Лекция 10. Экранирование, анализ защищенности

Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два мно­жества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем. Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задер­жать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобра­зование данных, передача порции данных на следующий фильтр для продолжения анализа или об­работка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией. Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) (предложенный автором перевод английско­го термина firewall) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet. Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирую­щая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направлен­ные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС ор­ганизации.

Подчеркнем, что экранирование может использоваться как сервис безопасности не только в се­тевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подоб­ной среды - объектно-ориентированные программные системы, когда для активизации методов объектов выполняется (по крайней мере, в концептуальном плане) передача сообщений. Весьма ве­роятно, что в будущих объектно-ориентированных средах экранирование станет одним из важней­ших инструментов разграничения доступа к объектам. Экранирование может быть частичным, защищающим определенные информационные сер­висы.

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипер­текстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществля­ет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.