Информационная магистраль “Юпитер” на страже безопасности данных
ИНФРАСТРУКТУРНОЕ ПО
Пятая версия межплатформного ПО фирмы ИВК обеспечит сохранность сведений с грифом “Совершенно секретно”
В мире не существовало еще организации, секреты которой удалось бы защитить от посторонних глаз целиком и полностью, хотя это цель, к которой многие стремятся. Каждый виток развития технологий дает в руки злоумышленников новые инструменты для проникновения в чужие тайны, и каждый раз те, кто эти тайны оберегает, вынуждены модифицировать и расширять комплекс мер, направленных на их сохранение.
Сейчас, в эпоху сетевых вычислений, этот комплекс по меньшей мере должен предусматривать применение организационных мер, технических средств защиты, препятствующих несанкционированному доступу к компьютеру (т. е. осуществляющих идентификацию пользователя), встраивание в ОС и приложения средств, обеспечивающих их функционирование и работоспособность.
Архитектура защиты данных “Юпитер”
Очень часто инфраструктура защиты информации, развернутая в компании, ограничивается описанными слоями (разве что в отдельных приложениях появляются свои уровни идентификации). Однако возникают две проблемы: как требования безопасности, изложенные в терминах нормативно-правовой лексики и опирающиеся на понятие ролей, выполняемых сотрудниками, отразить в настройках ОС и приложений и как сделать безопасной гетерогенную вычислительную среду?
Проблема № 1. Разговор на разных языках
Часть законодательных требований к обеспечению информационной безопасности организаций излагается с помощью терминов и понятий, возникших в ту эпоху, когда большинство данных еще не хранилось в компьютерах и задача пресечения их утечки через сети не стояла. В итоге возникает несоответствие в уровне абстракции понятий безопасности и управления ПО.
Например, законодатель говорит, что нужно разделять абонентов по уровню допуска. А на уровне конкретной ОС можно разрешить доступ только к файлам и папкам или IP-адресу по каким-то портам. Ответственность за трансляцию в настройки ОС этих бизнес-требований ложится на администратора сети - ему они спускаются “сверху”, ведь он подотчетен должностному лицу, отвечающему за безопасность в целом, в том числе пропускной режим, физическую охрану и т. п.
Понятно, что эта сложная работа, требующая сочетания профессиональных знаний в двух непересекающихся областях, чревата ошибками. Кроме того, появляется слой специалистов, обладающих такими качествами, к которым перемещается власть по установке прав доступа конкретных пользователей. Ответственность за безопасность очевидно размывается.
Данная проблема характерна для организаций всех типов, но особенно остра для государственных учреждений или фирм, занимающихся их обслуживанием, деятельность которых в существенно большей степени регулируется законодательно.
Проблема №2. Отсутствие стандарта
Еще одна часто возникающая проблема - разнородность систем, на которых хранятся данные, что серьезно осложняет выработку и применение корпоративной политики безопасности.
Скажем, защита в ОС обеспечивается изоляцией друг от друга участков ОЗУ, использующих программы. В мэйнфреймах для каждого прикладного процесса применяются так называемые ключи защиты на уровне ОС. Ими программы могут помечать выделяемые куски памяти. Все ключи проверяются аппаратно, - поэтому прикладной программе, работающей в контексте пользовательского процесса, данные других процессов недоступны. Но в следующих поколениях вычислительной техники ситуация изменилась. Например, в Windows есть поддержка изолированности участков ОЗУ, но тем не менее доступны операции API для записи в память процесса по его номеру (PID).
Таким образом, имеются различные технические подходы и соответственно требуются разные инструментальные средства обеспечения безопасности.
Основные концепции “Юпитера”
В мае компания ИВК вывела на рынок новую версию своего ПО для построения корпоративной информационной магистрали “Юпитер” (см. PC Week/RE, № 44 /2002, с. 38), которое при соблюдении ряда накладываемых им ограничений позволяет решить данные проблемы. Кроме того, в продукт введен ряд технологий по защите информации, в частности шифрование трафика и данных в хранилище. Благодаря этому “Юпитер” смог пройти сертификацию Гостехкомиссии при Президенте РФ, которой признано, что под управлением данного ПО можно размещать, хранить и обрабатывать информацию, имеющую уровень секретности вплоть до “Совершенно секретно”. Признано также, что он соответствует требованиям Министерства обороны.
Напомним, что в основе “Юпитера” лежит информационная магистраль, гарантирующая доставку и обработку сообщений (документов) и связывающая так называемые логические модули, т. е. компьютеры с настроенной и запущенной виртуальной машиной “Юпитер”. Эти модули отправляют друг другу сообщения и адресуются в соответствии с организационной структурой предприятия, например “Генеральный директор” или “Главный инженер”. После доставки на ПК “Юпитер” передает сообщение на обработку необходимому приложению, однако визуальный компонент обработки активизируется только после того, как пользователь прошел процедуру регистрации. Такая схема позволяет легко согласовать электронный документооборот с бумажным - ведь они строятся (как правило) по схожим принципам и в подавляющем числе организаций сосуществуют.
Вторым основным компонентом системы является виртуальная машина, реализующая некоторую каноническую модель вычислительного процесса. Хотя сам “Юпитер” работает в контексте ОС, предлагаемая им модель вычислительного процесса не зависит от контекста ОС и приближена к понятиям конечного пользователя. Ее терминами являются “Документ”, “Гриф секретности”, “Должностное лицо” и т. п.
При установке “Юпитера” все приложения можно настроить так, чтобы они получали и передавали данные только через тракт этой системы, что исключает их утечку. Каждое сообщение, посылаемое “Юпитером”, кодируется специальными образом, а в новой версии шифруется, и смысл данных, пересылаемых через тракт “Юпитера”, недоступен для других программ.
Кроме того, “Юпитер” при запуске всегда сверяет контрольные суммы установленных в системе приложений и их настроек, что гарантирует целостность конфигурации системы.
Все данные “Юпитера” хранятся в спецхранилищах. С позиции ОС они представляются файлами с непонятной внутренней природой и с непонятными связями между собой. Все индексы и данные в них перемешаны.
Хранилище строится по принципам многомерных БД. Любой документ, помещаемый в хранилище, на самом деле представляет собой совокупность таблиц. Каждая таблица описывает определенный взгляд на содержимое документа и его атрибуты. Доступ в хранилище осуществляется методами API и ведется только локально (сетевой доступ “Юпитеру” не нужен). Поэтому администратору безопасности не приходится решать проблему сетевых нагромождений. Его задача - настроить все на каждой машине.
Прокси-сервер
При использовании “Юпитера” клиентская машина, включенная в его тракт, не имеет самостоятельного сетевого адреса и соответственно недоступна через обычные сетевые протоколы. При этом, правда, теряется возможность обратиться к обычным сетевым ресурсам, например серверу СУБД.
Прокси-компонент, появившийся в новой версии пакета, устраняет этот недостаток: он позволяет подключать таких абонентов через тракт “Юпитера”. Зная логический адрес машины, прокси-компонент выстраивает маршрут доставки запроса, проверку прав пользователя, доверительных отношений, автоматическую регистрацию пользователя и передачу этого запроса такому же серверу “Юпитер”, действующему на стороне СУБД. Там запрос отрабатывается, и дальше идет такой же многозвенный ответ.
На разных участках тракта “Юпитер” могут использоваться разные протоколы, в том числе TCP/IP. Однако вследствие использования собственных средств маршрутизации между начальной и конечной точками могут стоять различные брандмауэры, может не быть непосредственного адресования или вообще отсутствовать непрерывное на период сеанса связи соединение (то, что предполагает протокол TCP/IP).
Это позволяет использовать “Юпитер” для построения защищенной корпоративной инфраструктуры, в которой используются стандартные серверные продукты.
“Стоит сказать, что просто применения средств защиты Oracle и Microsoft недостаточно для федеральных структур, - рассказывает Константин Здирук, руководитель отдела разработки компании ИВК. - Действующее законодательство по обработке данных, составляющих государственную тайну, требует обязательной сертификации ПО защиты с представлением исходных текстов для средств защиты уровня ОС и СУБД. Пока ни Microsoft, ни Oracle соответствующую процедуру сертификации не прошли. Данная процедура предусматривает проведение специальных исследований, направленных на определение двух вещей: степени защищенности информации от несанкционированного доступа (НСД) и уровня соответствия реальных и недекларируемых возможностей (НДВ). При испытаниях на НСД проверяются средства управления доступом, рабочее место администратора, парольная и журнальная службы. Но только после проверки в совокупности с НДВ выдается сертификат о том, что средства защиты годятся для обработки чего-то”. места защитить. Правда, для того чтобы этого достичь, компания, его применяющая, должна пойти на определенные жертвы в области удобства работы пользователей.
Жертвы
Суммарная безопасность данных определяется устойчивостью ко взломам самого узкого звена. Таким в ИС зачастую является операционная система. Но "Юпитер" за счет наличия в нем собственной канонической системы вычислительного процесса позволяет эти узкие места защитить. Правда, для того чтобы этого достичь, компания, его применяющая, должна пойти на определенныежертвы в области удобства работы пользователей.
Во-первых, на уровне ОС нужно переключить все сетевые сервисы (FTP, Telnet, SNMP и т. п.) на магистраль “Юпитера” через прокси-соединение. Таким образом устраняются все чужеродные подключения, через которые может пройти атака. С соответствующих конфигурационных файлов и настроек снимается контрольная сумма.
При запуске “Юпитер” определяет, разрешенная это или не разрешенная конфигурация. Причем эти проверки делаются и далее, в моменты времени, утвержденные в регламенте.
Во-вторых, для каждой машины администратор задает модули, разрешенные к исполнению. Их список записывается в специальные таблицы “Юпитера”, и с каждого исполняемого модуля, перечисленного в списке, также снимается контрольная сумма. В процессе работы “Юпитер” периодически проверяет, разрешено ли выполнение приложений, и их целостность.
И наконец, вся информация, содержащая элементы коммерческой или государственной тайны, должна быть перемещена из произвольных файлов в специализированное хранилище. Рабочий каталог пользователя - вершина айсберга, с которой он может дальше что-либо делать, - также лежит в спецхранилище и доступен только после того, как человек предъявит полномочия. Рабочие же документы и ссылки на другие данные доступны через Web-браузер (интранет-сервер встроен в виртуальную машину “Юпитер”). Если нужный документ находится в удаленном хранилище, то HTTP-доступ к нему всегда происходит через тракт “Юпитера” по процедуре, описанной в предыдущем разделе. Установки стека протоколов TCP/IP для этого не требуется.
Взаимодействие со спецхранилищем может быть сопряжено с неудобствами, скажем, из того же Word’а документы приходится сохранять во временном файле. Но для подобных продуктов ИВК предлагает специализированные макросы, обеспечивающие прозрачное перемещение порций информации между ними и спецхранилищем или очередью сообщений. В большинстве систем документооборота такое взаимодействие строится через интерфейсы ODMI (Open Document Management Interface), но в ИВК сочли, что этот подход снижает защищенность системы в целом.
Всевластие администратора
Компании, стремящиеся защитить данные, часто сталкиваются с дилеммой - либо смириться с тем, что администратор системы всевластен, либо допустить возможность утраты доступа к данным при увольнении или исчезновении сотрудника, если учетную запись и пароль знает только он. В “Юпитере” применен алгоритм, упрощающий решение этой проблемы.
Во-первых, права доступа к документам определяются штатным расписанием, и другой человек, замещающий его в должности, может получить к ним доступ. Физическое лицо идентифицируется только лишь паролем, но у администратора нет способа этот пароль незаметно изменить, - хотя в его распоряжении и есть доступ к информационной Web-панели, с которой он может, в частности, вести управление списком пользователей, и именно на нем лежит обязанность выдавать пароль при вступлении человека в должность. Однако при первом же заходе в систему пользователю выдается запрос на смену пароля. Таким образом, администратор знает пароль пользователя лишь очень короткое время. Конечно, можно представить ситуацию, когда администратор успеет за это время сменить пароль пользователя дважды, получив непродолжительный доступ к документам последнего. На этот случай все действия администратора безопасности фиксируются в журнале, находящемся в спецхранилище, причем к правке журнала безопасности администратор не допущен.
Стоит заметить, что этот журнал глобальный (т. е. ведется по всей сети “Юпитера”) и высокоуровневый. Он ведется не в терминах “открыл файл - закрыл файл” (это само собой есть), а в терминах уровня модели безопасности - такой-то прочитал документ, записал документ, поправил, удалил, создал, передал другому лицу. Поэтому его легко интерпретировать тому, кто контролирует деятельность администратора.
Главная особенность
Итак, в чем главное отличие новой версии “Юпитера” от остальных средств обеспечения безопасности? Григорий Сизоненко, генеральный директор компании ИВК, определяет его следующим образом: “В настоящее время большинство программных компонентов защиты информации либо встраиваются в состав различных ОС, либо подменяют собой стандартные обращения к объектам защиты (файлам, устройствам и т. п.) уровня ОС со стороны прикладных процессов. Некоторые средства защиты под Windows используют позиции в файловой системе, зарезервированные непосредственно разработчиками ОС для реализации принципов дискреционного и мандатного размещения метаданных - гриф секретности, визы (завизировано или нет), кем завизирован (идентификатор пользователя). Все эти вещи требуются по руководящим документам, но место под них разработчик ОС не предусмотрел. Такое решение может быть сертифицировано только с платформой, сертификат выдается только для определенной версии ОС и только на определенное число копий: в этом случае сертифицируется не само средство защиты, а ОС со встроенным в него средством защиты. Но этот подход нарушает системные соглашения. “Юпитер” же - единственное российское средство защиты, оторванное от ОС. Его уровень объектов защиты - это уже корпоративная сеть или АСУ в старом понимании”.