Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

надежных и доверенных компьютеров, которые могут направлять FINGER-запросы в форме «finger user@host.domain@firewall». Но это возможно только в том случае, когда используется стандартная

UNIX-версия FINGER-протокола.

Но во многих корпоративных сетях все входящие FINGERзапросы блокируются. И причины такой блокировки самые различ­ ные. В первую очередь, это относится к ранее выявленным «заклад­ кам» и вирусам в системе защиты FINGER-сервера (в частности Internet-червь «Morris» таким образом весьма удачно «заражал» систе­ мы) и рискам, которым подвергается критическая или личная инфор­ мация пользователей, предоставляемая FINGER-протоколом. Необхо­ димо заметить, что если корпоративные пользователи сами размещают свою собственную критическую информацию в своих же файлах типа «.plan» (запрашиваемые FINGER-протоколом файлы), то тогда это мо­ жет привести к более серьезным проблемам в обеспечении ИБ, по сравнению с теми, которые может решить СЭ-система.

Трафик прикладных информационных систем и СЭ-система. Подавляющее большинство администраторов безопасности, обслу­ живающих СЭ-системы, разрешают транслировать GOPHERтрафик1 и ARCHIE-трафик12 через уполномоченные \АР-серверы, за­ прещая прямую трансляцию.

В настоящее время появилось очень много новых прикладных информационных служб, причем весьма неожиданно. Очень часто такие службы разрабатывались не корректно или проектировались без решения вопросов обеспечения ИБ. Более того, разработчики таких информационных систем «весьма бодро говорят», что если кто-то желает воспользоваться этими системами, то тогда ему необ­ ходимо только настроить соответствующий транспортный порт «ххх» на корпоративном маршрутизаторе. К сожалению, нет нико­ го, кто бы мог это сделать, и поэтому многие новые интересные ин­ формационные системы (ИС) не доступны для корпоративных пользователей, обслуживаемых СЭ-системой. ИС типа «RealAudio» (служба звукового Internet-вещания), которые требуют прямого UDP-доступа, являются реальными примерами таких недоступных систем. Необходимо иметь в виду, что если на практике приходится сталкиваться с одной из этих проблем, то тогда прежде чем разре­ шать транслировать трафик какой-либо информационной системы, необходимо узнать как можно больше о тех рисках ИБ, которые мо­ жет «преподнести» эта система. Это относится, в первую очередь, к

1Распределенная прикладная информационная Internet-система (система Документооборота). Использует ТСР-порт «70».

2 Информационная система Internet-сети. ARCHIE работает под Windows, ^IS-DOS, Macintosh, Unix.

тем службам, которые не предусматривают решение вопросов обес­ печения ИБ. Также существует вероятность того, что такие службы имеют все еще необнаруженные «дыры», в которых «могли остаться корпоративные следы».

ХН-трафик и СЭ-система. Оболочка «X Windows» для UNIXподобных операционных систем является очень востребованной сис­ темой, но, к сожалению, она имеет несколько существенных недостат­ ков с точки зрения защищенности. Удаленные системы, которые спо­ собны получить несанкционированный доступ к Х11-дисплею рабо­ чей станции, могут отслеживать символы, которые используют пользователи при нажатии на клавиатуру, и получать копии дан­ ных, размещенных в «окнах» на экране дисплея и др.

Несмотря на то, что были предприняты попытки устранить эти недостатки, нарушитель, по-прежнему, может довольно просто «вмешиваться» в работу X ll -дисплея рабочей станции пользователя. Большинство современных СЭ-систем блокирует весь ХН-трафик. Однако некоторые уполномоченные прикладные серверы (в составе СЭ-систем) пропускают через себя ХН-трафик.

RealAudio-трафик и СЭ-система. В настоящее время сущест­ вует много систем и сетей передачи информации в масштабе реаль­ ного времени (RealNetworks), в которых информация (RealAudio) транслируется через СЭ-системы. Однако это было бы неразумно вносить какие-либо изменения в настройку СЭ-системы без точного понимания того, что они повлекут за собой, или без полной инфор­ мации о рисках ИБ, которые могут «преподнести» эти изменения.

Корпоративная база данных, W 3-cepBep и СЭ-система. Во многих корпоративных системах функционирует корпоративная база данных (БД), а в качестве внешнего шлюза (форпоста) для дос­ тупа в эту БД выступает W3-cepBep. В таких схемах, лучше всего под­ держивать очень ограниченную связность между корпоративным Ш3-сервером и БД-сервером на основе использования специализи­ рованного протокола, который обеспечивает только требуемый уровень связности. Применение «грубого» SQL-сервера1 или чего-

1 Structured Query Language - язык структурированных запросов. Этот язык предназначен для создания и работы с реляционными базами данных (rela­ tional database), которые представляют собой наборы связанных данных, хра­ нящихся в таблицах. Для управления с реляционными базами данных ис­ пользуются программы, называемые системами управления базами данных, СУБД (database management systems, DBMS). На рынке предлагается большое

разнообразие таких программ: DB2 Universal Database, Oracle, Microsoft SQL Server, Microsoft Access, Sybase Adaptive Server Enterprise, SQL Anywhcie Studio, Informix Information Server, Ingres, MySQL, mSQL и другие. Для выло г

нения операций с базами данных эти СУБД используют SQL.

нибудь подобного, когда нарушитель способен перехватывать и ин­ терпретировать запросы пользователей и получаемую ими инфор­ мацию, является не вполне приемлемой идеей.

Предположим, что нарушителю удалось «взломать» корпора­ тивный W 3-cepBep и он способен формировать запросы таким же способом, как это делает W 3-cepBep. И теперь возникают вопросы:

0«А существует(ют) ли способ(ы) извлечения конфиденциаль­ ной информации (подобно информации о кредитной карте), которая «не нужна» W 3-cepBepy?»

о«А способен ли нарушитель направить SQL-запрос («SQL- select») и извлечь информацию из корпоративной БД?»

(«с нуля») с учетом обеспечения максимально возможного уровня их защищенности, а не путем добавления в «уже готовый» основной программный модуль дополнительных функций обеспечения ИБ и не вследствие того, что «мысль пришла в голову слишком поздно». Архитектуру безопасности корпоративной ИТС всегда необходимо рассматривать с точки зрения нарушителя. Предположим, что на­ рушитель знает все об архитектуре безопасности корпоративной сети. Тогда следует очевидный вопрос: «Что необходимо сделать нарушителю, чтобы «украсть» корпоративную информацию, чтобы провести несанкционированные изменения, или может ли наруши­ тель сделать что-нибудь еще такое, что является недопустимым?» И в результате анализа и реализации некоторых возможных реше­ ний можно существенно повысить уровень защищенности, причем без снижения функциональности всей системы.

В этой связи можно дать следующие рекомендации:

вследует удалять все данные, которые необходимы, из корпора­ тивной БД на регулярной основе, что позволит избежать от­ правки запросов ко всей БД, включая информацию, которая может заинтересовать нарушителей;

•необходимо резко ограничить и жестко контролировать раз­ решенный трафик между W 3-cepBepoM и БД-сервером.

Интегрированная с W 3-cepBepoM корпоративная база дан­ ных и СЭ-система. Когда стратегия обеспечения ИБ, реализуемая корпоративной СЭ-системой, «весьма расплывчата», тогда это, фак­ тически, означает передачу управления рисками нарушителю, ко­ торый будет «эксплуатировать уязвимость» W 3-cepBepa и, в резуль­ тате, сможет скомпрометировать корпоративную БД, причем в Дальнейшем будет очень трудно воспрепятствовать этому.

Тем не менее, во многих организациях, персонал, который от­ учает за связность внешнего \У3-сервера с корпоративной БД, просто

Глава 23. Основные технические модели

обеспечения безопасности ИТС

В данной главе дано описание технических основ (в терминах «моделей»), на которых базируются защищенные ИТС.

23.1. Цель и задачи обеспечения информационной безопасности

Цель обеспечения безопасности ИТС состоит в следующем: предоставить организации возможность решать все свои экономи­ ческие задачи и добиваться определённых результатов в своей ос­ новной деятельности с помощью внедрения ИТС в точном соответ­ ствии с рисками для организации, связанными с использованием ИТС и взаимодействием со своими партнёрами и потребителями.

Цель обеспечения ИБ может быть достигнута путём решения следующих частных задач обеспечения ИБ:

•доступность (систем и данных только для их использования по предназначению). Доступность представляет собой требова­ ние, предназначенное для обеспечения гарантий того, что сис­ тема функционирует без задержек и для авторизованных пользователей не будет отказов в обслуживании. Решение этой задачи позволяет предотвратить:

-преднамеренные или случайные попытки, направленные на: S осуществление неавторизованного удаления данных,

или;

S создание нештатной ситуации, связанной с отказом в об­ служивании и доступе к данным;

-попытки использования системы или данных в противо­ правных целях.

Доступность очень часто является первоочередной задачей обеспечения ИБ;

«целостность (системы и данных). Целостность имеет два аспекта:

-целостность данных (свойство, при котором данные не мо­ гут изменяться противоправным способом при их хране­ нии, обработке и передаче);

-целостность системы (качественная характеристика, при реа­ лизации которой система в период своего функционирования в штатном (не изменённом) режиме свободна от всякого рола противоправных манипуляций);

Целостность является наиболее важной задачей обеспечения ИБ для организации после доступности.

оконфиденциальность (данных и системной информации). Кон­ фиденциальность представляет собой требование, в соответст­ вие с которым частная и конфиденциальная информация должна быть не раскрываемой для неавторизованных пользо­ вателей. Защита конфиденциальности применяется к данным

в процессе их хранения, обработки и передачи.

Для многих организаций конфиденциальность весьма часто является менее важной по сравнению с доступностью и цело­ стностью. И всё-таки, для некоторых систем и определённых типов данных в большинстве систем конфиденциальность чрезвычайно важна;

оидентифицируемость (для отдельного уровня). Идентифици­ руемость представляет собой требование, в соответствие с ко­ торым все действия субъекта могут быть однозначно отслеже­ ны и зафиксированы для данного субъекта.

Идентифицируемость очень часто является требованием стра­ тегии безопасности организации и непосредственно обеспечи­ вает неотказуемость, воспрепятствование противоправным действиям, локализацию ошибок, выявление и парирование вторжений, а также последующее восстановление и проведе­ ние требуемых мероприятий.

огарантированность (того, что все предшествующие четыре за­ дачи решаются (или решены) адекватно). Гарантированность есть основа уверенности в том, что средства обеспечения безо­ пасности (и технические, и эксплуатационные) работают по своему прямому предназначению, т.е. защищают систему и реализуемые в ней процессы обработки информации. Счита­ ется, что предыдущие четыре задачи (целостность, доступ­ ность, конфиденциальность и идентифицируемость) решают­ ся (или решены) адекватно, когда:

-обеспечена необходимая функциональность, и она кор­ ректно реализуется;

-имеет место эффективная защита от непреднамеренных ошибок и сбоев (вызванных пользователями или программ­ ным обеспечением);

-имеет место эффективная система нейтрализации предна­ меренного преодоления защиты или её обхода.

Гарантированность - очень важная задача, без решения которой не могут быть решены другие задачи обеспечения ИБ. Однако обеспе­ чение гарантированности является изменяемой задачей, т.е. необхо­ димое количество гарантий (уровень гарантированности) зависит от к°нкретной системы.

430 Глава 23. Основные технические модели обеспечения безопасности ИТС

Рис. 23.1. Взаимозависимость задач обеспечения ИБ

Взаимозависимость задач обеспечения ИБ. Все пять задач обеспечения ИБ взаимозависимы между собой. Решение одной за­ дачи без учёта других задач практически невозможно. На рис. 23.1 представлены взаимозависимости между задачами обеспечения ИБ.

Конфиденциальность зависит от целостности следующим обра­ зом: если целостность системы нарушена, тогда нет смысла больше надеяться, что способы и средства обеспечения конфиденциально­ сти по-прежнему - эффективны и надёжны.

Целостность зависит от конфиденциальности следующим обра­ зом: если конфиденциальность некоторой части информации нару­ шена (например, был вскрыт пароль привилегированного пользовате­ ля), тогда способы и средства обеспечения целостности вероятнее всего будут преодолеваться с использованием обходного пути.

Доступность и идентифицируемость зависят от конфиденци­ альности и целостности следующим образом:

•если конфиденциальность некоторой части информации на­ рушена (например, был вскрыт пароль привилегированного

пользователя), тогда способы и средства, обеспечивающие ре­ шение задач доступности и идентифицируемости легко пре­ одолеваются с использованием обходного пути;

оесли целостность системы нарушена, тогда доверие к надёж­ ности используемых способов и средств, решающих эти задачи, также снижается.

Рис. 23.2. Модель служб обеспечения ИБ

Все эти задачи обеспечения ИБ зависят от гарантированности. Ко­ гда система проектируется, разработчик или инженер определяют уровень гарантированности как целевую функцию. Поставленная цель достигается описанием и реализацией функциональных требо­ ваний для каждой из четырёх задач обеспечения ИБ, добиваясь при этом необходимого и достаточного качественного уровня. Гарантиро­ ванность ставит во главу угла тот факт, что защищаемая система Должна не только обеспечивать необходимую функциональность, но и гарантировать невозможность возникновения нештатных событий.