Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014

Для защиты клиентских рабочих мест в соответствии с этими требованиями предназначены комплексы «Центр-Т» и средство обеспечения доверенного сеанса связи «МАРШ!».

С точки зрения пользователя работа с этими комплексами выглядит практически совершенно одинаково: пользователь подключает к клиентской машине (например, к аппаратному терминалу) свое персональное USB-устройство (ШИПКУ или «МАРШ!»), происходит (не требуя действий от пользователя, а в соответствии с предварительно заданными управляющим персоналом настройками) загрузка клиентской ОС, в которой стартует браузер или терминальный клиент и начинается сессия с удаленной системой.

Вместе с тем «Центр-Т» и СОДС «МАРШ!» – это совершенно разные комплексы, имеющие существенные особенности, обусловленные инфраструктурами систем, для которых они предназначены. СОДС «МАРШ!» предназначен для локальной загрузки ОС из защищенной памяти устройства и организации сессии Webили терминального доступа, а ПАК «Центр-Т» предназначен для конструирования, защищенного хранения и сетевой загрузки образов ОС терминальных станций по сети и дальнейшей организации защищенной терминальной сессии с терминальным сервером, защищенным ПАК «Аккорд TSE». Однако и то, и другое решение предназначено для того, чтобы унифицировать клиентские рабочие места различного аппаратного состава, имеющих различные встроенные ОС, или даже вовсе не имеющие в своем составе жесткого диска с какой-либо ОС. В дальнейшем о каждом из этих решений пойдет речь подробно.

ПАК «Центр-Т» построен на аппаратной базе ПСКЗИ ШИПКА – все компоненты комплекса реализованы на ШИПКАХ, которые в рамках этого решения выступают в качестве загрузочных носителей, применяются для контроля целостности и подлинности загружаемых по сети образов ПО (вычисления и проверки кодов аутентификации (КА), и используются как идентификаторы в комплексе «Аккорд TSE» на терминальном сервере.

Также эти же самые ШИПКИ могут быть хранилищем ключей VPN, если дополнительно каналы в этой терминальной системе защищаются с помощью решений такого класса, а также – и хранилищем ключей программных СКЗИ, если они используются в системе.

21

Кроме этого ШИПКА может быть идентификатором для входа в ОС Windows и в Домен Windows (как смарт-карта).

Все эти функции являются дополнительными к основной криптографической функциональности ПСКЗИ ШИПКА. А именно:

-Шифрование и подпись файлов и папок,

-Защищенная электронная почта,

-Защищенное хранение паролей и доступ к приложениям,

-Защищенное хранение ключей и сертификатов.

В двух словах стоит сказать о последнем. ПСКЗИ ШИПКА позволяет организовать работу с криптографическими ключами тремя способами: напрямую к ключами как отдельными объектами, с обменом «из рук в руки», через использование цифровых сертификатов (как сертификатов, выдаваемых удостоверяющими центрами, так и самоподписанных), и в парадигме «сети доверия» (через специальную программную оболочку «Privacy»).

При этом возможно получение сертификатов на ключи, выработанные ШИПКОЙ, в самых разных УЦ, как путем заполнения webанкет, так и через запросы на сертификат в формате pkcs7.

Подробно эти функции будут рассмотрены в рамках соответствующей темы, наряду с применением ШИПКИ в составе УАПК «Аккорд-У» (и совместно с этим комплексом), в составе ПАК «Аккорд», ПАК «Аккорд-В.», совместно с КриптоПро CSP, СКАД «Сигнатура», VipNetClient, VPN Gate Client и мн. др., а также ПАК Privacy, построенном на базе ШИПКИ.

Этот комплекс позволяет сделать мобильными без потери защищенности не только ключи и само СКЗИ, но и настройки, которые зачастую представляют существенную сложность и ограничивают возможности человека по использованию, например, защищенной почты – повторить настройки на почтовом клиенте на очередном компьютера – не каждому под силу. Privacy же позволяет носить с собой настройки, поскольку они задаются не в почтовом клиенте, а непосредственно в Privacy и сохраняются в ШИПКЕ.

СКЗИ, полностью аналогичным ШИПКЕ, но в форм-факторе PCI-платы является Аккорд-У. За счет того, что PCI-плата позволяет несколько больше, чем USB-устройство, помимо версии, сертифицированной ФСБ России на класс КС3, нам удалось сделать также версию, сертифицированную на КВ2. Но с точки зрения реа-

22

лизации криптографических алгоритмов и даже с точки зрения пользовательского интерфейса «Аккорд-У» и ШИПКА – полностью аналогичны, и тот, кто умеет работать с ШИПКОЙ не испытает ни малейших затруднений в работе с «Аккорд-У». Продукты могут работать навстречу, например, при построении обмена зашифрованными данными между центральным офисом и филиалами, в центральном офисе, где данных для обработки будет больше, может использоваться «Аккорд-У», а в филиалах – ШИПКИ. Именно так использует эти продукты один наш Заказчик из сферы телерадиовещания.

Еще один крайне интересный пример использования ШИПОК и «Аккордов-У» – это построение на их базе УЦ «Автограф». Это не наш продукт, а ФГНУ ЦИТиС, но поскольку это единственный известный нам удостоверяющий центр, абсолютно все криптографические преобразования в котором выполняются аппаратно, и более того, на наших СКЗИ, то мы считаем необходимым остановиться на нем отдельно в рамках соответствующей темы.

Есть такие инфраструктурные элементы, которые почти никак не зависят от способа построения системы. Например, флешки. Как бы ни строилась информационная система, они в ней почти всегда есть, даже если официально – нет. Флешки существенно упрощают жизнь, но и являются источником многих проблем. Однако если систематизировать, то проблем с флешками ровно две:

1)на них можно вынести то, что не положено и считать на любом другом компьютере,

2)на них можно принести ив информационную систему организации то, что не надо – например, вирусы, подхваченные дома в похвальном стремлении повысить производительность труда.

Обе эти проблемы связаны с одной ключевой особенностью флешек: все компьютеры для нее – одинаковы. Компьютеры могут различать флешки и допускать применение только разрешенных. Флешке же не объяснишь, что компьютеры тоже бывают разрешенные и неразрешенные, поэтому границы информационной системы для флешек носят условный характер и поддерживаются только организационными мерами.

23

На исключение именно этого недостатка направлено применение линейки «Секрет». Защищенные служебные носители «Секрет»

– это такие флешки, которые работают только на разрешенных им компьютерах, а на всех остальных их диски просто не монтируются, поэтому не определяются системой как диск «массторадж». Этим достигается эффект отсутствия доступа не только пользователя к данным, но и системы к диску – то есть вирусы на подключенную, но не примонтированную флешку – не запишутся.

Семейству продуктов «Секрет» посвящен отдельный однодневный курс, методическим рекомендациям к проведению которого и посвящено данное пособие.

Такое разнообразие линеек продуктов ОКБ САПР приводит на сегодняшний день к тому, что все, кроме каналов передачи данных, можно защитить комплексом наших взаимосвязанных средств, избегая тем самым пресловутого «зоопарка» средств защиты, чреватого проблемами совместимости и дублирования функций. Однако разработчиками ОКБ САПР постоянно ведутся работы по проверке (а в случае отрицательного результата – обеспечения) совместимости продуктами других вендров, а с наиболее авторитетными средствами защиты каналов мы интегрированы вплоть до интеграции в рамках одного средства (СОДС «МАРШ!»). Вопросы совместимости не вынесены в отдельную тему, но должны освещаться при рассмотрении каждого конкретного продукта.

Технологии защищенного применения USB-носителей

(продолжительность – 1 день)

1.Основные проблемы применения USB-накопителей

ипричины неэффективности традиционных методов противодействия связанным с ними угрозам

В информационных системах – государственных, частных или личных – данные хранятся, передаются и обрабатываются. Средства хранения данных принято называть носителями [4].

24

Носители данных в информационной системе (как, впрочем, и средства их обработки) могут быть стационарными и мобильными. Помимо этого носители информации могут быть составной частью оборудования, выполняющего также и обработку данных, а могут быть носителями в собственном смысле слова – устройствами, с помощью которых информацию носят, и во время того, как ее носят, она там хранится. А потом, когда информацию перенесли, она обрабатывается с помощью какого-либо другого оборудования. И вновь сохраняется на носитель, чтобы быть перенесенной куда-то еще.

Являясь частью защищенной информационной системы, носители информации тоже должны быть защищенными.

Защищенность – характеристика объекта, определяющая его способность противостоять атакам. Поэтому тезис о том, что защищенность различных элементов информационных систем обеспечивается разными способами, очевиден: повышает защищенность объекта способность противостоять именно тем атакам, осуществление которых наиболее вероятно по отношению к данному элементу системы. Спасательный круг существенно повысит защищенность на воде, но совершенно не повысит ее при пожаре или, скажем, морозе.

Что это означает применительно к вопросу защищенности мобильных носителей информации?

Носители информации являются частью информационной системы, и, значит, существенно бóльшая их защищенность по отношению к остальным ресурсам системы не имеет смысла («общий уровень защищенности определяется уровнем защищенности самого слабого звена», или «дыра в заборе»), она никак не усилит общую защищенность данных, и переплачивать за нее нецелесообразно. Нет практического смысла использовать сверхзащищенную флешку в незащищенной системе.

Однако даже для того, чтобы защищенность флешки соответствовала уровню защищенности самого обыкновенного домашнего компьютера, не защищенного ничем, кроме антивируса, эта флешка должна а) находиться в квартире и нигде кроме, б) быть какимто мистическим образом защищена от возможного воздействия вирусов. Теоретически это достижимо с помощью оргмер. Владелец флешки, которая используется только внутри защищенного поме-

25

щения для переноса информации между несколькими защищенными от вирусов компьютерами, может быть спокоен – флешка не снижает общей защищенности его системы.

К сожалению, такая идеальная с точки зрения безопасности ситуация даже если и возникает, то обычно длится недолго: флешку понадобится куда-то вынести.

Самая главная особенность мобильных носителей состоит в том, что они подвержены дополнительным угрозам (по отношению к угрозам, актуальным для основной («стационарной») системы), связанным с тем, что контур системы для них проницаем: они могут не только выноситься (и выносятся!) за пределы системы, но и использоваться там. А, как следствие, это приводит к утечкам информации из системы и к притоку вредоносного ПО в систему.

Именно поэтому проекты защищенных информационных систем зачастую предусматривают полный запрет на использование USB-носителей. Однако жизнь, как правило, оказывается далека от проектов. Некоторые причины такой «сопротивляемости» флешек «безопасникам» приведены в конце этой брошюры – в разделе «Почему вообще флешки?».

Итак, флешки признаются абсолютным злом потому, что они могут использоваться вне системы. Значит, защищенный носитель – это такой носитель, который может использоваться только внутри системы (государственной, корпоративной, личной) и не может использоваться вне ее.

Назовем такой носитель служебным.

Служебный носитель – это такой носитель, который позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию, записанную на него вне системы. Никому, в том числе и легальному, пользователю. Только в этом случае носитель не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр.

В защите нуждается не флешка и даже не информация сама по себе, а интересы ее владельца. И цель принятия различных мер по защите информации – обеспечить такой режим, при котором до-

26

ступом к информации будет управлять владелец. Чтобы обеспечить такой режим, нужно знать, кто владелец.

Точно так же, впрочем, обстоит дело и с любой другой собственностью – защитить интересы собственника возможно только в том случае, если известно, кто собственник. Если неизвестно, кто владелец недвижимости, как установить, законно ли ею распоряжаются? Защита интересов владельца – это защита его приоритетного положения по отношению к своей собственности.

Наличие четко определяемого владельца – совершенно необходимое условие и для обеспечения информационной безопасности. Владелец – это та точка отсчета, которая необходима для построения системы защиты.

Если флешки выдаются сотруднику на работе, то, как и все остальные средства вычислительной техники, принадлежат они владельцу информационной системы. Если же сотрудники покупают их самостоятельно, то принадлежат эти флешки тем сотрудникам, которые их приобрели, это естественно.

Тут кроется парадокс: может ли быть частью информационной системы элемент, принадлежащий другому владельцу? Казалось бы, вопрос весьма специфический и имеющий мало отношения к информационной безопасности системы.

Однако, это только на первый взгляд. Ведь система защиты должна обеспечивать возможность распоряжаться доступом к информации ее владельцу информации на его усмотрение, а всем остальным – действовать в соответствии с назначенными для них владельцем правами. Если же нет определенности в том, кто владелец, сомнительными становятся основания для ограничения доступа к «спорным» ресурсам. Ведь модель угроз, необходимая для построения корректной системы защиты (и это касается не только информации), напрямую зависит от того, где проходят баррикады и кто по какую сторону от них. То есть для управляемости системы однозначно лучше, чтобы сотрудники использовали те инструменты, владельцем которых является работодатель, а не свои собственные (BYOD).

Итак, формально флешки, конечно, имеют хозяина, ведь кто-то за них заплатил. В корректно построенной системе должны функционировать «служебные», а не «личные» флешки. Однако по-

27

смотрим, что вообще обозначает «владелец» по отношению к USBпамяти.

Связь между устройством и его владельцем никаким образом технически не обусловлена. Человек знает, что это его флешка, флешка же «не знает» об этом ничего, для нее все люди совершенно одинаковы. Значит, фактическим владельцем флешки является тот, кто в данный момент имеет возможность подключить ее к компьютеру.

Получается, что обыкновенные USB-флешки по природе своей НИЧЬИ. А ничье невозможно защитить.

Защита неравенства

Защищенные устройства или системы – это такие, пользоваться которыми могут не все [5].

Что же это означает применительно к защите флеш-памяти в формате USB-устройства?

Точкой отсчета при выстраивании системы защищенной работы с флеш-памятью в формате USB-устройства должен быть владелец системы. Только он должен определять, на каких компьютерах сотрудник сможет, а на каких не сможет применять свое устройство.

Значит, идеальная работа с USB-памятью в организации – это такая, когда владелец системы определяет,

1)кто может использовать флешку,

2)какую именно флешку сотрудник может использовать,

3)на каких именно компьютерах данный сотрудник может использовать данную флешку.

И при этом на компьютерах данной системы нельзя использовать никакие другие флешки, кроме разрешенных, а флешки, используемые в данной системе нельзя использовать ни на каких других компьютерах, кроме назначенных владельцем.

Казалось бы, это просто утопия – как можно что-то запретить на тех компьютерах, круг которых даже не может быть очерчен?

Однако, это не так. Именно такую возможность предоставляет система на основе защищенного носителя информации «Секрет». Эта система лишена недостатков, присущих принятым ранее способам работы с флешками в организациях.

28

Основные ошибки тех, кто пытается защищать флешки

Что такое «хорошая» защита, если рассуждать с точки зрения функционирования системы? Хорошей логично считать защиту, которая эффективно блокирует угрозы, не блокируя при этом полезную функциональность защищаемого устройства (или программы). Посмотрим, каковы полезные свойства флешек, и какие опасности с ними связаны.

Небольшого размера и Удобно в применении Вынос за пределы оргавеса. и переноске. низации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумыш-

ленником.

29

Если предельно обобщить, то с точки зрения владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.

Решения эти, конечно, различны по качеству и лежащим в основе принципам, однако, хуже другое – ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы

ворганизации с USB-памятью.

Вэтом легко убедиться, если попробовать оценить, какие именно защитные механизмы применяются для обеспечения безопасного использования флешек. Будем исходить из того, что механизмы реализованы в СЗИ правильно и работает СЗИ надежно, рассмотрим только саму суть механизмов, а не качество реализации.

Таблица 2. Традиционные механизмы защиты и их недостатки

30