Основы системной защиты данных в распределенных информационных системах
11 апреля 2005
Рубрика: Интернет и сети.
Автор: Туйгун Нишанбаев, Фархад Рахимов.
pic

Развитие информационных технологий, широкое распространение сети Internet и все больший рост цены информации, представленной в электронном формате, диктуют необходимость более серьезно решать проблемы информационной защиты данных.
Постоянный рост как удаленных, так и внутренных пользователей сети Интернет приводит в определенной степени к уменьшению информационной закрытости хранящихся в компании данных. В качестве примера приведем результаты статистического анализа, проведенного в США по взлому установленных защитных мер в компьютерных системах. Оказалось, что от 70 до 85% компьютерных взломщиков — это сегодняшние или бывшие сотрудники фирм. Сотрудникам министерства обороны США удалось вскрыть 7860 компьютерных систем (серверов и мэйнфреймов) из 8932 машин, составляющих компьютерный парк министерства. Эти примеры подтверждают то, что в настоящее время даже в той компании, которая всегда серьезно относилась к проблеме безопасности и защищала свою электронную информационную среду всеми доступными средствами, возникает закономерный вопрос: насколько эффективны принятые меры и может ли организация при этом чувствовать себя в полной безопасности?

Следует отметить, что во многих случаях недостаточное внимание к безопасности электронных данных со стороны руководителей и персонала организации приводит к потере ценной информации. Другими словами, психологический фактор препятствует развитию средств защиты. С точки зрения некоторых пользователей трудиться в условиях тотальной защиты и секретности очень неудобно. Вводить многократные пароли, помнить их, шифровать и дешифровать рабочие данные для них оказывается весьма затруднительными процессами. Такое отношение пользователей нередко приводит к очень печальным результатам.

Вышесказанное позволяет еще раз подтвердить мнение о необходимости всестороннего и серьезного отношения к проблеме информационной безопасности, решать задачу защиты информации при учете внешних, внутренних и даже психологических факторов. Иными словами, данную проблему необходимо решать на основе системного подхода, сочетающего в себе использование стандартных и нестандартных средств и способов, позволяющих обоснованно выбирать систему комплексной защиты информации, хранящейся на разных точках и уровнях распределенной информационной системы.

Общеизвестно, что распределенная информационная система (РИС) в отличие от централизованной системы имеет несколько точек входа, через которые осуществляется доступ к данным. Это могут быть файл-серверы, серверы баз данных (БД) и рабочие станции локальной сети. Компоненты РИС могут содержать в несколько БД, расположенных на разных серверах, которые могут находиться в соседних комнатах или разных городах. Каждая БД может функционировать самостоятельно (являясь в то же время частью распределенной системы) и иметь свой собственный механизм безопасности. В РИС однотипная информация может быть рассредоточена по многим территориально удаленным базам данных, например, когда компания имеет филиалы в разных странах и каждый филиал самостоятельно ведет свой учет. Если сотруднику головного отделения требуется полный отчет по всем филиалам, он должен получить его по одному запросу, как при работе с единственной таблицей, а не возиться с каждой базой данных по отдельности. Другими словами, с точки зрения пользователя должен соблюдаться принцип географической прозрачности. Возможны ситуации, когда данные из одной таблицы хранятся на разных физических устройствах, то есть информация фрагментирована. Здесь возможны два варианта: информация хранится по строкам (горизонтальная фрагментация) или по столбцам (вертикальная фрагментация). В РИС зачастую принципы географической прозрачности и фрагментарной независимости реализуются через механизм связей и синонимов. Посредством связей программируется маршрут доступа к данным: указываются реквизиты пользователя (регистрационное имя и пароль), тип сетевого протокола (например, TCP/IP) и имя БД. К сожалению, все эти параметры приходится описывать в программе. Чтобы засекретить указанную информацию, пароли можно хранить в словаре данных в зашифрованном виде. Чем больше в системе таких моментов, тем острее проблема безопасности данных.

С другой стороны, наличие нескольких внутренних БД в РИС позволяет несколько повысить уровень безопасности данных. Каждая база данных администрируется автономно, и для каждой можно реализовать свой собственный способ защиты. Кроме того, в такой архитектуре легко изолировать и обслуживать конфиденциальную информацию. Когда хакер взламывает защиту базы данных, он получает доступ к содержимому только одной БД, а не ко всей системе в целом.
Все сказанное позволяет сделать вывод: проблему безопасности данных в РИС необходимо решать с системных позиций, учитывая все факторы, возникающие при функционировании информационной системы.

Системное планирование и решение общей системы безопасности информации в РИС целесообразно производить путем разделения системы защиты на несколько уровней. Это объясняется следующим: чтобы хакеру добраться до данных по сети, необходимо сначала попасть в компьютер (уровень защиты рабочей станции), далее в сеть (сетевой уровень защиты), а затем на сервер БД. При этом оперировать конкретными данными пользователь сможет лишь при наличии соответствующих прав доступа (уровень защиты системы управления базами данных (СУБД)). Для работы с БД через клиентское приложение необходимо еще преодолеть уровень защиты приложения. Таким образом, комплексная защита информации в распределенных информационных системах включает способы защиты данных на уровне компьютера K (рабочая станция или сервер), на уровне сети S и на уровне приложений P, то есть
Z = F (K, S, P).

Данный способ защиты информации должен предоставлять разные уровни доступа к данным: от простого и распространенного, когда всем пользователям предоставляется возможность чтения всех таблиц БД с неконфиденциальной информацией, до наиболее сложного, при котором доступ к данным организован на уровне отдельных строк или столбцов таблиц. Между двумя полюсами лежат промежуточные уровни: выборочное чтение и выборочная модификация. В первом случае пользователи могут только просматривать, а во втором — просматривать и редактировать записи из ограниченного списка таблиц, который заранее определяется администратором системы.

Вкратце рассмотрим способы защиты информации на каждом уровне.
На уровне защиты рабочей станции в большинстве случаев применяются программно-аппаратные комплексы защиты информации, в которых права пользователя на доступ к данным определяется двумя факторами: идентифицирующим кодом, по которому система распознает пользователя, и паролем, применяемым для проверки его полномочий. Свои реквизиты пользователь вводит в систему один раз, только в момент регистрации, пароли действуют в течение некоторого времени и в этом смысле являются своего рода объектами многоразового использования. Для профессионального хакера определить чужой идентификационный код и пароль не представляет большого труда. Если пароль и код доступа сделать не постоянными во времени, а изменяющимися и не повторяющимися, то задача по взлому заметно усложнится. Суть данного подхода заключается в том, что каждому пользователю системы присваивается присущий только ему персональный идентификационный код (ID-код) и дается разработанное устройство, на котором ежеминутно появляется неповторяющийся цифровой код. Устройство программируется индивидуально для каждого пользователя. Генерируемый им код используется в целях аутентификации пользователя в компьютерной системе. На практике для получения доступа к защищаемым ресурсам пользователь вводит ID-код, а затем пароль (код доступа), который в этот момент высвечивается на дисплее индивидуального устройства. Специальная технология, реализованная в программных и аппаратных модулях сервера защиты, позволяет синхронизировать коды доступа на сервере и карте для каждого пользователя системы. Аутентификация происходит в момент, когда компьютер опознает сочетание персонального кода и кода доступа индивидуального устройства. Аппаратные модули контроля доступа могут подсоединяться в обычные последовательные порты, а связь с компьютером можно осуществить по обычному интерфейсу RS-232.

На сетевом уровне защита информации применяется на всех уровнях эталонной модели взаимодействия открытых систем. На физическом уровне с подслушиванием можно бороться за счет использования передающих кабелей с герметичными трубами, которые наполняются аргоном под высоким давлением. Попытка просверлить трубу приведет к утечке части газа из трубы, в результате давление снизится, что послужит сигналом тревоги. На втором уровне — уровне управления информационным каналом — кадры, передаваемые по каналам связи, кодируются при передаче и декодируются при приеме. Алгоритмы кодирования и декодирования известны только этому уровню, более высокие уровни могут и не знать, что происходит на данном уровне эталонной модели сети. Однако если кадр передается через несколько маршрутизаторов, то он будет декодироваться (расшифровываться, то есть будет принимать свой первоначальный вид) на каждом маршрутизаторе и будет беззащитным перед атаками внутри маршрутизатора. Тем не менее этот метод, называемый шифрованием в канале связи, применяется в целях повышения помехоустойчивости передаваемых данных по сети общего пользования. На третьем, сетевом уровне, применяются брандмауэры, позволяющие выбрасывать
подозрительные пакеты, приходящие извне. Также предусмотрена защита пакета протоколом данного уровня, называемая «IP-защита». На транспортном уровне применяется сквозное шифрование блока информации и сообщения в целом. На верхнем прикладном уровне решаются проблемы аутентификации и отслеживаются те ограничения, которые устанавливает специалист по системному сетевому программному обеспечению (ПО), инсталлируя конкретную конфигурацию сетевой операционной системы (например, количество одновременно работающих пользователей не должно превышать определенного числа, указанного в лицензии на программу). Также на этом уровне реализуются традиционные защитные мероприятия по процедуре регистрации пользователей, работе экранных заставок и блокираторов клавиатуры (ввод особых требований на длину паролей, следить за периодичностью их смены, фиксировать попытки подбора паролей, подмена IP-адреса пользователя информационным потоком, скрыть реальную топологию сети и так далее). Рациональное применение способов защиты информации на данном уровне зависит от умения и искусства системного администратора, устанавливающего и поддерживающего в работоспособном состоянии выбранную для компьютерной системы организации сетевую операционную систему.

Средства защиты на уровне приложения позволяют применить в системе различные алгоритмы проверок, отличные от стандартных и хорошо известных хакерам алгоритмов, и тем самым обеспечить более строгий контроль доступа к данным. Суть защиты на данном этапе сводится к следующему: после ввода имени и пароля приложение проверяет параметры пользователя. Для этих целей служит соответствующая таблица в базе данных или специальный файл шифрованных пользовательских паролей. Направляя запрос на сервер, приложение может воспользоваться заведомо известным и корректным паролем системного администратора. Приняв запрос и проверив его сервер, соответствующее программное обеспечение высылает приложению все данные без какой-либо фильтрации. Их отсев выполняет само приложение в момент выдачи информации с учетом ограничений доступа для конкретного пользователя. В некоторых приложениях вместе с основными программными продуктами поставляются собственные программы администрирования этих приложений, что позволяет достичь более высокой степени защиты и контроля работающих приложений. При этом администратору системы не нужны внешние программы администрирования, так как вся необходимая информация (списки пользователей, их пароли и права доступа) контролируется упомянутыми подпрограммами. Качество и степень защищенности информации на этом уровне в основном зависят от программиста, разработавшего данное приложение, а также от системного администратора, обеспечивающего удаленному пользователю доступ к приложению по компьютерной сети.
В общем виде весь комплекс мер по защите информации, применяемых в описанных выше уровнях, можно разделить на следующие виды: идентификация, аутентификация, аудит, контроль целостности, прокси-технология и шифрование информации, а обобщенную модель комплексной защиты информации можно представить в виде рис. 1,

pic

по которому видно, что с точки зрения владельца информации необходимо усилить защиту его данных, а с точки зрения нарушителя (хакера) — увеличить вероятность потери информационных ресурсов (создавать как можно больше угроз для потери ресурсов). Иными словами, на схеме показаны объективные внешние и внутренние факторы, влияющие на состояние информационной безопасности и на сохранность материальных или информационных ресурсов организации.

Создание комплексной системы защиты информации можно описать в следующей последовательности:

• оценить физическую архитектуру РИС. Для этого необходимо определить контингент пользователей и состав технических средств, обеспечивающих доступ к информационным ресурсам (модемы, рабочие станции или неинтеллектуальные терминалы); выяснить, где хранятся информационные ресурсы: на мэйнфрейме, файл-серверах, серверах баз данных или рабочих станциях
• определить все возможные логические (виртуальные) маршруты от: пользователя к информационным ресурсам, терминала к мэйнфрейму, удаленного пользователя к коммуникационному серверу; рабочей станции к серверу БД и так далее Полученная схема позволит определить физические связи на логические маршруты доступа к данным и ответить на вопрос: к каким данным может выйти пользователь
• для каждого типа маршрута построить диаграмму в терминах «маршрут доступа /средства защиты». Вполне возможно, что на одном маршруте будет задействовано несколько уровней защиты. Например, на маршруте «удаленный пользователь — коммуникационный сервер» могут применяться проверка пароля, шифрование информации и специализированная система защиты
• на основе анализа полученной диаграммы выявить маршруты доступа, которые нуждаются в дополнительных средствах защиты. Повышать уровень защиты можно, изменяя место хранения данных, например, если важная информация лежит на диске рабочей станции (с ее примитивными средствами защиты), целесообразно перенести эту информацию на файл-сервер, где ее будет охранять сетевая операционная система.

Угрозы системе информационной безопасности характеризуются вероятностью их возникновения и вероятностью реализации, в свою очередь, психологический фактор и меры по защите информации влияют на вероятность реализации угрозы, а риск-фактор отражает возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования.

Для построения сбалансированной системы информационной безопасности надо первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе выбранного критерия.
Систему информационной безопасности (меры по защите) надо построить таким образом, чтобы можно было достичь заданного уровня риска. Для выделенных ресурсов определяется их ценность, затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
На основе построенной модели можно обоснованно выбрать систему мер по защите информации, снижающих риск до допустимых уровней и обладающих наибольшей стоимостной эффективностью. По завершении работ можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из оценки безопасности.
В результате выполнения всех работ по созданию системной защиты информации в РИС будут выполняться следующие функции:

— идентификация, аутентификация и авторизация пользователей. Каждому пользователю компьютерной системы присваиваются уникальный идентификатор (ID) и пароль, по которым определяется, входит ли данный пользователь в список пользователей системы и может ли он работать в ней. Этот процесс называется аутентификацией пользователя. В случае, когда пользователь запрашивает доступ к конкретным ресурсам или объектам, система защиты идентифицирует его (распознает пользовательский ID) и, если он обладает соответствующими правами, открывает ему доступ к запрашиваемым ресурсам. При этом администратор системы может управлять уровнями и средствами доступа к объектам, которые включают в себя команды, наборы данных, дисковые устройства, терминалы, накопители на магнитных лентах. В процессе работы пользователя системой защиты ресурсов фиксируются все его обращения к информационным ресурсам;

— присвоение групповых паролей. В случае, когда группа пользователей постоянно работает с общими данными, присваиваются один групповой идентификатор и один пароль для всей группы;

— администрирование. Администратору сети дается право контролировать и анализировать работу системы защиты информации на всех уровнях как из своего компьютера, так и с любого терминала (рабочей станции);

— аудит. В системе защиты будет предусмотрено ведение аудиторского журнала, где будут учитываться все подозрительные события за время работы системы (попытки проникновения в систему извне, подбора пароля, запуска приложений из закрытых каталогов и так далее). Ведение такого журнала позволит легко аудировать работу пользователей в информационной системе — длительность работы, доступ к ресурсам и так далее;

— синхронизация паролей. Система защиты позволит пользователям синхронно менять свои пароли, например, на различных серверах баз данных.
Создание системной защиты ресурсов РИС позволяет оценить уровень текущего состояния защищенности информационных ресурсов организации, снизить ее потенциальные потери путем повышения устойчивости функционирования информационной сети.

В следующих публикациях будут приведены результаты анализа описанного выше комплексного способа защиты ресурсов для исследованной РИС.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте