Содержание к диссертации
Введение
Глава 1. Реализация и гарантирование политик обеспечения информационной безопасности в компьютерной системе 21
1.1. Понятие политики безопасности 21
1.2. Разработка модели защищенной компьютерной системы. Понятие доступа и монитора безопасности 27
1.3. Обеспечение гарантий выполнения политики безопасности 35
1.4. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности 42
1.5. Заключение и выводы 55
Глава 2. Модель управления доступом в распределенной компьютерной системе 57
2.1. Построение и исследование модели управления доступом 59
2.2. Создание системы централизованного управления доступом для :> различных архитектур корпоративной системы 66
2.3. Алгоритм "мягкого администрирования". Автоматизированное формирование списков разрешенных задач и правил разграничения доступа...72
2.4. Системы управления доступом при распределенном объекте управления 76
2.5. Заключение и выводы 80
Глава 3. Разработка моделей сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе 81
3.1. Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы 85
3.2. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы 90
3.3. Метод межсетевого экранирования. Свойства экранирующего субъекта .98
3.4. Заключение и выводы .' 105
Глава 4. Практические аспекты организации управления доступом в корпоративной системе регионального уровня 107
4.1. Область применения 107
4.2. Технология Дионис - пример разработки средств для создания региональных корпоративных сетей общего назначения 108
4.3. Специализированные корпоративные сети и МОМ-технологии (Message Oriented Middleware) 109
4.4. Управление доступом в корпоративной системе регионального уровня 114
4.5. Особенности организации управления доступом в корпоративных системах регионального уровня, построенных на основе технологии Дионис 115
4.6. Передача конфиденциальной информации по открытым линиям связи 120
4.7. Защита данных в интегрированных сетях голос + данные 123
4.8. Заключение и выводы 124.
Заключение 125
Литература
- Разработка модели защищенной компьютерной системы. Понятие доступа и монитора безопасности
- Создание системы централизованного управления доступом для :> различных архитектур корпоративной системы
- Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- Специализированные корпоративные сети и МОМ-технологии (Message Oriented Middleware)
Введение к работе
Одним из приоритетных направлений развития науки в России в настоящий момент является внедрение информационных технологий во все сферы исследований и жизнедеятельности человека. Эти технологии призваны коренным образом изменить темпы развития в третьем тысячелетии и подходы к решению фундаментальных и прикладных проблем, стоящих перед учеными. Очевидно, что в перспективе производство и использование информации будет занимать центральное место в организации всей общественной жизни. Можно говорить о назревающей тенденции к формированию общества, характерной чертой которого станет доступность знаний, не ограниченная пространством и временем, социальными и иными барьерами.
Нет необходимости подробно говорить о том, какое значение имеет внедрение современных информационных технологий для области научных исследований и образовательного процесса. Сейчас, когда информация является основой всех общественных, государственных, научных, образовательных и других процессов, огромную важность приобретает оперативный доступ к нужной информации, причем информационные потоки в настоящее время настолько обширны, что это действительно становится проблемой номер один современного общества.
В нашей стране развитие компьютерных телекоммуникаций началось по меркам развития современного мира намного позже, чем в развитых странах, что вкупе с постоянными финансовыми проблемами и весьма непростым материальным положением нашей науки, безусловно, не способствует прогрессу в этой области. В результате все больше осложняется конкурентоспособность российской науки и образования в современном мире. Мы все еще обладаем прекрасной наработанной научной и образовательной базой, в течение длительного времени дававшей нам преимущество перед зарубежными наукой и образованием, но необходимо постоянное и непрерывное развитие этой базы. А это, в свою очередь, невозможно без развития компьютерных телекоммуникаций, которые позволяют объединить разрозненные информационные и вычислительные ресурсы в единую систему и обеспечивают доступ к ней.
В свою очередь, эффективность использования компьютерных информационных технологий определяется надежностью и быстродействием системы передачи данных, а основное их преимущество — оперативность сбора, обработки и последующего доступа к информации - может быть получено только при непрерывной работе по увеличению пропускной способности каналов связи и оптимизации маршрутов информационных потоков.
Именно поэтому в соответствии с поручением Президента РФ по итогам состоявшегося в ноябре 2007 года заседания Совета при Президенте РФ по науке, технологиям и образованию о принятии мер по обеспечению деятельности национальной научно-исследовательской информационно-вычислительной сети, предоставляющей научным и образовательным центрам доступ к распределенным вычислительным средам высокой производительности, в России предпринимаются экстренные меры по обеспечению модернизации действующих каналов передачи данных в опорной инфраструктуре национальной научно-образовательной телекоммуникационной сети до уровня, соответствующего мировому, т. е. с емкостью от 1 до 10 Гбит/сек и выше; и обеспечению развития опорной инфраструктуры научно-образовательной телекоммуникационной сети внутри России путем создания системы новых опорных региональных узлов с целью увеличения географического охвата сети, обеспечения высокоскоростной связности отечественных супервычислительных центров, распределенных информационных ресурсов и их эффективного взаимодействия с международными вычислительными и информационными ресурсами.
Актуальность исследования. В настоящее время при проектировании и эксплуатации компьютерных систем (КС) различного назначения проблемы обеспечения информационной безопасности стали играть ключевую роль. Это касается не только систем специального применения (например, военных), но и систем общего назначения, связанных с поддержкой критичных информационных технологий (транспорт, связь, энергетика, наука, медицина, финансы и др.).
По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше 70% связаны с несанкционированным доступом к данным). По докладу ЦБ РФ (www.cbr.ru) можно сделать выводы и о масштабе атак на КС, обслуживающие кредитно-финансовую сферу, - масштаб потерь из-за незащищенности данных в региональных сетях кредитных организаций (КО), взаимодействующих с ЦБ, оценен в 20 млрд. рублей в год (из них свыше 30% - это потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) примерно на порядок выше.
В последнее время происходит бурное развитие региональной информационной инфраструктуры. Неотъемлемой частью этого процесса является создание интегрированных КС - информационно-телекоммуникационных систем (ИТС), являющихся объединением сетей передачи данных, локальных сетей организаций и ведомств, а также информационных ресурсов личного и корпоративного характера. В свою очередь ИТС интегрируются в единую ИТС (ЕИТС) регионального уровня. Важнейшей задачей является обеспечение безопасности информации в ЕИТС. Практика показала, что первостепенными являются две задачи - обеспечение управления доступом в региональных ИТС и ЕИТС и учет влияния распределенности ресурсов и инфраструктуры ЕИТС.
Управление доступом должно учитывать, с одной стороны, как наличие штатных средств реализации механизмов обеспечения безопасности (механизмы, встроенные в операционные среды и прикладные системы), так и наличие различных уровней управления - персональный, корпоративный, региональный и федеральный.
Проблема распределенности заключается в том, что интеграция различных коммуникационных и информационных ресурсов порождает проблемы как с управляемостью системы (включая компоненту информационной безопасности), так и с корректным формулированием и реализацией различных политик безопасности.
Несомненно, в силу приведенных причин защите информации при создании ИТС уделяется самое серьезное внимание. Однако уровень готовности к теоретическим и практическим решениям проблем безопасности далек от желаемого. В методологии проектирования систем безопасности основной проблемой является отсутствие единого обоснованного подхода к разработке и эксплуатации защищенных компьютерных систем. В настоящее время превалирующей методологией является сформировавшаяся в 1970-е годы в США методология необходимых условий, ориентированная на качественное описание защитных механизмов, как правило, на их наличие или отсутствие. Кроме того, жизненный цикл систем безопасности (проектирование, разработка, эксплуатация, управление) ориентирован на итеративное движение, связанное с доработкой обнаруженных слабостей в защите. Достаточное поверхностное внимание уделяется проектированию и реализации процедур управления доступом. Сложившийся подход к проектированию систем безопасности наследует, таким образом, традиционную технологию проектирования и не влияет на итерационный характер процессов проектирования. Весьма важной проблемой является также серьезное отставание методов и моделей проектирования средств защиты информации и управления доступом к ней от практически доступных широкому кругу пользователей достижений современных сетевых информационных технологий.
При разработке сложных систем обеспечения информационной безопасности основную роль играет так называемая модель управления доступом. В англоязычной литературе для обозначения сходного понятия используются: термины «security model» (модель безопасности) и «security policy model» (модель политики безопасности). Эта модель определяет правила управления доступом к информации, потоки информации, разрешенные в системе таким образом, чтобы система всегда была безопасной: Целью построения модели управления доступом является выражение сути требований по безопасности к данной системе. Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как модель является формальной, возможно осуществить доказательство различных свойств безопасности всей системы [10].
Таким образом, тема диссертационной работы является актуальной и непосредственно связана с глобальной проблемой управления техническим циклом жизни программно-технических изделий (в данном случае относящихся к обеспечению безопасности).
Процесс массовой интеграции компьютерных систем в системы управления и информационного обеспечения производственной и научной сферы, включение в эти системы персональных ЭВМ и общедоступных корпоративных и даже глобальных сетей достаточно остро ставят вопрос обеспечения априорно заданных при разработке системы свойств как самой системы, так и информации, циркулирующей в ней. К таким свойствам обычно относят свойства достоверности, доступности, целостности и конфиденциальности информации и ресурсов (сервисов), понимаемых как процессы преобразования (перемещения) информации в рассматриваемой системе. Единство информации и процессов ее обработки обычно называют информационной технологией. Итак, информационная технология должна удовлетворять свойствам достоверности, доступности, целостности и конфиденциальности. Свойство достоверности понимается как сохранение информацией своих семантических свойств в любой момент времени от момента ввода в систему. Свойство доступности понимается как возможность пользования некоторым ресурсом и информацией в произвольный момент времени. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени от момента их по-рождения или ввода в систему. Свойство конфиденциальности понимается как недоступность информации или сервисов для пользователей, которым априорно не задана возможность использования указанных сервисов или информации (данных). Иногда выделяют также свойство актуальности информации, связанное со свойством доступности [13, 12, 16].
Анализируя эти свойства, нельзя не заметить, что, будучи рассмотренные как цели, достигаемые в ходе проектирования, реализации и эксплуатации ИТС, они предусматривают наличие в системе некоторых защитных механизмов, поскольку выполнение любого из указанных выше свойств подразумевает противодействие факторам, нарушающим эти свойства. Окружение или внутренние факторы работы системы подразумевают в этом случае наличие воздействий по нарушению свойств достоверности, доступности, конфиденциальности - неких злоумышленных влияний или воздействий.
Эволюция от замкнутых систем к открытым предусматривает и существование различных интересов по отношению к информации и сервисам системы, следовательно, потенциальное умышленное изменение свойств системы надо признать возможным.
Для поддержания априорно заданного набора свойств информационной системы практически всегда необходимо ставить вопрос о защите информации в контексте обеспечения тех или иных свойств. Вполне очевидно, что различные свойства по- разному актуальны в конкретной системе. Однако если рассмотреть современную типовую конфигурацию информационной системы с подключением к глобальной сети, то окажется, что все указанные свойства (целостность, конфиденциальность, доступность) будут актуальны. Так, необходимо обеспечить конфиденциальность и целостность некоторого объема индивидуальной информации от воздействий извне, достоверность получаемой из сети информации, конфиденциальность обмена информацией между абонентами и т. д. Таким образом, защитные механизмы должны являться неотъемлемой частью любой информационной системы. Данный вывод также.обуслав- / ливает актуальность рассматриваемой темы.
Проблематика защиты информации в компьютерных системах с момента формулирования основных проблем в работах [57, 64, 65, 66] в середине 1970-х годов до современного состояния прошла длительный и во многом противоречивый путь. Первоначально сформулированные проблемы сводились, как правило, к задаче поддержания конфиденциальности в двух аспектах - вопросы криптографической защиты информации в средах передачи и хранения данных и программно-технические вопросы разграничения доступа к данным и ресурсам вычислительных систем. Важно заметить, что в начале 1980-х годов компьютерные системы были слабо распределенными, и указанные вопросы удавалось достаточно успешно решать. Обращаясь к работам того времени, можно отметить, что они оперируют рядом терминов, которые авторы считают интуитивно понятными (противник, ресурс, данные и т. д.). Надо отметить, что такое положение сохранилось и до сегодняшнего дня. Зачастую из-за различного понимания смыслового наполнения того или иного термина возникает определенная некоррект ность в изучаемом вопросе. Стоит, в частности, отметить существующие разночтения в понятиях субъект и пользователь [24, 25, 26, 27].
Позднее с появлением тенденции к распределенной обработке информации классический подход к организации разделения ресурсов и классические криптографические протоколы начинают постепенно исчерпывать себя [13, 14] и эволюционировать [14]. На лидирующее место выходят проблемы аутентификации взаимодействующих элементов компьютерных систем, а также способы управления криптографическими механизмами в распределенных системах. При этом в различных работах начинает складываться мнение о том, что функции реализации криптографической защиты являются равноправным ресурсом для компьютерной системы и должны быть рассмотрены вместе с другими сервисами. Данный тезис послужил отправной точкой для разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средства обеспечения их корректной работы. Автор предполагает в работе придерживаться именно такого подхода, обращая внимание именно на вопросы корректной реализации тех или иных защитных механизмов (произвольного характера).
Проблематика защиты информации в середине 1980-х гг. все более явно разделяется на несколько направлений: формулирование и изучение свойств теоретических моделей безопасности компьютерных систем, рассмотрение моделей безопасного взаимодействия, рассматривающих различные аспекты криптографической защиты, теория создания качественных программных продуктов. Предметная изоляция, в целом характерная для западных исследователей, в данном случае также проявляется, комплексный подход к созданию средств безопасности носит в основном декларативный характер.
На сегодняшний день такое положение продолжает сохраняться, а лавинообразное появление новых программных продуктов порождает определенный кризис в решении практических вопросов при проектировании, реализации и эксплуатации систем защиты. Так, появление новых технологических решений в КС (в первую очередь связанных с распределенностью), например, механизм удаленного вызова процедур или технология типа клиент - сервер, в теоретических работах на сегодняшний день недостаточно осмыслена [13, 14, 76, 90, 91].
В начале 1980-х годов возникает ряд моделей защиты, основанных на декомпозиции КС на субъекты и объекты - модели Белла-ЛаПадула, модель Хартсона и т. д. [16, 67, 99, 107]. В данных моделях ставятся и исследуются вопросы взаимодействия элементов КС с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность. Например, описывается дискреционный механизм безопасности, разделяющий доступ поименованных субъектов к поименованным объектам или полномочное управление доступом, моделирующее систему категорий и грифов доступа. Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (так, полномочное управление моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. Практическая реализация данных моделей в конкретных компьютерных системах поставила вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели). В связи с этим в зарубежной литературе формулируется понятие доверенной (достоверной) вычислительной базы (ДВБ) [11, 17, 21, 23, 35, 48, 58], гарантирующей свойства системы."Необходимо заметить, что практические вопросы реализации ДВБ в иностранной литературе рассмотрены слабо. Практическое применение защищенных систем показало, что реализация ДВБ испытывает значительные трудности в конкретной системе. Часто аппаратные решения не позволяют реализовать базисные средства ДВБ, либо наполняющие систему прикладные программные модули могут существенно изменять свойства системы, включая и ДВБ. Достаточно упомянуть о сетевом черве Морриса, который распространялся в Unix-системах и фактически опроверг сложившийся к тому времени тезис о высокой защищенности данной ОС [56, 77, 94, 96, 97, 98, 104]. С другой стороны, описание реальных процессов в программных средах не стыкуется с требованиями иерархичности [94, 95].
Необходимо также упомянуть о том, что существующая методология управления защищенной системой представляет собой, по сути, итеративный процесс устранения найденных слабостей, некорректностей и неисправностей, причем зачастую ряд злоумышленных действий не блокируется принципиально, выводя противодействие данным угрозам в область организационно-технических мер, что означает отказ от рассмотрения как конкретных угроз, так и целых их классов [28, 51, 78, 102, 105, 106, 112].
С середины 1980-х годов несовершенство западной методологии было замечено российским специалистами и отражено в ряде работ [14, 15]. С этого времени намечается тенденция к появлению комплексных решений в области реализации механизмов защиты компьютерных систем (по крайней мере, в теории).
В 1991 году В. А. Герасименко предложена модель системно-концептуального подхода к безопасности КС, которая описывает методологию анализа и синтеза системы безопасности [12], исходя из комплексного взаимодействия ее компонент, рассматриваемых как система. Результатом изучения является также совокупность системно-связанных рекомендаций по решению проблемы.
В 1996 году в работе А. А. Грушо и Е. Е. Тимониной [16] высказан и обоснован тезис о том, что гарантированную защищенность КС следует понимать как гарантированное выполнение априорно заданной политики безопасности (ПБ). В указанной работе также приведены примеры гарантированных политик. Настоящая диссертация опирается на основные положения этой работы. В то же время актуальной остается задача сформулировать такую систему гарантий ПБ, которую можно было бы применить к существующим реализациям КС (для конкретных операционных сред, прикладных программных комплексов и т. д.). Сложность задачи заключается также и в недостаточной строгости терминов. Так, в упомянутой работе [17] субъекты и объекты в ряде случаев различаются, а в ряде - отождествляются. С точки зрения теории ПБ это вполне допустимо, но вместе с тем проецирование моделей на реальные КС требует четкого разделения субъектов и объектов с сохранением при этом сложившихся моделей их взаимодействия (например, постоянно упоминаемые потоки от субъектов к объектам или наоборот). С другой стороны, в моделях КС, как правило, редуцируется процесс порождения субъектов, которому в реальных КС соответствует порождение процессов и запуск программ. Очевидно, что данное допущение в определенной степени снижает достоверность модели, поскольку порождение субъектов существенно влияет на свойства КС.
Итак, задача состоит в формулировании модели взаимодействия элементов КС с требованием более строгого описания воздействия на объекты и с учетом механизма порождения субъектов. Данная модель должна легко проецироваться на архитектуру современных КС и служить основой для формулирования гарантий ПБ. Такая модель (субъектно-ориентированная) была сформулирована А. Ю. Щербаковым [37] и дополнена мультипликативной парадигмой защиты В. А. Конявским [23].
С точки зрения методологии это есть конкретизация системно-концептуального подхода и понятия гарантий ПБ на фон-неймановской архитектуре КС. В рамках субъ-ектно-ориентированной модели в первой главе диссертации рассматриваются условия гарантий выполнения произвольных политик безопасности.
Выше уже отмечалось, что системы безопасности в КС, как правило, встраиваются в уже готовые программно-технические решения. Можно говорить о синтетической задаче - реализации политики безопасности и гарантированном выполнении ее в конкретной системе.
Математическая модель ПБ рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике КС проходит путь от отсутствия защиты к полному оснащению защитными механизмами; при этом система управляется, т. е. разрешенные и неразрешенные действия в ней динамически изменяются.
Такая эволюция защищаемой системы вполне логична, поскольку, как отмечалось выше, защита создается не как самодостаточная система, но для решения некоторых задач (для поддержания заданной информационной технологии). Отсюда понятно, что для поддержания гарантий ПБ необходимо рассматривать также управление доступом в КС. При этом процедуры управления должны быть в заданном смысле конструктивны, выполнимы и оптимальны с той или иной точки зрения (например, с точки зрения трудоемкости работы администратора, либо с точки зрения объема объектов хранения, описывающих защиту). В рамках декомпозиции КС на субъекты и объекты управление также описывается потоками информации. При этом необходимо комплексно ставить задачу проектировочных и эксплуатационных гарантий, а также гарантий управления. В свою очередь гарантии управления требуют введения некоторых определений (например, понятия корректного или гарантированного управления). Нужно отметить, что проблема управления доступом занимает незначительное место как в отечественных, так и в зарубежных работах. Управление обычно либо декларируется, либо сводится к планированию [11, 36, 52, 55, 61, 89, 92, 103]. Описание систем управления доступом для конкретных операционных сред или прикладных систем [18, 22, 54, 60, 80, 86] оставляет открытым вопрос о том, насколько различные ошибки в управлении нарушают свойства защищенности и не позволяют обоснованно говорить о каком-либо системном доказательном подходе к организации управления.
В диссертации предлагается рассматривать систему управления доступом в едином пространстве с общей задачей поддержания гарантий ПБ, с одной стороны (включая единую терминологию и понятия), и, с другой стороны, формулировать процедуру управления так, чтобы не нарушать указанных гарантий. Данный подход рассмотрен во второй главе работы.
Выше упоминалась проблема распределенности КС с точки зрения влияния на безопасность. В ряде случаев политики безопасности, гарантировано выполняемые для локального подмножества элементов КС, несостоятельны при интеграции локальной КС в распределенную сеть. Применяемые в настоящее время подходы к межсетевой защите (межсетевое экранирование) характеризуются, с одной стороны, теоретической необоснованностью (т. е. идут от практически возможной реализации, а не от осмысления цели защиты), с другой - недостаточной надежностью. Формализация задачи межсетевой защиты, анализ существующих методов и формулирование комплексных решений приведены в третьей главе диссертации.
Широкий спектр различных практических приложений результатов работы свидетельствует об определенной универсальности полученных результатов, применимых для КС различной архитектуры и назначения. В частности, сформулированные теоретические положения работы оказались применимы и реализуемы в совокупности про граммно-технических решений Научно-производственного предприятия Фактор-ТС (технология Дионис, Универсальная транспортная система (УТП) ЦБ РФ и др.). Результаты работы апробированы при разработке распределенных высокопроизводительных систем обработки информации для решения больших вычислительных задач в таких предметных областях, как гидроаэромеханика, газодинамика, расчет траекторий ракетно-космической техники, моделирование динамики функционирования и прогнозирования поведения сложных мультипараметрических систем (задачи метеорологии, сейсмологии и т.п.), ядерная физика, квантовая химия, молекулярная биология. Практические аспекты обеспечения и управления информационной безопасностью в корпоративной системе рассмотрены в четвертой главе работы.
Упоминавшиеся выше методики оценки защищенности КС представляют собой в какой-то мере необходимые условия. Выполнение заданного набора качественных показателей, с одной стороны, не позволяет оценить количественно каждый показатель, а с другой, как было указано выше, препятствует системному подходу.
В ряде дисциплин (например, в теории вероятностей) применяются методы верхних оценок тех или иных численных параметров, в данном случае разумно трансформировать верхние оценки в категории достаточных условий выполнения тех или иных свойств. Необходимо отметить, что достаточные условия синтетически конструктивны, т. е. при проектировании позволяют реализовать заданные свойства, но менее конструктивны для анализа.
Предлагаемый в данной работе общий подход состоит в формулировании алгоритмов создания различных решений безопасности КС с точки зрения достаточных условий. Тем самым можно говорить о развитии методологии достаточных условий при проектировании и реализации решений по управлению безопасностью КС.
Цель методологии достаточных условий - абстрагироваться от конкретных моделей безопасности, рассматривать произвольную ПБ и произвольные алгоритмы логической защиты (хеш-функции, шифрование). При этом необходимо решать следующие задачи:
- формулировать условия гарантий эксплуатации КС,
- описывать технологию управления,
- уточнять условия корректности для распределенных систем. Исходными положениями для исследований являются:
• тезис о том, что гарантированная защита информации в КС понимается как гарантированное выполнение политики безопасности;
• рассмотрение КС в рамках классических декомпозиций на субъекты и объекты;
• системно-концептуальный подход в методологии анализа и синтеза;
• подход к проектированию на основе достаточных условий.
Цель работы - разработка моделей управления доступом в распределенных компьютерных системах и их апробация в распределенных корпоративных сетях регионального уровня.
Для раскрытия целей работы необходимо отметить, что алгоритмы управления и модели, лежащие в их основе, должны предоставлять возможность делать обоснованные выводы о свойствах как отдельных механизмов безопасности, так и системы в целом, спроектированные механизмы безопасности должны быть реализуемыми и надежными в эксплуатации (в смысле поддержания во весь период эксплуатации свойств, заложенных при проектировании), поддерживать заданные и обоснованные при проектировании процедуры управления. Эти качественно сформулированные группы свойств описывают комплексность проектирования и подчеркивают ориентацию на решение целого взаимосвязанного ряда проблем безопасности на различных этапах жизненного цикла компьютерной системы (в данном случае ИТС).
Для достижения поставленной цели необходимо провести:
• уточнение моделей взаимодействия элементов КС с учетом механизма порождения и взаимовлияния субъектов;
• системный анализ процедур создания, эксплуатации и управления системой безопасности ИТС применительно к реальному жизненному циклу КС;
• формулирование и обоснование алгоритмов управления доступом и механизмами обеспечения безопасности КС;
• уточнение политик безопасности при проектировании механизмов защиты распределенных сетей.
Основной задачей диссертации является совершенствование методов управления доступом в компьютерных системах для решения задач в области математического моделирования, системного анализа, оптимизации, управления и обработки информации, а также разработки проблемно-ориентированных систем управления.
Общая методология исследования базируется на системно-концептуальном подходе к безопасности и уточняет его, исходя из методологии достаточных условий.
Распределение материала по главам:
Глава 1 — формулирование терминологии, описание и уточнение субъектно-ориентированной модели, формулирование и доказательство достаточных условий выполнения произвольной ПБ при проектировании КС, формулирование понятия изолированной программной среды, ее свойств и способов ее формирования.
Глава 2 - описание модели корректного управления в рамках достаточных условий корректного выполнения ПБ, формулирование и доказательство условий корректного управления, конкретизация алгоритмов управления в сложных программных комплексах, входящих в состав типовой ИТС.
Глава 3 - описание модели потоков в распределенной КС, анализ и уточнение политик безопасности в распределенной системе, анализ существующего подхода к организации межсетевого взаимодействия, синтез комплексного механизма защиты в распределенной корпоративной системе.
Глава 4 - описание апробации и практического использования полученных результатов при разработке технологий построения корпоративных систем общего и специального назначения.
Заключение - формулирование общих принципов проектирования защищенных КС в рамках методологии достаточных условий, описание взаимосвязанных процедур управления доступом в ИТС.
В работе использованы материалы справочного характера [37, 38, 41, 82, 45, 46, 48, 51, 53, 56, 67, 69-72, 76-80, 86, 87, 100-102, 104, 105, 108, 109, 110, 113], описывающие работу конкретных компонент КС, отдельные механизмы обеспечения безопасно сти и протоколы взаимодействия КС. В качестве исходных положений исследования использованы результаты, изложенные в работах [17, 32, 50, 57, 66, 94]. Диссертация опирается также на результаты работ В. А. Герасименко, А. А. Грушо, Е. Е. Тимониной, С. П. Расторгуева, А. Ю. Щербакова и др. Научная новизна работы заключается в следующем:
• уточнены субъектно-ориентированная модель безопасности компьютерной системы и некоторые основные термины, введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся свойств механизмов обеспечения безопасности КС в процессе их проектирования;
• сформулированы и доказаны утверждения, описывающие условия выполнения произвольной политики безопасности; разработана методология достаточных условий выполнения произвольной политики безопасности при проектировании КС;
• представлена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные» условия корректности управления, предложены методы и алгоритмы проектирования систем управления доступом, обеспечивающие, с одной стороны, корректность управления, а с другой, - работоспособность сложных программных комплексов;
• уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности, связанных с полным проецированием прав пользователя на доступные ему субъекты; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности, проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде: межсетевых экранов (МЭ) и локальной защиты; определены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды, могущие служить основой для автоматизированного проектирования средств защиты в распределенной системе.
Работа выполнена при поддержке Российского фонда фундаментальных исследований (автор - исполнитель по проектам 01-07-90366-в, 02-07-90047-в, 02-07-90230-в, 03-07-90092-в, 03-07-90264-в; руководитель по проектам 00-07-92000-и, 01-07-90315-в, 02-07-92002-и, 04-07-90221-в, 07-07-00183-а).
Результаты диссертации по мере их получения докладывались и обсуждались в Центре научных телекоммуникаций и информационных технологий РАН на семинарах Отдела телекоммуникаций (руководитель — чл.-корр. РАН А. Б. Жижченко), на международной научно-методической конференции «Телематика-2000», на 2-й Всеросссий-ской конференции «Информационная безопасность России в условиях глобального информационного общества» (2001 г.), на VIII конференции представителей региональных научно-образовательных сетей «RELARN-2001», на научно-техническом совете НПП «Фактор-ТС» (ноябрь 2006 г.).
Полученные результаты опубликованы автором в монографиях [8,9], статьях и материалах докладов конференций [2-7].
В 2003 году международная организация «ComputerWorld Honors Program» удостоила звания Лауреата Программы «A Search for New Heroes» Российскую академию наук за достижения в реализации проекта высокоскоростного доступа к суперкомпьютерным ресурсам для научно-образовательных организаций России, а руководитель проекта член-корреспондент РАН А.Б. Жижченко и координатор проекта М.Р. Бикти-миров награждены медалями [114].
Положения диссертации, выносимые на защиту:
1. Решение задачи управления доступом в распределенных компьютерных системах и апробация полученных результатов для распределенных корпоративных сетей регионального уровня, включающие:
• уточнение модели субъектно-объектного взаимодействия в ИТС;
• доказательство достаточных условий выполнения произвольной ПБ в КС при управлении системой безопасности ИТС;
• конструктивную коррекцию ПБ при проектировании системы безопасности для сетевых сред;
• модели и алгоритмы управления доступом в распределенных КС, обеспечивающие работоспособность сложных программных комплексов и гарантирующие выполнение заданной при проектировании ПБ.
2. Теоретические и экспериментальные результаты создания подсистем безопасности ИТС, включающие:
• классификации механизмов безопасности в рамках сформулированных алгоритмов управления, в том числе механизмов обеспечения безопасности сетевого взаимодействия;
• рекомендации и требования к применению средств, реализующих корректное управление;
• описание программно-технических решений, реализующих предложенные алгоритмы.
Разработка модели защищенной компьютерной системы. Понятие доступа и монитора безопасности
Будем считать разделение КС на субъекты и объекты априорным. Будем предполагать также, что существует априорный безошибочный критерий отличия субъектов от объектов в КС по свойству активности. Кроме того, в условиях всех утверждений считаем, что декомпозиция КС на субъекты и объекты фиксирована.
Подчеркнем отличие понятия субъекта компьютерной, системы от человека-пользователя следующим определением.
Определение 1.1. Пользователь - лицо (физическое лицо), аутентифицируемое некоторой информагщей и управляющее субъектом компьютерной системы через органы управления ЭВМ.
Пользователь КС является, таким образом, внешним фактором, управляющим состоянием субъектов. В связи с этим далее будем считать пользовательское управляю щее воздействие таким, что свойства субъектов, сформулированные в приводимых ниже определениях, не зависят от него (т. е. свойства субъектов неизменяемы внешним управлением). Смысл данного условия состоит в предположении, что пользователь, управляющий программой, не может через органы управления изменить ее свойств (условие неверно для систем типа компиляторов, средств разработки и отладчиков).
Будем также полагать, что в любой дискретный момент времени множество субъектов КС не пусто (в противном случае соответствующие моменты времени исключаются из рассмотрения и берутся отрезки с ненулевой мощностью множества субъектов).
Аксиома 4. Субъекты в КС могут быть порождены только активной компонентой (субъектами) из объектов. Охарактеризуем механизм порождения новых субъектов следующим определением. Определение 1.2. Объект Oj называется источником для субъекта Sm, если существует субъект Sj, в результате воздействия которого на объект О в компьютерной системе возникает субъект Sm.
Субъект Sj, порождающий новый субъект из объекта О., в свою очередь называется активизирующим субъектом для субъекта Sm, aSB- порожденным субъектом.
Введем обозначение: Create(Sj,Ot) - Sk - субъект Sk порожден из объекта Oi при активизирующем воздействии субъекта S.. Create назовем операцией порождения субъектов (см. рис. 1.1).
Операция Create задает отображение декартова произведения множеств субъектов и объектов на объединение множества субъектов с пустым множеством. Заметим также, что в КС действует дискретное время, и фактически новый субъект sk порождается в момент времени t+\ относительно момента /, в который произошло воздействие порождающего субъекта на объект-источник. Очевидно, что операция порождения субъектов зависит как от свойств активизирующего субъекта, так и от содержания объекта-источника.
Считаем, что если Create(5,,0,)- NULL (конструкция NULL далее обозначает пустое множество), то порождение нового субъекта из объекта О. при активизирующем воздействии S. невозможно.
Так, практически во всех операционных средах существует понятие исполняемого файла - объекта, могущего быть источником для порождения субъекта. Например, для MS DOS файл edit.com является объектом-источником для порождения субъекта-программы текстового редактора, а порождающим субъектом является, как правило, командный интерпретатор shell (объект-источник - command.com).
Из архитектуры фон Неймана следует также, что с любым субъектом связан (или ассоциирован) некоторый объект (объекты), отображающий его состояние. Например, для активной программы (субъекта) ассоциированным объектом будет содержание участка оперативной памяти с исполняемым кодом данной программы.
Определение 1.3. Объект Os в момент времени t ассоциирован с субъектом Sm, если состояние объекта Oi повлияло на состояние субъекта в следующий момент времени (т. е. субъект sm использует информацию, содержащуюся в объекте OJ.
Введем обозначение: S.({Om}i) - "множество объектов {Om}t ассоциировано с субъектом S, в момент времени /".
В данном случае определение не в полной мере является формально строгим, поскольку состояние субъекта описывается упорядоченной совокупностью ассоциированных с ним объектов, а последние выделяются по принципу влияния на состояние субъекта, т. е. в определении прослеживается некая рекурсия. С другой стороны, известны рекурсивные определения различных объектов (например, дерева). Зависимость от времени позволяет однозначно выделить ассоциированные объекты в том случае, если в начальный момент времени их можно определить однозначно (как правило, это вектор исполняемого кода и начальные состояния ряда переменных программы).
Субъект в общем случае реализует некоторое отображение множества ассоциированных объектов в момент времени t на множество ассоциированных объектов в момент времени / +1. В связи с этим можно выделить ассоциированные объекты, изменение которых изменяет вид этого отображения (объекты, содержащие, как правило, код программы - функционально ассоциированные) и ассоциированные объекты-данные (являющиеся аргументом операции, но не изменяющие вида отображения). Далее под ассоциированными понимаются функционально ассоциированные объекты, в иных случаях делаются уточнения.
Следствие (из определения 1.3). В момент порождения субъекта Sm из объекта Ot последний является ассоциированным объектом для субъекта Sm.
Необходимо заметить, что объект-источник может быть ассоциированным для активизирующего субъекта, тогда порождение является автономным (т. е. не зависящим от свойств остальных субъектов и объектов). Если же объект-источник является неас-социированным (внешним) для активизирующего субъекта, то порождение не является автономным и зависит от свойств объекта-источника.
Свойство субъекта «быть активным» реализуется и в возможности выполнения действия над объектами. При этом пассивный статус объекта необходимо требует существования потоков информации от объекта к объекту (в противном случае невозможно говорить об изменении объектов), причем данный поток инициируется субъектом.
Создание системы централизованного управления доступом для :> различных архитектур корпоративной системы
Данная конфигурация соответствует конфигурации 5 таблицы 1. Здесь важно, что ЛС КС не имеет объекта управления, он принадлежит внешнему сегменту КС и создается субъектом внешнего сегмента.
Технически удобно реализовать работу субъекта управления в рамках другого ЛС КС (рабочего места администратора); субъект управления будет создавать ОУ где-либо во внешнем сегменте, доступном субъектам локальной КС.
Утверждение 2.3 (необходимое условие 1 для создания системы корректного управления). Необходимым условием для выполнения МБО заданной политики безопасности в рамках ЛС КС при наличии локальных объектов и выделении во множестве потоков непустого подмножества легальных потоков к локальным объектам является наличие в удаленном ОУ элементов, описывающих потоки между субъектами и локальными объектами.
Доказательство. Первоначально определим область применения утверждения. Если множество потоков к локальным объектам является либо разрешенным, либо запрещенным (либо такие объекты отсутствуют), то ОУ может не включать потоков к локальным объектам, поскольку для любого локального объекта делается однозначный вывод о доступе к нему.
Если же есть хотя бы один локальный объект, к которому разрешен или запрещен доступ, то данный поток должен быть описан в ОУ.
Проведем доказательство от противного. Пусть МБО выполняет заданную ПБ. Для определенности предположим, что некоторый поток Stream(St,Ok) - От описан как нелегальный, тогда если в ОУ данный поток не указан, то МБО не сможет запретить данный поток в случае его возникновения, следовательно, и реализовать ПБ. Получили противоречие.
Несмотря на то, что данное утверждение является достаточно очевидным, оно, тем не менее, описывает важную техническую проблему, возникающую при управлении МБО и МБС. Она заключается в необходимости доступа к объектам ЛС КС при формировании удаленного ОУ со стороны удаленного управляющего субъекта.
Как видно из условий сформулированного выше утверждения, можно выделить две основные разновидности управления при существовании удаленного ОУ - управление при пустом множестве либо L, либо ІУи управление при непустом множестве L и ЛГдля ЛС КС.
В первом случае администратор при помощи субъекта управления изменяет удаленный ОУ, который включает только потоки между удаленными субъектами и удаленными объектами. Как правило, данная конфигурация реализуется в сетях с одним или несколькими серверами (т. е. в случае наличия ресурса общего пользования, где и находится ОУ).
Во втором случае управляющий субъект должен иметь доступ к объектам ЛС КС. Рассмотрим два способа организации доступа к объектам ЛС КС для внешнего субъекта. 1. Постоянный доступ к объектам ЛС КС при помощи локального субъекта (субъект обеспечения постоянного доступа). 2. Транспортировка информации об объектах ЛС КС к какому-либо удаленному объекту во время стартового периода работы пользователя при помощи локального субъекта.
Две конфигурации отличаются только интервалом времени активности локального субъекта, при помощи которого осуществляется доступ УС.
Способ постоянного доступа к объектам ЛС КС требует активности некоторого локального субъекта, управляемого удаленным субъектом администрирования. Основной проблемой в данном случае является возможность управления локальным субъектом со стороны злоумышленника. Вполне очевидно, что для включения в ОУ потоков между любым объектом и субъектом локальный субъект (управляемый удаленным субъектом администрирования) должен иметь доступ ко всем объектам ЛС КС. В этом случае (см. ниже) субъект внешнего злоумышленника будет иметь доступ также ко всем объектам ЛС КС. Канал управления в данном случае является и каналом НС Д.
Уменьшить или заблокировать возможности удаленного злоумышленника (в частности, полностью исключить возможности изменения объектов ЛС КС (доступ на запись)) возможно, если субъект постоянного доступа имеет доступ только на чтение к объектам ЛС КС.
Для обеспечения корректного управления необходимо отсутствие злоумышленных субъектов во всей КС. Достаточным условием для этого является существование ИПС на каждом ЛС КС и наличие МБО, запрещающего доступ к объектам ЛС КС любого субъекта, кроме управляющего. Докажем это.
Утверждение 2.4 (необходимое условие 2 для создания системы корректного управления). Пусть в КС выделяется конечное множество ЛС КС и объединение всех субъектов и объектов ЛС КС составляет все множество субъектов и объектов КС. В случае существования локального субъекта постоянного доступа в любой ЛС КС и на линия управляющего удаленного субъекта достаточным условием корректного управления является существование ИПС с контролем целостности объектов источников в рамках каждого ЛС КС и существование МБО в рамках каждой ЛС КС, запрещающего доступ любого локального субъекта к удаленному ОУ (кроме субъекта управления).
Доказательство. Выберем произвольный ЛС КС. Возможны два случая - в составе субъектов ЛС КС есть субъект управления либо субъект управления отсутствует.
Первый случай. В каждом ЛС КС (также и в рассматриваемом) генерируется ИПС с контролем неизменности объектов источников, следовательно, реализуются только потоки, разрешенные МБО, по условию утверждения доступ к ОУ невозможен.
Второй случай. В ИПС возможны только потоки, разрешенные МБО, аналогично по условию утверждения доступ разрешен только субъекту управления. Утверждение доказано.
Утверждение 2.4. структурно конкретизирует предыдущее утверждение, описывая условия, при которых корректно управление в КС, разделяемой на несколько ЛС КС. На практике выполнение условий данного утверждения возможно только в топологически замкнутой КС (например, ЛВС, которая построена как топологически замкнутая сеть - т. е. подключение дополнительных рабочих станций без защитных субъектов (МБО, МБС) невозможно).
Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
Рассмотрим теперь традиционную политику безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает Ln{T) для любого подмножества множества субъектов Sn (если субъект потенциально способен реализовать поток, соответствующий праву доступа Т) и в период работы пользователя Рп обеспечивает для выполнения потоков права Т любому субъекту из sn доступ к любому объекту, принадлежащему Ln(T).
Для введенного множества прав это означает, что любой поток Stream(Srok) - ot разрешен, если St принадлежит Sn, a Ot принадлежит Ln(W). Практически это означает, что в системе защиты, спроектированной с учетом такой политики безопасности, права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).
Определим политику безопасности с полным проецированием прав.
Определение 3.5. Политикой безопасности с полным проецированием прав пользователя или методом доступа с полным проецированием прав пользователя Рп на объекты КС называется такой порядок составления правил разграничения доступа( ПРД), при котором любой из субъектов, принадлежащий Sn, обладает одним и тем же правом доступа Т к любому объекту множества Ln(T). Теперь сформулируем утверждение, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта St.
Утверждение 3.1 (о распределенной КС с полным проецированием прав пользователя на субъекты). В условиях действия политики безопасности с полным проецированием прав пользователя Рп на локальные объекты КС субъект X имеет доступ Т к любому объекту множества Ln(T) при условии существования потоков Stream(X,Ok) - Ох и Stream(X,Ox) - Oku доступности субъекта St для пользователя
Доказательство. Пусть у пользователя есть право R доступа к объекту ot. В условиях полного проецирования прав на любой субъект это означает, что для любого субъекта sm из Sn (доступного пользователю) возможен поток Stream (Sm,Ot) - От, где
От - ассоциированный объект sm. По условию доказываемого утверждения st входит в sn, следовательно, существует Stream(5\,Ог) - Ок. По условию утверждения существует и поток Stream(Х,ок) - Ох. По свойству транзитивности потоков существует Stream(X,ot) - Ох. Это означает, что субъект х также имеет право доступа R к объекту ог Поскольку Ot произвольно выбран из множества Ln(R), которое описано потоком Stream (Sm, ot) - От, то утверждение верно для всех объектов ьп (Г). Аналогично доказывается утверждение в случае наличия у пользователя права доступа Ж к объекту О,. f Утверждение доказано.
Из утверждения 3.1 следует важный факт: система защиты от НСД любого ЛС КС, в котором гарантированно выполнена политика безопасности с полным проецирование прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС) является потенциально ненадежной (т. е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т. е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника. Сформулируем конструктивную политику безопасности, исключающую описанные выше ситуации.
Определение 3.6. Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользователя Р„ задаются отдельно для каждого доступного ему субъекта (или подмножества субъектов), принадлежащего мнооїсеству
Легко видеть, что метод расщепления прав включает метод проецирования прав доступа (когда для любого субъекта задаются равные права доступа к объектам).
Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника.
Утверждение 3.2 (о доступе в системах с проецированием прав). В условиях расщепления прав субъект X получит тот же доступ к объекту 0{, что и субъект St при условии существования потоков Stream (Х,Ох) - Ок и Stream(X,Ок) - Ох и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ох.
Доказательство. Поскольку других субъектов, связанных с внешним субъектом X, в ЛС КС нет, то возможны потоки к объекту о. только через ассоциированный объект Ок субъекта ss. Поскольку между ок и ot возможен только поток, соответствующий праву доступа sf, то и между ох и о{ возможен только такой же поток. Утверждение доказано.
Следствие 3.1. В условиях расщепления прав субъект х не получит доступ к объекту 0{ в том случае, если субъект St не имеет доступ к Ох и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и Ох.
Доказанные утверждения позволяют сформулировать методику проектирования защиты ЛС КС при условии попарной корректности всех субъектов (включая телекоммуникационный) с гарантированным выполнением политики безопасности. Эта методика описывается следующей последовательностью шагов.
Специализированные корпоративные сети и МОМ-технологии (Message Oriented Middleware)
Ряд технологий защиты данных, связанных с конкретными методами передачи информации, рассмотрен выше в соответствующих разделах. Однако в корпоративных сетях, использующих для обмена информацией открытые (незащищенные) каналы свя зи (коммутируемые и выделенные телефонные каналы, сети Х.25, INTERNET и др.), безопасность может быть обеспечена только на основе комплексного подхода, учитывающего и устраняющего все возможные угрозы безопасности.
Методы обеспечения конфиденциальности при передаче данных определяются в основном характером взаимодействия между локальными сетями и отдельными абонентами, осуществляющими обмен данными в рамках корпоративной сети. Рассмотрим последовательно наиболее распространенные варианты.
Защита данных в режиме электронной почты. Простейшие корпоративные сети предоставляют своим абонентам возможность обмена информацией только в режиме Электронной почты. Соответственно естественной задачей является оснащение рабочих мест, участвующих в обмене информации средствами электронной цифровой подписи и шифрации данных (рис. 4.3).
Представленное решение реализуется средствами почтовых агентов и транспортных модулей технологии Дионис, обеспечивающих средства электронной подписи и шифрации передаваемых данных. При этом предполагается, что вся конфиденциальная информация будет передаваться по сети только в зашифрованном виде и, как следствие, только со специально оборудованных рабочих мест.
Указанные средства защиты данных достаточны, если для организации взаимодействия между офисами и отдельными абонентами используются арендованные прямые выделенные каналы или телефонные коммутируемые каналы, а также если передача данных ведется через сети Х.25, Frame Relay или другие, не использующие технологий на базе протокола TCP/IP. Последняя оговорка является весьма существенной, поскольку применение Internet-технологий даже исключительно в почтовом режиме открывает в процессе сеанса связи возможность внешнего несанкционированного доступа к ресурсам собственно рабочего места абонента, а если оно подключено к локальной сети, то и к сети в целом. Поскольку опасность несанкционированного доступа из Internet к ресурсам локальной сети существует не только при обмене почтовыми сообщениями, но и при любой другой технологии получения информации через Internet, то соответствующие средства защиты рассмотрены в общем виде в следующем разделе.
Дополнительная защита почтовых сообщений в корпоративной сети может быть гарантирована, если наряду с абонентскими крипто-средствами применяются собственные почтовые сервера (почтамты), находящиеся под контролем администраторов своей сети (рис. 4.4).
Указанные средства защиты данных достаточны, если для организации взаимодействия между офисами и отдельными абонентами используются арендованные прямые выделенные каналы или телефонные коммутируемые каналы, а также если передача данных ведется через сети Х.25, Frame Relay или другие, не использующие технологий на базе протокола TCP/IP. Последняя оговорка является весьма существенной, поскольку применение Internet-технологий даже исключительно в почтовом режиме открывает в процессе сеанса связи возможность внешнего несанкционированного доступа к ресурсам собственно рабочего места абонента, а если оно подключено к локальной сети, то и к сети в целом. Поскольку опасность несанкционированного доступа из Internet к ресурсам локальной сети существует не только при обмене почтовыми сообщениями, но и при любой другой технологии получения информации через Internet, то соответствующие средства защиты рассмотрены в общем виде в следующем разделе.
Дополнительная защита почтовых сообщений в корпоративной сети может быть гарантирована, если наряду с абонентскими крипто-средствами применяются собственные почтовые сервера (почтамты), находящиеся под контролем администраторов своей сети (рис. 4.4).
подсистема аутентификации, после того, как абонент подключился к узлу и укажет свои имя и пароль (эти параметры нетрудно узнать или просто подобрать), проверяет состав аппаратуры на его рабочем месте и устанавливает соединение только в случае подтверждения источника вызова. Заметим, что использование своего узла позволяет также установить уровень сложности и частоту сменяемости паролей, что также существенно влияет на уровень защиты в сети;
подсистема почтовой фильтрации позволяет контролировать направления обмена сообщениями абонентов корпоративной сети и, что часто более существенно, изолировать корпоративную сеть от различных широковещательных сообщений, части рассылаемых через коммерческие сети передачи данных;
использование системы Дионис в качестве корпоративного почтамта позволяет также вести протоколирование всех действий абонентов, что крайне существенно при анализе конфликтных ситуаций.
В тех случаях, когда в локальной сети размещено несколько абонентов системы электронной почты, работающих с конфиденциальной информацией, весьма эффективным является перенос функций шифрации/дешифрации сообщений с рабочих мест абонентов на сервер электронной почты. В этом случае при настройке почтамта администратор задает имена абонентов и/или направления отсылки сообщений, вся информация которых шифруется перед отправкой и дешифруется при приеме. Отметим, что помимо экономической эффективности применение крипто-почтамта позволяет также существенно улучшить показатели администрирования системой за счет передачи функций принятия решений о закрытии информации от абонентов к администратору сети. Естественно, что при использовании крипто-почтамта средства электронной подписи переносить от абонентов на сервер вряд ли целесообразно.
