Содержание к диссертации
Введение
ГЛАВА 1. Обзор моделей обработки данных 16
1.1. Модель централизованной обработки 16
1.2. Модель распределенной обработки 17
1.3. Web - тонкий клиент: возврат к модели централизованной обработки... 20
1.4. Объединение функций Интернет и Интранет серверов предприятия в единой системе 33
1.5. Корпоративные порталы 34
1.6. Системы управления контентом 37
ГЛАВА 2. Зональная модель разграничения доступа и авторизация 49
2.1. Выбор методов разграничения доступай авторизации 49
2.2. Зональная модель разграничения доступа 50
2.2.1. Неформализованное построение зональной модели 50
2.2.2. Теоретико-множественное представление зональной модели 56
2.2.3. Программная реализация 62
2.3. Выбор языка отображения данных 66
2.4. Определение типа клиента 68
2.5. Идентификация и авторизация пользователей 71
2.5.1. Способы реализации средств разграничения доступа для систем, основанных на Web 71
2.5.2. Встроенные функции защиты Windows и IIS 76
2.5.3. Использование цифровых сертификатов 80
2.5.4. Методы идентификации пользователей, применяемые на официальном сайте ИММ УрО РАН 81
ГЛАВА 3. Структуры данных и их безопасность 84
3.1. Структуры служебных метаданных файловой системы 84
3.2. Организация метаданных для управления доступом к контенту, хранимому средствами реляционной СУБД 91
3.3. Целостность данных 94
3.3.1. Обеспечение целостности 94
3.3.2. Проблема «утраченного обновления» 96
3.3.3. Оценка вероятности возникновения проблемы «утраченного обновления» 99
3.3.4. Реализация механизма блокировок 105
3.3.5. «Бесконечное откладывание» ПО
3.3.6. Проблема «тупиковой» блокировки 113
3.3.7. Проблема «грязного чтения» данных 113
ГЛАВА 4. Организационно-технические мероприятия обеспечения безопасности 117
4.1. Оценка относительной эффективности применения зональной модели 117
4.2. Возможные угрозы безопасности 119
4.3. Настройка базового программного обеспечения 124
4.4. Проверка защищённости сервера сканерами безопасности 125
4.5. Настройка базовой операционной системы 132
4.6. Настройка программного обеспечения HTTP-сервера 134
4.7. Настройка файловой системы и СУБД 135
4.8. Дополнительные программные средства 136
4.8.1. Персональный брандмауэр и детектор атак 136
4.8.2. Антивирусные средства 137
4.8.3. Резервное копирование 137
Заключение 139
Литература
- Модель распределенной обработки
- Зональная модель разграничения доступа
- Организация метаданных для управления доступом к контенту, хранимому средствами реляционной СУБД
- Настройка базового программного обеспечения
Введение к работе
Процесс построения глобального информационного общества в XXI веке охватывает все сферы жизни человека. Важнейшим условием формирования такого общества является широкое применение информационных технологий как основы для оперативного и интенсивного взаимодействия общества, власти и бизнеса. Следовательно, постоянно имеется необходимость создания новых *и совершенствования уже существующих информационных систем на принципах открытости и свободы доступа к информации.
Основой таких систем стала глобальная сеть Интернет, которая была создана для обеспечения обмена информацией между удаленными пользователями. В последние годы Интернет переживал феноменальный рост, причем увеличение числа соединений превышало темпы, имевшие место ранее.
Развитие технологий Интернет привело к возникновению глобальной службы, получившей название World Wide Web («всемирная паутина», WWW, Web), что обеспечило пользователям возможность работать с информацией в режиме прямого доступа {online), используя подключение пользователя к глобальной сети и специальные программы — клиенты для просмотра информации - браузеры {Web browsers).
Предоставляемая пользователям информация размещается на компьютерах, оснащённых специальным программным обеспечением - Web-серверах. Программное обеспечение этих серверов позволяет организовывать размещение информации таким образом, чтобы она могла быть представлена браузерам в виде легко читаемых гипертекстовых документов в формате HTML {Hyper-Text Markup Language) — Web-страниц. Современное программное обеспечение позволяет включать в Web-страницы информацию независимо от способа её хранения в компьютерной системе. Совокупность Web-страниц, объединенных общей идеей и связанных гиперссылками, называют Web-сайтом.
8 В процессе информатизации различных сфер современного общества
создаются открытые информационные системы. Общие свойства открытых информационных систем формулируются следующим образом:
расширяемость и масштабируемость - обеспечение возможности добавления функций информационной системе при неизменности остальных её функциональных частей и обеспечение повышения производительности системы без модернизации её программных компонентов;
мобильность и переносимость - обеспечение возможности переноса программ и данных при замене базовой аппаратно-программной платформы и возможность продолжения работы пользователей с системой без переподготовки;
интероперабельность - способность к взаимодействию с другими системами;
дружественность к пользователю и доступность.
Эти свойства, взятые по-отдельности, были характерны и для предыдущих поколений информационных систем. Теперь они рассматриваются как взаимосвязанные и реализуются в совокупности в Web-технологии.
Технологии Web постепенно становятся универсальным средством доступа пользователей к информации, хранимой в компьютерных системах. Идёт процесс объединения данных в единое пространство с общими способами сетевой транспортировки и доступа к данным.
Применение Web-технологии в корпоративной сети, которая может быть изолированной от Интернета, называется Интранет-технологией. Интранет-сети, получающие все более широкое распространение, основаны на внутрикорпоративных Web-серверах, доступ пользователей к которым регламентирован.
В настоящее время значительная часть документов хранится на локальных дисках отдельных пользователей сети корпорации и труднодоступна для
других специалистов. Использование файл-серверов не оказывает существенного влияния на ситуацию. Документы остаются зачастую невостребованными, скрываясь за ничего не значащими для пользователя именами файлов и структурами каталогов, не соответсвующими структуре информации. Использование средств электронного документооборота, внедрённых в конце 90-х гг. прошлого века, приводит к тиражированию документов. Множество файлов, содержащих один и тот же документ можно обнаружить в различных узлах корпоративной сети, причём эти файлы могут содержать различные версии документа. Файловые системы засоряются, а информация остаётся труднодоступной и не подвергается проверке на актуальность и достоверность.
Информационные системы предприятия, построенные на базе Web, предоставляют возможность решения следующих задач:
централизованное управление и администрирование данными, хранимыми в файлах разных форматов, в базах данных и системах полнотекстового поиска;
единый способ предоставления информации на рабочие места корпорации независимо от их местоположения и локального набора программных средств;
организацию высокоскоростного распространения актуальной информации.
Отметим некоторые преимущества электронных публикаций по сравнению с традиционными:
быстрее создаются;
могут содержать в себе всевозможные способы представления информации (текст, графика, звук, движущееся изображение, интерактивные элементы);
имеется возможность оперативного обновления;
возможность полнотекстового поиска.
Информация, предоставляемая внешними (публичными) Web-серверами предприятия, в большинстве случаев, является подмножеством информации, предоставляемой внутренними Интранет Web-серверами. В связи с этим в настоящее время весьма актуальной является задача объединения внешних и внутренних Web-серверов в корпоративный портал на основе общего репозита-рия данных.
Программное обеспечение портала должно
поддерживать автоматическое распознавание внешних и внутренних пользователей;
производить идентификацию и аутентификацию пользователей, на основе которой предоставлять информацию в соответствии с правами, определяемыми учетными записями пользователей;
обеспечивать целостность данных;
противостоять угрозам безопасности системы.
Необходимо отметить негативную тенденцию, возникшую в последнее время, заключающуюся в том, что Web-разработчики концентрируют основное внимание на внешнем аспекте работы Web-представительств, дизайне, в ущерб тщательной проработке механизмов, поддерживающих хранение информации и организации к ней доступа. Результатом этого является слабая защищенность многих сайтов от несанкционированного доступа и ошибок разработчиков. Ситуация с несанкционированным доступом усугубляется за счёт передачи работ по созданию Web-представительств сторонним разработчикам. Уровень разделения труда в современном производстве программного обеспечения не оставляет возможности ни системным архитекторам, ни авторам отдельных компонент представить себе все возможные связи, которые могут возникнуть между этими компонентами. В результате в программном обеспечении оказываются уязвимости, создающие условия для деятельности злоумышленников. Из-за своей сложности и взаимозависимости важные информационные системы представляют собой уникальную цель для технологических атак, так как имеют
жизненно важные узлы, удар по которым может привести к разрушительным последствиям [1].
Фундаментальная проблема состоит в том, что протоколы TCP/IP, положенные в основу Интернета, при проектировании не задумывались как защищенные. Перечислим некоторые возникающие в связи с этим проблемы [2, 3].
Легкость перехвата данных и фальсификации адресов машин в сети: основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены с помощью легко доступных программ.
Отсутствие политик: многие сайты сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, без учёта возможности злоупотребления этим доступом; многие серверы разрешают работу большего числа сервисов TCP/IP, чем им действительно необходимо для работы и не пытаются ограничить доступ к информации о своих компьютерах.
Сложность конфигурирования: зачастую сложно правильно сконфигурировать и проверить эффективность настроек. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.
Кроме того, открытость Интернета предоставляет потенциальным злоумышленникам возможности для изучения технологий, методов и приёмов исследования интересующих их систем на предмет обнаружения уязвимостей, способов атак, путей проникновения, вывода из строя систем. Более того, имеется возможность получения уже готовых программных средств для проведения указанных действий.
Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или сканировано злоумышленниками, в результате чего эти организации понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были
12 вынуждены временно отключиться от Интернета и потратили значительные
средства на устранение проблем с конфигурациями серверов и сетей. Владельцы и разработчики сайтов, которые не осведомлены или игнорируют эти проблемы, подвергают себя риску атаки злоумышленниками. Даже те сайты, на которых приняты меры по обеспечению безопасности, подвергаются тем же опасностям из-за обнаружения новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.
Для большинства фирм и организаций довольно сложной задачей является принятие правильного решения о необходимости и объеме проведении мероприятий по технической защите информации. Связано это с тем, что, в отличие от материальных ценностей, не всегда возможно однозначно определить ущерб от утечки информации. В результате меры по защите информации могут быть неадекватны возможной угрозе. В ряде случаев руководство фирм недооценивает риск утечки информации, что может привести к значительному ущербу. Иногда затраты на защиту могут значительно превышать возможные потери от ее утечки.
Таким образом, открытый и прозрачный доступ к информации вступает в противоречие с необходимостью обеспечения сохранности государственной и коммерческой тайны, конфиденциальной и личной информации, достоверности и целостности данных. В этом случае основные достоинства Интернета - открытость, общедоступность и анонимность превращаются в его недостатки.
Противоречие между требованиями всё большей открытости и обеспечения информационной безопасности не может быть разрешено имеющимися средствами.
Целью данного исследования является разработка методов и средств практического противодействия этим новым вызовам и угрозам. Представляемая работа решает весьма актуальную задачу создания на основе Web-технологии таких программных средств и структур данных, которые предоставляют пользователю на его рабочем месте необходимые информационные и
13 вычислительные ресурсы для практического применения в научных исследованиях с учетом обеспечения целостности данных и разграничения доступа различных групп пользователей.
Более подробно цели работы формулируются следующим образом:
разработка модели разграничения доступа к объединённому Интер-нет/Интранет сайту предприятия (корпоративному порталу) на основе теории множеств и критериев для неявной классификации клиентов по зонам доступа;
создание методов и алгоритмов разграничения доступа к корпоративному порталу в соответствии с выработанными критериями и правами пользователей;
разработка комплекса программ корпоративного портала на основе централизованного репозитария данных, единой точки доступа и средств идентификации пользователей, обеспечивающего:
о автоматическое, незаметное для пользователя, определение типа клиента, зоны доступа и языка отображения информации;
о формирование документов в соответствии с зоной доступа клиента и правами пользователя при обращении по одному и тому же полному полному Интернет-адресу ресурса (URL - Uniform Resource Locator);
о защиту информации от утраты обновления при редактировании приложениями с Web-интерфейсом;
о системно-независимые средства обеспечения объектов файловой системы метаданными, позволяющими реализовать механизмы меток доступа, определяющих отношение объекта к той или иной зоне и его блокировку от записи;
о обладающего свойством устойчивости к атакам злоумышленников. Предлагаемые подходы реализованы при создании нескольких сайтов, включая официальный сайт Института математики и механики УрО РАН [4-6].
14
Информация о сайте ИММ приведена в Приложениях 1 и 2. Работы выполня
лись по планам НИР Института по госбюджетной теме «Компьютерные техно
логии обеспечения научных исследований» (№01990001345) в период с 1994 по
2003 г. включительно. Работа поддержана грантом INTAS в рамках программы
развития телекоммуникаций в республиках бывшего СССР EmNet/NIS Евро-
пейского математического общества Euromath (1993-1998 гг.)
(, dnlb. dk/) и грантом Российского фонда фундаментальных исследований в рамках проекта «МАТЕМАТИКА» (1995-1997 гг.). На защиту выносятся:
основанная на теории множеств зональная модель разграничения доступа к корпоративному порталу, отличающаяся от традиционной способом определения базовых множеств клиентов и субъектов доступа и установкой одностороннего доверительного межзонального отношения;
сформулированные и обоснованные правила разграничения доступа пользователей (правила формирования матрицы доступа) к системным ресурсам и требования к клиентам системы, на основе зональной модели и понятия доверия;
разработанные алгоритмы и реализованный на их основе комплекс программ, выполняющий автоматическое определение типа клиента, зоны доступа и языка отображения информации для субъекта доступа;
разработанные структуры данных, обеспечивающие автоматическое формирование документов, различающихся полнотой содержащихся в них сведений, в соответствии с зоной доступа и правами пользователя
щ при обращении по одному и тому же URL на основе механизма меток
доступа для файловых систем и реляционных СУБД, непосредственно не поддерживающих этот механизм;
алгоритмы обеспечения целостности данных при параллельном редактировании средствами, использующими Web-интерфейс, и реализованный на их основе комплекс программ.
Работа была начата в Институте математики и механики УрО РАН, в секторе системного обеспечения ЕС ЭВМ отдела системного обеспечения под руководством кандидата физ.-мат. наук А.Н. Петрова, которым были поставлены основные задачи исследования и сформулирована программа работы.
В связи с безвременной кончиной А.Н. Петрова и расформированием сектора работа была продолжена по скорректированной программе и завершена в лаборатории компьютерных технологий под руководством кандидата физ.-мат. наук A.M. Устюжанина.
Хочется поблагодарить рано ушедшего, моего первого научного руководителя работы, зав. сектором СО ЕС ЭВМ, кандидата физ.- мат. наук А.Н. Петрова, о котором я всегда буду помнить, как о целеустремленном ученом, человеке высокой культуры, истинном интеллигенте.
Модель распределенной обработки
Внедрение персональных компьютеров (ПЭВМ) породило процесс разукрупнения, заключавшийся в ликвидации крупных вычислительных центров, оснащенных мэйнфреймами, и замены их локальными автоматизированными рабочими местами (АРМами) на основе ПЭВМ. Предполагалось, что максимально возможное приближение средств хранения и обработки информации к местам ее производства и потребления существенно повысит производительность труда, а персональные вычислительные системы значительно дешевле при приобретении и эксплуатации, чем мощные централизованные системы.
В ходе эксплуатации систем на основе автономных АРМ была выявлена главная проблема подхода - множество работников на различных рабочих местах должны использовать одну и туже информацию параллельно и согласованно, а значит, требуются средства и методы для обеспечения доступа к данным и приложениям, их совместного использования и поддержки целостности. Таким образом, к местам производства и потребления должна быть приближена именно информация и результаты её обработки, а не средства хранения и процессы обработки информации.
Одним из решений стало объединение отдельно стоящих АРМ в локальные сети. В простейшей модели с файл-сервером клиент выполняет транзакции, проверку, вычисления, навигацию и пользовательский интерфейс, а сервер предоставляет клиенту данные. В модели клиент-сервер проверка, вычисления, навигация и пользовательский интерфейс, выполняются на клиенте, а транзакции, требуемые для них проверки и вычисления, перенесены на уровень сервера. В многозвенных приложениях между клиентом и сервером располагается дополнительное звено, на которое могут быть возложены транзакции, проверка, вычисления и логика навигация (рис. 1.3).
В этих моделях защите подлежат все составляющие: аппаратная платформа и программное обеспечение клиента, аппаратная платформа и программное обеспечение сервера, оборудование и обеспечение средств связи, соединяющих клиентов и серверы. Распределенные системы имеют множество точек входа, через которые может осуществляться к ним доступ. Для каждой компоненты распределенной системы обычно реализован свой собственный механизм защиты. Для выполнения своих повседневных задач пользователю может понадобиться зарегистрироваться на большом числе компьютеров. Часто каждая система требует от пользователя ввода имени и пароля.
Множество усовершенствований, обещанных технологией клиент-сервер, оказались нереализованными, поскольку пользователи, администраторы сетей и информационных систем вынуждены применять многочисленные идентификаторы, пароли и процедуры регистрации. Одним из решений является создание средств, обеспечивающих единую точку для регистрации пользователей SSO (single sign-on) [22]. Системы с единой точкой аутентификации в начале работы делают использование множества идентификаторов и паролей прозрачным для пользователя, что может быть реализовано несколькими способами. Например, могут быть созданы скрипты, содержащие пары имя-пароль и команды входа в удаленные системы. Этот подход разгружает пользователя, но требует от обслуживающего персонала поддержку скриптов и их безопасного хранения. Их неавторизованное использование может дать доступ ко всем системам, на которых зарегистрирован пользователь. Другой подход базируется на средствах Kerberos и использует криптографические средства при передаче привилегий пользователя сети или серверу, к которому пользователю нужен доступ. Эти системы требуют наличия серверов привилегий, а также интеграции этой технологии в каждую систему, к которой должен иметь доступ пользователь. До сих пор наличие единой точки входа не стало общепринятой практикой, и не имеется стандартного решения этой задачи.
Актуальная задача заключается в уменьшении числа точек, в которых пользователь должен аутентифицироваться в системе и разработке пользовательских интерфейсов с такими средствами безопасности, чтобы они соответствовали уровню доступа и потребностям пользователей системы.
Один и тот же документ при использовании распределенной модели, хранится одновременно во многих местах и невозможно гарантировать, что все копии идентичны. Постоянно увеличивается число всевозможных информационных устройств. Усложняются связи между ними. В качестве одного из решений проблемы предлагается использовать различные средства синхронизации данных. Постоянная синхронизация данных это создание множества копий на большом числе различных устройств - серверах, настольных ПК, карманных компьютерах, мобильных телефонах. Автоматическая синхронизация страдает чрезмерной избыточностью, ручная сложна в использовании и в любом случае расходуется чрезмерно много ресурсов. Работа с распределёнными данными вызывает много сложностей. Например, некорректная репликация данных меж ду центральным и региональным офисами может привести к ошибкам в работе информационной системы.
Для информационно-вычислительных систем масштаба предприятия весьма актуальна проблема снижения эксплуатационных расходов. В распределённой модели велики расходы на модернизацию устаревающего парка рабочих мест, их техническую поддержку, сопровождение программного обеспечения, затраты на борьбу с вирусами и решение проблем компьютерной безопасности. Велики затраты на приобретение лицензионного программного обеспечения. В совокупности эти расходы могут существенно превосходить эксплуатационные затраты, требуемые для функционирования аналогичной системы, построенной на основе централизованной модели.
Зональная модель разграничения доступа
Системы на основе Web принято рассматривать как распределённую компьютерную систему с архитектурой клиент - сервер с «тонким» клиентом, где под «тонким» понимается клиент, который исполняет только малую часть логики приложения или не содержащий её вовсе, т.е. представляющий собой исключительно презентационный слой, отвечающий за взаимодействие человека и приложения (пользовательский интерфейс).
В распределённой компьютерной системе под зоной понимается обособленная совокупность подмножеств пользователей, объектов доступа и физических объектов с отдельной (внутризональной) политикой безопасности [49]. Локализация некоторого подмножества пользователей (или субъектов доступа в терминах субъектно-объектной модели [51]) и информационных ресурсов (объектов доступа) в одной зоне основывается на привязке их общей, с точки зрения безопасности и разграничения доступа, информации, например, общей базы учётных записей, к одной или нескольким выделенным вычислительным установкам (серверу). Признаки, используемые для локализации субъектов доступа, можно разделить на две группы: внутренние, принадлежащие серверной операционной системе, и внешние, не принадлежащие ей.
Дадим неформальное описание распределения клиентов и информации по зонам (рис 2.1) [4-6, 52, 53].
1. «Красная зона» - зона повышенной защищенности. Доступ к информа ции, классифицируемой как относящейся исключительно к этой зоне, предоставляется только пользователям, зарегистрированным на клиентах локальной сети предприятия и только после прохождения ими процедур идентификации/аутентификации. Также могут быть наложены дополни тельные ограничения, например, на значения IP-адресов клиентов.
2. «Желтая зона» содержит информацию, предназначенную для внутреннего употребления. Эта информация доступна без всяких ограничений для всех клиентов сети предприятия, независимо от прохождения пользователем процедуры идентификации/аутентификации. Пользователь, относящийся к «красной» зоне, удовлетворяет критериям, позволяющим классифицировать его как пользователя «жёлтой» зоны. Следовательно, информация «жёлтой» зоны должна быть ему также доступна. Отсюда, информация «жёлтой» зоны может рассматриваться как подмножество информации «красной» зоны. Обратное не верно.
3. «Зеленая зона». Информация, относимая к этой зоне, может быть доступна всем без каких либо ограничений. Клиентами этой зоны являются все клиенты Интернет/Интранет сети. Пользователи «красной» и «жёлтой» зон могут быть классифицированы как пользователи «зелёной» зоны.
Информация «зелёной» зоны может рассматриваться как подмножество информации «жёлтой», следовательно, и «красной» зон. Другими словами, клиенты «красной» зоны составляют подмножество клиентов «жёлтой» зоны. Множество клиентов «жёлтой» зоны составляет подмножество клиентов «зелёной» зоны. Для информационных объектов верно обратное — множество объектов «зелёной» зоны является подмножеством множества объектов «жёлтой» зоны, которое является подмножеством объектов «красной» зоны.
Для распределения клиентов по зонам, например, могут быть выбраны следующие критерии: 1) принадлежность IP-адреса клиента локальной сети; 2) время обращения клиента к сайту; 3) используемый браузер; 4) факт идентификации/аутентификации пользователя.
В рассматриваемой модели базовыми являются признаки отнесения клиента к «жёлтой» зоне. Будем считать, что клиент находится в «желтой» зоне, если он соответствует четырём требованиям: 1) клиент имеет IP-адрес локальной сети, отличный от IP-адресов любых серверов, и адресов, выдаваемых DHCP сервером; 2) используется браузер принятый в данной организации в качестве стандартного; 3) обращается к серверу в рабочее время; 4) используется учётная запись, дающая права анонимного пользователя. Первое требование - ограничения на ІР-адреса - вводится по следующим причинам. Возможная подстановка ложных адресов и доменных имен позволяет перехватывать любую информацию, в том числе параметры аутентификации доверительных пользователей атакуемого сервера. Полная защита от метода подмены при сегодняшнем состоянии Интернета невозможна. Пользовательский интерфейс на основе Web полагается доверительным.
Организация метаданных для управления доступом к контенту, хранимому средствами реляционной СУБД
Вопросы управления доступом и поддержания целостности тесно соприкасаются между собой, и во многих случаях для их решения используются одни и те же механизмы. Различие между этими аспектами обеспечения безопасности данных состоит в том, что управление доступом связано с предотвращением преднамеренного разрушения, а управление целостностью - с предотвращением непреднамеренного внесения ошибки.
Нарушение целостности данных может быть вызвано рядом причин: сбои оборудования, физические воздействия или стихийные бедствия; ошибки санкционированных пользователей или умышленные действия как санкционированных, так и несанкционированных пользователей; программные ошибки СУБД или ОС; ошибки в прикладных программах; совместное выполнение конфликтных запросов пользователей.
Важно не только не допустить нарушения целостности, но и своевременно обнаружить факт нарушения целостности и оперативно восстановить её после нарушения.
Поддержание целостности представляет собой достаточно сложную проблему даже в системе с одним пользователем. В системах, ориентированных на многопользовательский режим работы, возникает целый ряд новых проблем, связанных с параллельным выполнением конфликтующих запросов пользователей. Введём ряд понятий, связанных с управлением параллелизмом.
Важнейшим средством механизма защиты целостности выступает объединение совокупности операций, в результате которых данные из одного целостного состояния переходят в другое целостное состояние, в один логический элемент работы, называемый транзакцией. Если транзакция была прервана, то специальные средства должны осуществить возврат данных в состояние, предшествующее началу выполнения транзакции (откат). Если выполнение каждой транзакции в отдельности не нарушает целостности, то в результате одновременного выполнения нескольких транзакций целостность данных может быть нарушена. Чтобы исключить подобного рода ошибки, введём механизм, обеспечивающий захват транзакциями модифицируемых элементов данных до момента завершения модификации - блокировки. При этом гарантируется, что никто не получит доступа к модифицируемому элементу данных, пока транзакция не освободит его. Применение механизма блокировок приводит к новым проблемам управления параллелизмом, в частности, к возникновению тупиковых ситуаций при параллельном выполнении транзакций.
Рассмотрим проблему целостности применительно к средствам обновления данных с Web-интерфейсом [84-87].
Интернет/Интранет-сервер позволяет любому числу запросов осуществлять доступ к одним и тем же данным параллельно. С момента своего появления средства WWW были ориентированы на возможность просмотра статических страниц средствами браузеров, т.е. «пассивное» обслуживание пользователей. Включение в язык HTML механизма FORMS и интерфейса CGI, как средств для передачи информации от клиента к серверу, позволило рассматривать браузер в качестве тонкого клиента - универсального терминала [25, 88]. Для реализации этих функций серверный скрипт должен обеспечивать следующие уровни обработки [89]:
уровень ввода в контексте WWW содержит код, выполняющий извлечение параметров из HTTP-запросов и проверку синтаксической корректности входных данных;
уровень логики приложения включает в себя код, который обращается к другим средствам (базам данных, службам, компонентам и т.п.);
уровень презентации содержит код, динамически формирующий HTML страницу для внешнего представления приложения и подключающий не обходимые внешние элементы: изображения, заранее подготовленные части текста и HTML-разметки.
В случае редактирования через Web-интерфейс мы получаем логическую транзакцию Т, которая состоит из следующих действий.
Серверный скрипт se запрашивает данные, например, выполняет SQL-запрос SELECT или читает их из файла; формирует HTML форму, заполняя её этими данными; отправляет форму клиенту для редактирования и заканчивает свою работу.
Клиент вносит изменения в поля формы и возвращает данные, введенные в форму, серверному скрипту sw.
Серверный скрипт sw принимает данные из формы, обновляет данные и заканчивает работу.
В системах, основанных на Web, использование встроенных средств контроля целостности СУБД и файловой системы не представляется возможным из-за распределенного характера обработки. Нельзя объединить запрос данных и обновление данных в одну транзакцию, используя, например, средства СУБД, внутри одного «непрерывного» скрипта, выполняемого на сервере. Здесь работа с данными выполняется «с разрывом» двумя разными серверными скриптами.
Настройка базового программного обеспечения
Рассмотрим организационно-технические мероприятия, требуемые для организации защиты объединённого Интернет/Интранет сайта предприятия от возможных угроз на примере официального сайта ИММ УрО РАН.
Программное обеспечение официального сайа ИММ УрО РАН выполняется на сервере под управлением ОС MS Windows 2000. Входящая в стандартную поставку ОС MS Windows 2000 служба Internet Information Services (IIS) используется для работы множества виртуальных сайтов, выполняемых на одном физическом сервере. Для этого используется следующее программное обеспечение.
Internet Information Services (IIS). Стандартный Интернет-сервер в составе Windows 2000 Server, в состав которого входят HTTP-сервер (программное обеспечение Web-сервера) и SMTP-сервер (сервер электронной почты). Кроме того, могут быть установлены расширения, обеспечивающие поддержку WAP.
СУБД MS SQL Server 2000 используется для хранения и доступа к основной базе данных сайта; также могут использоваться унаследованные данные, хранение и доступ к которым производится, например, средствами СУБД MS ACCESS.
Для обеспечения работоспособности серверных приложений, перенесенных, например, с UNIX-подобных систем, должны быть установлены программные средства сервера баз данных MySQL, интерпретаторы Perl и PHP. Windows Media Services - служба передачи потокового видео. Indexing Services - служба индексирования содержимого документов для поддержки полнотекстового поиска. Сервер терминалов для доступа к «виртуальной консоли» через сеть.
Для доступа к содержимому сайтов может использоваться как стандарт ная служба доступа к файлам (протокол NetBIOS), так и протокол HTTP.
Для противостояния возможным угрозам следует на регулярной основе проводить следующие административно-технические мероприятия по настройке и устранению уязвимостей базовой операционной системы, программного обеспечения сервера HTTP и СУБД. В число этих мероприятий входят: установка обновлений базовой операционной системы, программного обеспечения HTTP-сервера, СУБД; процедуры резервного копирования и периодическое сканирование сервера на наличие уязвимостей и устранение обнаруженных изъянов базовой операционной системы, программных средств HTTP - сервера и СУБД, серверных расширений как собственной разработки так и разработанных третьей стороной.
Для определения видимости сетевых служб из Интернета и локальной сети и их уязвимостей сервер проверяется при помощи сканеров безопасности XSpider, X-Scan, MS Baseline Security Analyzer (MBSA), HFNetChk, Retina, NMap, LANGuard Network Scanner, NESSUS с включенными «опасными» опциями.
В качестве основного средства тестирования был выбран XSpider. Это программное средство сетевого аудита компании Positive Technologies (http.V/www.ptsecurity.т/), предназначенное для удаленной диагностики различных элементов сети на предмет поиска уязвимостей. Отличительными особенностями XSpider являются: интеллектуальный подход к распознаванию сервисов; уникальная обработка RPC-сервисов всех стандартов с их полной идентификацией; анализатор структуры и метод интеллектуального распознавания уязвимостеи Web-серверов; постоянное обновление; бесплатное распространение для российских пользователей. Помимо сканера безопасности XSpider включает в себя утилиты: простые сканеры (TCP и UDP портов); CGI-сканер с Brute-словарём; определитель исходящего трафика на удаленном компьютере; Whols сервис; утилиту проверки анонимности прокси-сервера; TCP и UDP клиентов; утилита ТСР-прокси позволяющая пропускать через себя TCP пакеты с возможностью их коррекции. XSpider может выполняться под управлением следующих операционных систем: Windows 95, 98, ME, NT, 2000, ХР, .NET. При тестировании, проведенном 3DNews Daily Digital Digest [108], XSpider показал себя бесспорным лидером при поиске уязвимостеи на серверах под управлением ОС MS Windows и SUN Solaris. Тестирование показало, что на текущий момент, XSpider по возможностям не уступает, а в некоторых случаях и превосходит известные сканеры безопасности, такие как ISS Internet Scanner, Nessus, Retina. К его недостаткам можно отнести то, что к сожалению в списке обнаруженных уязвимостеи выводится мало информации, что требует высокого уровня знаний и профессионализма у специалиста, использующего эту программу.
