Реализация концепции управления конфигурациями при помощи программного модуля «Паспорт ПО»

Рассматриваются основные принципы концепции управления конфигурациями, ориентированного на безопасность, а также демонстрируется возможность реализации этих принципов для решения задачи контроля конфигурации рабочих мет пользователей при помощи программного модуля «Паспорт ПО».

Ключевые слова: управление конфигурациями, контроль конфигурации, администрирование.

Введение

Авторы различных научных статей [1-2] и учебников [3-5] по защите информации, специалисты компаний, разрабатывающих системы безопасности [6], едины в вопросе построения систем защиты. Их создание начинается с анализа текущего состояния информационной системы (ИС), для которой и разрабатывается защита, с определения объектов защиты, а также с построения модели угроз. Завершающим этапом является сопровождение разработанной системы, то есть её непрерывный мониторинг, контроль состояния и конфигураций, причём этот контроль должен осуществляться в течение всей жизни ИС, вплоть до её ликвидации. Указанный подход к построению систем защиты нашёл своё отражение и в национальном стандарте [7], а в концепции управления конфигурациями, ориентированного на безопасность (Security-Focused Configuration Management of Information Systems, SecCM) [8], приведены основные принципы, позволяющие организовать повышение защищённости информационной системы за счёт управления её конфигурациями.

В данной статье сфокусируемся на контроле состояния рабочих мест пользователя, а также рассмотрим особенности этого контроля при помощи программного модуля «Паспорт ПО» [9] с точки зрения повышения защищённости системы.

Материалы и методы

Для большинства информационных систем характерны постоянные изменения в результате установки нового программного и аппаратного обеспечения, его обновления или удаления, создания документов, баз данных и т.д. Конфигурация системы и ее компонентов оказывает прямое влияние на состояние безопасности. Изменения, происходящие на рабочих местах пользователей, могут быть как результатом санкционированных действий (например, обновление версии программных модулей администратором), так и результатом работы некоторого вредоносного ПО, случайного или намеренного внесения нежелательных изменений пользователем.

Последствиями несанкционированных изменений могут быть нерациональное использование рабочего времени за счёт использования служебных компьютеров в личных целях, угрозы безопасности и промышленный шпионаж из-за установки пользователями потенциально или заведомо опасных программ и даже полное нарушение работоспособности системы. [9] 

Для своевременного обнаружения и предотвращения таких изменений недостаточно организационных мер (инструкций, регламентов), необходим постоянный мониторинг состояния рабочих мест пользователя. Обеспечить такой контроль может программный модуль «Паспорт ПО» (ПМ «Паспорт ПО»), разработанный для анализа программной среды компьютеров под управлением ОС Windows.

Рассмотрим применение ПМ «Паспорт ПО» и покажем, как его функциональные возможности  позволяют реализовать ключевые принципы управления конфигурациями, ориентированного на безопасность. Для достижения указанной цели будут применены такие методы как анализ литературы и аналогия.

Результаты

Управление конфигурациями, ориентированное на безопасность – одна из концепций повышения защищённости информационной системы за счёт управления её конфигурациями. Реализация принципов SecCM заключается в:

• идентификации и записи конфигураций, которые влияют на состояние безопасности системы и организации;
• учете рисков безопасности при утверждении начальной конфигурации;
• анализе последствий изменения конфигурации системы для безопасности;
• документации одобренных и внедренных изменений [8].

Важность управления конфигурациями, ориентированного на безопасность, заключается в возможности с его помощью сократить время обнаружения компрометации компонента информационной системы, уменьшить влияние атаки за  счёт её раннего обнаружения, снизить принесённый ущерб [10-11].

Стандарт [8] указывает основные шаги, выполнение которых позволяет реализовать корректное управление конфигурациями в информационной системе. Так ключевыми этапами являются: планирование SecCM (разработка политик применения средства SecCM), внедрение SecCM (определение базовых конфигураций и их утверждение), контроль изменений конфигурации (использование некоторой панели управления конфигурации для рассмотрения и утверждения изменений в ИС) и мониторинг уже утверждённых конфигураций.

ПМ «Паспорт ПО» предназначен для автоматизации контроля целостности состояния программной среды (основных характеристик файлов программного обеспечения) и контроля изменений состава ПО (установленные на средство вычислительной техники системные и прикладные программные продукты). Назовём конфигурацией СВТ программную среду вместе с совокупностью состава ПО. Фиксация состояния конфигурации СВТ выполняется через создание записей специального вида – проектов паспортов ПО. Заверенный (подписанный электронной подписью)  проект паспорта называется паспортом ПО и представляет эталонное состояние конфигурации СВТ. Для формирования паспорта ПО пользователь должен обладать в рамках ПМ «Паспорт ПО» правом на подпись проекта.

Основными элементами ПМ «Паспорт ПО» являются:

1. серверный компонент (Сервер) с базой данных;
2. компонент управления (АРМ управления);
3. клиентский компонент (Клиент), устанавливаемый на подконтрольные объекты (ПКО), – рабочие места (СВТ), конфигурацию которых контролирует программный модуль;
4. сервис обмена сообщениями RabbitMQ, обеспечивающий взаимодействие по сети между всеми элементами [12].

Подготовка системы для работы ПМ «Паспорт ПО» заключается в выполнении следующих действий:

1. регистрация учетных записей административного персонала, отвечающего за контроль целостности программной среды в АРМ управления, формирование ролей и назначение их учётным записям;
2. формирование списка ПКО с разбиением на логические группы (подразделения);
3. формирование общей базы шаблонов (прототипов конфигураций рабочих мест пользователей);
4. назначение шаблонов подконтрольным объектам;
5. проведение опроса на ПКО (сканирования конфигурации СВТ в соответствии с назначенным шаблоном) и формирование его паспорта ПО.

Покажем, что указанные действия могут быть рассмотрены как выполнение этапов планирования SecCM и внедрения SecCM.

В результате подготовки системы в базе данных ПМ «Паспорт ПО» формируются записи об эталонном состоянии конфигурации СВТ с установленным Клиентом. В ходе дальнейшей работы выполняется сканирование подконтрольных объектов по заданному для СВТ расписанию или по запросу управляющего персонала ПМ «Паспорт ПО». В ходе сканирования Клиент определяет конфигурацию СВТ и отправляет информацию на Сервер, который автоматически сверяет полученные данные о текущем состоянии ПКО с эталонным и информирует управляющий персонал ПМ «Паспорт ПО» о выявленных нарушениях. Для каждого ПКО в случае обнаружения нарушений должен быть выполнен анализ возникших изменений, в результате которого возможно обновление паспорта ПО в случае санкционированных модификаций или же принятие мер по устранению причин возникших несоответствий, разбор инцидента безопасности. Данные операции являются третьим этапом реализации SecCM.

Информация обо всех действиях по формированию как проектов паспортов ПО, так и самих паспортов ПО сохраняется в журнале событий ПМ «Паспорт ПО». Анализ сообщений из журнала событий позволяет производить выявление изменений в уже утверждённых паспортах, реализовав тем самым этап мониторинга SecCM.

Рассмотрев основные функции ПМ «Паспорт ПО» и сопоставив этапы его применения с этапами реализации концепции SecCM, выполним сравнение между основными процессы и объектами, на которые опирается стандарт SecCM [8, С.17-18] и процессами и объектами, которыми оперирует программный модуль. Результат представлен в таблице.

NIST.SP.800-128	ПМ «Паспорт ПО»
Управление конфигурацией,  Configuration Management (CM) – набор действий, направленных на создание и поддержание целостности продуктов и систем посредством контроля процессов создания, изменения и мониторинга конфигураций этих продуктов и систем.	Набор действия по формированию базы шаблонов (типовых конфигураций СВТ), назначению их рабочим местам пользователей, формированию паспортов ПО, проведения сканирования рабочих мест и сравнения текущей конфигурации СВТ (проекта паспорта) с эталонной (паспорт ПО).
Элемент конфигурации, Configuration Item (CI) – идентифицируемая часть системы (например, аппаратное обеспечение, программное обеспечение, встроенное ПО, документация или их комбинация), которая является дискретной целью процесса управления конфигурацией.	Подконтрольный объект (ПКО) – СВТ с установленным на него Клиентом ПМ «Паспорт ПО», однозначно идентифицируется именем ПКО. Обеспечение контроля целостности конфигурации ПКО является целью применения ПМ «Паспорт ПО».
Базовая конфигурация, Baseline Configuration – набор спецификаций для системы или элемента конфигураций в системе, который был рассмотрен и согласован в определенный момент времени и который может быть изменен только через процедуры контроля изменений.	Паспорт ПО – заверенный проект паспорта ПО, содержащий информацию о конфигурации СВТ. Процесс заверения проекта заключается в его подписи пользователем ПМ «Паспорт ПО». Формирование нового паспорта ПО для СВТ возможно лишь в результате формирования нового проекта паспорта ПО, его сопоставления с действующим паспортом, а также подписи данного проекта.
План управления конфигурацией, Configuration Management Plan (CM Plan) – полное описание ролей, обязанностей, политики и процедуры, применяемых при управлении конфигурацией продуктов и системы.	ПМ «Паспорт ПО» является инструментом контроля целостности состояния программной среды, регламент же его применения для мониторинга конфигураций рабочих мест пользователей информационной системы может быть рассмотрен как план управления конфигурацией.

Обсуждение

Приведённое сопоставление, а также соответствие между этапами SecCM и этапами применения «Паспорт ПО», показывает, что программный модуль может быть рассмотрен как средство, реализующее управление конфигурациями, ориентированное на безопасность.

Стоит отметить, что рассмотренный ПМ «Паспорт ПО» является наложенным средством контроля изменений  рабочих мест пользователя.

В то же время использование большого числа компьютеров под управлением ОС Windows почти всегда сопровождается их объединением с использованием службы каталогов Active Directory (AD) в единый домен. Эта служба позволяет управлять различными объектами (рабочими компьютерами, серверами, принтерами, пользователями и т.д.) из единой точки (контролера домена), а также получать сведения о состоянии объектов и об их изменениях [13], т.е. выполнять мониторинг конфигураций.

Таким образом, мы сталкиваемся с вопросом необходимости наложенного средства при даже условии, что в системе есть встроенная система с аналогичной функциональностью.

Хотя использование встроенных в AD технологий и позволяет осуществлять контроль изменений рабочих мест, применение данной службы каталогов порождает «проблему суперпользователя», т.е. сосредоточения максимальных привилегий в рамках одной роли. В данном случае – в рамках роли администратора домена. Обладая полными правами, пользователь с указанной ролью может вносить любые изменения, что делает бессмысленным возложение на него обязанностей по контролю этих изменений и требует создания отдельных учётных записей с усечённой ролью для мониторинга. Создание для пользователей учётных записей, назначение учётным записям ролей может выполняться администратором домена, в то время как нарушает концепцию разделения ролей администратора и администратора информационной безопасности (ИБ).

Аналогично использованию ПАК «Сегмент-В.» для управления доступом в виртуальной инфраструктуре VMware vSphere [14], применение наложенного средства контроля изменений позволяет избежать «проблемы суперпользователя», а также смешения прав и обязанностей администратора и администратора ИБ.

Таким образом, наложенное средство контроля хоть частично и дублирует встроенную функциональность, но является необходимым компонентом защищённой информационной системы.

Заключение

При построении системы защиты некоторой ИС следует помнить, что данный процесс не завершается вводом средств защиты информации в эксплуатацию, не завершается их настройкой. Контроль состояния и конфигурации каждого элемента должен выполняться в течение всей жизни информационной системы, и для выполнения этого контроля необходим комплексный подход: как разработка различных регламентов по порядку внесения изменений, так и применение автоматизированных средств контроля конфигураций.  Программный модуль «Паспорт ПО» позволяет решить задачу контроля изменений конфигурации рабочих мест пользователей, реализуя принципы управления конфигурациями, ориентированного на безопасность.

Список литературы

1. Селищев В. А., Чечуга О. В., Наседкин М. Н. Построение системы информационной безопасности предприятия // Известия ТулГУ. Технические науки. 2009. №1-2. [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/postroenie-sistemy-informatsionnoy-bezopasnosti-predpriyatiya (дата обращения: 13.08.2020).
2. Гудков С. Н., Коробкин Д. И., Рогозин Е. А. Основные этапы и задачи проектирования программных систем защиты информации в автоматизированных системах // Вестник ВГТУ. 2009. №10. [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/osnovnye-etapy-i-zadachi-proektirovaniya-programmnyh-sistem-zaschity-informatsii-v-avtomatizirovannyh-sistemah (дата обращения: 05.09.2020).
3. Внуков, А. А. Защита информации в банковских системах : учебное пособие для бакалавриата и магистратуры. — 2-е изд., испр. и доп. — Москва : Издательство Юрайт, 2018. — 246 с. 
4. Ясенев В.Н. Конспект лекций по информационной безопасности. [Электронный ресурс]. URL: http://www.iee.unn.ru/wp-content/uploads/sites/9/2017/02/konspekt-lektsij-po-IB.pdf С. 110-112 (дата обращения: 05.09.2020).
5. Гришина Н. В. Организация комплексной системы защиты информации. — М.: Гелиос АРВ, 2007. — 256 с.
6. Создание системы защиты персональных данных, приведение процессов обработки и обеспечения безопасности персональных данных в соответствие требованиям законодательства. [Электронный ресурс]. URL: https://www.dialognauka.ru/services/creation_system_security_personal_data/ (дата обращения: 13.09.2020).
7. ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
8. Guide for Security-Focused Configuration Management of Information Systems [Электронный ресурс]. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-128.pdf (дата обращения: 13.09.2020).
9. Сайт компании ОКБ САПР. Паспорт ПО. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/management/software-passport/ (дата обращения: 05.09.2020).
10. Jackson B. Why Security Configuration Management (SCM) Matters. [Электронный ресурс]. URL:  https://www.tripwire.com/state-of-security/security-data-protection/security-configuration-management/why-security-configuration-management-matters/  (дата обращения: 13.09.2020).
11. Crast F. NIST issues Security-Focused Configuration Management Guidelines [Электронный ресурс]. URL: https://www.securezoo.com/2019/11/nist-issues-security-focused-configuration-management-guidelines/ (дата обращения: 13.09.2020).
12. Программный модуль автоматизированного форматирования паспортов рограммного обеспечения автоматизированных рабочих мест и серверов «Паспорт ПО». Общее описание 11443195.501410.080 94 [Электронный ресурс]. URL: https://www.okbsapr.ru/upload/iblock/ecb/ecbafca5423510fd018bc3e32c6b8c9a.pdf
13. Active Directory Domain Services Overview [Электронный ресурс]. URL: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview (дата обращения: 13.09.2020).
14. Угаров Д. В.; Постоев Д. А. Проблемы реализации разграничения доступа к функциям управления виртуальных сред // Вопросы защиты информации: Научно-практический журнал/ФГУП «ВИМИ», М., 2016г., Вып.3, №114, с. 34-35.

Автор: Мозолина Н. В.

Дата публикации: 14.10.2020

Библиографическая ссылка: Мозолина Н. В. Реализация концепции управления конфигурациями при помощи программного модуля «Паспорт ПО» // Вопросы защиты информации. М., 2020. № 3. С. 11–15.

---