Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

• предоставление сервисов зашиты распределенным при­
кладным системам, а также регистрацию защищенных при­
ложений и их ресурсов. Приложения этой группы должны обеспечивать, прежде всего, интерфейс (API) для обеспече­
ния управления сервисами защиты со стороны прикладных систем;
• управление криптосредствами, в частности — ключевое управление (ключевая инфраструктура). Ключевая инфра­
структура должна функционировать в составе инфраструк­
турных (системообразующих) служб;
• событийное протоколирование; включает настройку выда­
чи логов на разные устройства, управление уровнем дета­
лизации логов, управление составом событий, по которым ведется протоколирование;
• аудит безопасности ИС; обеспечивает получение и оценку объективных данных о текущем состоянии защищенности
ИС, иногда под аудитом безопасности понимают анализ ло­
гов, поиск нарушителей и дыр в существующей системе, од­
нако эти функции покрываются, скорее, задачами управле­
ния логами;
• мониторинг безопасности системы; обеспечивает получение информации в реальном времени о состоянии, активности устройств и о событиях с контекстом безопасности, проис­
ходящих в устройствах, например о потенциальных атаках;
• обеспечение работы специальных защищенных приложе­
ний, например нотариального надзора за операциями, под­
держка регламентных мероприятий (смена ключей, паро­
лей, устройств защиты, выпуск смарт-карт и др.);
• обеспечение работы проектно-инвентаризационной группы приложений; эта группа приложений должна осуществлять:
— определение точек установки средств защиты в сети предприятия;
— учет применяемых средств защиты;
— контроль модульного состава средств защиты;
— контроль состояния средств защиты и др.
Существует проблема комплексирования и организации взаи­
модействия традиционных систем управления сетями и систем управления средствами защиты информации в сети. Для решения этой проблемы применяются два основных подхода.
Первый подход заключается в интеграции средств сетевого или системного управления с механизмами управления средств

зашиты. Средства сетевого и системного управления ориентиро­
ваны, в первую очередь, на управление сетью или И С, т. е. под­
держивают традиционные действия и услуги: управление учетны­
ми записями пользователей, управление ресурсами и событиями, маршрутизацию, производительность и т. п. Ряд компаний —
Cisco Systems, Computer Associates, Hewlett Packard, Tivoli Sys­
tems — пошли по пути интеграции механизмов управления средств защиты в традиционные системы управления сетями. Од­
нако такие комплексные системы управления часто отличаются высокой стоимостью и, кроме того, некоторые аспекты управле­
ния безопасностью остаются за пределами внимания этих систем.
Второй подход заключается в использовании средств, пред­
назначенных для решения только задачи управления безопасно­
стью. Например, Open Security Manager (OSM) от Check Point
Software Technologies дает возможность централизованно управ­
лять корпоративной политикой безопасности и инсталлировать ее на сетевые устройства по всей компании. Продукт OSM явля­
ется одним из основных компонентов технологии OPS ЕС (Open
Platform for Secure Enterprise Connectivity), разработанной компа­
нией Checkpoint, он создает интерфейс для управления устрой­
ствами сетевой безопасности различных производителей (напри­
мер, Cisco, Вау, 3Com).
16.2. Архитектура управления средствами сетевой
безопасности
Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещают­
ся непосредственно в корпоративной сети. МЭ контролируют доступ к корпоративным ресурсам, отражая атаки злоумышлен­
ников извне, а шлюзы виртуальных частных сетей (VPN) обес­
печивают конфиденциальную передачу информации через от­
крытые глобальные сети, в частности Интернет. Для создания надежной эшелонированной защиты в настоящее время приме­
няются также такие средства безопасности, как системы обнару­
жения вторжений IDS (Intrusion Detection Systems), средства контроля доступа по содержанию информации, антивирусные системы и др.
Большинство КИС построены на основе программных и ап­
паратных средств, поставляемых различными производителями.

Каждое из этих средств требует тщательного и специфического конфигурирования, отражающего взаимосвязи между пользова­
телями и доступными им ресурсами. Чтобы обеспечить в гетеро­
генной КИС надежную защиту информации, нужна рационально организованная система управления безопасностью КИС, кото­
рая обеспечила бы безопасность и правильную настройку каждо­
го компонента КИС, постоянно отслеживала происходящие из­
менения, устанавливала «заплатки» на найденные в системе бре­
ши, контролировала работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить управление ее безопас­
ностью.
1 6 .2 .1 . О сновны е
п о н я т и я
Опыт ведущих предприятий-производителей средств сетевой безопасности показывает, что компания сможет успешно реали­
зовать свою политику безопасности в распределенной КИС, если управление безопасностью будет централизованным и не будет зависеть от используемых ОС и прикладных систем. Кроме того, система регистрации событий, происходящих в КИС (события
НСД, изменение привилегий пользователей и т. д.), должна быть единой, чтобы администратор смог составить полную картину происходящих в КИС изменений.
Для решения ряда задач управления безопасностью требуется применение единых вертикальных инфраструктур типа каталога
Х.500. Например, политика сетевого доступа требует знания идентификаторов пользователей. Эта информация нужна и дру­
гим приложениям, например в системе кадрового учета, в систе­
ме однократного доступа к приложениям (Single Sign-On) и т. д.
Дублирование одних и тех же данных приводит к необходимости синхронизации, увеличению трудоемкости и возможной путани­
це. Поэтому, чтобы избежать такого дублирования, часто исполь­
зуют единые вертикальные инфраструктуры.
К таким вертикальным структурам, используемым различны­
ми пользовательскими подсистемами, работающими на разных уровнях OSI/ISO, относятся:
• инфраструктуры управления открытыми ключами РКІ. Сле­
дует отметить интересный аспект, пока не получивший ши­
рокого распространения, но важный для управления. Сей­

час в основном используются цифровые сертификаты в виде так называемых «удостоверений личности» (identity certifi­
cates), но уже развиваются и кое-где применяются цифро­
вые сертификаты в виде так называемых «верительных гра­
мот» (credential certificates); выдавая и отзывая такие «вери­
тельные грамоты», можно более гибко управлять доступом;
• каталоги (например, идентификаторов пользователей и других сведений о пользователях, необходимых в системах управления доступом); примечательно, что каталоги часто используются не только как хранилища данных — в них также часто располагаются политики доступа, сертифика­
ты, списки доступа и др.;
• системы аутентификации (обычно RADIUS, серверы
TACACS, TACACS+);
• системы событийного протоколирования, мониторинга и ау­
дита. Следует отметить, что эти системы не всегда верти­
кальны, часто специализируются и работают автономно в интересах конкретных подсистем.
Концепция глобального управления безопасностью, позво­
ляющая построить эффективную систему иерархического управ­
ления безопасностью гетерогенной сети компании, разработана компанией Trust Works Systems [9]. Организация централизован­
ного управления безопасностью КИС основана на следующих принципах:
• управление безопасностью корпоративной сети должно осуществляться на уровне ГПБ — набора правил безопас­
ности для множества взаимодействий между объектами корпоративной сети, а также между объектами корпоратив­
ной сети и внешними объектами;
• ГПБ должна соответствовать бизнес-процессам компании.
Для этого свойства безопасности объектов и требуемые сервисы безопасности должны быть описаны с учетом их бизнес-ролей в структуре компании.
• для отдельных средств зашиты формируются ЛПБ. Транс­
ляция ЛПБ должна осуществляться автоматически на ос­
нове анализа правил ГПБ и топологии защищаемой сети.
Учитывая, что методология централизованного управления сетевой безопасностью достаточно полно отражает современные тенденции развития технологий безопасности, рассмотрим под­
робнее эту методологию и некоторые аспекты ее реализации.

1 6 .2 .2 . Концепция глобального управления
безопасностью
В основе централизованного управления безопасностью КИС лежит концепция глобального управления безопасностью GSM
(Global Security Management). Концепция GSM позволяет по­
строить комплексную систему управления и защиты информаци­
онных ресурсов предприятия со следующими свойствами:
• управление всеми существующими средствами защиты на базе политики безопасности предприятия, обеспечивающее целостность, непротиворечивость и полноту набора правил защиты для всех ресурсов предприятия (объектов политики безопасности) и согласованное исполнение политики без­
опасности средствами защиты, поставляемыми разными производителями;
• определение всех информационных ресурсов предприятия через единый (распределенный) каталог среды предпри­
ятия, который может актуализироваться как за счет собст­
венных средств описания ресурсов, так и посредством связи с другими каталогами предприятия (в том числе по протоко­
лу LDAP);
• централизованное, основанное на политике безопасности
(policy-based) управление локальными средствами зашиты информации;
• строгая аутентификация объектов политики в среде пред­
приятия с использованием PKCS# 11 токенов и инфра­
структуры открытых ключей РКІ, включая возможность применения дополнительных локальных средств аутенти­
фикации LAS (по выбору потребителя);
• расширенные возможности администрирования доступа к определенным в каталоге ресурсам предприятия или частям всего каталога (с поддержкой понятий групп пользователей, доменов, департаментов предприятия), управление ролями как набором прав доступа к ресурсам предприятия, введе­
ние в политику безопасности элементов косвенного опре­
деления прав через атрибуты прав доступа (credentials);
• обеспечение подотчетности (регистрации всех операций взаимодействий распределенных объектов системы в мас­
штабах корпоративной сети) и аудита, мониторинга безо­
пасности, тревожной сигнализации;

• интеграция с системами общего управления, инфраструк­
турными системами безопасности (РКІ, LAS, IDS).
В рамках данной концепции управление, основанное на поли­
тике безопасности — РВМ (Policy based management) — опреде­
ляется как реализация набора правил управления, сформулиро­
ванных для бизнес-объектов предприятия, которая гарантирует полноту охвата бизнес-области объектами и непротиворечивость используемых правил управления.
Система управления GSM, ориентированная на управление безопасностью предприятия на принципах РВМ, удовлетворяет следующим требованиям:
• политика безопасности предприятия представляет собой логически и семантически связанную, формируемую, ре­
дактируемую и анализируемую как единое целое структуру данных;
• политика безопасности предприятия определяется в еди­
ном контексте для всех уровней защиты как единое целое сетевой политики безопасности и политики безопасности информационных ресурсов предприятия;
• для облегчения администрирования ресурсов и политики безопасности предприятия число параметров политики ми­
нимизируется.
Для того чтобы минимизировать число параметров полити­
ки, используются следующие приемы:
1) групповые определения объектов безопасности;
2) косвенные определения, например определения на основе верительных (credential) атрибутов;
3) мандатное управление доступом (в дополнение к фикси­
рованному доступу), когда решение о доступе определяется на основе сопоставления уровня доступа, которым обладает субъ­
ект, и уровня конфиденциальности (критичности) ресурса, к ко­
торому осуществляется доступ.
Система управления GSM обеспечивает разнообразные меха­
низмы анализа политики безопасности за счет средств многокри­
териальной проверки соответствия политики безопасности фор­
мальным моделям концепции безопасности предприятия.
Ниже приводится концепция определения ГПБ (GSP —
Global Security Policy) сети предприятия и описание построенной на базе ГПБ системы управления безопасностью (policy based security management).

1 6 .2 .3 . Глобальная и локальная
п о л и т и к и
безопасности
Глобальная политика безопасности корпоративной сети пред­
ставляет собой конечное множество правил безопасности
(security rules) (рис. 16.1), которые описывают параметры взаи­
модействия объектов корпоративной сети в контексте инфор­
мационной безопасности:
• необходимый для соединения сервис безопасности (прави­
ла обработки, защиты и фильтрации трафика);
• направление предоставления сервиса безопасности;
• правила аутентификации объектов;
• правила обмена ключами;
• правила записи результатов событий безопасности в систем­
ный журнал;
• правила сигнализации о тревожных событиях и др.
Правило
Объект
W
Объект
1
ГПБ
А
В
+
Описание объекта:
VPN-агент Застава 3.3
ІР-хост
Normadic-xocT
Подсеть
Группа
Группа доверенного СА
Периметр безопасности
Любой
Направление
предоставления
требуемого
сервиса
безопасности
_і_
Уровень
т
аудита
Тип приложения
Правила фильтрации
Тип кригтгосервиса
Правила ведения
системного журнала
Правила
сигнализации
Рис. 16.1. Структура правила глобальной политики безопасности
При этом объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые могут вклю­
чать в себя целые структурные подразделения компании (напри­
мер, отдел маркетинга или финансовый департамент) или даже отдельные компании (входящие, например, в холдинг). Полити­
ка безопасности для каждого объекта в группе автоматически ре­
плицируется всем объектам группы.
Задачи защиты бизнес-объектов распределенной корпора­
тивной системы можно сформулировать в терминах правил, по­
скольку сетевое взаимодействие можно представить как простую

передачу информации между субъектом Subj и объектом Obj дос­
тупа на основе некоторого сетевого сервиса зашиты SecSrv, на­
строенного при помощи параметров Р. В результате глобальная политика безопасности предприятия представляется как набор правил вида
(Subj, Obj, SecSrv (/3)).
При этом отсутствие правила для объекта Obj означает за­
прет любого доступа к данному Obj.
Для простоты определения целей безопасности предприятия в GSM предусмотрено два типа объектов, выступающих в каче­
стве Subj и Obj. Это — пользователь ( U) и ресурс (R).
Ресурс R может быть информационным (IR) или сетевым
(NR).
Пользователь и ресурс могут выступать в любой из форм аг­
регации, поддерживаемых в системе: группы, домены, роли, де­
партаменты, разделы каталога.
Пример: правило (U, IR, 51) представляет собой правило за­
щиты 51, обеспечиваемое при доступе пользователя U к инфор­
мационному ресурсу IR. Правило (IRl, IR2, S 2) означает разре­
шение сетевого взаимодействия двух информационных модулей
(программ) с необходимостью обеспечения свойств защиты S2.
Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запрети­
тельное правило: все, что не разрешено явно — запрещено. Такое правило обеспечивает полноту защиты информации в сети пред­
приятия и априорное отсутствие «дыр» в безопасности.
Чтобы обеспечить взаимодействие устройств в сети, для них создается и доставляется (в общем случае не по каналам сети)
стартовая конфигурация, содержащая необходимые правила на­
стройки устройств только для их централизованного управле­
ния — стартовая политика безопасности устройства.
Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.
Функционально правила ГПБ разбиты по группам:
• правила VPN. Правила данного тира реализуются при по­
мощи протоколов IPSec; агентом исполнения правила яв­
ляется драйвер VPN в стеке клиентского устройства или шлюза безопасности (ІРІ, ІР2, VPNRule);

• правила пакетной фильтрации. Они обеспечивают пакетную фильтрацию типа stateful и stateless; исполнение этих пра­
вил обеспечивают те же агенты, что исполняют VPN-npa- вила (/PI, IP2, PacketRule);
• proxy-правила, включая антивирусную защиту «на лету». Эти правила отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов; их ис­
полнительным агентом является proxy-агент, например
(User, Protocol, ProxyRule) или (Application, Protocol, Proxy-
Rule);
• правила аутентифицированного/авторизованного доступа,
включая правила Single Sign-On. Управление доступом
Single Sign-On обеспечивает данному пользователю рабо­
ту на едином пароле или другой аутентификационной информации со многими информационными ресурсами; понятно, что символическая запись правила сетевого до­
ступа легко распространяется на Single Sign-On (User,
Application, Authentication Scheme). Правила этой группы могут комбинированно исполняться агентами различного уровня, от VPN-драйвера до ргоху-агентов; кроме того, агентами исполнения таких правил могут быть системы аутентификации запрос—отклик и продукты третьих раз­
работчиков;
• правила, отвечающие за сигнализацию и событийное прото­
колирование. Политика протоколирования может оператив­
но и централизованно управляться агентом протоколирова­
ния; исполнителями правил являются все компоненты сис­
темы.
Набор правил ГПБ является логически целостным и семан­
тически полным описанием политики безопасности в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных устройств.
Локальная политика безопасности. Любому средству защиты, реализующему какой-либо сервис информационной безопасно­
сти, необходима для выполнения его работы ЛПБ — точное опи­
сание настроек для корректной реализации правил аутентифика­
ции пользователей, управления доступом, защиты трафика и др.
При традиционном подходе администратору приходится отдель­
но настраивать каждое средство защиты или реплицировать ка­
кие-то простейшие настройки на большое число узлов с после­
дующей их корректировкой. Очевидно, что это неизбежно при-
2 5
*

водит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности кор­
поративной сети.
После формирования администратором ГПБ Центр управ­
ления на основе интерпретации ГПБ автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для ка­
ждого средства защиты и автоматически загружает нужные на­
стройки в управляющие модули соответствующих средств за­
щиты.
В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, ис­
полняемых для обеспечения какой-либо информационной услу­
ги с требуемыми свойствами защиты информации.
Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заклю­
чается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пре­
делах сети, а правила группы ЛПБ, включая субъекты и объекты
ЛПБ, предназначены и доступны только в пределах пространст­
ва одного из сетевых устройств.