|
 |
В. Гайкович
Все человечество по отношению к производству средств защиты от несанкционированного доступа (НСД) делится на две неравные группы: на тех кто производит средства защиты и на тех, кто ими тем или иным образом пользуется. Каждая из этих групп преследует свои цели: производители, как правило, хотят продать как можно больше копий своего продукта, а потребители - как можно более надежно защитить свои данные при помощи приобретенных средств. Несмотря на разницу в целеполагании каждой из этих групп тема выбора средств защиты от НСД одинаково интересует и тех и других. Первых - для продвижения своего продукта на рынке, а вторых - для оптимального выбора этих средств.
Так как особенностью российского рынка программных средств является практически полное отсутствие организаций, осуществляющих сравнительный анализ потребительских характеристик программных средств (в частности средств защиты от НСД), такие сравнительные статьи пишутся обычно производителями этих средств. Характерной чертой данных сравнений является, как правило, хорошее знание сильных сторон собственного продукта и плохое (либо устаревшее) знание о продуктах фирм-конкурентов. Причем, чем меньше знания о продуктах фирм-конкурентов, тем скуднее перечень характеристик, по которым производится сравнение.
Не стала исключением и статья В. Конявского и А. Малютина "Как выбрать систему защиты от несанкционированного доступа", опубликованная в первом номере этого журнала. Несмотря на принципиальные ошибки в теоретической части статьи и обилие явных несуразностей в ее практической части, она содержит новый метод маркетинга программных средств. Впервые в мировой практике сравнению подвергаются в принципе несравнимые вещи - реально работающая сетевая система защиты (Secret Net, находится в реальной эксплуатации более 3-х лет) и система защиты, которая на момент выхода статьи в свет (февраль 1996 года) не только еще не была никому продана, но и даже не была анонсирована (Аккорд в сетевом варианте).
Несмотря на многообещающее название статьи господ Конявского и Малютина, в статье не присутствуют сведения о том, как же все-таки необходимо выбирать систему защиты от НСД. Для устранения этого пробела предлагаю статью почти с таким же названием, в которой попытаюсь предложить конкретный порядок действий по выбору системы защиты от НСД из доступных на российском рынке программных средств.
|
|
||
|
||
|
|
"Все что создано народом, должно быть надежно защищено." Так ли это ?
Для определения необходимости защиты автоматизированной системы (АС) организации, а также для корректного и обоснованного выбора системы защиты необходимо сначала определить общие требования к системе защиты, вытекающие из особенностей защищаемой АС (технических, программных средств, технологии обработки информации, участвующих должностных лиц и т.д).
Для определения этих требований необходимо провести детальное обследование защищаемой АС. Это обследование может быть проведено как сотрудниками организации, эксплуатирующей АС, так и привлеченными специалистами фирмы, специализирующейся на проведении подобного рода работ. В результате проведения обследования должен быть разработан некий документ, детально описывающий конфигурацию технических и программных средств, технологию обработки информации, номенклатуру и обязанности должностных лиц, участвующих в процессе обработки информации, существующие угрозы для АС, наиболее вероятные способы их реализации и меры защиты от них.
Уже на этом этапе целесообразно определить необходимость приобретения дополнительных средств защиты. Их приобретение, на мой взгляд, требуется в следующих основных случаях:
• при использовании на компьютерах средств криптографической защиты (для защиты ключей электронной цифровой подписи и шифрования);
• при необходимости регламентации действий пользователей, работающих на компьютерах и протоколирования их действий;
• при необходимости ограничения доступа пользователей, работающих на компьютерах, к локальным ресурсам компьютера (локальным дискам, каталогам, файлам или внешним устройствам).
Вполне возможна такая ситуация, при которой использование дополнительных средств защиты не требуется (чему, откровенно говоря, можно только позавидовать).
После того, как такой документ составлен и необходимость применения дополнительных средств защиты не вызывает сомнений, необходимо определить размер суммы, которую можно потратить на приобретение средств защиты. Размер этой суммы будет играть существенную роль при выборе конкретных средств защиты от НСД.
Безусловно, покупатель заинтересован в том, чтобы купить продукт как можно дешевле. Однако существует определенный предел цены, ниже которого уважающий себя поставщик опуститься не сможет без ухудшения качества услуг. Поэтому если вам предлагают сильное падение цены в зависимости от партии продукта - не лишним будет поинтересоваться о комплектации поставки и ее последующем сопровождении.
На сегодняшний день в России действует ряд законов, регламентирующих требования к порядку защиты информации физических и юридических лиц. Одним из основных законов является закон "Об информации, информатизации и защите информации". Требованиями данного закона предусматривается обязательная аттестация автоматизированной системы любой организации, обрабатывающей сведения о физических лицах. Аттестация АС организации проводится уполномоченными центрами Гостехкомиссии России.
Поэтому, на мой взгляд, систему защиты от НСД целесообразно выбирать из списка программно-технических средств, сертифицированных Гостехкомиссии России.
Это поможет :
• не тратить время на создание собственных средств защиты и не делать работу, уже сделанную другими людьми;
• доверить оценку качества реализации защитных механизмов квалифицированным специалистам
• облегчить решение проблем, возникающих при аттестации всей АС организации.
По состоянию на начало июня 1996 года в Гостехкомиссии России сертификацию прошли следующие системы защиты от НСД (Таблица 1). В данной таблице не приведены временные сертификаты, выданные в 1994-95 годах на такие системы как "Secret Net", "Dallas Lock" и "Аккорд", а также сведения о системах защиты, разработанных в специализированных государственных организациях (войсковых частях и т.д.)
| Название системы | Тип системы (сетевой/ автономный) |
Произво- дитель |
Номер и дата выдачи сертификата | Класс защищен- ности |
Срок действия сертифи- ката |
| СНЕГ 1.0 | автономный | ЦНИИАтоминформ | N1 от 12.08.93 | не указан | 5 лет |
| CНЕГ-ЛВС | сетевой | сетевой | N2 от 12.08.93 | не указан | 5 лет |
| СНЕГ 2.0 | автономный | ЦНИИАтоминформ | N19 от 18.01.96 | 2 класс, с возможностью применения в АС 1Б | до 31.01.99 |
| Кобра | автономный | ГНИИ моделирования и интеллектуально-сложных систем, АОЗТ "Кобра-Лайн" | N20 от 22.06.95 | 4 класс | до 31.12.98 |
| Марс | автономный | Российский центр "Безопасность" | N22 от 10.11.95 | 3 класс | до 31.12.98 |
| Сизам | сетевой | НПФ "Кристалл" | N28 от 25.12.95 | 6 класс, с возможностью применения в АС 1Д | до 31.12.98 |
| Dallas Lock 3.1 | автономный и сетевой | Ассоциация защиты информации "Конфидент" | N30 от 18.01.96 | 4 класс | до 18.01.98 |
| Secret Net | автономный и сетевой | ЗАО "НИП Информзащита" | N31 от 18.01.96 | 6 класс | до 31.01.99 |
| Secret Net | автономный и сетевой | ЗАО "НИП Информзащита" | N36 от 22.05.96 | 3 класс, с возможностью использования в АС 1В | до 22.05.99 |
| Аккорд | автономный и сетевой | ОКБ "САПР", ТОО "Инфокрипт ЛТД" | N34 от 29.04.96 | Класс защищенности не указан. Возможность использования в АС 1Д и 1В | до 29.04.99 |
| SVET&Q | автономный и сетевой | ГНИ ВЦ ГТК, ОКБ "САПР" | N36 от 22.05.96 | 4 класс, с возможностью использования в АС 1В | до 22.05.99 |
Более подробный перечень сертифицированных средств защиты от НСД можно получить обратившись непосредственно в Гостехкомиссию России.
При выборе конкретной системы защиты для дальнейшего изучения, следует учитывать особенности российской системы сертификации программно-технических средств защиты информации от НСД.
Первая особенность этой системы заключается в том, что существуют два документа, содержащие требования к средствам защиты от НСД. Первый из них "Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации" определяет требования непосредственно к самим средствам защиты информации от НСД. В соответствии с этим документом, программно-техническим средствам, прошедшим сертификационные испытания, присваивается так называемый класс защищенности (одна цифра -"6", "5" и т.д). По классу защищенности, в основном, можно судить только о номенклатуре механизмов защиты, реализованных в системе и ее соответствии требованиям руководящих документов. Дополнительно в сертификате соответствия, выдаваемом на каждую систему защиты от НСД, прошедшую сертификацию, указываются ограничения по ее применению и необходимые организационные меры, необходимые для эксплуатации системы.
Второй документ - "Автоматизированные системы. Защита информации от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" выдвигает требования ко всей АС в целом, как к совокупности аппаратных, технических, программных средств, штатно-должностного расписания и принятой в организации технологии обработки данных. Данный документ обычно используется как руководство для заказчика некоторой АС по требованиям к ее защите. В соответствии с положениями этого документа, автоматизированной системе, в зависимости от выполнения ряда условий, присваивается некоторый класс - цифробуквенное сочетание (например "1Г", "2А"). Класс АС предъявляет требования к классу защищенности применяемого средства защиты. Так, например, в АС класса 1В допустимо применение средств защиты не ниже 4-го класса защищенности. Обратное утверждение ("Если систему защиты можно использовать в АС класса 1В, следовательно оно обеспечивает защиту на уровне не ниже 4-го класса") неверно.
На сегодняшний день сертификация средств защиты производится только по первому из названных документов. Если вам предъявляют сертификат, в котором указано, что средство защиты сертифицировано как АС, это скорее всего означает, что это средство защиты сертифицировано для конкретных условий применения в конкретной АС и вне рамок этой автоматизированной системы данный сертификат не действует.
Второй особенностью, присущей любой системе сертификации, является то, что класс защищенности не может быть показателем потребительских свойств той или иной системы защиты. Класс защищенности указывает лишь на то, что в системе защиты надлежащим образом реализована определенная совокупность механизмов защиты. На самом деле верно следующее утверждение - чем выше класс защищенности, тем больше выдвигается дополнительных требований к организационному сопровождению системы и программным и аппаратным средствам, используемым в АС. Покажем это на примере.
Основным требованием к системам 4-го и более высоких классов защищенности является наличие так называемого "мандатного" (mandatory) принципа управления доступом, при котором каждому субъекту и объекту в системе сопоставляются некоторые метки, отражающие место субъекта (объекта) в соответствующей иерархии. То есть пользователю (и всем программам, работающим от его имени) присваивается, например, форма допуска, а файлу (принтеру, коммуникационному порту и т.д) присваивается, например, уровень важности (или степень конфиденциальности, то есть "открытые данные", "конфиденциальные данные", "строго конфиденциальные данные"). И задача системы защиты в этом случае - не просто контролировать доступ пользователя к некоторым объектам системы, а контролировать его таким образом, чтобы, во-первых, пользователь не получил доступ к данным, более конфиденциальным, чем позволяет его форма допуска, а во-вторых, чтобы не произошло копирование этих данных на носители с меньшими уровнями важности.
Практическая реализация этих требований в среде ОС MS-DOS приводит к необходимости применения строгих организационных мер. Так как реализация требования об учете выдаваемых на принтер листов (требование к системе защиты), может быть выполнено только путем изменения технологии обработки данных. То есть всем пользователям системы, за исключением администратора, запрещается вывод информации на принтер. Печать информации осуществляется администратором, который и обеспечивает необходимую маркировку и учет выдаваемых листов.
Кроме того, системы защиты, как правило, получаются "зависающими" в "секретном" состоянии, то есть после открытия хотя бы одного "секретного" файла все создаваемые до выхода из системы файлы будут автоматически получать категорию важности этого файла. Иначе наличие в системе любого программного обеспечения типа "ClipBoard" может привести к нарушению конфиденциальности документов, обрабатываемых на компьютере.
И если реализация таких требований по организационному сопровождению реальна на объектах повышенной секретности, то в условиях банков их применение затруднительно.
Третьей особенностью российской системы сертификации является сертификация изделия как такового. Обычно сертификат выдается на некоторое программно-техническое средство. Если же сертификат выдан на единичный экземпляр некоторого изделия, это, как правило означает, что экземпляр был заранее предназначен для использования в заранее определенной АС. Практика показывает, что производителями допускается вольное толкование данных документов.
Особое внимание следует обратить на применение в системах защиты от НСД средств криптографической защиты данных. На сегодняшний день применение средств криптозащиты регламентировано указом Президента России N334 и постановлениями правительства по лицензированию некоторых видов деятельности. При выборе системы защиты от НСД со встроенными средствами криптозащиты данных требуйте у поставщика документ, подтверждающий законность применения средств криптозащиты в его системе. Таким документом может служить либо лицензия на право проведения работ в области криптографической защиты информации, либо сертификат ФАПСИ на средство криптозащиты. В противном случае вашей организации могут быть предъявлены претензии со стороны государственных органов в связи с нарушением указа N334.
"Попадись мне кто все так придумал, я бы сам его здесь придушил ..."
Фраза, вынесенная в заглавие данного пункта статьи, не случайна. Именно ее (естественно в разных вариациях) повторяют пользователи и администраторы реально действующих систем защиты, практически независимо от их производителя.
Тот факт, что система защиты от НСД сертифицирована Гостехкомиссии России и распространяется на коммерческой основе какой-либо фирмой совсем не означает, что на технических средствах конкретной АС эта система защиты заработает с первого раза и вообще сможет решить возложенные на нее задачи.
На применимость системы защиты в конкретной АС, на мой взгляд, влияют следующие факторы:
• использование системой защиты различных технических средств идентификации и аутентификации;
• совместимость с существующими программными средствами
• удобство эксплуатации.
Технические средства используются системами защиты для решения двух основных задач: для защиты от загрузки с дискеты и для осуществления идентификации и аутентификации пользователя.
Использование технических средств защиты от загрузки с дискеты безусловно повышает надежность всей системы защиты от НСД. Однако эта задача может быть решена совершенно различными устройствами, стоимость которых отличается в несколько раз. Например, розничная цена обычной платы защиты от загрузки составляет около $10, а стоимость адаптеров для работы с электронными идентификаторами Touch Memory не бывает менее $25.
При выборе технических средств защиты, на мой взгляд, необходимо учитывать критерий "эффективность-стоимость". Применение идентификаторов Touch Memory только на компьютерах, по моему мнению, - слишком дорогое удовольствие, не дающее реального выигрыша в защищенности. Разница между этими устройствами состоит в том, чтобы вместо имени пользователя было прикосновение идентификатором к считывателю. Как было показано в журнале "Защита информации" N5 (1995 год) уникальность такого идентификатора весьма сомнительна. Экономическая целесообразность данного шага обоснована только в том случае, когда идентификаторы Touch Memory применяются не только на компьютерах, но и, например, в системах контроля доступа в помещения.
При выборе системы защиты особое внимание, на мой взгляд, необходимо обратить на номенклатуру поддерживаемых ею технических устройств. Если система защиты работает только с одним типом устройств, а без этого устройства не работает - возможна ситуация, когда это техническое устройство выйдет из строя вся система в целом станет неработоспособной. Кроме того, это неудобно в том случае, когда на нескольких рабочих местах необходима установка одних мер физической защиты, а на других - иных мер.
Все системы защиты можно условно разделить на две группы. Первая из них содержит те системы защиты, которые сами адаптируются к принятой в организации технологии обработки информации. Во вторую группу входят те системы, которые наоборот, требуют адаптации технологии под свои нужды.
Система защиты - это довольно специфичный программно-аппаратный продукт. Она должна работать с большим количеством программ, не нарушая их нормальной работоспособности. Так как спектр этих программ довольно широк, всем их требованиям система защиты удовлетворить не может. Это вызвано как ошибками в программном обеспечении системы защиты, так и некорректной работой самих прикладных программ.
Так как в каждой организации существует свой набор программных средств совместимость в каждом конкретном случае надо проверять снова для того, чтобы быть абсолютно уверенным, что именно на данном наборе программных средств система защиты будет функционировать устойчиво.
При выборе системы защиты необходимо учитывать длительность существования системы на рынке. Чем дольше срок жизни той или иной системы защиты, тем больше вероятность того, что большая часть ошибок разработчиками системы устранена. Чем больше организаций, в которых установлена система защиты, тем больше перечень программных средств, с которыми она совместима.
Однако бывают ситуации, при которых конфликт с теми или иными программными средствами вызван не ошибками в алгоритмах и программах системы защиты, а логикой работы прикладного программного обеспечения защищаемой АС. Поэтому перед приобретением системы защиты необходимо уточнить у поставщика, будет ли тот разбираться в ситуации и добиваться совместимости с программным обеспечением заказчика.
Удобство эксплуатации системы защиты начинает играть свою роль на системах с числом компьютеров более пяти при небольшом количестве обслуживающего персонала. Удобство эксплуатации системы защиты, на мой взгляд, зависит, в основном, от следующих факторов:
• от применяемой схемы управления;
• от наличия специальных механизмов, облегчающих ввод системы защиты в эксплуатацию;
• от наличия подробной, ориентированной на соответствующий уровень пользователя, печатной документации;
• от наличия службы поддержки и сопровождения.
Приобретая автономный вариант системы защиты вы уже настраиваетесь на то, что управление ее настройками будет производится именно с того компьютера, на котором она будет установлена.
В сетевом варианте, когда количество защищенных компьютеров резко увеличивается, возникает необходимость изменения самой схемы управления полномочиями пользователей. Разработчики средств защиты могут реализовать две различные схемы управления :
• схема "длинные руки". При этой схеме управление полномочиями пользователей осуществляется администратором удаленно на каждом компьютере. Недостатком данной схемы является прежде всего ее децентрализованный характер (то есть для смены пароля пользователя необходимо вручную изменить его пароль на всех компьютерах, на которых он зарегистрирован) и зависимость от того, включена ли рабочая станция
• схема отложенного централизованного управления доступом. При этой схеме управления полномочия пользователя меняются один раз в центральной базе данных и затем их изменение на конкретном компьютере берет на себя система защиты. При этом администратору безразлично состояние станции на момент внесения изменений в центральную базу данных. Все изменения на компьютер передаются во время сеанса синхронизации.
Вторая схема управления, на мой взгляд, предпочтительнее, так как облегчает работу администратора по управлению полномочиями пользователя. Однако наличие первой схемы в качестве дополнительной (например для просмотра экрана, полномочий пользователей по доступу к файлам на диске) также целесообразно.
Стоит также обратить внимание на взаимодействие системы защиты с механизмами защиты, реализованными в различных сетевых операционных системах, например Novell Netware. На мой взгляд, нецелесообразно дублирование механизмов разграничения доступа к данным, расположенным на файловых серверах системы. Это только лишь затруднит процесс управления полномочиями пользователей системы.
Как бы хорошо не было проведено обследование АС организации, все равно будет существовать некоторая погрешность при определении прав доступа пользователей к ресурсам АС. Если система защиты не поддерживает ряд механизмов, облегчающих ввод системы в эксплуатацию (уточнение прав доступа пользователей), то сам процесс внедрения системы защиты в повседневную деятельность организации будет довольно болезненным в связи с тем, что система защиты будет отказывать в доступе законным пользователям системы.
Наличие печатной, хорошо написанной документации на программный продукт является необходимым атрибутом профессионально разработанной системы защиты. Такая документация крайне необходима администраторам безопасности для корректной установки и настройки системы защиты и адаптации ее к условиям эксплуатации в конкретной АС. Отсутствие документации, ее некорректное написание, поставка документации на дискете существенно затрудняют процесс эксплуатации системы защиты.
Решение о выборе системы защиты принимайте исходя из принципа "здорового пессимизма". Любая система защиты будет работать несколько хуже, чем ожидают ее производители. Поэтому для выбора системы защиты от НСД предлагается следующий порядок действий :
• определите для себя какова будет цель применения системы защиты и какие задачи необходимо решить с ее использованием;
• проанализируйте какие системы защиты существуют на рынке, какие удовлетворяют вашим потребностям и подходят под принятую в вашей организации технологию обработки данных. Этот этап целесообразно провести используя рекламные описания систем и дополнительную информацию, полученную от разработчиков;
• получите информацию от производителей системы защиты о том, где реально работает данная система защиты;
• постарайтесь связаться с представителями той организации, в которой установлена система защиты для выяснения ее реальных возможностей и проблем, возникающих в процессе эксплуатации;
• постарайтесь получить у поставщика вариант системы с ограниченным сроком действия и попытайтесь применить его на своей АС.
И только после выполнения этих действий принимайте решение на приобретение конкретной системы защиты.
|
|
||||
|
|
||||
|
