“Третий глаз” в информационной системе

БЕЗОПАСНОСТЬ

Почему трудно купить средство защиты информации?

Руководители служб безопасности часто сталкиваются с проблемой нехватки средств на покупку систем защиты информации: трудно убедить директоров компании в необходимости приобретения дорогостоящего ПО. Руководителю, неискушенному в информационных технологиях, действие сложного средства защиты информации непонятно, стоимость кажется слишком высокой, а потому и его приобретение представляется необязательным.

Средства ограничения доступа в помещение, в отличие от ПО, действуют понятно и наглядно, поэтому и вопросы с их покупкой решаются проще.

Можно предположить, что если произойдет какое-либо ЧП, например, конфиденциальная информация компании станет известна конкурентам, то руководство охотнее профинансирует покупку средства защиты. Однако скорее всего в этом случае вся вина будет возложена именно на службу безопасности.

Не будем рекомендовать экстремальных методик, лучше попробовать убедить руководство, проведя аналогию с чем-то вполне доступным пониманию. Например, вход в здание контролируется турникетом и охранником - межсетевой экран, установленный на входе в корпоративную сеть, пресекает доступ посторонних в информационную систему. Охранник периодически обходит здание в поисках открытых дверей и окон - система анализа защищенности “обходит” серверы сети в поисках уязвимостей.

Поговорим о средствах защиты информации, позволяющих контролировать действия пользователей в ИС.

Российские разработки

Российских компаний, занимающихся разработкой средств защиты от несанкционированного доступа, не так уж много. Вот наиболее известные из них: НИП “Информзащита” (система защиты информации Secret Net), ОКБ САПР (АМДЗ “Аккорд”), “Конфидент” (система защиты информации Dallas Lock). Основное назначение предлагаемых ими средств - исключить несанкционированный доступ посторонних лиц к информации, хранящейся в компьютере. Кроме этого, большинство подобных систем имеют централизованное управление, функции расширенной регистрации событий, семантического сжатия журналов регистрации; некоторые системы (например, Secret Net) используют в схемах управления термины реальной предметной области.

Отметим функцию средств защиты, сразу дающую наглядный результат, - это возможность контроля действий пользователей в информационной системе. Нет ничего понятнее, чем автоматически сформированный отчет о несанкционированных действиях пользователей за определенный промежуток времени. Кроме того, ниже будут описаны два способа выявления нарушений положений политики безопасности сотрудниками компании.

Полицейские функции

Современные средства защиты информации, как правило, построены по технологии клиент-сервер и состоят из трех компонентов: клиентской части, серверной части и подсистемы управления.

Клиентская часть устанавливается на компьютер, содержащий важную информацию. Ее основное назначение - защита ресурсов и регистрация событий, происходящих на ПК.

Серверная часть размещается на выделенном компьютере или контроллере домена, она обрабатывает собираемую от клиентов информацию и хранит данные о состоянии всей системы защиты.

Подсистема управления - это программа, которая устанавливается на рабочем месте администратора и позволяет ему конфигурировать все механизмы защиты клиентской части, контролировать все события, имеющие отношение к безопасности информационной системы, и вовремя реагировать на них.

Непосредственно “полицейские функции”, позволяющие контролировать действия пользователей в информационной системе, выполняет клиентская часть. Клиент сообщает практически обо всех действиях пользователей на компьютере. Многие российские разработки отслеживают более 100 видов событий, начиная от запуска программ на компьютере и заканчивая записью информации на дискеты и выводом ее на принтер. При этом события, которые должны фиксироваться, могут быть выбраны ответственным за безопасность, т. е. регулируется степень подробности регистрации.

Для того чтобы администратор, находясь на своем рабочем месте, мог знать обо всех событиях в сети, полная информация о действиях пользователей заносится в единый журнал регистрации. При этом если событие является несанкционированным, то администратор узнает об этом немедленно - на консоль оперативного управления подается соответствующий сигнал.

Операции с конфиденциальными документами

Если ИС компании очень большая, то у отдела технической защиты информации просто не хватит времени на то, чтобы контролировать все действия всех сотрудников, поэтому необходимо сосредоточить внимание только на очень важной, конфиденциальной информации, распространение которой недопустимо.

В этих целях, как правило, реализуется так называемое полномочное управление доступом; его суть состоит в следующем: для каждого пользователя устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам или файлам назначается категория конфиденциальности, например “конфиденциальная информация”, “строго конфиденциальная информация”. При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже, чем уровень конфиденциальности файла.

Однако полномочное управление доступом имеет еще ряд полезных и интересных функций, которые позволяют следить за действиями пользователя с конфиденциальным ресурсом, в частности:

- контролировать перемещение документа. Используется контроль потоков, запрещающий, например, перемещение “конфиденциального” документа в “неконфиденциальный” каталог;

- контролировать буфер обмена ОС, что исключает возможность сделать копию всего документа или его части через буфер обмена;

- регистрировать печать конфиденциального документа. В журнале фиксируется - кто печатал, число копий, когда и с какого компьютера.

Этих функций достаточно, чтобы выявить несанкционированное копирование конфиденциальной информации или ее распечатку, а также узнать, кто из пользователей превышает ограничения, установленные политикой безопасности.

Удаленный контроль

В различных продуктах, предназначенных для управления всей корпоративной сетью организации, предусмотрена возможность удаленного управления компьютером в режиме эмуляции терминала и клавиатуры. Предназначение таких компонентов - удаленное управление серверами и удаленное управление рабочими станциями в случае возникновения проблем у пользователей.

Некоторые системы защиты информации, в отличие от средств управления сетью, разрешают только просматривать экран удаленного компьютера. Однако и назначение данного компонента другое - с его помощью администратор может просмотреть экран компьютера пользователя, если зарегистрировано сообщение о НСД на рабочей станции.

Функция удаленного контроля не позволяет управлять компьютером - ведь это не соответствует политике безопасности: пользователь может работать с какими-либо программами, оперирующими финансами, и возможность управлять компьютером такого пользователя - уже нарушение, которое может привести к печальным последствиям.

Контроль администраторов

Самые большие потери ИС могут нанести пользователи, в силу своих служебных обязанностей обладающие большими привилегиями, - администраторы сетей, баз данных и системные администраторы.

Некоторые средства защиты позволяют контролировать их работу с помощью одного журнала регистрации - так называемого “журнала событий аудита”. В нем регистрируется информация об управляющих воздействиях различных администраторов на информационную систему. Невозможно ограничить привилегии администратора, однако понимание того, что любое неправомерное действие будет зафиксировано и не останется безнаказанным, сделает его внимательнее и предотвратит немало ошибок.

Выявление нарушителей

Рассмотрим несколько рецептов, которые позволяют выявить нарушителя с помощью полномочного управления доступом и возможности удаленного контроля.

При полномочном управлении доступом можно настроить систему так, чтобы она только регистрировала события, а доступ пользователей к файлам осуществлялся обычным образом. При этом пользователь не должен знать, какие механизмы защиты установлены на его рабочей станции, какие события регистрируются и какие существуют ограничения по использованию ресурсов сети.

Каждый сотрудник будет по-прежнему иметь доступ к тем ресурсам, к которым он имел доступ ранее, т. е. для пользователей внешне не будет заметно то, что операции с конфиденциальными документами фиксируются. Поэтому если злоумышленник, например, отправит конфиденциальный документ на печать или скопирует файл на дискету, то средство защиты не помешает ему, но немедленно отправит сообщение об НСД на консоль управления администратора по безопасности. Таким образом, можно выяснить - кто из сотрудников является “засланным казачком”.

Другой способ выявить нарушителя более трудоемок, однако в этом случае предполагается, что и нарушитель более подготовлен и осторожен в своих действиях. Сотрудник может иметь полное право на работу с конфиденциальными документами, при этом не распечатывать и не копировать документ на дискеты, а на основе конфиденциальных данных готовить, к примеру, краткие справки для конкурентов. Подобного нарушителя очень трудно выявить - ведь он ничего не нарушает, придерживается тех правил, которые установил для него ответственный за безопасность, его действия не будут распознаваться системой защиты как НСД.

В такой ситуации рекомендуется использовать возможности “удаленного контроля”: просто подключитесь к монитору компьютера человека, который входит в круг подозреваемых. Естественно, что это потребует времени и внимания от администратора, но и положение не из простых.

Данный способ не выдуман, а взят из реальной жизни. В одной из организаций была выявлена утечка информации. Служба безопасности работала исправно, Secret Net тоже, все требования положений политики безопасности соблюдались, подробный анализ журналов регистрации не принес никаких результатов, а ситуация не менялась.

Тогда был выделен круг лиц, имеющих официальное право работать с теми конфиденциальными документами, суть которых стала известна конкурирующей стороне. Над каждым подозреваемым установили надзор - используя программу удаленного контроля, сотрудники службы безопасности в течение всего рабочего дня вели наблюдение за их мониторами.

Выяснилось, что сотрудник из числа лиц, имеющих доступ к конфиденциальной информации, открывал конфидециальный документ в окне текстового редактора MSWord, а в другом окне готовил краткий реферат секретного материала. В журналах регистрации этот факт не был зафиксирован как событие НСД, так как с точки зрения системы защиты сотрудник действовал в рамках своих полномочий.

При выходе из здания сотрудник был задержан, у него обнаружили краткую справку, раскрывающую содержание конфиденциальных документов.

Заключение

Необходимо понимать, что средства защиты информации - не панацея от служебных преступлений, но сам факт их использования службой безопасности заставит сотрудников более ответственно относиться к работе с конфиденциальными данными.

Если программный продукт позволяет контролировать работу пользователей и расследовать факты утечки информации, т. е. его действие эффективно и наглядно, то система защиты быстро зарекомендует себя с положительной стороны. Более того, после выявления факта НСД служба безопасности в глазах руководства приобретет некоторый авторитет, что заметно скажется на финансировании служб защиты информации.

С автором можно связаться по адресу: romanp@infosec.ru.