Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Глава 6. Особенности архитектуры сетевой системы защиты

6.4. Функциональные подсистемы

и модули центрально-распределенной

системы защиты

Функциональная структура сетевой системы защиты

С учетом особенностей рассматриваемого в работе класса систем (сис-

тем защиты, основные функции которых реализуются на системном уров-

не), система должна быть хорошо структурирована. Функциональная

структура системы защиты задает распределение реализуемых функций

по отдельным функциональным подсистемам. Функциональная подсисте-

ма состоит из нескольких модулей, реализующих набор механизмов, не-

обходимых для покрытия требований данной подсистемы.

Функциональный модуль определяется как структурный элемент, реали-

зующий набор механизмов или используемый для вспомогательных це-

лей (организации взаимодействия между другими модулями в рамках

решения всего комплекса задач).

Используя определенные выше компоненты системы защиты и сформули-

рованные в предыдущем разделе рекомендации, получаем структуру сете-

вой системы защиты, основанную на реализации централизованно-распре-

деленной архитектуры, представленную на рис. 6.3. Там указаны

информационные и управляющие связи между модулями в пределах одной

функциональной подсистемы, а также между отдельными функциональны-

ми подсистемами.

Из рис. 6.3. можно видеть, что в общем случае могут быть выделены сле-

дующие типы функциональных подсистем:

1. Подсистема защиты рабочих станций и информационных серверов

(клиентская часть системы защиты). К этой же подсистеме отнесем

функции регистрации событий.

2. Подсистема удаленного контроля рабочих станций и информаци-

онных серверов.

3. Подсистема удаленного управления механизмами защиты рабочих

станций и серверов.

Подсистема защиты рабочих станций и информационных серверов

(клиентская часть системы защиты)

Подсистема защиты рабочих станций и информационных серверов (кли-

ентская часть системы защиты) является структурообразующим элемен-

том, призванным решать собственно задачи защиты информации и со-

держащем в себе следующие основные функциональные модули:

111

Часть II. Архитектурные принципы построения системы защиты информации

Подсистема защиты

{клиентская

часть)

Подсистема удаленного управления

Модуль

обработки

сетевых

соединении

Модуль

контроля

целостности

Модуль управления

режимами

Подсистема удаленного контроля

Модуль базы данных

администратора

безопасности

модуль

сканирования клавиатур

Модуль

управления режимами

Модуль графического

интерфейса администратора

безопасности

Модуль

сканирования состояния системы

Рис. 6.3. Функциональная структура системы защиты

Модули, реализующие механизмы защиты (каждый механизм за-

щиты реализуется отдельным функциональным модулем):

• модуль аутентификации;

• модуль управления доступом;

• модуль контроля целостности;

• модуль противодействия ошибкам и закладкам в системном и

функциональном программном обеспечении;

• модуль очистки памяти и изоляции программных модулей и

др.

(в зависимости от реализуемых в системе механизмов защиты).

2. Модуль регистрации (аудита).

3. Модуль управления режимами, который решает задачи инициали-

зации механизмов при доступе к защищаемым ресурсам.

Подсистема удаленного контроля рабочих станций

и информационных серверов

Подсистема удаленного контроля рабочих станций и информационных

серверов реализует, в дополнение к перечисленным функциям защиты,

контроль служебной деятельности сотрудников и информации, распола-

гаемой на защищаемом объекте.

112

Глава 6. Особенности архитектуры сетевой системы защиты

Данная подсистема состоит из следующего набора функциональных модулей:

1. Модуль сканирования клавиатуры и монитора. Модуль сканирования

клавиатурного буфера удаленной консоли осуществляет копирование

информации, набираемой на клавиатуре видеотерминала, с целью

последующего архивирования и передачи на рабочее место админи-

стратора безопасности. При этом передача может осуществляться

либо в синхронном режиме — по расписанию, либо в асинхронном

режиме — по внешним запросам администратора безопасности.

Предварительное накопление информации по

результатам

контроля со-

стояния осуществляется либо в специальной, защищенной от просмотра

области внешнего диска, либо в виде, не пригодном для непосредствен-

ного просмотра и удаления пользователями. Режим функционирования

модуля определяется согласно установке соответствующих параметров

локальной базы данных системы защиты по сигналам от модуля управле-

ния режимами. Команды управления режимами инкапсулируются в кад-

рах протокола управления сетевыми соединениями системы защиты и

непосредственно передаются модулю управления режимами.

Модуль сканирования видеобуфера удаленной консоли реализует

аналогичные контролирующие функции по отношению к видеотер-

миналу удаленной консоли. В дополнение к перечисленному, дан-

ным модулем осуществляется автоматическое архивирование полу-

ченной информации непосредственно перед передачей на рабочее

место администратора безопасности. Период выполнения контро-

лирующих функций данного вида определяется необходимостью

выборочного контроля пользователей.

2. Модуль сканирования состояния системы реализует функции удален-

ного контроля состояния системы:

• контроля файловой системы защищаемого объекта. Реализуется воз-

можность удаленного просмотра объектов файловой системы, со-

здания, записи, удаления файла (каталога) на защищаемом объекте,

запрета доступа пользователей к удаленно создаваемому файлу;

• контроля среды исполнения. Реализуется возможность удаленно-

го контроля запущенных на защищаемом объекте процессов, уда-

ленного запуска процесса, в том числе в невидимой для пользо-

вателя консоли;

• контроля настроек ОС. Реализуется возможность удаленного про-

смотра объектов реестра ОС, создания, записи, удаления ключа

реестра на защищаемом объекте, запрета доступа пользователей к

ветви или ключу реестра ОС;

• контроля параметров сетевого доступа, в частности, занятых TCP

портов и т.д. и др. (в зависимости от реализуемых в системе

механизмов контроля).

3. Модуль управления режимами решает задачи инициализации меха-

низмов при запуске функций контроля.

113

Часть II. Архитектурные принципы построения системы защиты информации

Подсистема удаленного управления

механизмами защиты рабочих станций и серверов

(серверная часть системы защиты — сервер безопасности)

Подсистема удаленного управления механизмами защиты рабочих станций

и серверов (серверная часть системы защиты — сервер безопасности) обес-

печивает централизацию управления техническими средствами клиентской

части системы защиты и контроля (по соответствующим журналам) со

стороны серверной части в удаленном режиме. Функциональные возмож-

ности подсистемы обеспечиваются следующим набором модулей:

1. Модуль обработки сетевых соединений предоставляет интерфейс служб

представительского уровня МОС/ВОС для подсистемы системы за-

щиты и интерфейс сеансового уровня для подсистемы контроля

рабочих станций и информационных серверов. Межсетевое взаимо-

действие целесообразно реализовать на основе служб транспортно-

го протокола TCP и сетевого протокола IP. В качестве транспорт-

ного интерфейса для организации передачи команд и ответов

реализуется закрытый протокол, позволяющий шифровать трафик.

Для организации сетевых соединений и мониторинга подключения

рабочих станций используется интерфейс сокетов высокого уровня.

При установлении виртуального канала и передаче данных должна

использоваться сеансовая аутентификация агентов и контроль це-

лостности соединений по последовательным номерам команд-отве-

тов и таймерам ожидания/блокировки соединения. Передача кад-

ров протокола реализуется с использованием внешних подключаемых

алгоритмов маскирования и шифрования информации.

Модуль непосредственно взаимодействует с модулем доступа к базе

данных администратора безопасности при выполнении репликации

(согласования) элементов учетных записей централизованной базы

данных и локальных сегментов баз данных удаленных узлов. Мо-

дуль инициализируется при запуске сервера безопасности и остает-

ся активен до момента остановки серверной части.

2. Модуль базы данных администратора безопасности используется для

хранения, предварительной обработки (сортировки, фильтрации) и

выборки информации следующих типов:

• регистрационные записи журнальных файлов;

• параметры конфигурации и настройки системы защиты;

• сообщения об ошибках работы ОС и системы защиты (журналы

ошибок).

3. Модуль графического интерфейса администратора безопасности ис-

пользуется для доступа к базе данных выделенного сервера админи-

стратора безопасности и осуществления прямого контроля удален-

ных узлов в режиме реального времени, включая выдачу команд

чтения буферов клавиатуры и видеотерминала, проверки

подключе-

114

Глава 6. Особенности архитектуры сетевой системы защиты

ния пользователя к сети, команд обновления конфигурации и оп-

роса статуса удаленного узла. Интерфейс целесообразно строить в

удобной для использования форме, базирующейся на стандартных

для Windows-приложений графических примитивах. При этом дол-

жны предусматриваться различные способы группирования объек-

тов контроля в различные уровни иерархии, включая:

• группирование пользователей в функциональные группы по осо-

бенностям служебной деятельности;

• группирование пользователей в функциональные группы в соот-

ветствии с особенностями физического их расположения на тер-

ритории предприятия;

• группирование узлов в сетевые сегменты в соответствии с осо-

бенностями физического их расположения и способов подключе-

ния к ресурсам сети;

• группирование узлов в информационные (автоматизированные)

системы в соответствии с их принадлежностью к системам обра-

ботки данных;

• комбинированное группирование с учетом перечисленных

возможностей.

По соображениям удобства мониторинг объектов контроля осуще-

ствляется с применением одного из указанных представлений.

4. Модуль управления режимами решает задачи инициализации режи-

мов мониторинга и управления.

Функционирование системы защиты должно осуществляться в двух ре-

жимах в зависимости от наличия активного соединения клиентской час-

ти с сервером безопасности.

• При работе в автономном режиме (серверная часть отсутствует)

функционирование системы защиты начинается с загрузки опе-

рационной системы на защищаемом сервере или рабочей стан-

ции. При этом в качестве сервиса ОС автоматически загружается

система защиты с заданными настройками параметров механиз-

мов защиты.

• При работе в сетевом варианте (с сервером безопасности) после

загрузки клиентской части осуществляется автоматический поиск

сервера безопасности (по его заданному

IP-адресу

или

имени),

под-

ключение к серверу по протоколу TCP/IP на заданный порт и

проведение сеансовой аутентификации компонент системы защиты.

115

Авторизация

Методы идентификации и

аутентификации пользователя

Часть III

Авторизация и ее задачи

Парольная защита

Задачи и методы добавочных

механизмов в рамках

усиления парольной защиты

* Сетевая авторизация

глава?

Авторизация и ее задачи

7.1.

Понятие идентификации и

аутентификации. Процедура авторизации

Идентификация призвана каждому пользователю (группе пользователей)

сопоставить соответствующую ему разграничительную политику доступа на

защищаемом объекте. Для этого пользователь должен себя идентифици-

ровать — указать свое «имя» (идентификатор). Таким образом проверяет-

ся, относится ли регистрирующийся пользователь к пользователям, иден-

тифицируемым системой. В соответствии с введенным идентификатором

пользователю будут сопоставлены соответствующие права доступа.

Аутентификация предназначена для контроля процедуры идентификации.

Для этого пользователь должен ввести секретное слово — пароль. Правиль-

ность вводимого пароля подтверждает однозначное соответствие между ре-

гистрирующимся пользователем и идентифицированным пользователем.

В общем случае, как будет показано далее, идентифицируются и аутен-

тифицируются не только пользователи, но и другие субъекты доступа к

ресурсам.

Совокупность выполнения процедур идентификации и аутентификации

принято называть процедурой авторизации. При этом заметим, что иногда

не требуется идентифицировать пользователя, а достаточно только выпол-

нения процедуры аутентификации. Например, это происходит когда тре-

буется подтвердить текущего (уже зарегистрированного) пользователя при

выполнении каких-либо действий, требующих дополнительной защиты. В

свою очередь, не всегда требуется осуществлять контроль идентификации,

то есть в некоторых случаях аутентификация может не производиться.

Процедура авторизации имеет ключевое значение при защите компью-

терной информации, т.к. вся разграничительная политика доступа к ре-

сурсам реализуется относительно идентификаторов пользователей. То есть,

войдя в систему с чужим идентификатором, злоумышленник получает

права доступа к ресурсу того пользователя, идентификатор которого был

им предъявлен при входе в систему.

Часть III. Авторизация

7.2. Требования к идентификации

и аутентификации

7.2.1. Формализованные требования

Формализованные требования к данным механизмам защиты состоят в

следующем:

• Должны осуществляться идентификация и проверка подлинности

субъектов доступа при входе в систему по идентификатору (коду) и

паролю условно-постоянного действия длиной не менее шести бук-

венно-цифровых символов (для классов защищенности 1Г и 1В по

классификации АС) [1].

» Система защиты должна требовать от пользователей идентифициро-

вать себя при запросах на доступ.

• Система защиты должна подвергать проверке подлинность иденти-

фикации — осуществлять аутентификацию. Для этого она должна

располагать необходимыми данными для идентификации и аутенти-

фикации.

•

Система защиты должна препятствовать доступу к защищаемым ре-

сурсам неидентифицированных пользователей и пользователей, под-

линность идентификации которых при аутентификации не подтвер-

дилась (для 5 класса защищенности по классификации СВТ) [2] Для

3 класса защищенности по классификации СВТ вводится дополни-

тельное требование: система защиты должна обладать способностью

надежно связывать полученную идентификацию со всеми действиями

данного пользователя [2].

Очевидно, что кроме ограничения

«...паролю

условно-постоянного дей-

ствия длиной не менее шести буквенно-цифровых символов...» данные

требования никак не формализуют подходы к реализации механизмов па-

рольной защиты. Кроме того, данные требования не определяют, каким об-

разом должны быть реализованы механизмы парольной защиты, а также не

накладывают дополнительных ограничений, связанных с повышением стой-

кости пароля к подбору. В частности, они не регламентируют использова-

ние внешних носителей парольной информации — дискет, смарт-карт и т.д.

7.2.2. Дополнительные требования

Как отмечалось ранее, существует целая группа угроз, связанная с некор-

ректностью реализации процедуры авторизации в современных ОС, а также

с наличием ошибок в реализации соответствующих механизмов защиты.

Это обусловливает целесообразность рассмотрения механизмов авториза-

ции с целью их добавочной защиты. Кроме того, механизмы идентифика-

ции и аутентификации являются важнейшими для противодействия НСД

118

Глава 7. Авторизация и ее задачи

к информации, а значит, следует рассматривать возможные варианты их

резервирования (как «горячего», так и

«холодного»).

Кроме того, в рамках декларируемого системного подхода к проектиро-

ванию системы защиты (рассмотренного нами в четвертой главе), при раз-

работке механизмов авторизации следует рассматривать как явные, так

и скрытые угрозы преодоления защиты.

И еще:

в'

рамках системного подхода следует рассматривать не отдельно

механизм авторизации как таковой, а необходимую и достаточную совокуп-

ность механизмов защиты, призванных в комплексе решать рассматривае-

мую задачу защиты. Далее мы покажем, что как бы хорошо не был испол-

нен механизм авторизации, в отдельности он не позволяет обеспечить

надежную защиту от несанкционированного входа пользователя в систему.

7.з. Авторизация в контексте количества

и вида зарегистрированных пользователей

7.3.1. Кого следует воспринимать

в качестве потенциального злоумышленника

В системе зарегистрирован один пользователь

В общем случае в системе может быть зарегистрирован один либо не-

сколько пользователей. Случай, когда в системе зарегистрирован только

один пользователь, характеризуется тем, что данный пользователь явля-

ется и прикладным пользователем, и администратором безопасности.

Здесь источником потенциальной угрозы является только сторонний со-

трудник предприятия, а вся задача защиты сводится к контролю доступа

в компьютер (либо в систему), т.е. к парольной защите.

Данный случай является вырожденным и нами далее не рассматривает-

ся, т.к. в соответствии с формализованными требованиями к защите

информации от НСД (см. главу 1) даже при защите конфиденциальной

информации предполагается обязательное наличие администратора безо-

пасности.

В системе зарегистрированы администратор безопасности

и один прикладной пользователь

Общий случай функционирования системы с одним прикладным пользо-

вателем — это наличие в системе администратора

безопасности

и только

одного прикладного пользователя. В задачи администратора безопаснос-

ти здесь входит ограничение прав прикладного пользователя по доступу

к системным (администратора безопасности) и иным ресурсам

компью-

119

Часть III. Авторизация

тера. В частности, может ограничиваться набор задач, разрешенных для

решения на компьютере, набор устройств, которые могут быть подклю-

чены к компьютеру (например, внешний модем, принтер и т.д.), способ

сохранения обрабатываемых данных (например, на дискетах только в

шифрованном виде) и т.д.

В данном случае потенциальным злоумышленником в части несанкцио-

нированного использования ресурсов защищаемого объекта может являть-

ся как

сторонний

сотрудник предприятия, так и собственно прикладной

пользователь. Заметим, что прикладной пользователь здесь может выс-

тупать в роли сознательного нарушителя, либо стать

«инструментом»

роли стороннего нарушителя, например, запустив по чьей-либо просьбе

какую-нибудь программу).

В системе зарегистрированы администратор безопасности

и несколько прикладных пользователей

Кроме администратора безопасности, в системе может быть заведено

несколько прикладных пользователей. При этом ресурсами защищаемо-

го компьютера могут пользоваться несколько сотрудников, решая различ-

ные задачи. Ввиду этого информационные и иные ресурсы защищаемо-

го объекта должны между ними разграничиваться.

В данном случае к потенциальным нарушителям добавляется санкциони-

рованный прикладной пользователь, целью которого может служить НСД

к информации, хранимой на защищаемом объекте другим пользователем.

При использовании компьютера (прежде всего, рабочей станции) в составе

ЛВС, помимо локальных ресурсов защищаемого объекта, защите подлежат

сетевые ресурсы. В этом случае между пользователями могут разграничиваться

права по доступу к серверам, сетевым службам, разделенным сетевым ресур-

сам (общим папкам и устройствам, например, к сетевым принтерам) и т.д.

Здесь злоумышленник (санкционированный пользователь) может осуществ-

лять попытку получить НСД к сетевому ресурсу, к которому ему доступ не

разрешен,

с целью осуществления на него атаки с рабочей станции.

7.3.2. Рекомендации по построению

авторизации, исходя из вида и количества

зарегистрированных пользователей

Отметим, что наиболее простой в реализации защитой является защита

от стороннего сотрудника. В этом случае все мероприятия по защите

возлагаются на использование механизма парольного входа. Простота же

состоит в том, что, как увидим далее, в этом случае следует оказывать

противодействие только явным угрозам преодоления парольной защиты,

от которых защититься не представляет большого труда.

120