2018-02-13
698
Інформаційна система типовою сучасної організації є досить складним утворенням, побудованим у багаторівневій архітектурі клієнт / сервер, яка користується численними зовнішніми сервісами і, у свою чергу, надає власні сервіси зовні. Навіть порівняно невеликі магазини, що забезпечують розрахунок з покупцями з пластикових карт (і, звичайно, мають зовнішній Web- сервер), залежать від своїх інформаційних систем і, зокрема, від захищеності всіх компонентів систем і комунікацій між ними.
З точки зору безпеки найбільш істотними представляються наступні аспекти сучасних ІС:
· корпоративна мережа має кілька територіально рознесених частин (оскільки організація розташовується на кількох виробничих майданчиках), зв'язки між якими знаходяться у віданні зовнішнього постачальника мережевих послуг, виходячи за межі зони, контрольованої організацією;
· корпоративна мережа має одне або кілька підключень до Internet;
· на кожній з виробничих майданчиків можуть перебувати критично важливі сервери, у доступі до яких потребують співробітники, що працюють на інших майданчиках, мобільні користувачі і, можливо, співробітники інших організацій;
· для доступу користувачів можуть застосовуватися не тільки комп'ютери, але і споживчі пристрої, що використовують, зокрема, бездротовий зв'язок;
· протягом одного сеансу роботи користувачеві доводиться звертатися до декількох інформаційних сервісів, що спирається на різні апаратно-програмні платформи;
· до доступності інформаційних сервісів висуваються жорсткі вимоги, які зазвичай виражаються в необхідності цілодобового функціонування з максимальним часом простою порядку декількох хвилин;
· інформаційна система являє собою мережу з активними агентами, тобто в процесі роботи програмні компоненти, такі як аплети або сервлети, передаються з однієї машини на іншу і виконуються в цільової середовищі, підтримуючи зв'язок з віддаленими компонентами;
· не всі призначені для користувача системи контролюються мережевими та / або системними адміністраторами організації;
· програмне забезпечення, особливо отримане по мережі, не може вважатися надійним, в ньому можуть бути помилки, які створюють проблеми в захисті;
· конфігурація інформаційної системи постійно змінюється на рівнях адміністративних даних, програм і апаратури (змінюється склад користувачів, їхні привілеї та версії програм, з'являються нові сервіси, нова апаратура тощо).
Слід враховувати ще принаймні два моменти. По-перше, для кожного сервісу основні грані ІБ (доступність, цілісність, конфіденційність) трактуються по-своєму. Цілісність з точки зору системи управління базами даних і з точки зору поштового сервера - речі принципово різні. Безглуздо говорити про безпеку локальної або іншої мережі взагалі, якщо мережа включає в себе різнорідні компоненти. Слід аналізувати захищеність сервісів, що функціонують в мережі. Для різних сервісів і захист будують по-різному. По-друге, основна загроза інформаційній безпеці організацій як і раніше виходить не від зовнішніх зловмисників, а від власних співробітників.
У силу викладених причин далі будуть розглядатися розподілені, різнорідні, багатосервісні, що еволюціонують системи. Відповідно, нас будуть цікавити рішення, орієнтовані на подібні конфігурації.
Архітектурна безпека
Сервіси безпеки, якими б потужними вони не були, самі по собі не можуть гарантувати надійність програмно-технічного рівня захисту. Тільки перевірена архітектура здатна зробити ефективним об'єднання сервісів, забезпечити керованість інформаційної системи, її здатність розвиватися і протистояти новим загрозам при збереженні таких властивостей, як висока продуктивність, простота і зручність використання.
Теоретичною основою розв'язання проблеми архітектурної безпеки є наступне фундаментальне твердження, яке ми вже наводили, розглядаючи інтерпретацію "Помаранчевої книги" для мережевих конфігурацій.
Твердження "Помаранчевої книги" для мережевих конфігурацій:
"Нехай кожен суб'єкт (тобто процес, що діє від імені будь-якого користувача) міститься всередині одного компонента і може здійснювати безпосередній доступ до об'єктів тільки в межах цього компонента. Далі нехай кожен компонент містить свій монітор звернень, що відслідковує всі локальні спроби доступу, і всі монітори проводять в життя узгоджену політику безпеки. Нехай, нарешті, комунікаційні канали, що зв'язують компоненти, зберігають конфіденційність і цілісність інформації, що передається. Тоді сукупність всіх моніторів утворює єдиний монітор звернень для усієї мережевої конфігурації. "
Звернемо увагу на три принципи, що містяться у наведеному твердженні:
· необхідність вироблення і проведення в життя єдиної політики безпеки;
· необхідність забезпечення конфіденційності і цілісності при мережевих взаємодіях;
· необхідність формування складових сервісів по змістовному принципом, щоб кожен отриманий таким чином компонент мав повним набором захисних засобів і з зовнішньої точки зору представляв собою єдине ціле (не повинно бути інформаційних потоків, що йдуть до незахищених сервісів).
Якщо який-небудь (складовою) сервіс не володіє повним набором захисних засобів (складу повного набору описаний вище), необхідне залучення додаткових сервісів, які ми будемо називати екрануючими. Екранувальні сервіси встановлюються на шляхах доступу до недостатньо захищених елементів; в принципі, один такий сервіс може екранувати (захищати) як завгодно велике число елементів.
З практичної точки зору найбільш важливими є наступні принципи архітектурної безпеки:
· безперервність захисту в просторі і часі, неможливість минати захисні засоби;
· дотримання визнаних стандартів, використання апробованих рішень;
· ієрархічна організація ІС з невеликим числом сутностей на кожному рівні;
· посилення самої слабкої ланки;
· неможливість переходу в небезпечний стан;
· мінімізація привілеїв;
· поділ обов'язків;
· ешелонування оборони;
· розмаїтість захисних засобів;
· простота і керованість інформаційної системи.
Пояснимо зміст перерахованих принципів.
Якщо у зловмисника або незадоволеного користувача з'явиться можливість минати захисні засоби, він, зрозуміло, так і зробить. Певні сервіси, що вище екрануються, повинні виключити подібну можливість.
Дотримання визнаних стандартів та використання апробованих рішень підвищує надійність ІС та зменшує вірогідність попадання в тупикову ситуацію, коли забезпечення безпеки зажадає непомірно великих витрат і принципових модифікацій.
Ієрархічна організація ІС з невеликим числом сутностей на кожному рівні необхідна з технологічних міркувань. При порушенні цього принципу система стане некерованою і, отже, забезпечити її безпеку буде неможливо.
Надійність будь-якої оборони визначається самою слабкою ланкою. Зловмисник не буде боротися проти сили, він віддасть перевагу легку перемогу над слабкістю. (Часто самою слабкою ланкою виявляється не чи комп'ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер).
Принцип неможливості переходу в небезпечний стан означає, що при будь-яких обставин, у тому числі позаштатних, захисне засіб або цілком виконує свої функції, або цілком блокує доступ. Образно кажучи, якщо у фортеці механізм підйомного мосту ламається, міст залишають піднятим, перешкоджаючи проходу ворога.
Стосовно до програмно-технічному рівню принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам тільки ті права доступу, які необхідні їм для виконання службових обов’язків. Цей принцип дозволяє зменшити шкоду від випадкових або навмисних некоректних дій користувачів та адміністраторів.
Принцип поділу обов'язків припускає такий розподіл ролей і відповідальності, щоб одна людина не могла порушити критично важливий для організації процес або створити пролом у захисті на замовлення зловмисників. Зокрема, дотримання даного принципу особливо важливо, щоб запобігти зловмисні чи некваліфіковані дії системного адміністратора.
Принцип ешелонування оборони наказує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентифікації - керування доступом і, як останній рубіж, - протоколювання й аудит. Ешелонованої оборони здатна, принаймні, затримати зловмисника, а завдяки наявності такого рубежу, як протоколювання й аудит, його дії не залишаться непоміченими. Принцип розмаїтості захисних засобів передбачає створення різних за своїм характером оборонних рубежів, щоб від потенційного зловмисника було потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками.
Дуже важливий принцип простоти й керованості інформаційної системи в цілому й захисних засобів особливо. Тільки для простого захисного засобу можна формально або неформально довести його коректність. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснювати централізоване адміністрування. У цьому зв'язку важливо зазначити інтегруючу роль Web-сервісу, що ховає розмаїтість обслуговуваних об'єктів і надає єдиний, наочний інтерфейс. Відповідно, якщо об'єкти деякого виду (наприклад, таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступ до них, оскільки в іншому випадку, система буде складною й погано керованою.
Для забезпечення високої доступності (безперервності функціонування) необхідно дотримувати наступні принципи архітектурної безпеки:
· внесення в конфігурацію тієї чи іншої форми надмірності (резервне обладнання, запасні канали зв'язку тощо);
· наявність засобів виявлення нештатних ситуацій;
· наявність засобів реконфігурування для відновлення, ізоляції та/або заміни компонентів, що відмовили або що піддалися атаці на доступність;
· розосередження мережевого управління, відсутність єдиної точки відмови;
· виділення підмереж та ізоляція груп користувачів один від одного. Дана міра, яка є узагальненням поділу процесів на рівні операційної системи, обмежує зону ураження при можливих порушеннях інформаційної безпеки;
· мінімізація обсягу захисних засобів, що виносяться на клієнтські системи.
Ще один важливий архітектурний принцип - мінімізація обсягу захисних засобів, що виносяться на клієнтські системи. Причин цього кілька:
· для доступу в корпоративну мережу можуть використовуватися споживчі пристрої з обмеженою функціональністю;
· конфігурацію клієнтських систем важко або неможливо контролювати.
До необхідного мінімуму слід віднести реалізацію сервісів безпеки на мережному і транспортному рівнях і підтримку механізмів аутентифікації, стійких до мережевих погроз.
