Rambler's Top100
 
Статьи ИКС № 7 2005
С. ПАНАСЕНКО  01 июля 2005

Как защититься от НСД?

Считается, что у задачи обеспечения конфиденциальности электронных документов (т. е. их защиты от ознакомления с ними посторонних) две составляющие: защита информации при ее передаче по открытым, или недоверенным, каналам связи и защита от несанкционированного доступа на компьютер, на котором обрабатываются и хранятся конфиденциальные данные. Рассмотрим вторую.

АСЗИ гарантируют

НСД опасен тем, что злоумышленник может не только прочитать и/или модифицировать электронные документы, но и внедрить программную «закладку», которая позволит ему предпринимать злонамеренные действия: знакомиться, например, с документами, хранящимися или обрабатываемыми на данном компьютере, модифицировать или уничтожать их, перехватывать ключи шифрования, с помощью которых защищаются документы при их пересылке по сетям, атаковать другой компьютер локальной сети с использованием захваченного и. д.

Часто используемые ОС имеют средства ограничения, или разделения, доступа, но для надежной защиты их недостаточно. Мгновенно распространяющаяся информация об ошибках в реализации защиты той или иной системы существенно опережает разработку и распространение программ обновления ОС с исправленными ошибками. Поэтому вместе со стандартными средствами защиты (или вместо них) следует дополнительно использовать надежные средства ограничения доступа.

Наибольшую гарантию безопасности дает применение аппаратных средств защиты информации от НСД (АСЗИ НСД). Теоретически любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма его работы и последующего получения доступа к системе. Поступить подобным образом с АСЗИ НСД практически невозможно: все действия по контролю доступа пользователей оно выполняет в собственной доверенной программной среде, не подверженной внешним воздействиям.

Внедрение АСЗИ НСД происходит в два этапа: на этапе подготовки и в штатном режиме. На подготовительном выполняется его установка – чаще всего это плата расширения, вставляемая в PCI-разъем материнской платы компьютера, а также настройка. Обычно настройку выполняет выделенный администратор безопасности. Он формирует список пользователей, которым разрешен доступ на защищаемый компьютер, и создает для каждого из них ключевой носитель, в дальнейшем используемый для аутентификации пользователя (проверки факта, действительно ли он является тем, за кого себя выдает) при входе. Список пользователей сохраняется в энергонезависимой памяти АСЗИ НСД. После этого администратор создает список файлов, целостность которых должна контролироваться средством защиты перед загрузкой ОС. Проверке подлежат важные файлы ОС, например системные библиотеки Windows, исполняемые модули используемых приложений, шаблоны документов Microsoft Word и. д. Контроль целостности файлов – это вычисление их эталонной контрольной суммы (в отечественных АСЗИ НСД чаще всего используются хэш-значения, определяемые по отечественному стандарту хэширования ГОСТ Р 34. 11-94), сохранение полученных значений в энергонезависимой памяти устройства, последующее (в штатном режиме) вычисление реальных контрольных сумм файлов и их сравнение с эталонными.

Через определенное время после включения защищаемого компьютера его BIOS передает управление средству защиты. На этом этапе АСЗИ НСД выполняет основные действия по контролю доступа, используя информацию, созданную администратором на подготовительном этапе. При этом оно запрашивает у пользователя ключевую информацию, необходимую для аутентификации, и проверяет ее корректность и принадлежность какому-либо пользователю из списка, составленного администратором. При обнаружении несоответствия загрузка компьютера блокируется. Если «все ОК», средство защиты рассчитывает контрольные суммы файлов, содержащихся в «подотчетном» ему списке, и сравнивает полученные контрольные суммы с эталонными. Когда все проверки пройдены, АСЗИ НСД возвращает управление компьютеру для загрузки штатной ОС.

В случае нарушения целостности хотя бы одного файла из списка загрузка компьютера обычно блокируется до разбора ситуации администратором. Он должен выяснить причину изменения данного файла и в зависимости от обстоятельств предпринять одно из следующих действий, разрешающих работать с защищаемым компьютером: пересчитать эталонную контрольную сумму для данного файла (зафиксировать измененный файл), восстановить исходный файл или удалить файл из списка контролируемых.

Обычно АСЗИ НСД хранит в собственной энергонезависимой памяти журнал операций, позволяющий администратору просмотреть информацию о сессиях работы пользователей с защищаемым компьютером, попытках несанкционированного доступа и. д.

Для осуществления таких проверок средству защиты необходима доверенная операционная система, исключающая возможность внедрения злоумышленником программных «закладок», влияющих на работу СЗИ НСД. Такая ОС записана в энергонезависимую память и загружается каждый раз перед выполнением контролирующих действий.

Однако при использовании АСЗИ НСД существует ряд проблем (к счастью, устранимых). В частности, BIOS некоторых современных компьютеров может быть настроена таким образом, что управление при загрузке не передается средству защиты. Для противодействия подобным настройкам АСЗИ НСД должно иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset), если в течение определенного времени после включения питания оно не получает управление. Возможны и «ломовые» приемы: злоумышленник может просто вытащить средство защиты из компьютера. Но и им есть противодействие: пломбирование корпуса компьютера, обеспечение невозможности физического доступа пользователей к системному блоку ПК и. д. Кроме того, существуют АСЗИ НСД, способные блокировать корпус системного блока изнутри специальным фиксатором по команде администратора – в этом случае устройство нельзя извлечь без существенного повреждения компьютера.

Довольно часто АСЗИ НСД конструктивно совмещаются с аппаратным шифратором – тогда рекомендуется применять его совместно с программным средством автоматического шифрования логических дисков компьютера. А ключи шифрования могут быть либо производными от ключей, с помощью которых АСЗИ НСД выполняет аутентификацию пользователей, либо самостоятельными, но хранящимися на том же носителе, что и ключи для входа пользователя. Такое комплексное средство защиты не потребует от пользователя дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратной части СЗИ.

Централизованное управление

Возможности АСЗИ НСД существенно расширяются за счет централизованного управления устройствами. Каждый пользователь из списка тех, кому разрешена работа на конкретном защищаемом компьютере, характеризуется как минимум двумя параметрами: уникальным идентификатором (именем) пользователя и информацией, необходимой для его аутентификации.

В энергонезависимой памяти реального АСЗИ НСД содержится и дополнительная информация о пользователе, набор которой зависит от функциональности конкретного средства защиты и условий его применения. Например, может быть зафиксирован диапазон дат действия аутентификационной информации пользователя, его права (является ли он администратором средства защиты,. е. имеет ли право на настройку СЗИ НСД), разрешено ли ему загружать ОС со съемного носителя и. д.

Подавляющее большинство предлагаемых сегодня на рынке АСЗИ НСД требуют локального управления,. е. их администрирование выполняется непосредственно на защищаемом компьютере. Такая схема имеет ряд недостатков. Главный из них, пожалуй, – существенные затраты времени на администрирование, когда количество используемых АСЗИ НСД увеличивается до нескольких десятков (причем не только администратора на настройку, но и пользователя – из-за вынужденного простоя). Кроме того, часто одному пользователю приходится работать на нескольких компьютерах поочередно. Для этого учетная запись должна быть продублирована в средствах защиты всех компьютеров, к которым он допущен.

И наконец, при использовании современных ОС работа администратора не ограничивается однократной настройкой АСЗИ НСД. Например, для ОС семейства Windows регулярно выходят пакеты обновлений и различные исправления, в том числе критических уязвимостей ОС и основных приложений. Необходимость их установки не вызывает сомнений. Такое обновление обычно выполняется в автоматическом режиме с помощью специального ПО (например, Windows Update), но не следует забывать, что любое подобное вмешательство в ОС вызовет изменение контролируемых файлов, а значит, и необходимость пересчета их эталонных контрольных сумм.

Все эти недостатки устраняются с внедрением централизованного управления СЗИ, которое осуществляется с помощью специального сервера управления. Такой сервер должен содержать как минимум:
  • список всех управляемых средств защиты;
  • для каждого управляемого АСЗИ НСД – список пользователей, которым разрешена работа на компьютере, защищаемом данным устройством;
  • учетные записи всех пользователей системы;
  • списки контролируемых файлов на защищаемых компьютерах и их эталонные хэш-значения.
Заметим, что при наличии соответствующей функциональности в защищаемых СЗИ можно централизованно управлять и списками контролируемых файлов.

Процесс входа пользователя на защищаемый компьютер несколько усложняется по сравнению с локально администрируемым АСЗИ НСД, поскольку в диалог «устройство – пользователь» вмешивается посредник (сервер), владеющий данными о пользователе и его правах и списками контролируемых файлов. Но на время обработки входных данных это практически не влияет, а для пользователя такой посредник вообще «не виден».

Реализация централизованного управления порождает и другую задачу. Для безопасной работы алгоритма аутентификации при централизованном управлении необходима защита конфиденциальности и целостности передаваемых между сервером и АСЗИ НСД команд и данных. Конфиденциальность обеспечивается шифрованием информации. А для защиты целостности каждую команду необходимо снабжать имитоприставкой или аналогичной криптографической контрольной суммой, которую потенциальный злоумышленник вычислить не способен.

Благодаря таким мерам зона действия сервера управления не ограничивается локальной сетью – централизованное управление средствами защиты может осуществляться и через Интернет, что актуально для организаций, имеющих территориально распределенную структуру.

Защищенное администрирование

Осуществлять администрирование данных, необходимых для работы управляемых АСЗИ НСД (и централизованно хранящихся на сервере управления), можно несколькими способами.

Во-первых, локально, непосредственно на сервере централизованного управления. Этот способ наименее затратный, однако не рекомендуется из соображений безопасности: сервер управления – ключевой элемент безопасности всей сети, поэтому физический доступ к нему следует полностью запретить. Во-вторых, с выделенного автоматизированного рабочего места (АРМ) администратора с помощью специального ПО. И наконец, с любого из защищаемых компьютеров при аутентификации в АСЗИ НСД с правами администрирования сервера управления.

Именно последним из перечисленных способов администрируются устройства без централизованной системы управления. В случае централизованного управления при входе администратора ПО АСЗИ НСД предоставляет ему интерфейс администрирования не локально управляемого устройства, а сервера централизованного управления.

Впрочем, при локальном администрировании сервера централизованного управления специальное ПО требуется далеко не всегда, зато в двух других случаях наличие специального и довольно сложного ПО администрирования необходимо. А еще второй способ требует наличия выделенного АРМ администрирования сервера управления. Тем не менее по соображениям безопасности два последних способа наиболее целесообразны, хотя интеграция непосредственно в управляемое устройство достаточно сложного ПО администрирования не всегда технически возможна. Отметим, что и сервер управления, и АРМ администрирования (при его наличии) также должны быть защищены с помощью АСЗИ НСД – во избежание воздействий злоумышленника на управляющую информацию.

Сервер управления, помимо собственно управления АСЗИ НСД, используется и для других, дополнительных задач, например для хранения и администрирования журналов операций всех управляемых АСЗИ НСД, для обмена любой зашифрованной информацией с контролем целостности между защищаемыми компьютерами через сервер управления по ключевой системе типа «звезда» и др.

Таким образом, установив сервер централизованного управления средствами защиты от HCД, можно не только устранить недостатки локально управляемых СЗИ НСД, но и создать реальный центр безопасности информационной системы организации.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!