В. Б. Попов
Основы информационных и телекоммуникационных технологий. Программно-аппаратное обеспечение
Хорев П.Б.
Программно-аппаратная защита информации
Secret Net 5.0 автономный вариант - система защиты информации от несанкционированного доступа нового поколения, которая реализует требования руководящих документов и ГОСТ по защите информации, не ограничивая возможности ОС и прикладного программного обеспечения.
Достоинства:
Работает совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы защиты.
Обеспечивает разграничение доступа к конфиденциальной информации;
Контролирует каналы распространения конфиденциальной информации;
Существенно упрощает процесс аттестации автоматизированной системы организации.
Возможности Secret Net 5.0:
Защитные механизмы системы можно условно разделить на следующие группы:
Авторизация пользователей;
Разграничение доступа;
Защита информации в процессе хранения;
Контроль отчуждаемой информации.
Авторизация пользователей
Идентификация и аутентификация пользователей. Система Secret Net 5.0 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью средств аппаратной поддержки при его входе в систему. В качестве аппаратной поддержки система Secret Net 5.0 использует: программно-аппаратный комплекс "Соболь", Secret Net Touch Memory Card. В качестве устройств ввода идентификационных признаков могут быть использованы:
iButton;
eToken R2;
Proximity Card.
Защита от загрузки с внешних носителей. С помощью средств аппаратной поддержки существует возможность запретить обычному пользователю загрузку ОС с внешних съёмных носителей.
Также плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
Разграничение доступа
Полномочное управление доступом. Выполняет функцию управления доступом пользователей к конфиденциальной информации. Каждому пользователю и каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: “Не конфиденциально”, “Конфиденциально”, “Строго конфиденциально”. Доступ осуществляется по результатам сравнения уровня допуска в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем допуска пользователя к конфиденциальной информации.
Разграничение доступа к устройствам. Обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Разграничивается доступ к следующим портам/устройствам:
последовательные и параллельные порты;
сменные, логические и оптические диски.
USB – порты, IrDA, WiFi – подключения.
Замкнутая программная среда. Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, "червей" и шпионского ПО.
Защита информации в процессе хранения
Контроль целостности. Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
регистрация события в журнале Secret Net;
блокировка компьютера;
восстановление повреждённой/модифицированной информации;
отклонение или принятие изменений.
Шифрование файлов. Предназначено для усиления защищённости информационных ресурсов компьютера. В системе Secret Net 5.0 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им индивидуально и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147-89.
Гарантированное уничтожение данных. Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.
Контроль аппаратной конфигурации компьютера. Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения.
Предусмотрено два вида реакций:
регистрация события в журнале Secret Net;
блокировка компьютера.
Контроль над отчуждаемой информацией
Контроль печати конфиденциальной информации. Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Также факт печати отображается в журнале защиты Secret Net 5.0.
Регистрация событий. Система Secret Net 5.0 регистрирует все события, происходящие на компьютере: включение / выключение компьютера, вход / выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Функциональный самоконтроль подсистем. Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.0 загружены и функционируют.
Импорт и экспорт параметров. В Secret Net 5.0 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
Secret Net 5.0 мобильный вариант
Цена: 3 000 руб.
Secret Net 5.0 мобильный вариант - система защиты информации от несанкционированного доступа для мобильных компьютеров. Она реализует требования руководящих документов и ГОСТ по защите информации, не ограничивая возможности ОС и прикладного программного обеспечения.
Secret Net 5.0 мобильный вариант позволяет защитить конфиденциальную информацию от несанкционированного доступа вне зависимости от того, где и в каком качестве используется ноутбук – при работе во внутренней сети организации или в дальней командировке.
Secret Net 5.0 мобильный вариант - это программное решение, который обеспечивает защиту мобильных ПК, работающих под управлением операционных систем Windows 2000, Windows ХР и Windows 2003.
Отличительные особенности:
Работает совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы защиты;
Обеспечивает разграничение доступа к конфиденциальной информации на мобильных ПК;
Контролирует наиболее критичные каналы распространения конфиденциальной информации;
Поддерживает работу с аппаратными идентификаторами eToken;
Обеспечивает шифрование особо важных сведений;
Сертификат ФСТЭК No 1119 позволяет применять Secret Net 5.0 (мобильный вариант) для защиты конфиденциальной информации.
Secret Net 5.0 мобильный вариант является, по сути, облегчённой версией Secret Net 5.0 автономный вариант. Основное отличие состоит в отсутствии необходимости применения платы аппаратной поддержки.
Secret Net 5.0 – это система защиты конфиденциальной информации от несанкционированного доступа, которая функционирует под управлением современных ОС MS Windows 2000, Windows XP и Windows 2003.
Secret Net 5.0 – это комплексное решение, которое сочетает в себе большой набор функциональных возможностей по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия инсайдеров и возможность мониторинга безопасности защищаемой информационной системы в режиме реального времени.
Достоинства решения:
За счёт тесной интеграции собственных защитных механизмов с механизмами управления сетевой инфраструктуры защищаемой сети, Secret Net 5.0 повышает защищенность всей автоматизированной информационной системы компании в целом:
Обеспечивает централизованное управление настройками политики безопасности;
Работает совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы защиты;
Осуществляет мониторинг и аудит политики безопасности в режиме реального времени;
Позволяет оперативно реагировать на события НСД;
Поддерживает терминальный режим работы пользователей с рабочей станцией.
Глубокая интеграция системы управления Secret Net 5.0 со штатным механизмами управления информационной системой позволяет избежать постоянно возникающих проблем синхронизации данных между ИС и выделенным сервером настроек, который имелся в предыдущих версиях системы и часто присутствует в аналогичных системах защиты.
Основные возможности:
Централизованное управление;
Оперативное реагирование на действия злоумышленников;
Централизованный просмотр событий безопасности ;
Контроль вывода конфиденциальной информации на внешние носители;
Аппаратная идентификация пользователей;
Контроль целостности файлов;
Разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т.д.);
Архитектура построения
Secret Net 5.0 имеет совершенно новую архитектуру построения, основанную на принципе глубокой интеграции в стандартные механизмы управления ОС Windows, что позволяет полностью избежать многих проблем, которые присутствовали в предыдущих версиях Secret Net.
Компоненты Secret Net 5.0 (сетевой вариант)
Secret Net 5.0 (сетевой вариант) состоит из следующих компонентов:
1. Клиент Secret Net 5.0;
2.Сервер Безопасности Secret Net 5.0;
3. Программа оперативного управления, мониторинга и аудита ("Монитор");
4. Модификатор схемы Active Directory.
1. Клиент
Клиент Secret Net 5.0 следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.
2. Сервер Безопасности
Сервер Безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).
3. Программа оперативного управления, мониторинга и аудита ("Монитор")
"Монитор" является программой, которая отображает администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:
какие компьютеры сети в данный момент включены;
какие пользователи на них работают (как локально, так и в терминальном режиме).
"Монитор" в режиме реального времени отображает оперативную информацию о происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления.
4. Модификатор схемы Active Directory
Модификатор схемы AD используется для подготовки схемы Active Directory ОС Windows к разврётыванию Secret Net 5.0. Т.к. в качестве в качестве хранилища информации о настройках безопасности Secret Net 5.0 использует AD, данный модуль создаёт новые объекты и изменяет параметры существующих. Программы управления объектами и параметрами групповых политик, входящие в состав этого модуля, обеспечивают управление параметрами работы доменных пользователей и применение централизованных настроек безопасности Secret Net 5.0.
Управление системой Secret Net 5.0
В любой системе защиты возможности гибкого управления настройками не менее важны, чем сами функциональные возможности системы. Secret Net 5.0 предоставляет администратору безопасности мощный инструментарий для организации централизованного управления настройками безопасности, оперативного реагирования на нарушения политики безопасности и осуществления мониторинга и аудита защищаемой сети в режиме реального времени.
Система централизованного управления
В качестве хранилища информации в системе централизованного управления используется Active Directory (AD). Для нужд централизованного управления Secret Net 5.0 схема Active Directory расширяется — создаются новые объекты и изменяются параметры существующих.
Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.0, задаваемым с помощью групповых политик, используется агент Secret Net 5.0, установленный на каждом сервере или рабочей станции защищаемой сети.
Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 5.0 эти проблемы принципиально отсутствуют.
Оперативный мониторинг и аудит
В Secret Net 5.0 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как:
Оперативный контроль состояния автоматизированной системы предприятия (получение информации о состоянии рабочих станций и о работающих на них пользователях).
Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов.
Оповещение администратора о событиях НСД в режиме реального времени.
Оперативное реагирование на события НСД — выключение, перезагрузка или блокировка контролируемых компьютеров.
Ведение журнала НСД.
Система оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов.
В качестве базы данных используется СУБД Oracle 9i.
Мониторинг
Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.
С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый — сервер оперативного управления собирает журналы по команде администратора. Второй — администратор составляет расписание и передаёт его серверу, далее сервер собирает журналы в соответствии с этим расписанием.
Также предусмотрена возможность создать удобный для администратора вид представления сети – т.н. "срез" (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети.
Аудит
Программа работы с журналами устанавливается на рабочем месте сотрудника, уполномоченного проводить аудит системы защиты. Если функции мониторинга и аудита совмещает один сотрудник, программа устанавливается на том же компьютере, который является рабочим местом администратора оперативного управления.
В системе Secret Net 5.0 для проведения аудита используются 4 журнала:
Журнал приложений.
Журнал безопасности.
Журнал системы.
Журнал Secret Net.
Первые три из перечисленных журналов — штатные, входящие в состав средств операционной системы. В журнале Secret Net хранятся сведения о событиях, происходящих в системе Secret Net 5.0.
Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию.
Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия.
В программе управления журналами предусмотрена настраиваемая выборка записей, используя которую аудитор может просматривать не весь журнал целиком, а только часть записей, удовлетворяющих определённым критериям. Это значительно ускоряет и упрощает работу, связанную с поиском и анализом событий.
С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.0.
Защитные механизмы
Secret Net 5.0 имеет в своём арсенале большой набор функциональных возможностей по защите информационных ресурсов, который с достаточной степенью надёжности позволит обеспечить сохранность и целостность защищаемой информации.
Усиленная идентификация и аутентификация пользователей
Система Secret Net 5.0 совместно с ОС Windows обеспечивает усиленную идентификацию и аутентификацию пользователя с помощью средств аппаратной поддержки при его входе в систему, а также позволяет существенно снизить риски того, что пользователь загрузит компьютер с отчуждаемых внешних носителей и получит доступ к важной информации в обход системы защиты.
В качестве аппаратной поддержки система Secret Net 5.0 использует: программно-аппаратный комплекс "Соболь" и Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
Полномочное управление доступом
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: “Не конфиденциально”, “Конфиденциально”, “Строго конфиденциально”, а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами \ устройствами.
Разграничивается доступ к следующим портам/устройствам:
последовательные и параллельные порты;
сменные, логические и оптические диски;
USB – порты.
Также поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.
Также существует возможность запретить использование сетевых интерфейсов - Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.
Замкнутая программная среда
Для каждого пользователя компьютера формируется определённый перечень программ, разрешённых для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определён на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, "червей" и шпионского ПО, а также использования ПК в качестве игровой приставки.
Контроль целостности
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
регистрация события в журнале Secret Net;
блокировка компьютера;
восстановление повреждённой/модифицированной информации;
отклонение или принятие изменений.
Гарантированное уничтожение данных
Уничтожение достигается путем записи случайной последовательности на место удалённой информации в освобождаемую область диска. Для большей наджёности может быть выполнено до 10 циклов (проходов) затирания.
Контроль аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения.
Предусмотрено два вида реакций:
регистрация события в журнале Secret Net;
блокировка компьютера.
Шифрование файлов
Предназначено для усиления защищённости информационных ресурсов компьютера. В системе Secret Net 5.0 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям.
Шифрование файлов производится по алгоритму ГОСТ 28147-89.
Электронный замок "Соболь"
Цена: 10 500 руб.
Электронный замок "Соболь" предназначен для предотвращения несанкционированного доступа посторонних лиц к информации, хранящейся на компьютере, и регистрации попыток доступа к компьютеру.
Электронный замок "Соболь" может использоваться, если компьютер работает под управлением следующих операционных систем:
DOS 6.22,
Windows 95,
Windows 98,
Windows NT 4.0,
Windows 2000,
Windows XP,
Windows 2003.
Электронный "Соболь" сертифицирован ФСБ РФ (сертификат No СФ/027-0792 от 18.05.2005; сертификат No СФ/027-0887 от 4.05.2006) , что позволяет применять электронный замок "Соболь" для защиты информации, составляющей государственную тайну, и конфиденциальной информации.
Кроме того, электронный замок "Соболь" сертифицирован Гостехкомиссией России (сертификат No 907 от 18.05.2004), что подтверждает соответствие этого изделия требованиям руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и позволяет использовать его при разработке средств защиты для автоматизированных систем с классом защищенности до 1 В включительно.
Основные возможности:
Идентификация пользователей по электронным идентификаторам.
Для получения доступа к компьютеру пользователь должен прикоснуться электронным идентификатором Touch Memory к считывателю и ввести пароль. Операционная система загружается с жёсткого диска только после предъявления зарегистрированного идентификатора.
Защита операционной системы от модификации.
При запуске и загрузке компьютера система защиты блокирует доступ к внешним носителям (FDD, CD-ROM, ZIP, LPT- и SCSI-порты), что исключает несанкционированный доступ к информации на компьютере с помощью загрузки внештатной операционной системы.
Проверка целостности операционной системы и данных на жёстком диске.
Электронный замок "Соболь" контролирует состояние системных файлов и любых других важных файлов пользователей после включения компьютера и до загрузки операционной системы. В случае нарушения целостности контролируемых файлов система блокирует доступ к компьютеру всех пользователей кроме администратора. Это позволяет администратору вовремя принять меры по восстановлению работоспособности компьютера.
Защита от подбора пароля.
"Соболь" позволяет предотвратить атаку типа "подбор пароля". Администратор может задать в парольной политике количество попыток входа пользователя. Если злоумышленник попытается подобрать пароль и число этих попыток достигнет заданного предела, то учётная запись пользователя будет блокирована. Информация о попытке подбора пароля заносится в журнал регистрации, который находится в энергонезависимой памяти.
Защита BIOS компьютера от несанкционированной модификации.
Если пользователь не прошёл идентификацию и аутентификацию в течение короткого интервала времени, то "Соболь" выключает компьютер. Эта функция позволяет защитить BIOS (базовая система ввода-вывода) компьютера от несанкционированных изменений.
Регистрация несанкционированных действий.
В случае попытки входа в систему незарегистрированного пользователя электронный замок "Соболь" фиксирует попытку НСД. В журнал регистрации вносится информация о следующих событиях:
- факт входа пользователя;
- предъявление незарегистрированного идентификатора пользователя;
- введение неправильного пароля;
- превышение числа попыток входа в систему и т.д.
Кроме того, фиксируется имя пользователя, действиями которого вызвано это событие, дата события и время. Такая информация позволяет администратору узнать о попытках несанкционированных действий злоумышленника на компьютере.
Энергонезависимая память.
Программная часть комплекса, включая средства администрирования, список пользователей и журнал регистрации, размещена в энергонезависимой памяти электронного замка.
Датчик случайных чисел.
Электронный замок "Соболь" содержит аппаратный датчик случайных чисел, соответствующий требованиям ФАПСИ. Этот датчик может использоваться при создании любого другого программного обеспечения, в котором разработчики намеренны реализовать криптографические функции.
Использование электронного замка "Соболь" в Secret Net
Электронный замок "Соболь" может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании электронного замка "Соболь" в составе СЗИ Secret Net обеспечивается единое централизованное управление его возможностями: с помощью подсистемы управления Secret Net администратор безопасности может присваивать сотрудникам электронные идентификаторы, временно блокировать их или делать недействительными.
Электронный замок "Соболь" прост в установке, настройке и эксплуатации. Администрирование и использование электронного замка "Соболь" не требует высокой квалификации в области информационных технологий.
Страж NT (версия 2.5)
Цена: 6 900 руб.
Система защиты информации от несанкционированного доступа "Страж NT" (версия 2.5) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ от НСД "Страж NТ" (версия 2.5) функционирует в среде операционных систем MS Windows NT 4.0 (Server и Workstation), MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и файл-серверах локальной вычислительной сети.
СЗИ от НСД "Страж NT" (версия 2.5) имеет сертификат Гостехкомиссии России №1260 от 13 сентября 2006 года, который удостоверяет, что система защиты информации от НСД "Страж NT" (версия 2.5) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" (просмотреть) по 3 классу защищённости, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Основные функциональные возможности СЗИ от НСД "Страж NT" (версия 2.5):
- вход в систему пользователей только при предъявлении ими специального идентификатора (дискеты, iButton или USB-ключа типа eToken и GuardantID) и ввода пароля;
- возможность идентификации пользователей без перезагрузки ОС при использовании однотипных идентификаторов;
- избирательное разграничение доступа пользователей к защищаемым ресурсам (дискам, каталогам, файлам и др.);
- разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками;
- возможность изменения наименований меток конфиденциальности;
- управление запуском и поддержка мандатного принципа контроля доступа для DOS-приложений и консольных приложений Win32;
- управление и настройка механизмов защиты как локально, так и удалённо;
- упрощенная схема настройки программных средств для работы с защищаемыми ресурсами, в том числе упрощённая настройка принтеров для печати защищаемых документов;
- регистрация широкого перечня событий безопасности, ведение дополнительных журналов аудита;
- создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешённых приложений;
- контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду автоматизированной системы;
- возможность гарантированной очистки содержимого всех файлов на локальных жёстких дисках при их удалении;
- регистрация выдаваемых на печать документов с их автоматической маркировкой в соответствии с заданными требованиями;
- возможность запуска хранителя экрана, блокировка рабочей станции при удалении USB-ключа или при предъявлении iButton;
- создание и удаление пользователей, удаление (добавление) их из (в) групп(ы);
- наличие средств тестирования работоспособности СЗИ, в том числе возможность одновременного тестирования СЗИ на нескольких компьютерах в сети;
- возможность применения шаблонов настроек программных средств;
- наличие встроенных в программу управления СЗИ сервисных функций по настройке СЗИ.
Отличительные особенности:
- отечественное средство защиты информации от НСД, разработанное в соответствии с требованиями нормативных документов, что позволяет использовать его для организации защиты информации в АС класса защищенности до 1Б включительно;
- простота и понятность процессов установки и настройки системы;
- независимость от типа файловой системы;
- полная прозрачность для пользователя, недоступные пользователю ресурсы становятся невидимыми;
- возможность одновременной работы с документами разных уровней конфиденциальности;
- регистрация печати и маркировка документов независимо от пользователя и приложения, осуществляющего печать;
- гибкая настройка сложных программных комплексов;
- многоуровневый контроль целостности и автоматическое восстановление системы защиты при сбоях;
- включаемый механизм очистки файла подкачки страниц при завершении работы (перезагрузке) компьютера;
- поддержка более широкого перечня прикладного программного обеспечения;
- отсутствие аппаратной составляющей, что исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также даёт возможность применения на носимых компьютерах (ноутбуках).
Программное средство Dallas Lock 7.5
Цена: 6 000 руб.
Существует несколько версий СЗИ НСД Dallas Lock:
- Dallas Lock 6.0 для Windows 95/98/ME (сертификат Гостехкомиссии РФ № 762 от 21.06.2003);
- Dallas Lock 7.0 для Windows 2000/XP (сертификат Гостехкомиссии № 896 от 06.05.2004).
Сертификаты удостоверяют, что обе версии являются программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД. Обе версии продукта могут использоваться для защиты государственной тайны категории «секретно».
Программное средство Dallas Lock 6.0/7.0 обеспечивает многоуровневую защиту локальных ресурсов компьютера:
- защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
- разграничение полномочий пользователей по доступу к ресурсам файловой системы;
- контроль доступа к реестру, контроль целостности, аудит событий;
- очистку остаточной информации;
- защиту данных путем преобразования диска (кодирования);
- разграничение доступа к устройствам, контроль аппаратной конфигурации;
- возможность создания замкнутой программной среды;
- разграничение доступа при сетевом взаимодействии;
- сетевое администрирование, включая удаленную настройку и просмотр журналов.
Данные системы, в отличие от большинства аналогичных средств защиты от НСД, могут поставляться как в программном варианте комплектации, так и с опциональным дополнением аппаратных средств защиты, что значительно повышает их эксплуатационные характеристики, снимая вопросы совместимости с аппаратными платформами используемых средств вычислительной техники. Dallas Lock 6.0 и Dallas Lock 7.0 совместимы с аппаратной частью Dallas Lock 4.1. Кроме того, предусмотрена возможность подключения различных видов считывателей и идентификаторов (TouchMemory, USB-eToken, Proximity) через com- и usb-порты.
Особого внимания заслуживают такие особенности версии Dallas Lock 7.0, как встроенная возможность печати грифов конфиденциальности на любых документах и возможность использования системы для защиты ресурсов мобильных (Notebook) и промышленных компьютеров.
Система защиты информации Security Studio
В России вопросы защиты коммерческой тайны и персональных данных регламентирует ряд внутренних законодательных актов, а также международных стандартов, в частности:
- N 98-ФЗ «О коммерческой тайне» от 29 июля 2004 г.;
- N152-ФЗ «О персональных данных» от 27 июля 2006 г.;
- Payment Card Industry Data Security Standard (международный стандарт защиты информации в индустрии платежных карт).
Требования законодательства распространяются на все государственные и коммерческие организации, в которых обрабатывается информация, попадающая под определение «коммерческая тайна», «персональные данные» и попадающая в перечень сведений, составляющих «конфиденциальную информацию». Сегодня это практически все компании России – независимо от их размера и рода деятельности.
Невыполнение требований может привести к крайне негативным последствиям для бизнеса, например, к ежемесячным штрафам за невыполнение требований PCI DSS или запрету на определенные виды деятельности.
Внедрение Security Studio позволяет решить следующие задачи:
- Обеспечение разграничения доступа к конфиденциальной информации;
- Контроль каналов распространения конфиденциальной информации;
- Упрощение процесса аттестации автоматизированной системы организации до класса 1Г.
Ключевые характеристики Security Studio
- Простота внедрения в информационные системы любой сложности;
- Идентификация и аутентификация пользователей, в том числе с использованием электронных идентификаторов eToken;
- Гибкое разграничение прав пользователей, основанное на неиерархических метках конфиденциальности;
- Всесторонний контроль обращения пользователей с защищаемой информацией;
- Разграничение прав доступа пользователей к любому внутреннему и внешнему устройству;
- Аудит действий пользователей, включая администраторов;
- Контроль целостности среды обработки данных — контроль аппаратной конфигурации компьютеров, настроек операционной системы и критичных приложений серверов, рабочих станций, а также настроек оборудования Cisco;
- Гарантированное затирание содержимого файлов при их удалении;
- Централизованное управление всеми компонентами системы и мониторинг в режиме реального времени при защите локальных и распределенных сетей.
Архитектура построения Security Studio
Компоненты системы взаимодействуют друг с другом на основе иерархической клиент-серверной архитектуры, что значительно повышает надёжность системы и удобство эксплуатации.
Security Studio состоит из следующих компонентов:
- Программа пакетной установки СУБД Oracle осуществляет автоматизированную установку и настройку компонентов СУБД;
- Сервер мониторинга получает информации об актуальном состоянии всех агентов, собирает и анализирует журналы регистрации и обеспечивает передачу агентам оперативных команд;
- Средства управления устанавливаются на рабочее место администратора и позволяют вести оперативное управление и мониторинг пользователей в режиме реального времени, а также централизованный просмотр и анализ журналов системы
- Агент конфиденциальности для Windows 2000/XP/2003 обеспечивает защиту конфиденциальной информации на всех рабочих станциях и серверах, где он установлен;
- Агент контроля целостности для рабочих станций и серверов под управлением Windows 2000/XP/2003 позволяет гарантировать неизменность программной среды и аппаратной конфигурации наиболее критичных рабочих станций и серверов информационной системы;
- Агент контроля целостности для серверов Linux позволяет гарантировать неизменность программной среды наиболее критичных серверов информационной системы;
- Агент контроля настроек сетевого оборудования (Cisco) осуществляет контроль целостности конфигурационных файлов Cisco при запуске устройства или при работе устройства.
Контролируется сетевое оборудование, удовлетворяющее условиям:
- операционная система IOS, PIX или ASA;
- доступно через Telnet или SSH;
- установлен программный компонент клиента TFTP.
Достоинства Security Studio
Соответствие требованиям регулирующих документов:
- Федеральный закон №98-ФЗ «О коммерческой тайне»;
- Федеральный закон №152-ФЗ «О персональных данных»;
- Международный стандарт Payment Card Industry Data Security Standard (PCI DSS).
Сертифицированное средство защиты информации
На Security Studio получен сертификат соответствия ФСТЭК России №1597 на соответствие 5-му классу защищенности и отсутствие недекларированных возможностей по 4-му уровню контроля (СВТ-5, НДВ-4).
Борьба с внутренними нарушителями
Контроль обращений к защищаемой информации, управляемое использование внешних носителей, ограничение действий пользователей в совокупности с возможностью детального разбора инцидентов позволяют создать эффективную систему противодействия внутренним нарушителям и их выявления.
Централизованное управление, мониторинг и аудит
Наличие единого централизованного управления и мониторинга в режиме реального времени позволяет оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы в сети.
Комплексное решение
Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей.
Модульная система
Необходимый уровень защищенности и управляемости в организациях различного размера достигается лицензированием только нужных модулей.
Системные требования для Security Studio
Системные требования к аппаратному и программному обеспечению:
Компоненты Security Studio устанавливаются на компьютеры, работающие под управлением ОС Windows 2000 (с SP4 или выше), Windows XP Pro (с SP1 или выше), Windows 2003. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS.
На компьютерах Linux устанавливается ОС OPEN SUSE 10.2 Enterprise Server.
На всех компьютерах, где планируется работа с персональными идентификаторами, должно быть установлено ПО eToken Run Time Environment 3.51 (3.65) и иметься свободный разъем USB-порта версии 1.1 или 2.0.
Рекомендуемые характеристики для работы компонентов Security Studio:
Сервер мониторинга
СУБД Oracle9i 9.2.0.4e (включена в состав системы Security Studio).
Процессор — Pentium 4 3,0 ГГц
Оперативная память — 1 ГБ
Жесткий диск (свободное пространство) — 100 ГБ
Средства управления
Процессор — Pentium 4 1,2 ГГц
Оперативная память — 512 МБ
Жесткий диск (свободное пространство) — 2 ГБ
Агент конфиденциальности и агент контроля целостности для Windows 2000/XP
Процессор — Pentium III 550 МГц
Оперативная память — 256 МБ
Жесткий диск (свободное пространство) — 100 МБ
Агент конфиденциальности и агент контроля целостности для Windows Svr 2003
Процессор — Pentium III 800 МГц
Оперативная память — 512 МБ
Жесткий диск (свободное пространство) — 100 МБ
Агент контроля целостности для серверов Linux
Процессор — Pentium III 550 МГц
Оперативная память — 256 МБ
Жесткий диск (свободное пространство) — 100 МБ
Система контроля веб-трафика "Дозор-Джет"
Система контроля веб-трафика "Дозор-Джет" предназначена для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием Интернет-ресурсов.
СКВТ "Дозор-Джет" позволяет реализовать политику использования веб-ресурсов и осуществлять протоколирование действий пользователей.
Сегодня Интернет стал одним из самых удобных и доступных средств коммуникаций и начинает играть все большую роль в жизнедеятельности различных организаций и компаний. Сегодня он становится бизнес-инструментом, реально приносящим прибыль. Однако доступность и легкость использования Интернет таит в себе серьезную угрозу не только для пользователей, но и для компании в целом:
- преднамеренная или не преднамеренная передача конфиденциальных данных во Всемирную сеть;
- заражение вирусами и другим вредоносным кодом;
- использование Интернета в личных целях.
Вот только некоторые факты:
Интернет является основным источником распространения вредоносного мобильного кода (вирусов, червей, троянских программ). Согласно 2004 CSI/FBI Computer Crime and Security Report, несмотря на то, что 99% компаний применяют антивирусные программы, 82% из них заражаются вирусами. При этом более 78% вирусов проникают в корпоративные сети через Интернет.
Интернет активно используется в качестве средства скрытого проникновения в корпоративные локальные вычислительные сети. Как правило, такое проникновение осуществляется с целью кражи конфиденциальной информации, а также завоевания контроля над критически важными объектами корпоративной сетевой инфраструктуры. По данным компании Symantec, в 2004 году количество краж конфиденциальной информации из информационных систем через каналы Интернет выросло на 47% по сравнению с предыдущим годом.
Интернет рассматривается как один из основных каналов утечки конфиденциальной информации изнутри компании. В частности, исследование 2004 Ernst & Young Global Information Security Survey показало, что умышленные и неосторожные неправомерные действия сотрудников стали лидерами по объему причиненного ущерба, отодвинув назад риски спама, хакерских атак и финансового мошенничества.
Аналитики из IDC в ходе проведенного исследования выяснили, что от 30 до 40% использования Интернета служащими компаний никак не связано с их работой.
Согласно Nielsen/NetRatings, 92% онлайновых продаж розничных товаров происходит с рабочих мест в рабочее время. 46% от всех посещений интернет-магазинов также осуществляются в рабочее время и с рабочего места.
Служащие часто используют Интернет той компании, где работают, получая более высокие скорости и используя их для скачивания крупных файлов, потокового видео и музыки.
СКВТ "Дозор-Джет" позволяет:
1. Предотвратить утечки конфиденциальной информации:
- фильтрация информации передаваемой из корпоративной сети;
- возможно блокирование групп ресурсов представляющих потенциальную опасность: (бесплатные почтовые сервисы; файлообенные сайты; социальные сети; блоги).
2. Обеспечить безопасность использования Интернет-ресурсов:
- блокировка Интернет-ресурсов, содержание которых нежелательно или подозрительно;
- фильтрация информации передаваемой по каналу HTTP по адресам, форматам и содержимому;
- антивирусная проверка (продуктами сторонних производителей);
- мониторинг активности пользователей;
- протоколирование действий пользователей;
- оповещение о нарушении политики безопасности.
3. Повысить производительность сотрудников и экономить ресурсы предприятия:
- категоризация и блокирование доступа к сайтам, не связанным с работой;
- блокирование загрузки файлов, не относящихся к работе;
- установка ограничений на типы скачиваемых файлов и на объём пользовательского трафика;
- получение реальной картины использования сотрудниками Интернет-ресурсов.
4. Дополнительные возможности:
- разграничение доступа к внешним Web-ресурсам по группам пользователей;
- разграничение доступа к Web-ресурсам в соответствии с временными параметрами (время суток, дни недели и т.п.);
- создание отчетов по результатам работы;
- сопровождение списков каталогов адресных ресурсов;
- построение отказоустойчивой и масштабируемой системы.
5. Сопровождение списков каталогов адресных ресурсов.
СКВТ "Дозор-Джет" функционирует на UNIX-платформах под управлением RHEL 4.3.
SECRET NET
Семейство систем защиты информации от НСД
Программно-аппаратные комплексы "Secret Net" версии 4.0. предназначены для защиты информации, хранимой и обрабатываемой на автономных персональных компьютерах и рабочих станциях и серверах ЛВС, работающих под управлением операционных систем (ОС) Windows 95/98 и Windows NT/ 2000.
Основные возможности:
идентификация пользователей при помощи специальных аппаратных средств (Touch Memory, Smart Card, Smarty, Proximity и т.п.);
аутентификация по паролю длиной до 16 символов;
поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
аппаратная поддержка защиты от несанкционированной загрузки ОС с гибкого диска и CD-ROM диска;
разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискреционного и мандатного управления доступом;
создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ);
управление временем работы всех пользователей;
возможность объединения пользователей в группы для упрощения управления их доступом к совместно используемым ресурсам;
регистрация действий пользователя в системном журнале;
поддержка для каждого пользователя индивидуальных файлов Config.sys и Autoexec.bat;
защита компьютера от проникновения и размножения вредоносных программ;
контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
гибкие средства администрирования системы защиты с использованием механизма привилегий, позволяющего распределить административные функции между различными пользователями компьютера.
Особенности сетевого варианта:
усиленная идентификация и аутентификация;
криптографическая защита данных;
централизованный мониторинг состояния безопасности информационной системы и управление защитными механизмами.
Сетевой вариант «Secret Net» предоставляет администратору безопасности возможность централизованного управления защитными механизмами клиентов «Secret Net», мониторинга состояния безопасности информационной системы, оперативного управления рабочими станциями в случае попыток НСД, централизованной обработки журналов регистрации и генерации отчетов.
КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ
ЧАСТЬ 1. ФУНКЦИОНАЛЬНОЕ НАЗНАЧЕНИЕ ДОБАВОЧНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
А. Щеглов, К.Щеглов
Вниманию читателя предлагается цикл статей под общим названием “Компьтерная безопасность”. В данных работах авторы попытаются изложить свою точку зрения, основанную на собственном опыте разработки добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД) для ОС семейств Windows и Unix, по вопросам актуальности, функционального назначения и корректности реализации СЗИ НСД. Авторы нисколько не претендуют на роль экспертов в этих вопросах, а излагаемые материалы, которые в чем-то могут показаться читателю спорными, приводятся в порядке обсуждения. Поэтому авторы будут благодарны за отзывы и комментарии к данному материалу, готовы поддержать дискуссию на рассматриваемую тему и, по возможности, дать ответы на вопросы читателя, которые следует направлять по адресу: info@npp-itb.spb.ru.
Функциональное назначение добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД) следует из самого понятия «добавочные» - они вносятся на защищаемый объект с целью добавления к встроенным (как правило, в ОС) механизмам защиты. Однако возникает вопрос – с какой целью вносятся добавочные механизмы защиты, как следствие, каково их функциональное назначение? Дав ответ на эти вопросы, можно судить и об актуальности практического использования СЗИ НСД.
Большинство разработчиков СЗИ НСД имеет мнение (такой вывод можно сделать на основании рассмотрения свойств большинства известных нам СЗИ НСД, и того, как позиционируют свойства СЗИ НСД разработчики этих средств), что добавление новых механизмов защиты реализуется, с целью добавления новых функциональных возможностей в систему защиты, т.е. функциональных свойств, не реализуемых встроенными механизмами.
Набор функциональных свойств защиты, с учетом уровня конфиденциальности защищаемой информации, формализован и прописан в соответствующих нормативных документах в области защиты информации [1]. В соответствии с данными документами и с учетом того, что защищаемый объект должен обладать заданным набором свойств защиты, естественно, что первоочередной задачей разработчиков СЗИ НСД является добавление свойств (соответственно механизмов, их реализующих), не реализуемых встроенными в ОС механизмами. В зависимости от класса защищенности, к таким свойствам можно отнести гарантированное удаление остаточной информации, полномочный (или мандатный) принцип контроля доступа к ресурсам и др. При определенных условиях (в частности, если не проведены соответствующие уровню конфиденциальности обрабатываемой информации сертификационные испытания встроенных в ОС механизмов защиты), к добавочным СЗИ НСД выдвигается требование по реализации своими собственными средствами всех механизмов защиты, регламентируемых нормативными документами (о встроенных в ОС механизмах защиты в этом случае можно забыть).
Кроме того, как правило, добавочные СЗИ НСД привносят и некоторые дополнительные возможности, не регламентируемые нормативными документами в области защиты информации, в большинстве случаев, это относится к подключению дополнительных устройств аутентификации пользователя – электронные ключи, Flash-устройства и др., а также контроля действий пользователя на защищаемых объектах (в дополнение к решению задач аудита).
Заметим, что сама по себе задача добавления новых свойств защиты весьма не тривиальна (отнюдь не только в части реализации механизма защиты) и требует серьезных исследований, в первую очередь, принципов построения самой ОС. В качестве примеров возникающих проблем, например, для упоминавшихся выше механизмов защиты, можем отметить следующее. Если речь идет о мандатном управлении доступом к ресурсам, можно говорить о проблемах назначения меток безопасности иерархическим объектам, о включении в иерархические уровни – уровня «система» (как субъекта, так и объекта доступа), о необходимости разделения средствами СЗИ НСД файловых объектов, не разделяемых системой и приложениями [2], без чего, на наш взгляд, вообще нельзя говорить о корректности реализации полномочного принципа контроля доступа, и т.д. Если, например, рассматриваем вопросы гарантированного удаления остаточной информации, то должны учитывать, что при сохранении информации небольшого объема (где-то менее 1Кб), она располагается ОС не только в соответствующем файле, но и в таблице MFT (NTFS), и в журналах изменений.
Заметим, что вопросы корректности реализации СЗИ НСД (корректности, в смысле, не внесения дополнительных уязвимостей в систему) требуют самостоятельного исследования, поэтому их рассмотрению мы посвятим отдельную часть нашей работы (естественно, ни в коей мере, не предполагается рассмотрение уязвимостей современных СЗИ НСД, речь идет лишь о требованиях к корректности их реализации, вытекающих из широко известных и опубликованных архитектурных особенностей ОС).
Обобщая сказанное выше, можем определить следующее функциональное назначение добавочных СЗИ НСД:
Дополнение встроенной защиты новыми механизмами, с целью выполнения требований к защите информации соответствующего уровня конфиденциальности, заданных в нормативных документах в области защиты информации.
Дополнение встроенной защиты новыми возможностями, не регламентируемыми нормативными документами в области защиты информации, в большинстве случаев, это относится к подключению дополнительных устройств аутентификации пользователя – электронные ключи, Flash-устройства и др., а также контроля действий пользователя на защищаемых объектах (в дополнение к решению задач аудита).
Для ряда приложений, к добавочным СЗИ НСД выдвигается требование по реализации своими собственными средствами всех механизмов защиты, регламентируемых нормативными документами (без учета встроенных в ОС механизмов).
Таким образом, видим, что выше речь шла о внесении добавочными средствами СЗИ НСД некоторых новых дополнительных механизмов защиты, в некоторых же приложениях – дополнительно требуется повторить (этот вопрос требует некоторых уточнений и мы вернемся к нему в одной из следующих частей работы, вместе с рассмотрением вопросов корректности реализации СЗИ НСД) функции встроенных механизмов защиты, присутствующих в ОС, добавочными средствами. Но попробуем ответить на вопрос – а сами то встроенные в ОС механизмы защиты хороши, их функционала достаточно для обеспечения надежной защиты информации от НСД.
Для ответа на эти вопросы можем, обратиться, например, к работе [3], где приведена (получена из открытых источников) и классифицирована современная статистика найденных уязвимостей в ОС и приложениях, соответственно, к работе [4], где проведен краткий анализ причин возникновения основных уязвимостей, во многом, на наш взгляд, возникновение которых связано именно с архитектурными недостатками и принципами построения встроенных в ОС средств защиты. Анализируя же известную статистику уязвимостей ОС и приложений, и, наверное, это ни для кого сегодня не секрет, можем сделать вывод о том, что свойства встроенных во многие ОС механизмов защиты не столь хороши, как хотелось бы.
Следуя сказанному, можем определить следующую важную (а, на наш взгляд, так важнейшую) функциональную задачу добавочных СЗИ НСД:
Устранение архитектурных недостатков встроенных в ОС механизмов защиты, с целью противодействия, атакам, использующим как известные, так и потенциально возможные уязвимости ОС и приложений.
В качестве замечания отметим, что, во-первых, здесь речь идет не о решении новых задач защиты, в дополнение к задачам, решаемым встроенными механизмами, а о добавлении новых свойств защиты для повышения эффективности решения тех задач, для которых предназначены встроенные механизмы защиты, во-вторых, важнейшим условием эффективной защиты является противодействие именно «потенциально возможным уязвимостям». Наличие потенциальной возможности уязвимости обнаруживается в результате анализа собственно архитектуры построения ОС, при этом известная уязвимость может натолкнуть исследователя на выявление причины. Средствами же СЗИ НСД нужно противодействовать самой причине (устранять причину) возникновения уязвимости – только в этом случае задача защиты может быть решена в общем виде. В противном случае – если будем противодействовать конкретным уязвимостям, получим решение задачи, очень близкое по своей сути к существующим подходам – устранение уязвимостей, за счет внесения обновлений ОС и приложений (о том, к чему это приводит, поговорим в следующей части нашей работы, которую посвятим вопросам исследования надежности защиты информации).
Теперь, чтобы нас не обвинили в голословности, рассмотрим всего лишь одно запатентованное нами решение (сегодня по реализации механизмов защиты нами подано 17 заявок на изобретение, уже получено 11 патентов), и посмотрим, какие новые свойства защиты информации оно в себе несет. Заметим, что данное решение нами практически реализовано и апробировано.
Основу принципов контроля доступа к ресурсам составляет задание прав и разграничение на основании определенных правил доступа субъектов (пользователей) к объектам, в частности, к файловым объектам. Данный способ контроля доступа реализуется современными средствами защиты информации от НСД, в частности ОС, и формализован в соответствующих нормативных документах.
При этом любой процесс, запускаемый пользователем (в том числе, и пользователем System), наследует права доступа пользователя, его запустившего. Другими словами, поток, порождаемый процессом, обращается к ресурсу с правами пользователя (если, естественно, не произведено олицетворения с маркером безопасности другого пользователя, но это отдельный вопрос).
Однако, именно процесс, может нести в себе уязвимость несанкционированного доступа к информации. Тому может быть несколько причин, во-первых, процесс априори может обладать недекларированными (документально не описанными) свойствами, в частности, это процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов), во-вторых, процесс может быть скомпрометирован – содержать ошибки, использование которых позволяет осуществить несанкционированный доступ к информации (наиболее критичными сегодня являются ошибки переполнения буфера приложений и некорректность использования приложениями сервисов олицетворения, приводящие к расширению привилегий пользователей, как правило, получение привилегий пользователя System, с правами которого запускаются данные приложения).
Таким образом, может быть обозначена проблема осуществления контроля доступа к ресурсам с учетом доверия к процессам, а также с учетом решаемых задач и особенностей функционирования процесса. Естественно, что это возможно только в том случае, если процесс можно рассматривать, как самостоятельный субъект доступа, а не субъект, наследующий права доступа пользователя (в противном случае, следует говорить о доверии к пользователю, а не к процессу).
Основу предлагаемого нами механизма контроля доступа процессов к ресурсам, составляет включение в схему разграничения прав доступа к ресурсам, наряду с субъектом доступа «пользователь», субъекта доступа «процесс», в предположении, что права доступа этих субъектов могут не совпадать (еще раз напомним, что в системе процесс запускается с правами пользователя, его запустившего).
Предлагаемое нами запатентованное решение (Патент № 2207619) состоит в следующем. В общем случае при управлении доступом к ресурсам следует различать два самостоятельных субъекта доступа – «пользователь» и «процесс». При этом предлагается управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс, причем могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу – права доступа пользователя, запустившего процесс не учитываются. Данная схема разграничений может использоваться в том случае, когда процессу следует расширить права доступа к ресурсам, по сравнению с пользователем, запустившим процесс);
Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю – права доступа процесса не учитываются. Это обычная схема разграничений прав доступа, используемая современными ОС, не позволяющая учитывать свойства отдельных процессов, в частности, уровень доверия к ним);
Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей - доступ к объекту разрешается, если он разрешен и пользователю, и процессу. Данная схема разграничений может использоваться в том случае, когда процессу следует сузить права доступа к ресурсам, по сравнению с пользователем, запустившим процесс).
Укрупненный алгоритм анализа прав доступа к ресурсу при реализации данной технологии, приведен на рис. 1.
Рисунок 1 - Укрупненный алгоритм анализа прав доступа к ресурсам
Кликните по схеме для увеличения масштаба
Таким образом, применение данного подхода позволяет устанавливать и анализировать для субъекта «процесс» права доступа к ресурсам, как для самостоятельного субъекта доступа.
Заметим, что в соответствии с описанием запатентованного решения, могут использоваться различные механизмы управления доступом к ресурсам процессов (как избирательный, так и полномочный) – суть запатентованного решения состоит в том, что права доступа процесса к ресурсу могут отличаться от прав доступа пользователя (назначаются для процесса, как для самостоятельного субъекта доступа), запустившего данный процесс, к этому ресурсу.
Применение данной технологии позволяет получить множество принципиально новых свойств защиты.
В качестве примера возможностей предлагаемого подхода, проиллюстрируем появляющуюся возможность противодействия атакам на расширение привилегий. В общем виде (не применительно к конкретной уязвимости скомпрометированного процесса) противодействовать данным атакам возможно лишь в том случае, если устранить привилегии пользователя, от которого запускается скомпрометированный процесс – в данном случае пользователя System – при это теряется сам смысл атаки на получение прав пользователя System.
Применительно к данной задаче, речь пойдет о назначении эксклюзивных прав доступа так называемым привилегированным процессам (процессам, доступ которых к ресурсам должен разграничиваться вне прав доступа, устанавливаемых для пользователей).
Теперь определимся с тем, как необходимо разграничить права доступа для пользователя System, чтобы противодействовать в общем виде атакам на повышение привилегий. Естественно, что, прежде всего, необходимо запретить ему право на «запись» (модификацию) системного диска, право на модификацию каталогов, где расположены исполняемые файлы разрешенных к запуску процессов, а также запретить право на запись (модификацию) значимых ветвей и ключей реестра ОС, в частности, отвечающих за политику безопасности системы.
Установка запрета доступа «на запись» к системному диску и к значимым ветвям и ключам реестра ОС для пользователя System связано с включением в схему разграничения прав доступа привилегированных процессов – здесь системных процессов и процессов СЗИ НСД, для которых устанавливаются права доступа вне прав пользователя, в частности, этим системным процессам и процессам СЗИ НСД для корректного функционирования системы и СЗИ НСД вне прав пользователя «System» разрешается запись на системный диск.
Пример настройки механизма управления доступом к файловым объектам для виртуального пользователя «System» для ОС Windows технологии NT представлен в Табл. 1.
Таблица 1
Кликните по таблице для увеличения масштаба
Замечание. Данные настройки обеспечивают корректное функционирование системы и офисных приложений. При использовании иных приложений на компьютере (прежде всего, запускаемых с системными правами), может потребоваться модификация данных настроек.
Настройки выполнены в следующих предположениях: системным является диск C:\, исполняемые файлы программ, разрешенных для выполнения, располагаются в каталогах: C:\Winnt (WINDOWS) – системные процессы, C:\Program Files – каталог, в который администратором инсталлируются разрешенные пользователям для выполнения программы. СЗИ НСД установлена на системный диск в каталог: C:\СЗИ НСД.
Заметим, что выделенным привилегированным процессам (системным процессам и процессам СЗИ НСД) в наших настройках (см. Табл. 1) права доступа к файловым объектам не ограничены. При необходимости, можно проанализировать (это можно осуществить с использованием средств аудита СЗИ НСД), к каким конкретно файловым объектам необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователей) только к этим объектам.
Аналогично могут быть сформированы и права доступа к объектам реестра ОС. Пример настройки механизма управления доступом к объектам реестра ОС для виртуального пользователя «System» (где также необходимо вводить привилегированные процессы) для ОС Windows технологии NT представлен в Табл. 2.
Таблица 2
Кликните по таблице для увеличения масштаба
Замечание. Заметим, что выделенным привилегированным процессам (системным процессам и процессам СЗИ НСД) в наших настройках (см. Табл. 2) права доступа к объектам реестра ОС не ограничены. При необходимости, можно проанализировать (это можно осуществить с использованием средств аудита СЗИ НСД), к каким конкретно объектам реестра ОС необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователей) только к этим объектам. Проиллюстрируем сказанное примером. Представленные разграничения для процесса Lsass.exe обеспечивают запрет работы с учётными записями пользователей. Наиболее распространенные действия злоумышленника при получении системных прав сводятся к заведению новой учетной записи в системе в группе администраторов, с последующим доступом в систему под этой учетной записью. При данных разграничениях завести нового пользователя в системе, имея права System, становится невозможным.
Из Табл.1 и Табл.2 видим, что при данных настройках системы защиты теряется какой-либо смысл атак на расширение привилегий, т.к. у пользователя System становится прав на доступ к ресурсам меньше, чем у любого другого пользователя, зарегистрированного в системе.
В качестве замечания отметим, что, во-первых, рассмотренные в статье решения (в частности, приведенные настройки механизма защиты) апробированы при создании семейства СЗИ НСД – КСЗИ «Панцирь» (для ОС семейств Windows и Unix) - разработка НПП «Информационные технологии в бизнесе», во-вторых, они либо уже запатентованы, либо находятся в стадии патентования, поэтому без нарушения авторских прав, рассмотренные в работе технологии не могут быть реализованы в разработках иных производителей.
В порядке иллюстрации, покажем, как выглядит интерфейс настройки механизма контроля доступа к файловым объектам для субъекта процесс в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003, см. рис.2 (настройками, представленными на рис.2, выделяются привилегированный процессы – процессы могут быть заданы полнопутевым именем хранения их исполняемых файлов, полнопутевым именем папки (тогда для всех процессов, исполоняемые файлы которых хранятся в этой папке, будут действовать установленные разграничения), маской, которым разрешен полный доступ (ничего не запрещено) ко всем ресурсам.
В качестве замечания отметим, что в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003 процесс, как самостоятельный субъект доступа, включен во все механизмы управления доступом к ресурсам: к локальным и разделенным в сети (по входу и выходу) файловым объектам – на жестком диске и устройствах ввода, включая Flash-устройства, к объектам реестра ОС, к портам, к сетевым ресурсам (задача межсетевого экранирования). Подобный же подход реализован и в наших СЗИ НСД для ОС семейства Unix (HP-UX, Linux, Free BSD).
Рисунок 2 - Интерфейс настройки механизма контроля доступа к файловым объектам для субъекта процесс, реализованный в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003
Кликните по рисунку для увеличения масштаба
С защитой системного диска связаны и вопросы корректности реализации механизма обеспечения замкнутости программной среды, т.к. на системном диске находятся исполняемые файлы системных процессов, возможность модификации которых необходимо предотвратить.
Использование данного подхода несет в себе и возможность распределения задач администрирования между администратором безопасности и системным администратором (права системного администратора СЗИ НСД могут быть сведены на нет, либо в значительной мере ограничены). До тех пор, пока активна СЗИ НСД, системный администратор сможет выполнять только те функции, которые средствами СЗИ НСД ему разрешены администратором безопасности (в предположении, что администратор безопасности управляет СЗИ НСД).
В части защиты компьютерной информации интерес представляет не только системный диск, но и файловые объекты пользователей, к которым может осуществить несанкционированный доступ процесс (в частности виртуальная машина). Защита здесь состоит в том, что для работы с документами с использованием любого подобного процесса можно выделить свой файловый объект для каждого пользователя, например, каталог, куда разрешить доступ пользователю и такому процессу (к другим файловым объектам пользователя доступ данному процессу следует запретить). Например, выделим отдельный каталог для работы Java-машины и соответствующим образом разграничим права доступа процессам. При этом можем быть уверены, что информация пользователя (хранящаяся в других файловых объектах) не будет подвергнута несанкционированному доступу со стороны Java-машины, вне зависимости от того, какие действия она выполняет. Продолжая далее разговор о виртуальной машине, можем сформулировать и решить задачу изоляции среды исполнения скриптов, например, файлов с расширением «.bat». Заметим, что к этим файлам виртуальная машина обращается с запросом на чтение, а не на выполнение. Таким образом, любой пользователь сможет создать в своей папке (в которую ему разрешены запись и чтение) скрипт и запустить его. Рассмотренный выше подход позволяет разграничить права доступа для процессов собственно виртуальной машины – при этом можно разрешить запускать (читать) скрипты только из определенной папки, куда следует запретить доступ на запись пользователям.
Важнейшей задачей являет разграничение доступа для скомпрометированных процессов. Пусть в процессе найдена уязвимость. При этом до тех пор, пока уязвимость не будет устранена разработчиком, система не защищена. Остается лишь ждать обновления от разработчика (а ждать обновления, как показывает опыт, можно несколько месяцев) и надеется, что Ваш компьютер не подвергнется атаке. Используя рассмотренную технологию, можно установить дополнительные разграничения для скомпрометированного процесса, чем в значительной мере снизить последствия атаки на обнаруженную в нем уязвимость. Приведем простой пример. В свое время была обнаружена уязвимость одной СУБД, позволявшая совершить атаку на виртуального пользователя, создаваемого при установке СУБД, от лица которого впоследствии запускалась СУБД. В нашем случае, мы могли бы разрешить доступ к файлам, содержащим таблицы базы данных только процессам СУБД, что сделало бы атаку на данную уязвимость в большой мере не актуальной.
На самом деле, приложений рассматриваемой технологии множество и мы не будем детально их рассматривать (читатель сам, при желании, может найти ей применение для собственных нужд). В работе же мы еще остановимся на одной важной проблеме, разрешение которой возможно с использованием предлагаемой технологии.
Рассмотри возможность противодействия группе атак на сервисы олицетворения - наиболее заметной и существенно прогрессирующей в процентном отношении в последнее время, см. рис.3 – зависимость получена на основании бюллетеней безопасности Microsoft ( http://www.microsoft.com/technet/security ) и архива рассылки NTBugTraq ( http://www.ntbagtraq.com, http://security.nnov.ru)).
Рисунок 3 - Динамика изменения во времени процентной доли атак на сервисы олицетворения
Рассмотрим, какие возможности предоставляет сервис олицетворения, и почему ошибки в приложениях, использующих данный сервис, могут приводить к несанкционированному доступу к информации, за счет расширения привилегий.
Все работающие в системе процессы и потоки выполняются в контексте защиты того пользователя, от имени которого они так или иначе были запущены. Для идентификации контекста защиты процесса или потока используется объект, называемый маркером доступа (access token). В контекст защиты входит информация, описывающая привилегии, учетные записи и группы, сопоставленные с процессом и потоком. В процессе регистрации в системе создается начальный маркер, представляющий пользователя, который входит в систему, и сопоставляет его с процессом оболочки, применяемой для регистрации пользователя. Все программы, запускаемые пользователем, наследуют копию этого маркера. Механизмы защиты в Windows используют маркер, определяя набор действий, разрешенных потоку или процессу.
Маркер может быть основным (идентифицирует контекст защиты процесса) или олицетворяющим (применяется для временного заимствования потоком другого контекста защиты — обычно другого пользователя). Олицетворение (impersonation) предоставляет возможность отдельному потоку выполняться в контексте защиты, отличном от контекста защиты процесса, его запустившего, т.е. действовать от лица другого пользователя. Олицетворение, например, применяется в модели программирования «клиент-сервер». При заимствовании прав сервер временно принимает профиль защиты клиента, «от лица» которого обращается к ресурсу. Тогда сервер может работать с ресурсом от имени клиента, а система защиты проводить проверку его прав доступа. Обычно серверу доступен более широкий круг ресурсов, чем клиенту, и при олицетворении поток теряет часть исходных прав доступа, запустившего его процесса. И, напротив, при олицетворении соответствующий поток может получить дополнительные права.
С учетом существующей статистики уязвимостей данного типа, можем сделать вывод, что решение задачи контроля корректности олицетворения следует возложить на добавочную СЗИ НСД, которая собственными средствами должна осуществлять разграничения прав доступа к сервисам олицетворения. Для выработки подхода к решению данной задачи, прежде всего, определимся с тем, что является субъектом и объектом доступа в рассматриваемой схеме разграничений. И в этом случае нами предлагается, в качестве самостоятельного субъекта доступа рассматривать процесс, которым порождается поток, а в качестве объекта доступа – права доступа (контекст защиты), задаваемые учетной записью пользователя, которые системой защиты предоставляются, либо нет потоку, запросившему олицетворение. Другие возможные варианты - это рассматривать в качестве субъекта поток (но такой механизм будет невозможно настроить), либо пользователя. Задание в качестве субъекта доступа учетной записи пользователя вообще говоря, можно рассматривать лишь как вариант частного решения задачи (при этом все процессы, причем не только прикладные, далее покажем, что данный механизм может применяться и для контроля работы системных процессов, должны подчиняться единым правилам олицетворения). Ввиду того, что каждая программа в общем случае может затребовать собственных разрешений олицетворения для запускаемых ими потоков, именно процесс предлагается рассматривать в качестве субъекта доступа – для которого задаются разграничения. Получаем следующую схему: для процесса, потоки запускаемые которым, используют сервисы олицетворения задаются права олицетворения (соответственно, для всех потоков, порождаемых данным процессом, они одинаковы). Права олицетворения задаются следующей парой параметров: учетная запись пользователя, под которым запущен процесс, включая пользователя «SYSTEM» (процесс в общем случае может запускаться под различными учетными записями); учетная запись пользователя, с контекстом защиты которого разрешается олицетворяться потокам, запускаемым процессом, для которого задаются разграничения.
Важным условием корректности реализации любого механизма, реализующего разграничительную политику доступа к ресурсам, в том числе, и рассматриваемого в работе, является реализация системой защиты разрешительной разграничительной политики («Все, что не разрешено (явно не прописано), то запрещено» - об этом мы подробно поговорим в одной из следующих частей нашей работы), при которой задаются (явно прописываются) разрешенные виды олицетворения. Для упрощения настроек механизма, процессы, как субъекты доступа, могут задаваться не только своими полнопутевыми именами, но и именами папок (тогда заданные разграничения действуют на все процессы, запускаемые из папки, для которой установлены разграничения), либо масками. Интерфейс настройки механизма, реализованный в КСЗИ “Панцирь” для ОС Windows 2000/XP/2003, приведен на рис. 4.
Рисунок 4 - Интерфейс настройки механизма контроля олицетворения, реализованный в КСЗИ “Панцирь” для ОС Windows 2000/XP/2003
Кликните по рисунку для увеличения масштаба
Замечание. В процессе работы системы сервисом олицетворения пользуются не только прикладные, но и системные процессы. Рассматриваемый механизм может эффективно быть использован и с целью контроля олицетворения потоков, запускаемых системными процессами, при этом данный механизм позволяет реализовать и принципиально новые свойства защиты. Например, при авторизации пользователя при входе в систему, потоки, запускаемые процессом winlogon, олицетворяются с учетной записью авторизуемого пользователя. При использовании данного механизма (пример настроек приведен на рис. 4) можно управлять тем, какие пользователи могут входить в систему. Для настроек, представленных на рис. 4, это только пользователи «Administrator» и «User1». Наличие иных учетных записей заведенных в системе, не даст возможности войти под ними в систему.
Таким образом, данным механизмом защиты, основу которого также составляет включение субъекта процесс, как самостоятельного субъекта доступа, могут устанавливаться права доступа на использование сервиса олицетворения для скомпрометированных процессов (к которым снижено доверие, в связи с обнаружением в них уязвимостей), для процессов, запускаемых с правами привилегированных пользователей (компрометация которой может быть критичной) и для системных процессов. В последнем случае появляются новые возможности по управления функционированием системы, в части управления функционированием системных процессов. При этом не будем забывать, что системным процессам мы еще можем разграничивать права доступа к ресурсам, что в совокупности предоставляет весьма широкие возможности по реализации дополнительных свойств защиты.
В качестве замечания отметим, что читатель нам может высказать мнение о сложности настройки подобных механизмов защиты. На это мы можем возразить следующее: во-первых, все рассмотренные механизмы имеют встроенные средства аудита, используя которые, не составляет труда осуществить их настройку (а заодно при этом получите и интересную для осмысления дополнительную информацию о том, как функционирует система, в частности, ее отдельные процессы, отметим, что мы для себя открыли много неожиданного), во-вторых, задача защиты компьютерной информации сложна сама по себе (грамотно настроить встроенные механизмы защиты ОС тоже не просто), при этом защищенность вашей информации во многом зависит от квалификации администратора. Если же администратор (в частности, администратор безопасности), обладает достаточной квалификацией, ему рассмотренные механизмы настроить особого труда не составит, если же квалификация администратора низка, то он не сумеет грамотно настроить и встроенные в ОС механизмы защиты – тогда вам не поможет никакая добавочная СЗИ НСД.
В заключение отметим, что целью работы не являлось детальное рассмотрение новых технологий защиты информации, которые могут быть реализованы добавочными СЗИ НСД (частично с этими технологиями можно познакомиться в [2] – частично, потому, что книга написана уже более года назад, и в ней отсутствует описание некоторых ключевых технических решений, предложенных авторами в последнее время). В работе мы на примере достаточно поверхностного рассмотрения лишь одного нового (запатентованного) и апробированного технического решения попытались проиллюстрировать, сколь серьезными могут быть расширения возможностей встроенных в ОС механизмов защиты, если при реализации СЗИ НСД разработчиком ставится перед собой и решается важнейшая, на наш взгляд, функциональная задача добавочных СЗИ НСД, решение которой в большой мере и определяет потребительские свойства и актуальность практического использования СЗИ НСД:
|