Глава 12 Информационно-аналитическая работа в глобальных информационных сетях
12.4. Защищенный документооборот и архитектура корпоративной КС для аналитических исследований
Документооборот как технология содержит некоторые повторяющиеся операции с документами в различных формах. Свойство защищенности документооборота может складываться из классических категорий безопасности «конфиденциальность-целостность-надежность» в проекции как на сам документ, так и на технологию его движения. Технологию движения документов целесообразно рассматривать как их жизненный цикл, определяемый целевой функцией системы, в которой они существуют.
Например, система платежного документооборота будет обслуживать совершение безналичных денежных расчетов путем движения документов – распоряжений по счету, создаваемых в бумажном виде физическими и юридическими лицами, далее преобразуемых в электронную форму в системе организации, уполномоченной осуществлять безналичные операции. В конечном итоге эти операции будут отражены на счетах клиентов кредитных организаций. В первую очередь защищенность такой системы должна рассматриваться с точки зрения соблюдения правовых норм, регламентирующих функциональность системы. И, следовательно, понятие «защищенности» здесь является понятием более высокого уровня по отношению к самой системе. Аналогично, защищенность системы, предназначенной для аналитических исследований, будет определяться свойствами и назначением этой системы. В первую очередь, важны доступность (надежность) и достоверность сведений, а конфиденциальность, хотя и является важным свойством, будет занимать подчиненную роль.
Таким образом, под системой защищенного документооборота (СЗДО) понимается сама компьютерная система совместно с комплексом организационных, методических и нормативно-распорядительных мер, которые предназначены для ввода, обработки, хранения, учета, контроля движения, выполнения иных функций, предусмотренных для документов различного назначения с соблюдением свойств их защищенности на всех этапах жизненного цикла документов. Целесообразно выделять 3 класса СЗДО по их позиционированию в системе общественных отношений:
• предназначенные для индивидуального пользования (Д1);
• для корпоративного бизнес-пользования (Д2);
• для органов государственной власти и крупных корпораций (ДЗ).
В случае такой классификации системы класса Д1 будут предназначены для использования индивидуальными пользователями. В этом случае в роли злоумышленника будет внешний нарушитель, не являющийся пользователем средств вычислительной техники. Для индивидуального пользователя (в нашем случае аналитика, работающего на своем персональном рабочем месте) такой выбор модели злоумышленника единственно верен, поскольку для него все потенциальные злоумышленники (нарушители) являются внешними, отличными от него.
Системы класса Д2 предназначены для использования в корпорациях или бизнес-консорциумах. В них злоумышленником будет уже считаться внутренний нарушитель, являющийся пользователем компьютеров, на которых реализована аналитическая система. Такой выбор обусловлен разумными предположениями о возможности злоумышленных действий кого-либо из сотрудников корпорации.
Системы класса ДЗ предназначены для использования территориально-распределенными крупными корпорациями и учреждениями уровня министерства (ведомства, федеральные службы (агентства)), которые применяют еще более развернутую модель злоумышленника: в системе действует группа нарушителей (среди которых есть и внутренние злоумышленники), осуществляющая создание методов и средств реализации атак, а также реализующая атаки с привлечением отдельных специалистов, имеющих опыт разработки и анализа средств защиты.
Архитектурно, независимо от позиционирования по классу применения, СЗДО может представлять собой отдельное рабочее место (компьютер), локальную сеть, размещенную в пределах одного здания (сооружения), территориально-распределенную КС. Одна СЗДО может обмениваться информацией с другими СЗДО и информационными ресурсами глобальной сети или ее национальными доменами. В СЗДО могут также выделяться клиентские места мобильных и стационарных пользователей и некоторая серверная компонента, предназначенная для хранения данных и реализации общих для всех пользователей технологий.
Для эффективного функционирования защищенной КС, содержащей информационные хранилища, целесообразна пятизвенная архитектура. Пять звеньев включают в себя: сервер баз данных, сервер доступа, фронт-сервер, рабочие места локальных пользователей и рабочие места удаленных пользователей. Общая структура приведена на рис. 27.
Сервер доступа! Фронт-сервер i
Рис. 27. Архитектура защищенной корпоративной КС для СИ
Такая архитектура оправдана практически для любой защищенной системы. Например, система обработки безналичных платежей с такой архитектурой будет функционировать следующим образом. Пользователи системы будут присылать платежные поручения, подписанные электронной цифровой подписью, которые будут поступать на сервер доступа и проверяться там. При положительном результате проверки ЭЦП в сервере баз данных в счетах пользователей-клиентов будут отображаться внесенные изменения. Рабочие места локальных пользователей необходимы для управления системой контроля за состоянием серверов и оборудования. Фронт-сервер отображает суммарную информацию по платежам, количество обработанных документов, очередность платежей и т.д.
Для аналитической компьютерной системы первой компонентой является сервер базы данных (сервер БД). Он осуществляет хранение базы данных, аналитической и вспомогательной информации и обработку запросов, направляемых со стороны клиентских программных приложений. Понятие «сервер» обозначает компьютер, предназначенный для длительной работы без выключения и отличающийся от персональных компьютеров повышенной надежностью работы и хранения данных. Сервер БД должен представлять собой высоконадежную аппаратную платформу под управлением сертифицированных версий операционных сред (ОС), размещаться в отдельном сегменте локальной вычислительной сети и физически в отдельном защищенном помещении. Это помещение должно удовлетворять следующим требованиям:
• отсутствие окон;
• электронный кодовый замок с автономным питанием;
• система видеонаблюдения с видеозаписью;
• климатическая система;
• система бесперебойного электропитания. Второй компонентой аналитической КС является сервер доступа, который, будучи посредником, обеспечивает доступ удаленных пользователей-аналитиков к защищаемой базе данных по каналу, гарантирующему защиту конфиденциальности и целостности передаваемых данных (защищенному криптографическими методами либо проложенному так, чтобы исключить к нему подключение). Сервер доступа представляет собой промышленный высоконадежный компьютер с необходимым программным обеспечением.
Фронт-сервер является третьей компонентой аналитической КС. На фронт-сервере размещается ресурс с персональными кабинетами для доступа пользователей к аналитической информации, выполнения запросов и размещения результатов работы аналитиков в БД. Четвертой компонентой являются рабочие места пользователей, соединенные с ресурсом фронт-сервера. Пятой компонентой являются удаленные места пользователей и аналитиков, подключенные непосредственно к серверу доступа. Таким образом, в корпоративной аналитической КС можно выделить два информационных контура – внутренний, содержащий сервер БД и саму базу данных с результатами аналитических исследований, и внешний – рабочие места пользователей и точку взаимодействия с внешними информационными ресурсами – фронт-сервер.
С точки зрения модели КС внешние сети естественным образом соответствуют внешнему сегменту КС относительно рабочих мест пользователей и аналитиков, а также относительно сервера БД. Необходимо обеспечить изолированность этих контуров и потоков между ними. Изоляция в первую очередь подразумевает невозможность переноса информации из внутреннего информационного контура во внешний с целью обеспечения конфиденциальности результатов аналитических исследований. Далее необходимо обеспечить работоспособность сервера БД при активном воздействии со стороны внешнего сегмента (сохранность информации и невозможность ее изменения). И, наконец, необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Изолированность информационных контуров между собой обеспечивают средства межсетевой защиты.
Работа средств межсетевой защиты, которые принято называть межсетевыми экранам (МЭ), базируется на рассмотренном выше понятии транзитивности информационных потоков. Напомним, что на языке потоков отношение транзитивности выражается так: «если существует поток от А к В и поток от В к С, то существует и поток от А к С». Поток, проходящий через несколько объектов, называется составным потоком. В приведенном примере составным будет поток от А к С. Верно также и то, что если на каком-то участке поток прерван, то и общего составного потока не существует.
Межсетевой экран подключается в точке выхода АС КС во внешний сегмент КС. Он имеет два интерфейса или порта, один из которых направлен во внешний сегмент КС, а другой – в локальный сегмент КС. Пусть Pi -внутренний порт межсетевого экрана, подключенный к ЛС КС, и Ро – внешний порт межсетевого экрана, подключенный к внешнему сегменту КС. Предположим, что злоумышленник X во внешнем сегменте КС хочет получить доступ к объекту Oi в локальном сегменте КС. Для этого он должен реализовать поток от Oi к Pi, затем от Pi к Ро, а от Ро – к X. Межсетевой экран анализирует разрешения доступа к объекту Oi, свойства субъекта X, инициирующего эти потоки. В том случае, когда он признает поток нелегальным, он разрывает поток между Pi и Ро. Таким образом, не существует и результирующего составной поток, субъект X не получает доступа к объекту Oi. В случае разрешения доступа поток между внешним и внутренним портом межсетевого экрана разрешается. В России вопросы разработки и использования средств межсетевой защиты регулируются документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», разработанным рядом ведущих экспертов в области сетевой безопасности и принятым Гостехкомиссией РФ (ныне Федеральная служба РФ по техническому и экспортному контролю) в 1997 г. Этот руководящий документ устанавливает классификацию межсетевых экранов по уровню защищенности от несанкционированного доступа (в соответствии с перечнем показателей защищенности).
В терминологии данного документа межсетевые экраны представляют собой локальное (однокомпонент-ное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в КС и/или выходящей из КС, и обеспечивающее защиту КС посредством фильтрации информации, т.е. ее анализа по совокупности.
Деление межсетевых экранов на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей. Документ устанавливает пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности – пятый, самый высокий – первый.
Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и КС в соответствии с руководящими документами Гостехкомиссии России: «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». При включении МЭ в КС определенного класса защищенности класс защищенности совокупной КС не должен понижаться.
Отметим, что необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Для этого необходимо интегрировать в КС функции шифрования. При этом возможно применение предварительного или динамического («прозрачного») шифрования. Предварительное шифрование состоит в зашифровании файла программой (субъектом), а затем его расшифровании той же программой или иным субъектом. Расшифрованный массив непосредственно используется прикладной программой пользователя. Например, таким образом устроена защищенная электронная почта. При отправке письма его «тело» и вложения зашифровываются, а при приеме – расшифровываются на локальном компьютере и передаются для чтения пользователю.
Хотя данный подход и применяется достаточно широко, он имеет ряд недостатков:
• необходимость дополнительного ресурса для работы с зашифрованным объектом (например, дискового пространства);
• потенциальная возможность доступа со стороны активных субъектов локального сегмента КС к расшифрованному файлу (во время его существования);
• возникновение задачи гарантированного уничтожения расшифрованного файла после его использования.
Для преодоления ряда недостатков предварительного шифрования применяется динамическое шифрование. Его сущность состоит в следующем: происходит зашифрование всего файла (аналогично предварительному шифрованию). Затем с использованием специальных механизмов, обеспечивающих модификацию функций КС, происходит работа с зашифрованным объектом. При этом расшифрованию подвергается только та часть объекта, которая в текущий момент времени используется прикладной программой. При записи прикладная программа осуществляет зашифрование записываемой части объекта.
Данный подход позволяет максимально экономично использовать вычислительные ресурсы КС, поскольку расшифровывается только та часть объекта, которая непосредственно нужна прикладной программе. Кроме того, на внешних носителях информация всегда хранится в зашифрованном виде, что исключительно ценно для предотвращения несанкционированного доступа. Динамическое шифрование целесообразно применять для защиты удаленных или распределенных объектов КС. Описанный подход реализован при построении EFS (Encrypted File System).
При необходимости обращения к удаленным файлам КС на рабочей станции активизируется сетевое программное обеспечение. Путем переопределения функции работы с файловой системой ОС оно создает единое файловое пространство рабочей станции и сервера. Поскольку работа с файлами происходит через функции установленной на рабочей станции ОС, сетевое программное обеспечение модифицирует эти функции так, что обращение к ним со стороны прикладного уровня КС происходит так же, как и обычным образом. Это позволяет обеспечить нормальную работу прикладного и пользовательского уровня программного обеспечения рабочей станции КС. Как показано на рис. 28, функции для работы с файлами КС встраиваются в цепочку обработки файловых операций.
1. Прикладная программа
2. Криптомодуль
3. Сетевой клиент рабочей станции t
5. Транспортный уровень 1
6. Сетевая ОС
Рис. 28. Структура взаимодействия криптомодуля и КС при файловом динамическом, шифровании
Некоторой модификацией описанного метода является метод криптографического сервера. При рассмотрении данного метода выделяется активная аппаратная компонента КС (как правило, выделенный компьютер), которая имеет общий групповой ресурс со всеми субъектами, требующими исполнения криптографических функций. При создании и перезаписи файла или иного объекта, принадлежащего общему ресурсу, автоматически происходит его зашифрование или фиксация целостности. Кроме того, в криптосервере может быть реализована функция изоляции защищенного объекта-файла, состоящая в его перемещении в выделенный групповой массив (директория «исходящих» файлов). Процесс обратного преобразования в других выделенных массивах (или проверки целостности) происходит аналогичным образом. При получении зашифрованных файлов из внешнего сегмента КС они помещаются в выделенную папку приема, считываются оттуда криптографическим сервером, расшифровываются и перемещаются в папки пользователей, для которых они предназначены. Для пользователя этот процесс выглядит, например, как автоматическое зашифрование при записи (или интеграция электронной цифровой подписи в файл) в некоторую заранее указанную директорию на файловом сервере.
Подход прикладного криптосервера широко применяется для криптографической защиты электронных файлов документов в гетерогенной КС (гетерогенной называется компьютерная система, состоящая из разнородных элементов, например, серверов, персональных компьютеров, различных мобильных устройств (смартфонов) или для сопряжения с телекоммуникационными системами. Однако потребности аналитика и пользователей не всегда исчерпываются защищенной передачей файлов. В ряде случаев целесообразно иметь целиком защищенный канал связи с сервером и реализовывать криптографическую защиту на транспортном уровне.
При рассмотрении криптографической зашиты на транспортном уровне компьютерной системы необходимо учитывать важное свойство, следующее из иерархической модели взаимодействия: передача информации от верхних уровней представления (файлов) к нижним уровням (пакетам) полностью и без изменения сохраняет содержательную часть информации. Например, передача файла по сети происходит следующим образом: файл разбивается на блоки-пакеты, длина которых зависит от применяемого оборудования связи, эти пакеты транспортируются по сети, затем на приеме собираются в файл. Отсюда следует, что зашифрованный файл будет разобран на уже зашифрованные пакеты и вся информация в канале связи также будет зашифрованной.
И, наоборот, при процедуре шифрования, реализованной на транспортном уровне, информация получается и передается в верхние уровни в открытом виде, но пакеты шифруются в сети.
Данный факт позволяет определить область применения шифрований транспортного уровня:
1. В компьютерной системе с прохождением каналов связи по территории, доступной для злоумышленника.
2. При невозможности зашифрования путем динамического файлового шифрования.
3. При отсутствии необходимости шифрования локальных ресурсов.
Криптогафическая защита транспортного уровня (рис. 29) может быть реализована программно при встраивании в информационные потоки сетевых программных средств и аппаратно – на стыке компьютер -сетевые средства (на рис. – уровень 4) или компьютер -кабельная система (на рис. – уровень 6).
1. Прикладная программа
2. Сетевой клиент рабочей станции
3. Локальная ОС
5. Транспортный уровень
6. Криптомодуль наложенный
7. Сетевая ОС
Рис. 29. Встраивание средств криптозащиты транспортного уровня
4. Криптомодуль встроенный
Криптографическая защита информации на прикладном уровне (или криптографическая защита прикладного уровня) – такой порядок проектирования, реализации и использования криптографических средств, при котором входная и выходная информация и, возможно, ключевые параметры принадлежат потокам и объектам прикладного уровня. Информация, находящаяся на нижестоящих иерархических уровнях (далее используется термин «нижестоящие уровни») относительно объекта прикладного уровня, представляет собой подобъекты данного объекта (его составные части). Только на прикладном уровне возможна персонализация объекта, т.е. однозначное соответствие созданного объекта породившему его субъекту (субъектом прикладного уровня является, как правило, прикладная программа, управляемая человеком-пользователем).
В то же время необходимо отметить, что логическая защита вышестоящего уровня наследуется нижестоящими. Поясним данное свойство примером. Предположим, на прикладном уровне зашифровано поле базы данных. При передаче информации по сети происходит ее преобразование на нижестоящий сетевой уровень. При этом поле будет передано в зашифрованном виде, разобщено на последовательность пакетов, информационное поле каждого из которых также зашифровано, и затем передано по транспортной системе локальной или глобальной телекоммуникационной сети в виде датаграмм с зашифрованным информационным полем. Адрес при этом не будет закрыт, поскольку субъект нижестоящего уровня, который произвел декомпозицию, не имеет информации о функции преобразования объекта. Это показывает, что криптографическая защита объекта прикладного уровня действительна и для всех нижестоящих уровней. Таким образом, при защите информации на прикладном уровне процедуры передачи, разборки на пакеты, маршрутизации и обратной сборки не могут нанести ущерба конфиденциальности информации.
Особенностью существования субъектов-программ прикладного уровня, а также порождаемых ими объектов, является отсутствие стандартизованных форматов представления объектов. Более того, молено утверждать, что такая стандартизация возможна лишь для отдельных структурных компонент субъектов и объектов прикладного уровня (например, типизация данных в транслируемых и интерпретируемых языках программирования, форматы результирующего хранения для текстовых редакторов и др.). Субъекты и объекты прикладных систем создаются пользователем, и априорно задать их структуру не представляется возможным.
Существует два подхода к реализации криптографических функций на прикладном уровне. Первый подход связан с реализацией функций криптографической защиты в отдельном субъекте-программе (например, после подготовки электронного документа в файле активизируется программа цифровой подписи для подписания данного файла). Данный подход получил также название абонентской зашиты, поскольку активизация программы производится конечным пользователем-абонентом. Мы упоминали об этом подходе, когда рассматривали защищенную электронную почту.
Первый подход отличается простотой реализации и применения. Второй подход связан с вызовом функций субъекта непосредственно из программы порождения защищаемых объектов и с внедрением криптографических функций непосредственно в прикладную программу. В связи с этим современные информационные технологии предполагают более широкое использование второго подхода, хотя при этом применяются различные технические решения. Сравним оба подхода в таб. 23.
Несомненно, что предпочтительным для аналитической подсистемы является реализация криптографических функций на прикладном уровне. При этом всегда можно точно оценить, все ли объекты будут криптографически защищены. Процесс внедрения криптографических механизмов в аналитическую подсистему на языке специалистов-криптографов называется встраиванием. Важной задачей является проверка корректности встраивания криптографических функций в аналитическую прикладную систему. Основным показателем корректности встраивания является использование криптографических механизмов в необходимых местах прикладной системы. Надежный замок должен быть врезан в прочную дверь, а не в стену.
12.5. Процесс построения защищенной компьютерной системы для аналитических исследований
Для плодотворной работы системного аналитика необходимо создание компьютерного инструментария. В первую очередь необходимо понять цель и рамки проведения ССИ и выбрать для них соответствующие ресурсы. Далее, необходимо определить, какого рода информация будет анализироваться, обрабатываться и храниться, и выбрать необходимый набор аппаратных и программных средств для реализации поставленных задач.
Кратко опишем методологию процесса проектирования защищенной корпоративной КС, предназначенной для проведения ССИ. При этом будем опираться на сформулированные выше утверждения, методы и подходы. Изложенный выше понятийный и методический аппарат позволяет заказчику аналитической системы, эксперту-аналитику, который будет потом ее использовать, «говорить на одном языке» с разработчиками архитектур КС, программистами прикладных аналитических систем и специалистами по безопасности, понимать предложенные ими решения, правильно оценивать реальные параметры защищенной системы, самостоятельно и осознанно применять и совершенствовать организационные и организационно-технические меры безопасности.
Первоначально, исходя из назначения аналитической КС, определяются существенно важные элементы, связанные с ее архитектурой, с распределенностью КС, с составом аппаратных компонент, с составом и свойствами «программного наполнения» (в первую очередь свойствами операционных сред КС). Выше мы приводили обобщенную пятизвенную архитектуру аналитической КС. В целом ее можно брать за основу при проектировании, делая необходимые уточнения в конкретных случаях. Например, если аналитическая КС замкнута внутри корпорации и не допускает работу удаленных аналитиков, то звено внешних пользователей не нужно реализовывать, что удешевляет стоимость системы и упрощает реализацию функций безопасности для КС в целом.
Далее формулируется политика безопасности, реализуемая в КС (состоящая, как было указано, в выборе критерия различения потоков легального и несанкционированного доступа). Затем политика безопасности подвергается коррекции, учитывающей распределенность компьютерной системы. Уточненная политика безопасности подвергается содержательному анализу с целью определения ее адекватности целевой функции защищаемой аналитической КС. Надо учитывать, что в современных операционных средах уже существуют мониторы безопасности объектов и мониторы безопасности субъектов, а также криптографические системы, реализующие описанные выше методы защиты объектов. Эти средства называют штатными средствами безопасности операционных сред.
Следующей стадией является соотнесение скорректированной политики безопасности с возможностями, реализуемыми штатными средствами операционных сред КС. В результате может возникнуть необходимость приобретения или разработки дополнительных средств безопасности, а возможно, все проблемы безопасности будут решены с использованием штатных средств безопасности операционных сред. Важным вопросом является использование криптографических средств, где в первую очередь необходимо ориентироваться на национальные криптографические средства, одобренные и сертифицированные уполномоченными государственными органами.
Необходимо также сделать выводы о субъектном наполнении КС – проанализировать используемые в КС программы и определить их разумный минимум для решения поставленных перед аналитиками задач. Совершенно определенно нельзя допускать одновременной работы практических аналитиков и программистов-разработчиков в одном локальном сегменте КС. Это связано с тем, что программисты работают с нестационарными субъектами и, как правило, нарушают корректность используемого программного обеспечения. Также все программное обеспечение, не связанное с прямой функциональностью аналитической КС, должно быть вынесено за ее рамки.
Требуется сформулировать технологию управления КС, уточнить структуры и реализовать субъекты управления, определить вопросы выработки и использования ключей для шифрования и электронной цифровой подписи, а также сформулировать необходимые организационно-технические меры безопасности. Затем, как правило, необходим этап опытной эксплуатации КС. К этому моменту КС уже содержит операционные среды, прикладное наполнение со свойствами корректности включенных субъектов и «инфраструктуру» (программы и данные) для управления защитой. Цель этапа опытной эксплуатации – убедиться в выполнении целевой функции КС и встроенных в нее защитных механизмов (т.е. решает ли защищенная КС те задачи, для которых была спроектирована).
Наконец, прикладное наполнение КС должно быть замкнуто в изолированную программную среду. При этом либо полноценно реализуется монитор безопасности субъектов, разрешающий порождение только разрешенного списка задач, либо создаются различные выделенные подсистемы (например, межсетевым экраном разделяются внутренний и внешний сегмент КС). Политика безопасности может быть гарантирована и другими способами, зависящими от архитектуры, способа применения и целевой функции конкретной КС. Например, хорошей практикой является использование систем терминального доступа, в которых программное наполнение загружается с сервера и поэтому по определению замкнуто и проверено.
Результатом работы является КС (в виде документированного проекта, стенда или макета), предназначенная для выполнения предписанных заказчиком системных исследований целевых функций, имеющая запас по производительности и надежности, в которой гарантированно выполнена заданная политика безопасности.