организацией, то есть тем лицом в организации, кому напрямую подчиняются служащие, которых касается эта политика. Политика должна быть создана группой лиц, которые могут включать высшее управление, сотрудников отдела безопасности, и администраторов РВС. Политика должна устанавливать:
1) Значение информации ‑ позицию руководства по вопросу ценности информации.
2) Ответственность ‑ кто отвечает за защиту информации в РВС.
3) Обязательство ‑ обязательства организации по защите информации и РВС.
4) Область применения ‑ что включается в состав РВС и каких её частей, если таковые имеются, политика не касается.
Политика безопасности сети должна быть написана так, чтобы редко требовались её модификации. Потребность в изменениях может указывать на то, что она слишком конкретна. Например, включение требования использовать определённый пакет для обнаружения вирусов, включающего название пакета, в политику может быть слишком конкретным с точки зрения высокого темпа разработки антивирусных программ. Может быть, более разумно будет просто заявить, что программное обеспечение обнаружения вирусов должно находиться на ПК, серверах и позволить администраторам самим определять конкретный используемый продукт.
Политика безопасности РВС должна ясно определить и установить ответственность за защиту информации, которая обрабатывается, хранится и передаётся в сети. Основная ответственность может быть возложена на владельца данных ‑ на менеджера отдела организации, который создаёт и обрабатывает данные. Дополнительная ответственность может быть, кроме того, возложена на конечных пользователей, то есть на тех лиц внутри организации, которым предоставлен доступ к информации теми лицами, кто отвечает за неё в первую очередь. Администраторы РВС должны ясно определить роль отдельных лиц, ответственных за поддержание работоспособности сети.
Заключение
Широкая информатизация общества, внедрение компьютерных технологий в сферу управления объектами государственного значения, стремительный рост темпов научно-технического прогресса наряду с положительными достижениями в информационных технологиях, создают реальные предпосылки для утечки конфиденциальной информации. Поэтому прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий предполагает развитие средств обеспечения безопасности. Особенности функционирования РВС потребуют во многом пересмотреть существующую научную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность сетей должны являться:
1) исследование и анализ причин нарушения безопасности РВС;
2) разработка эффективных моделей безопасности, адекватных современной степени развития программных и аппаратных средств, а также возможностям злоумышленников;
3) создание методов и средств корректного внедрения моделей безопасности в существующие РВС, с возможностью гибкого управления безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ресурсов;
4) необходимость разработки средств анализа безопасности РВС с помощью осуществления тестовых воздействий (атак).
В условиях современного информационного противоборства, продолжающихся военных конфликтов, атак злоумышленников на ресурсы РВС особенно остро встали проблемы надёжной защиты информации в повседневной деятельности органов государственной власти и частных коммерческих предприятий. Это требует дальнейшего развития теории и практики обеспечения защиты информации в распределённых средах.
Проблемы безопасности распределённого хранения файлов, создания и поддержания в актуальном состоянии сетевых баз данных, удалённых вычислений наряду с неадекватной политикой безопасности создают предпосылки реализации многочисленных угроз ресурсам сети. Выявление уязвимых мест сети и технических каналов утечки информации должно иметь превентивный характер. Поддержание служб и механизмов защиты РВС на высоком функциональном уровне является непременным условием эффективной работы сети по её предназначению.
В политике безопасности РВС должна быть обозначена чёткая целевая установка о предназначении сети, её функциях, целях и задачах. Только в этом случае политика ответит на вопросы: что именно защищать, от кого, где, как, какими средствами и зачем.
СПИСОК ЛИТЕРАТУРЫ
1. Руководство по анализу безопасности ЛВС // Центр информационной безопасности: сайт. Запорожье, 2005. URL: http:// http://www. /ru/lib/sec/analys/art388.html (дата обращения: 1.10.2011).
2. А., , Денисов технологии: учеб. пособие. М.: Проспект, 20с.
3. Основы защиты сетей. Приложения и стандарты: пер. с англ. М.: Изд. дом «Вильямс», 20с.
Государственный университет – учебно-научно-производственный комплекс, г. Орёл
К. т.н., доцент кафедры «Электроника, вычислительная техника и информационная безопасность»
Тел. (48
E-mail: *****@***ru
