Крючков Основы учёта,контроля 2007
.pdfДальнейшее развитие многосвязной модели идет в направлении так называемых n–связных систем клиент/сервер. Такого рода системы сохраняют все преимущества трехсвязной модели. Деловая логика в таких системах распределена на нескольких серверах, клиент может выбирать нужную ему в данный момент. Связь установлена с различными серверами баз данных. Такая система обеспечивает превосходную гибкость, легкость модификации и включения новых приложений. Составные части системы могут быть разнесены территориально. Глобальный пример системы такого рода это сама глобальная сеть Интернет. Любой пользователь может использовать деловую логику огромного числа поисковых серверов, выбирать информацию из требуемых источников данных.
Последней по времени технологией реализации многосвязной модели являются Web–сервисы или Web–службы. Эта технология позволяет получать необходимые данные в стандартных форматах без специального программного или аппаратного обеспечения.
Специалисты фирмы Майкрософт так определяют Web–сервис: Web–сервисы, основанные на XML, служат для обмена данными между приложениями и позволяют вызывать другие приложения независимо от того, как они устроены, на какой платформе они работают и какие устройства используются для доступа к ним.
Запросы к Web–сервисам поступают с помощью стандартных сетевых протоколов от приложений, реализованных на базе различных программных и аппаратных платформ, а результат возвращается в стандартной кодировке XML. Большие приложения разбиваются на независимые части, которые существуют на серверах приложений в качестве Web–сервисов.
7.3. Базовое программное обеспечение
Отраслевой стандарт [1] делит базовое программное обеспечение на три раздела:
•операционные системы;
•системы управления базами данных;
•инструментальные средства разработки.
Базовое программное обеспечение, используемые в компьютеризированных СУиК ЯМ, должны быть обязательно сертифицированы на соответствующий класс защиты информации от несанкционированного доступа. Требования к средствам защиты инфор-
341
мации изложены в Руководящем документе Гостехкомиссии РФ, регулирующем вопросы классификации АСУиК ЯМ [4]. Подробно классификации базового программного обеспечения и требования к безопасности информации в зависимости от установленного класса обсуждаются в главе 8. Специальных требований к инструментальным средствам разработки не предъявляется.
Рассмотрим более подробно каждый из типов базового программного обеспечения. Перечислим требования, предъявляемые к ним в отраслевом стандарте, кратко рассмотрим ПО, используемое в настоящее время, и рассмотрим перспективное ПО.
7.3.1. Операционные системы
Операционная система (ОС) – важнейшая часть ПО необходимого для формирования рабочей среды СУиК ЯМ. Параметры ОС в значительной степени определяют защищенность информационной системы от несанкционированного доступа и ее надежность.
Требования к операционным системам содержатся в отраслевом стандарте и требованиях Гостехкомиссии РФ по защите информации от НСД. Операционная система по требованиям отраслевого стандарта должна содержать и обеспечивать:
•средства работы в сети;
•средства защиты данных от несанкционированного доступа;
•контроль доступа при входе в систему;
•защиту памяти;
•разделение и учет доступа к ресурсам;
•средства обработки ошибок;
•средства поддержки работоспособности;
•развитые средства доступа к базам данных;
•поддержку распространенных сетевых протоколов;
•устойчивость к сбоям аппаратуры;
•возможности сбора статистики о работе системы.
ОС может содержать:
•поддержку технологии клиент/сервер;
•многозадачность с наличием системы приоритетов;
•возможность сетевой загрузки рабочих станций;
•поддержку источника бесперебойного питания (ИБП). Требования стандарта достаточно общие и не содержат конкрет-
342
ных нормативов. Конкретные требования, предъявляемые к ОС в соответствии с вводимой классификацией СУиК ЯМ, перечислены
вруководящем документе Гостехкомиссии РФ [4]. В этом документе приводятся требования к различным подсистемам, обеспечивающим безопасность информации, а также сертификационные и аттестационные требования в соответствии с классом системы.
Одной из основных технических проблем, с которыми сталкиваются разработчики компьютеризированных СУиК ЯМ, является отсутствие операционных систем, сертифицированных на классы выше третьего. В настоящее время Гостехкомиссией РФ сертифицированы к использованию в автоматизированных СУиК ЯМ ряд модификаций операционной системы Microsoft Windows NT 4.0. Она сертифицирована по 3–му классу защищенности от НСД. Действие сертификата неоднократно продлевалось.
ОС, сертифицированное на 3–й класс защиты от несанкционированного доступа, не позволяют обрабатывать информацию, имеющую различные степени секретности, что затрудняет их использование на большинстве предприятий, имеющих в обращении ядерные материалы. К тому же Windows NT 4.0 морально устаревшая система. Microsoft объявил о прекращении поддержки этой ОС
в2004 г. Поэтому одна из первоочередных задач, стоящих перед Федеральной информационной системой, является сертификация новой ОС для использования в системах 3–го класса и выбор системы для создания СУиК ЯМ 2–го класса.
Внастоящее время существует две точки зрения на решение этой проблемы. Первый путь заключается в использовании программного обеспечения производства Microsoft. Существуют предпосылки использования в качестве перспективной операционной системы Windows 2000. Эта операционная система была сертифицирована на 4–й уровень согласно международным общим критериям [5–7], поэтому сертификация ее на 3–й класс по требованиям Гостехкомиссии для СУиК ЯМ не должна вызвать значительных трудностей. Она является развитием операционных систем основанных на технологии NT, что позволит безболезненно перевести уже созданное прикладное программное обеспечение на новую систему. Наконец, корпорация Microsoft, в ответ на критику ее позиции в области открытости программного обеспечения, объявила программу GSP (Government Security Program). GSP создана специ-
343
ально в ответ на потребности государств в области создания защищенных информационных систем. Партнерство в рамках GSP дает организациям России право просмотра исходного кода Windows. Кроме того, GSP позволит российским разработчикам проводить совместные работы со специалистами Microsoft в целях верификации функций защиты, а также выполнения других исследований, намеченных участниками программы. Помимо доступа к исходному коду, участники GSP получат детальную техническую информацию о платформе Windows, что позволит проектировать и создавать еще более защищенные вычислительные системы. Специалисты отрасли полагают, что в рамках GSP возможно доведение продуктов Microsoft, в частости Windows 2000, до уровня 2–го класса защищенности [8].Другой подход основывается на использовании базового программного обеспечения на основе открытого кода. Имеется в виду использование операционной системы, построенной на основе популярной ОС Linux. Этот подход основан на том, что лицензионное соглашение Linux позволяет свободно модифицировать систему, что позволяет создать и сертифицировать дистрибутив Linux на 2–й класс защищенности. Сторонники этого подхода апеллируют к относительной дешевизне программного обеспечения на основе открытого кода.
На момент подготовки данного пособия к изданию сложилась следующая ситуация с сертификацией операционных систем. Из–за организационных проблем, возникших отчасти из–за реформирования руководящих органов отрасли, доступ к кодам операционной системы Windows 2000 был получен только в конце 2006 г. К этому времени данная операционная система уже морально устарела. Возникает необходимость сертификации операционных систем производства Microsoft следующего поколения – Windows XP и Windows 2003 Server. Соответственно, никаких работ по доведению операционных систем семейства Windows NT до требований, удовлетворяющих 2–му классу защиты от несанкционированного доступа для СУиК ЯМ не ведется.
Одновременно специалистами НПО «Луч» г. Подольск была создана защищенная операционная система Yanux 2.0 [9] на основе операционной системы Linux. Эта система в 2005 г. была сертифицирована на защиту от несанкционированного доступа согласно
344
документу [10] на класс, соответствующий 2–му классу согласно требованиям для СУиК ЯМ [4].
Далее перечислим основные свойства, которыми должна обладать защищенная операционная система, и рассмотрим их реализацию на примере операционных систем семейства Windows NT.
Защищенная ОС должны обладать [11]:
•возможностью идентификации и аутентификации;
•управлением и контролем доступа ко всем ресурсам системы;
•аудитом событий;
•способностью и средствами восстановления работоспособности;
•контролем за скрытыми каналами утечки информации. Большинство защищенных операционных систем работает на
базе микроядра. Микроядро постоянно загружено в оперативную память и управляет потоками информации между компонентами системы. Любая прикладная программа обращается к микроядру для получения разрешения на исполнение команд. Микроядро с помощью специальных серверных процессов проверяет правомочность выполнения команды и либо санкционирует ее исполнение, либо запрещает. Такой подход реализует архитектуру «клиент/сервер». Если запрашиваемый запрос разрешен, то микроядро вызывает соответствующий серверный процесс для его реализации.
В основу системы безопасности Windows NT положена объектная модель защиты. Под объектом понимается любой ресурс ОС (файл, устройство, программа, область памяти).
Каждый пользователь Windows NT должен быть зарегистрирован в системе. При этом он имеет входное имя (login) и пароль, которые заносятся в базу данных.
При входе пользователя в систему обязательно осуществляются процессы идентификации и аутентификации (рис. 7.3). Под идентификацией понимается подтверждение существование записи о пользователе, пытающемся войти в систему, в базе данных бюджетов зарегистрированных пользователей. Эта процедура сводится к проверке существования имени пользователя (login). Под аутентификацией понимается подтверждение того, что пользователь, входящий в систему, является именно тем лицом, за которое он себя выдает. Эта процедура заключается в проверке правильности вводимого пароля. Пользователь вводит свой login и пароль. Диспетчер бюджетов безопасности проверяет существование пользователя
345
с указанными параметрами и допускает его в систему, либо отклоняет доступ. При этом генерируется так называемый маркер доступа, содержащий ту информацию о пользователе, которая необходима для получения доступа к ресурсам (объектам). При этом любой процесс, который будет в дальнейшем инициирован пользователем, получает копию этого маркера. Такой процесс называется субъектом бюджета пользователя и обладает теми же правами доступа к объектам, как и сам пользователь.
Во многих современных ОС идентификация и аутентификация носят достаточно формальный характер, что позволяет субъектам сравнительно легко выдавать себя за другой субъект и пользоваться его полномочиями доступа к информации. В сетях Интернет в силу необходимости соблюдать требования по совместимости в глобальном масштабе вообще не предусматривается аутентификация при сетевых взаимодействиях.
|
|
|
|
|
Маркер |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Win32 |
|
|
|
|
|
|
|
|
доступа |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
Маркер |
|
|
|
|
|
|
|
|
|
|
|
|
доступа |
|
|
|
|
|
|
|
|||
|
|
Новый процесс |
||||||||||
|
|
|
|
|
|
|
|
|||||
Подсистема |
|
|
|
|
Диспетчер |
|
|
|
Маркер |
|
||
безопасности |
|
|
|
|
бюджета |
|
|
|
доступа |
|
||
|
|
|
|
безопасности |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 7.3. Процесс создания маркера доступа при входе в систему
Управление доступом к ресурсам системы подразумевает, что при запросе ресурса ОС проверяет правомочность субъекта на пользование данным объектом. Существует ряд моделей, реализующих эту функцию. Рассмотрим принципы организации двух моделей – дискреционной и мандатной [11]. Дискреционная модель управления доступом реализована в Windows NT [12], а реализация мандатной модели является необходимым условием сертификации ОС на второй класс защиты от несанкционированного доступа.
346
В рамках дискреционной модели каждый объект ОС имеет так называемый дескриптор безопасности, который включает в себя информацию о владельце объекта, и список контроля доступа, который осуществляет проверку на право доступа к объекту. По умолчанию владельцем объекта становится его создатель, право владения может быть передано. Владелец имеет возможность формировать и изменять права доступа к объекту. Список контроля доступа состоит из элементов управления доступом, которые специфицируют разрешения на обращение к объекту для пользователя. Элементы управления доступом содержат маску доступа, определяющую возможные действия с объектом. Например, для файла маска доступа содержит операции: «нет доступа», «полный доступ», «чтение», «запись», «изменение», «выполнение». При обращении к объекту монитор безопасности проверяет список контроля доступа объекта и либо санкционирует доступ, либо ограничивает его согласно маске доступа, либо отвергает (рис. 7.4).
Маркер доступа
SID,
группа и т.д.
Монитор безопасности
Определение
доступа
Файл
Askjadsf,d,s 
Ashksaaslsa dlsajdaslsla
ACL Объекта - Файл Пользователь=Read Группа1=Full
Группа2=No access
Рис. 7.4. Процесс процедуры доступа пользователя к ресурсу
Мандатная модель управления доступом основана на правилах секретного документооборота. Всем объектам и пользователям присваивается специальная метка, называемая уровнем безопасности. Устанавливаются отношения доминирования между уровнями. Так уровень «совершенно секретно» доминирует над уровнем «сек-
347
ретно». Контроль доступа к информации устанавливается на основании двух простых правил:
1.Пользователь имеет право получать только ту информацию, уровень безопасности которой не превышает его собственный.
2.Пользователь имеет право заносить информацию в те объекты, уровень безопасности которых не ниже его собственного.
Первое правило обеспечивает защиту информации от доступа со стороны низкоуровневых пользователей. Второе правило (более важное) предотвращает утечку информации со стороны высокоуровневых пользователей.
Мандатное управление доступом не различает сущностей и для достижения большей гибкости обычно используется наряду с некоторой дискреционной моделью.
Наряду с управлением доступом защищенные операционные системы должны предоставлять средства аудита событий. Обычно эти средства реализуются в виде журналов событий безопасности, просматривая которые системный администратор может получить информацию о действиях пользователя по отношению к информационной безопасности.
Поскольку компьютеризированные СУиК ЯМ принципиально являются системами, функционирующими в локальных компьютерных сетях предприятий, операционные системы, используемые для их функционирования, должны обладать встроенной поддержкой работы в компьютерной сети. Так операционные системы семейства Windows NT обладают поддержкой распространенных сетевых протоколов, позволяют организовывать персональные компьютеры в логические группы – домены. Внутри домена регистрация пользователей осуществляется только в одном месте – на главном контроллере домена. При входе пользователя на любой рабочей станции права доступа проверяются централизованно. Это позволяет легко организовывать и проводить единую политику безопасности на всех компьютерах домена.
В состав операционных систем, созданных на основе NT технологии входит компонент, называемый Internet Information Services. Данный компонент при установке позволяет создавать на компьютере Web – сервер, что делает возможным использование в локальных корпоративных сетях СУиК ЯМ технологий глобальной сети Интернет.
348
7.3.2. Системы управления базами данных
Ядром любой компьютеризированной системы учета и контроля является база данных. Под компьютеризированной базой данных понимается набор информации организованной определенным образом. Для работы с базой данных, для обеспечения компьютерной поддержки хранения и обработки информации используются системы управления базами данных (СУБД). Выбор СУБД во многом определяет дальнейшие пользовательские характеристики создаваемой СУиК ЯМ, включая быстродействие, объем хранимой информации и свойства защищенности информации как от НСД, так и от объективных причин.
Отраслевой стандарт предъявляет следующие требования к СУБД. СУБД должна содержать удобные средства создания резервных копий и восстановления данных. При необходимости СУБД может содержать удобный интерфейс пользователя и средства автоматической репликации БД.
СУБД должна обеспечивать:
•поддержку работы в сети;
•высокое быстродействие и производительность. При необходимости:
•наличие ODBC драйвера;
•обеспечение защищенности данных и разграничение доступа к
ним;
•поддержку языка запросов SQL.
Из всех этих требований конкретными являются два: СУБД должна иметь средства резервирования информации и обеспечивать сетевую работу. Остальное – либо не конкретно (понятие высокой производительности), либо не обязательно («при необходимости»). СУБД также обязательно сертифицируются по защите информации от НСД. На момент написания данной главы были сертифицированы на третий класс защиты от НСД три СУБД: Microsoft SQL Server 6.5 и две версии популярного продукта Oracle. Эти СУБД представляют собой системы, обеспечивающие архитектуру клиент/сервер и работающие с реляционными базами данных. В настоящее время эти два требования, по сути, являются признанным стандартом в отрасли. Архитектура клиент/сервер рассматривалась выше. Положение дел с сертификацией современных СУБД
349
в целом соответствует ситуации с сертификацией операционных систем.
Что касается базового программного обеспечения с открытым кодом, то специалисты НПО «Луч» одновременно с сертификацией ОС Yanux 2.0 сертифицировали СУБД PosgreSQL 7.4.6. Таким образом, в рамках использования программного обеспечения с открытым кодом, в настоящее время существует полный комплект сертифицированного программного обеспечения, необходимого для разработки и эксплуатации компьютеризированных СУиК ЯМ.
Реляционные базы данных
Существует ряд требований, которым должна удовлетворять реляционная СУБД:
•представлять информацию в виде таблиц;
•поддерживать логическую структуру данных, независимо от их физического представления;
•использовать язык высокого уровня для выполнения запросов
иизменения информации в базах данных;
•поддерживать основные реляционные и теоретико–множест- венные операции;
•поддерживать виртуальные таблицы для обеспечения альтернативного способа просмотра данных;
•различать неизвестные значения, нулевые значения и пропуски в данных;
•обеспечивать механизмы поддержки целостности, авторизации, транзакций и восстановления данных.
Таблицы содержат столбцы (поля) и строки (записи). При этом каждая запись описывает некоторую сущность, информация о которой хранится в таблице. Поля записи содержат свойства (атрибуты) этой сущности. Для однозначной идентификации сущности (записи) таблица содержит особое поле, называемое первичным ключом. Значение этого поля должно быть уникальным в данной таблице. В качестве первичного ключа может использоваться не одно поле, а несколько (композиционный ключ). В практике СУиК ЯМ для использования в качестве первичного ключа обычно вводят специальное поле, содержащие идентификационный номер. Для связи с другими таблицами таблица содержит поля, называемые внешними ключами. Внешний ключ является первичным ключом
350