Информационная безопасность вашего предприятия
11 мая 2005
Рубрика: Конференции, семинары и презентации.
Автор: .
pic

может быть основана на Microsoft Windows Server 2003

29 апреля 2005 года состоялся семинар, который был посвящен стратегии Microsoft в вопросах обеспечения информационной безопасности современного предприятия на основе продукта Windows Server 2003. Семинар проводился компаниями Microsoft и SoftLine. Предлагаем вашему вниманию небольшой обзор по материалам семинара.

Как стало известно, еще весной 2002 года корпорация Microsoft сформулировала свою новую стратегическую концепцию Trustworthy Computing (Защищенные информационные системы). Эта концепция определяет ключевые направления, по которым развиваются технологии и продукты, создаваемые Microsoft.
Концепция включает четыре компонента:

  • безопасность информационных систем
  • конфиденциальность частных данных пользователей
  • надежность систем
  • бизнес-этика и целостность бизнеса.

Что касается безопасности, то стратегия Microsoft в этом направлении сформулирована в виде аббревиатуры SD**3 + Communication:
Secure by Design (Безопасность в архитектуре) означает, что требования по обеспечению безопасности заложены изначально в создаваемый продукт, а также сам процесс разработки учитывает эти требования

  • Secure by Default (Безопасность по умолчанию) означает, что продукт должен обеспечивать необходимый уровень безопасности, даже когда его установка выполняется в конфигурации по умолчанию
  • Secure by Deployment (Безопасность в работе) означает, что продукт должен располагать необходимыми инструментами для защиты своих процессов, а также давать возможность пользователю внедрять технологии продукта в работающую информационную систему без риска для безопасности
  • Communication (Взаимодействие) означает наличие надежной двусторонней связи между Microsoft и пользователями по решению проблем, связанных с безопасностью систем.

Операционная система Windows Server 2003 выступает в качестве платформы информационной системы. Поэтому изначально в нее заложены механизмы, реализующие защиту информации на всех уровнях: пользователь, рабочая станция, сеть, сервер, доступ в Интернет.

Весь инструментарий Windows Server 2003, отвечающий за безопасность, можно сгруппировать по четырем направлениям:

  • аутентификация (проверка подлинности) субъектов
  • авторизация (контроль доступа субъектов к объектам)
  • шифрование информационных хранилищ и потоков
  • защищенное подключение к Интернету.

Аутентификация
Проверку однозначного соответствия пользователя и субъекта системы безопасности осуществляют службы аутентификации. Процесс аутентификации начинается с того, что пользователь сообщает системе свои регистрационные параметры, как правило – регистрационное имя и пароль. Службы аутентификации проверяют соответствие введенных данных параметрам, хранящимся в базе данных. При успешной проверке создается сеанс пользователя, а для субъекта формируется маркер доступа. Если проверка закончилась неудачно, пользователь получает отказ в доступе, сеанс не создается, маркер не формируется.
Ключевым модулем служб аутентификации является Local Security Authority (LSA), который исполняет роль диспетчера. Модель аутентификации LSA реализует следующие базовые концепции:

Процесс аутентификации организован по модульному принципу на основе Пакетов аутентификации (Authentication Packages). Модульность архитектуры позволяет абстрагировать основные системные процедуры аутентификации от конкретных протоколов и реализаций. Система позволяет добавлять собственные пакеты аутентификации для самых разных расширений.
LSA поддерживает гетерогенное окружение и предоставляет набор функций, с помощью которых пользовательские пакеты аутентификации могут устанавливать соответствия между регистрационными параметрами других систем и стандартными параметрами Windows Server 2003.
LSA позволяет инициировать разные процедуры аутентификации для различных типов устройств. Это касается, в том числе, и сетевых адаптеров: система обеспечивает отдельные процедуры для локальной и удаленной сетевой регистрации. Соответственно, можно подключить собственную процедуру для специального оборудования, например кард-ридеров, банкоматов и др.
Пакет аутентификации – основной компонент, реализующий логику проверки параметров пользователя и, в конечном итоге, принимающий решение об успешной или неуспешной регистрации. Пакет аутентификации представляет собой библиотеку DLL, которая подключается к LSA при старте системы в соответствии со значениями определенных ключей реестра. Пользователь, запрашивающий аутентификацию по какому-либо протоколу, передает свои параметры LSA, который вызывает соответствующий пакет аутентификации и передает ему эти параметры. При успешной проверке именно пакет аутентификации инициирует новый пользовательский сеанс и формирует список идентификаторов (SIDs), который затем будет включен в маркер доступа аутентифицированного пользователя.

В составе Windows Server 2003 поставляются два пакета аутентификации:

  • Пакет MSV1_0, обеспечивающий локальную аутентификацию и поддержку протокола NTLM
  • Пакет Kerberos, реализующий поддержку протокола Kerberos версии 5, ревизии 6 в соответствии со стандартом RFC 1510.

Система допускает подключение других пакетов аутентификации, разработанных для специальных устройств или для других протоколов аутентификации.

Система контроля доступа к объектам на основе COMMON CRITERIA

Common Criteria – это обобщенный международный набор требований и стандартов по безопасности информационных продуктов. Он включает:

  • подтверждение безопасности
    инфраструктурных информационных продуктов
  • международный стандарт
    • объединяет европейские и
      американские стандарты безопасности
    • ISO 15408
  • независимую оценку
  • прозрачность процедур.

Для различных типов продуктов сформулированы так называемые Профили защиты.
Профили Защиты существуют для

  • операционных систем
  • брэндмауэров (Firewalls)
  • смарт-карт и т.д.

Сертификация по Common Criteria – это проверка продукта на соответствие определенному Профилю Защиты.

Гарантированные Уровни Соответствия (Evaluation Assurance Levels):

  • EAL1 – низший, EAL7 — высший
  • 4 уровня (EAL1 — EAL4) – общие для всего сообщества, взаимное признание сертификатов
  • 3 уровня (EAL5 — EAL7) – индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов, сертификация на эти уровни проводится в каждой стране отдельно.

Система безопасности Windows Server 2003 построена на основе профиля «Controlled Access» Common Criteria (современное представление уровня безопасности C2 (NSA U.S.A.)). В обобщенном виде эти требования выглядят так:

  • система должна обеспечивать управление доступом к объектам путем назначения разрешений или запретов для индивидуальных пользователей или групп
  • память должна быть защищена таким образом, чтобы после освобождения процессом участка памяти другие процессы не могли прочитать или восстановить содержимое этого участка
  • каждый пользователь должен быть определен в системе уникальным образом. При входе в систему пользователь должен быть аутентифицирован
  • системные администраторы должны иметь возможность вести аудит всех событий, связанных с безопасностью системы. Доступ к данным аудита должен быть разрешен ограниченному кругу администраторов
  • система должна защищать себя от попыток внешнего воздействия, например модификации системных файлов

функции контроля доступа системы безопасности Windows 2000 позволяют назначать и контролировать права доступа пользователей к защищаемым объектам, а также ограничивать административные привилегии, предоставляемые пользователям для выполнения тех или иных действий.

Кстати, в России в рамках программы «Government Security Program» исходные коды Windows Server 2003 переданы соответствующим службам (ФСБ и Гостехкомиссия при Президенте РФ) для сертификации по российским стандартам.

Средства шифрования

Средства шифрования Windows Server 2003 включают в себя:

  • Cryptographic Service Provider
  • криптографические операции
  • генерацию и хранение ключей
  • CryptoAPI
  • программные интерфейсы к криптографическим службам Windows
    создание и тестирование собственных CSP с помощью
    Microsoft Cryptographic Service Provider Developer’s Kit (CryptoSDK)

Файлы, хранящиеся на жестком диске компьютера, защищены от несанкционированного доступа с помощью механизмов аутентификации и контроля. Тем не менее возможны ситуации, когда субъект получает доступ к файлу в обход системы безопасности. Бесконтрольный доступ к файлам можно получить, только минуя операционную систему Windows, например, загрузив компьютер с дискеты под DOS и запустив специальную программу. Следовательно, если существует вероятность возникновения подобных ситуаций, необходимо дополнительно защитить данные, хранящиеся на жестком диске так, чтобы никто, кроме владельца файла, не мог получить доступ к его содержимому, даже если служба контроля доступа не работает.

Конфиденциальность данных, расположенных на жестком диске компьютера, обеспечивает служба Encrypting File System (EFS). Файл, зашифрованный его владельцем, при последующих обращениях может быть доступен только ему. Любой другой пользователь, даже обладающий полными правами на файл, не сможет его прочитать. Задача EFS – обеспечить необходимый функционал для шифрования/расшифрования данных на жестком диске. При этом важнейшей особенностью EFS является прозрачность ее работы: для работы с зашифрованным файлом пользователю не нужно явно выполнять какие-либо операции преобразования. Все процедуры шифрования/расшифрования выполняются автоматически на системном уровне.

Защищенное подключение к Интернету

Для защиты периметра локальной сети всегда используются специальные межсетевые экраны (firewalls)
Microsoft ISA Server 2000 – мощный трехуровневый межсетевой экран, сертифицирован ICSA Labs.
ISA Server 2000 обеспечивает полный контроль и защиту всего сетевого трафика как входящего, так и исходящего из локальной сети. Позволяет контролировать доступ к ресурсам Интернета, а также безопасно публиковать внутренние серверы за пределы периметра локальной сети.
ISA Server 2000 также содержит встроенные механизмы обнаружения атак, лицензированные у компании ISS.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте