Системный анализ. 2009_Ракитов АИ и др_Системный анализ и аналитические исследован. Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40

• предназначенные для индивидуального пользова ния (Д1);
• для корпоративного бизнес-пользования (Д2);
• для органов государственной власти и крупных корпораций (ДЗ).
В случае такой классификации системы класса Д1
будут предназначены для использования индивидуальными пользователями. В этом случае в роли злоумышленника будет внешний нарушитель, не являющийся пользователем средств вычислительной техники. Для индивидуального пользователя (в нашем случае аналитика, работающего на своем персональном рабочем месте) такой выбор модели злоумышленника единственно верен, поскольку для него все потенциальные злоумышленники
(нарушители) являются внешними, отличными от него.
Системы класса Д2*предназначены для использования в корпорациях или бизнес-консорциумах. В них злоумышленником будет уже считаться внутренний нарушитель, являющийся пользователем компьютеров, на которых реализована аналитическая система. Такой выбор обусловлен разумными предположениями о возможности злоумышленных действий кого-либо из сотрудников корпорации.
Системы
класса
ДЗ
предназначены для использования территориально-распределенными крупными корпорациями и учреждениями уровня министерства
(ведомства, федеральные службы
(агентства)), которые применяют еще более развернутую модель злоумышленника: в системе действует группа нарушителей (среди которых есть и внутренние злоумышленники), осуществляющая создание методов и средств реализации атак, а также реализующая атаки с привлечением отдельных специалистов, имеющих опыт разработки и анализа средств защиты.
Архитектурно, независимо от позиционирования по классу применения, СЗДО может представлять собой отдельное рабочее место (компьютер), локальную сеть, размещенную в пределах одного здания (сооружения), территориально-распределенную КС. Одна СЗДО может обмениваться информацией с другими СЗДО и инфор-
426 мационными ресурсами глобальной сети или ее национальными доменами. В СЗДО могут также выделяться клиентские места мобильных и стационарных пользователей и некоторая серверная компонента, предназначенная для хранения данных и реализации общих для всех пользователей технологий.
Для эффективного функционирования защищенной
КС, содержащей информационные хранилища, целесообразна пятизвенная архитектура. Пять звеньев включают в себя: сервер баз данных, сервер доступа, фронт-сервер, рабочие места локальных пользователей и рабочие места удаленных пользователей. Общая структура системы приведена на рис. 27.
Сервер доступа ! Фронт-сервер i
Рис. 27. Архитектура защищенной
корпоративной КС для СИ
Такая архитектура оправдана практически для любой защищенной системы. Например, система обработки безналичных платежей с такой архитектурой будет функционировать следующим образом.
Пользователи системы будут присылать платежные поручения, подписанные электронной цифровой подписью, которые
427

будут поступать на сервер доступа и проверяться там.
При положительном результате проверки ЭЦП в сервере баз данных в счетах пользователей-клиентов будут отображаться внесенные изменения. Рабочие места локальных пользователей необходимы для управления системой контроля за состоянием серверов и оборудования. Фронт-сервер отображает суммарную информацию по платежам, количество обработанных документов, очередность платежей и т.д.
Для аналитической компьютерной системы первой компонентой является сервер базы данных (сервер БД).
Он осуществляет хранение базы данных, аналитической и вспомогательной информации и обработку запросов, направляемых со стороны клиентских программных приложений. Понятие «сервер» обозначает компьютер, предназначенный для длительной работы без выключения и отличающийся от персональных компьютеров повышенной надежностью работы и хранения данных.
Сервер БД должен представлять собой высоконадежную аппаратную платформу под управлением сертифицированных версий операционных сред (ОС), размещаться в отдельном сегменте локальной вычислительной сети и физически в отдельном защищенном помещении. Это помещение должно удовлетворять следующим требованиям:
• отсутствие окон;
• электронный кодовый замок с автономным питанием;
• система видеонаблюдения с видеозаписью;
• климатическая система;
• система бесперебойного электропитания.
Второй компонентой аналитической КС является
сервер доступа, который, будучи посредником, обеспечивает доступ удаленных пользователей- аналитиков к защищаемой базе данных по каналу, гарантирующему защиту конфиденциальности и целостности передаваемых данных (защищенному криптографическими методами либо проложенному так, чтобы исключить к нему подключение). Сервер доступа представляет собой промышленный высоконадежный компьютер с необходимым программным обеспечением.
428
Фронт-сервер является третьей компонентой аналитической КС. На фронт-сервере размещается ресурс с персональными кабинетами для доступа пользователей к аналитической информации, выполнения запросов и размещения результатов работы аналитиков в БД. Четвертой компонентой являются
рабочие места пользователей, соединенные с ресурсом фронт-сервера. Пятой компонентой являются удаленные
места пользователей и аналитиков, подключенные непосредственно к серверу доступа. Таким образом, в корпоративной аналитической КС можно выделить два информационных контура - внутренний, содержащий сервер БД и саму базу данных с результатами аналитических исследований, и внешний - рабочие места пользователей и точку взаимодействия с внешними информационными ресурсами - фронт- сервер.
С точки зрения модели КС внешние сети естественным образом соответствуют внешнему сегменту КС относительно рабочих мест пользователей и аналитиков, а также относительно сервера БД.
Необходимо обеспечить изолированность этих контуров и потоков между ними. Изоляция в первую очередь подразумевает невозможность переноса информации из внутреннего информационного контура во внешний с целью обеспечения конфиденциальности результатов аналитических исследований.
Далее необходимо обеспечить работоспособность сервера БД при активном воздействии со стороны внешнего сегмента
(сохранность информации и невозможность ее изменения). И, наконец, необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Изолированность информационных контуров между собой обеспечивают средства межсетевой защиты.
Работа средств межсетевой защиты, которые принято называть межсетевыми экранам (МЭ), базируется на рассмотренном выше понятии транзитивности информационных потоков. Напомним, что на языке потоков отношение транзитивности выражается так: «если существует поток от А к В и поток от В к С, то существует
429

и поток от А к С». Поток, проходящий через несколько объектов, называется составным потоком.
В приведенном примере составным будет поток от А к С.
Верно также и то, что если на каком-то участке поток прерван, то и общего составного потока не существует.
Межсетевой экран подключается в точке выхода АС КС во внешний сегмент КС. Он имеет два интерфейса или порта, один из которых направлен во внешний сегмент
КС, а другой - в локальный сегмент КС. Пусть Pi - внутренний порт межсетевого экрана, подключенный к
ЛС КС, и Ро - внешний порт межсетевого экрана, подключенный к внешнему сегменту КС. Предположим, что злоумышленник X во внешнем сегменте КС хочет получить доступ к объекту Oi в локальном сегменте КС.
Для этого он должен реализовать поток от Oi к Pi, затем от Pi к Ро, а от Ро - к X. Межсетевой экран анализирует разрешения доступа к объекту Oi, свойства субъекта X,
инициирующего эти потоки. В том случае, когда он признает поток нелегальным, он разрывает поток между
Pi и Ро. Таким образом, не существует и результирующего составной поток, субъект X не получает доступа к объекту Oi. В случае разрешения доступа поток между внешним и внутренним портом межсетевого экрана разрешается. В России вопросы разработки и использования средств межсетевой защиты регулируются документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации», разработанным рядом ведущих экспертов в области сетевой безопасности и принятым Гостехкомиссией РФ (ныне Федеральная служба РФ по техническому и экспортному контролю) в 1997 г. Этот руководящий документ устанавливает классификацию межсетевых экранов по уровню защищенности от несанкционированного доступа (в соответствии с перечнем показателей защищенности).
В терминологии данного документа межсетевые экраны представляют собой локальное (однокомпонент- ное) или функционально-распределенное средство (ком-
430 плекс), реализующее контроль за информацией, поступающей в КС и/или выходящей из КС, и обеспечивающее защиту КС посредством фильтрации информации, т.е. ее анализа по совокупности.
Деление межсетевых экранов на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей. Документ устанавливает пять классов защищенности
МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, самый высокий - первый.
Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и КС в соответствии с руководящими документами Гостехкомиссии России:
«Средства вычислительной техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации». При включении
МЭ в
КС определенного класса защищенности класс защищенности совокупной КС не должен понижаться.
Отметим, что необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Для этого необходимо интегрировать в КС функции шифрования. При этом возможно применение предварительного или динамического
(«прозрачного») шифрования.
Предварительное шифрование состоит в зашифровании файла программой (субъектом), а затем его расшифровании той же программой или иным субъектом. Расшифрованный массив непосредственно используется прикладной программой пользователя.
Например, таким образом устроена защищенная электронная почта. При отправке письма его «тело»

431

и вложения зашифровываются, а при приеме - расшифровываются на локальном компьютере и передаются для чтения пользователю.
Хотя данный подход и применяется достаточно широко, он имеет ряд недостатков:
• необходимость дополнительного ресурса для рабо ты с зашифрованным объектом (например, дискового пространства);
• потенциальная возможность доступа со стороны активных субъектов локального сегмента КС к расшиф рованному файлу (во время его существования);
• возникновение задачи гарантированного уничтоже ния расшифрованного файла после его использования.
Для преодоления ряда недостатков предварительного шифрования применяется динамическое шифрование. Его сущность состоит в следующем: происходит зашифрование всего файла
(аналогично предварительному шифрованию). Затем с использованием специальных механизмов, обеспечивающих модификацию функций
КС, происходит работа с зашифрованным объектом. При этом расшифрованию подвергается только та часть объекта, которая в текущий момент времени используется прикладной программой. При записи прикладная программа осуществляет зашифрование записываемой части объекта.
Данный подход позволяет максимально экономично использовать вычислительные ресурсы КС, поскольку расшифровывается только та часть объекта, которая непосредственно нужна прикладной программе. Кроме того, на внешних носителях информация всегда хранится в зашифрованном виде, что исключительно ценно для предотвращения несанкционированного доступа. Динамическое шифрование целесообразно применять для защиты удаленных или распределенных объектов КС. Описанный подход реализован при построении EFS (Encrypted File System).
При необходимости обращения к удаленным файлам КС на рабочей станции активизируется сетевое программное обеспечение. Путем переопределения функ- ции работы с файловой системой ОС оно создает единое файловое пространство рабочей станции и сервера. Поскольку работа с файлами происходит через функции установленной на рабочей станции ОС, сетевое программное обеспечение модифицирует эти функции так, что обращение к ним со стороны прикладного уровня КС происходит так же, как и обычным образом.
Это позволяет обеспечить нормальную работу прикладного и пользовательского уровня программного обеспечения рабочей станции КС.
Как показано на рис. 28, функции для работы с файлами
КС встраиваются в цепочку обработки файловых операций.
1. Прикладная программа
2. Криптомодуль
3. Сетевой клиент рабочей станции t
5. Транспортный уровень
1
6. Сетевая ОС
Рис. 28. Структура взаимодействия криптомодуля и КС при
файловом динамическом, шифровании
Некоторой модификацией описанного метода является метод криптографического сервера. При рассмотрении данного метода выделяется активная аппаратная компонента КС (как правило, выделенный компьютер), которая имеет общий групповой ресурс со всеми субъектами, требующими исполнения криптографических функций.
При создании и перезаписи файла или иного объекта, принадлежащего общему ресурсу, автоматиче-
432 433 4. Локальная ОС

ски происходит его зашифрование или фиксация целостности. Кроме того, в криптосервере может быть реализована функция изоляции защищенного объекта- файла, состоящая в его перемещении в выделенный групповой массив (директория «исходящих» файлов).
Процесс обратного преобразования в других выделенных массивах (или проверки целостности) происходит аналогичным образом. При получении зашифрованных файлов из внешнего сегмента КС они помещаются в выделенную папку приема, считываются оттуда криптографическим сервером, расшифровываются и перемещаются в папки пользователей, для которых они предназначены. Для пользователя этот процесс выглядит, например, как автоматическое зашифрование при записи (или интеграция электронной цифровой подписи в файл) в некоторую заранее указанную директорию на файловом сервере.
Подход прикладного криптосервера широко применяется для криптографической защиты электронных файлов документов в гетерогенной КС " или для сопряжения с телекоммуникационными системами.
Однако потребности аналитика и пользователей не всегда исчерпываются защищенной передачей файлов. В ряде случаев целесообразно иметь целиком защищенный канал связи с сервером и реализовывать криптографическую защиту на транспортном уровне.
При рассмотрении криптографической зашиты на транспортном уровне компьютерной системы необходимо учитывать важное свойство, следующее из иерархической модели взаимодействия: передача информации от верхних уровней представления
(файлов) к нижним уровням (пакетам) полностью и без изменения сохраняет содержательную часть информации. Например, передача файла по сети происходит следующим образом: файл разбивается на блоки-пакеты, длина которых зависит от применяемого оборудования связи, эти пакеты транспортируются по сети, затем на приеме собираются в файл. Отсюда следует, что зашифрованный файл будет
99. Гетерогенной называется компьютерная система, состоящая из разнородных элементов, например, серверов, персональных компьютеров, различных мобильных устройств (смартфонов).
434

разобран на уже зашифрованные пакеты и вся информация в канале связи также будет зашифрованной.
И, наоборот, при процедуре шифрования, реализованной на транспортном уровне, информация получается и передается в верхние уровни в открытом виде, но пакеты шифруются в сети.
Данный факт позволяет определить область применения шифрований транспортного уровня:
1. В компьютерной системе с прохождением каналов связи по территории, доступной для злоумышленника.
2. При невозможности зашифрования путем дина мического файлового шифрования.
3. При отсутствии необходимости шифрования ло кальных ресурсов.
Криптогафическая защита транспортного уровня (рис. 29) может быть реализована программно при встраивании в информационные потоки сетевых программных средств и аппаратно - на стыке компьютер -сетевые средства (на рис. - уровень 4) или компьютер -кабельная система (на рис. - уровень 6).