Доклады, выступления, видео и электронные публикации

Способ защиты сетевого взаимодействия автоматизированных систем

Расщепкин А.К. ОКБ САПР

Сегодня межсетевой экран (МЭ) не способен в полной мере защитить автоматизированную систему при взаимодействии её с ресурсами внешней среды. Заблуждением являются бытующие представления о межсетевом экране как о панацее, сохраняющей безопасное состояние системы в сетевой среде. Средний МЭ является не качественной защитой из-за недостаточной точности реализуемого разграничения доступа. Речь не идёт о корректной настройке МЭ или сохранении в процессе эксплуатации этой настройки в состоянии адекватном установленной политике безопасности. Подразумевается что всё это сделано по умолчанию.

Проблема абсолютного большинства МЭ в том, что они пропускают или блокируют сетевые соединения в лучшем случае на основе информации транспортного уровня. Функционирование МЭ на этом уровне или полностью блокирует доступ к прикладному сервису или полностью его разрешает. Каждый сервис, если его нельзя контролировать является слишком "широким" каналом обмена информацией, открывающим доступ к потенциальным уязвимостям системы. Через такую брешь в систему могут проникать программы, осуществляющие разрушающее программное воздействие (вирусы). "Широкий" канал может напрямую использоваться внутренним злоумышленником для атаки ведущей к нарушению конфиденциальности информации в системе. Внешним злоумышленником через него может быть нарушена доступность, а также работоспособность системы. Последствия таких атак - утечка информации, нарушение доступности, обход системы защиты от несанкционированного доступа.

Условиями, при которых для автоматизированной системы, существует потенциальная возможность осуществления таких атак, являются:

1. Пользователи используют внешние ресурсы, не контролируемые подразделением, обеспечивающим информационную безопасность системы.

2. Существует вероятность нарушения конфиденциальности информации в результате атаки со стороны внутреннего злоумышленника, из числа пользователей использующих внешний ресурс. Особенно опасны совместные действия с лицом, контролирующим этот внешний ресурс.

Принципиальный способ защиты от атак, обусловленных использованием внешних ресурсов - внедрить в системе техническое средство, разграничивающее доступ к сетевым сервисам на основе информации прикладного уровня, используя как минимум информацию о субъекте, ресурсе и виде операции. Только признанные лучшими МЭ способны поддерживать требуемую функциональность в отношении широко распространённых прикладных протоколов. Ввиду большого количества существующих протоколов эта задача в принципе не может быть решена в полном объеме разработчиками МЭ.

Что делать разработчикам системы защиты в случае, если им недостаточно функциональных возможностей слабого МЭ, выбранного по экономическим соображениям? Обобщая опыт, полученный в практической работе по созданию защищённых автоматизированных систем, можно описать следующий способ защиты системы, взаимодействующей с внешней средой.

Автоматизированную систему, использующую функционально слабый МЭ, можно защитить с помощью специально разработанного или покупного программного обеспечения, играющего роль "монитора обращений" ("диспетчера доступа") при запросе пользователями защищаемой системы внешних прикладных ресурсов. Такое программное обеспечение устанавливается внутри защищаемой системы (или её демилитаризованной зоне) и функционально должно быть по сути "прокси-сервером", т.е. сервисом, являющимся посредником между пользователями защищаемой системы и ресурсами внешней среды. На практике может быть использован, либо существующий "прокси-сервер" с соответствующей функцией обеспечения защиты, либо программное обеспечение, разработанное под задачи конкретной системы, решаемые при взаимодействии с внешней средой. Учитывая частные условия задачи, такая разработка, как правило, не является большой и ресурсоёмкой.

Представленный способ эффективно может использоваться только в случае ограниченности задач, решаемых при взаимодействии с внешней системой. Под этим понимается, возможность формально описать множество операций и внешних ресурсов, которые могут использоваться пользователями защищаемой системы.

Способ может использоваться, не только для защиты системы при использовании внешних ресурсов, но и при предоставлении доступа из внешней среды к внутренним ресурсам, предоставляемым сервисом, не имеющим средств разграничения доступа.

При использовании описанного метода защищённость системы может быть повышена за счёт использования более гибкого средства управления сетевым доступом. Поскольку решения при этом принимается на прикладном уровне, в терминах которого максимально точно описываются пользовательские задачи, такое средство защиты способно точнее отражать принятую в системе политику безопасности.

Есть ещё и вторичный выигрыш от внедрения приведенного решения, в некоторых условиях потребность в котором становится на первое место по степени значимости для успеха внедрения защищаемой автоматизированной системы. Речь идёт о необходимости соблюдении предписанных нормативных требований.

Согласно руководящему документу "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) МЭ, начиная с третьего класса, должны обеспечить "фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя", а также "аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети". Начиная со второго - "возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети". Не многие МЭ удовлетворяют этим требованиям.

В случае, если в распоряжении разработчиков системы защиты нет МЭ достаточной функциональности, можно применить описанный метод с целью достижения результата. Комплекс из МЭ и соответствующее специальное программное обеспечение будут удовлетворять требованиям нормативных документов в частных условиях его применения. Такой комплекс может быть сертифицирован по необходимому классу защищенности как многокомпонентный МЭ.

Автор: Расщепкин А. К.

Дата публикации: 01.01.2005

Библиографическая ссылка: Расщепкин А. К. Способ защиты сетевого взаимодействия автоматизированных систем // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 148–149.


Метки документа:
другое  

Scientia potestas est
Кнопка связи