Отсутствие высокоуровневой модели защиты ресурсов гетерогенной сети и адекватных решаемой задаче инструментальных средств порождает множество несогласованных частных решений и на практике приводит к хаотичному нагромождению технических и программных средств защиты. Возможным выходом из сложившейся ситуации может служить унификация вычислительных процессов на уровне модели для различных платформ и ее воспроизведение в среде абстрактной базовой операционной системы на каждом узле гетерогенной сети, с последующим переносом общих функций управления безопасностью корпоративной сети в среду промежуточного программного обеспечения. Данный подход реализован в программном продукте «ИВК Юпитер».
В настоящее время уже сложились все необходимые условия для интеграции вычислительных и информационных ресурсов различных территориальных и ведомственных образований, вплоть до уровня вычислительных средств, находящихся в распоряжении частных лиц. В перспективе предполагается условно неограниченный обмен программами, вычислительными услугами и данными в рамках Grid-инфраструктур. Выражение «условно неограниченный» употреблено здесь не случайно: перед реальным сектором экономики, силовыми структурами и органами государственной власти остро стоит вопрос об использовании возможностей, предоставляемых выходом в Сеть. Однако решение этой задачи неминуемо наталкивается на требования обеспечения безопасности конфиденциальной информации. Перед администратором любой системы встает дилемма: пытаться овладеть всеми техническими, инженерно-техническими и программными решениями, понимать их взаимодействие и уметь их непротиворечиво настраивать, либо уповать на организационные меры и надеяться «на авось».
Развитая сетевая инфраструктура — необходимое, но не достаточное условие создания интегрированного информационно-вычислительного пространства. Отсутствие высокоуровневой платформонезависимой модели защиты и, соответственно, необходимых механизмов, реализующих ее, на практике порождает множество несогласованных между собой частных решений и приводит к неоправданному нагромождению технических и программных средств защиты информации. На каком слое «пирога» корпоративной вычислительной сети следует размещать унифицированное решение в области защиты?
Недостаточность общепринятых методов
Сегодня попытки практической реализации комплекса мер по обеспечению защиты информации на предприятии путем использования коммерчески доступных программных средств зачастую наталкиваются на ряд противоречий концептуального характера. Преимущественно они связаны с проблемой неадекватности имеющегося в распоряжении администратора безопасности инструментария решаемым задачам по отображению избранной модели защиты на множество разнородной вычислительной техники и программного обеспечения различных производителей. Перечислим наиболее существенные из встречающихся проблем.
- Различия в используемых понятиях и критериях информационной безопасности на уровне компьютерной лексики и терминологии нормативных документов, определяющих политику безопасности организации. Как следствие, адекватное отображение нормативного уровня на уровень вычислительных систем оказывается недостижимым. В качестве примера достаточно рассмотреть типичную ситуацию, возникающую при рассылке закрытой корреспонденции абонентам корпоративной сети. Отправитель, формируя список рассылки, указывает должности адресатов в соответствии со штатным расписанием организации и при этом, как правило, не использует персонифицированные данные адресатов - физических лиц. С другой стороны, вся настройка политики безопасности имеющимися в распоряжении администратора средствами направлена именно на идентификацию абонента - физического лица и предоставление ему доступных ресурсов (адрес электронной почты, информационные каталоги и т.п.) без учета динамично складывающихся ролевых отношений сотрудников в кадровой структуре организации.
- Различия в базовых средствах защиты информации уровня операционных систем и сетевых приложений различных производителей. Как следствие, возникают дополнительные сложности в реализации непротиворечивой модели защиты для гетерогенной вычислительной среды. Понятно, что разработчики каждой конкретной операционной системы при реализации встроенных средств защиты не могут не учитывать особенности конкретной программно-аппаратной платформы.
Укажем основные противоречия, возникающие при непосредственном использовании компонентов защиты уровня отдельной операционной системы для создания территориально распределенных корпоративных вычислительных сетей.
- Базовые средства защиты информации на уровне ОС обеспечивают подключение пользователя к ресурсам отдельного ПК, являющегося в общем случае элементом локальной сети. На корпоративном уровне необходим дополнительный, более важный с точки зрения общей безопасности этап подключения вычислительного модуля (отдельная программа, группа программ в рамках АРМ, пользователь, группа пользователей, объект в целом) к ресурсам информационной системы в соответствии с принятыми соглашениями по адресации.
- Базовые средства защиты на уровне ОС рассматривают файл в качестве элементарной единицы защиты данных. На корпоративном уровне единицами обмена и хранения данных являются формализованные сообщения и поименованные в соответствии с общесистемными классификаторами документы. И сообщения, и документы, как правило, не хранится в виде отдельных файлов.
- Средства защиты информации в составе ОС управляют доступом на уровне реальных устройств, подключенных к данному компьютеру (или зарегистрированных в нем). На уровне корпоративной сети в роли "устройств", как правило, выступают логические понятия, например, каналы связи, распределенные хранилища данных, группы пользователей ("Администратор", "Отдел разработки приложений" и т.п.), объекты системы в целом.
- ОС статически маршрутизирует потоки данных внутри конкретного компьютера. На уровне исполнения в корпоративной сети, как правило, требуется динамическая маршрутизация между всеми вычислительными средствами объекта с учетом возможности логической привязки пользователей (должностных лиц) к их рабочим местам и перенаправления информационных потоков в зависимости от складывающихся обстоятельств.
- Администрирование вычислительного процесса на уровне ОС замыкается на отдельные компьютеры. На корпоративном уровне требуется администрирование приложений всей неоднородной сети, состоящей из вычислительных модулей (например, мэйнфреймы), специализированных серверов локальных сетей, выделенных рабочих мест и функционирующих в их составе приложений, а также каналов связи с контролем работоспособности объектов в составе информационной системы.
Все это обуславливает необходимость дополнения базовых средств защиты, доступных на уровне отдельных операционных систем, унифицированными средствами организации вычислительного процесса и управления обработкой информации на корпоративном уровне, инвариантными по отношению к определенным операционным системам и обеспечивающими совместное функционирование «унаследованного», текущего и перспективного программного обеспечения.
Компоненты «ИВК Юпитер»
Как следует из названия «Унифицированные программные средства организации, контроля и управления вычислительным процессом в неоднородных вычислительных сетях ИВК Юпитер вер. 5.0», речь идет о программных средствах защиты информационных ресурсов, являющихся, возможно, необходимым дополнением к уже имеющимся на предприятии программно-аппаратным средствам и организационным мерам.
Программные средства, реализованные в составе «ИВК Юпитер 5.0», обеспечивают управление безопасностью при операциях с информационными объектами высших уровней абстракции: распределенные бизнес-процессы, приложения уровня конечных пользователей, системы документооборота, базы данных. Одним словом, речь идет о средствах защиты уровня корпоративной сети (АСУ в терминологии руководящих документов Гостехкомиссии при Президенте РФ), образованной из неоднородных вычислительных модулей (средств вычислительной техники в терминологии РД). Понятно, что для защиты объектов такого уровня должны использоваться специализированные средства защиты информации, служащие дополнением недостающих механизмов защиты на уровне разнородных операционных систем и сетевых приложений.
Следует подчеркнуть: предлагаемые средства защиты информации предназначены для реализации общей модели защиты в условиях изначальной неоднородности множества программных и аппаратных компонентов, составляющих корпоративную сеть предприятия. Унификация модели защиты на уровне разнородных элементов достигается средствами промежуточного программного обеспечения, образованного компонентами «ИВК Юпитер», функционирующими под управлением базовых операционных систем Linux Red Hat 7.3, MCBC 3.0, IBM OS/2, Windows NT 4.0/2000 Professional и IBM VM/ESA. Это, кстати, принципиально отличает данное решение от большинства известных реализаций.
Сегодня программные компоненты защиты информации либо встраиваются в состав ОС непосредственно разработчиками, либо подменяют собой стандартные обращения к объектам защиты (файлам, устройствам, исполняемым модулям) уровня ОС со стороны прикладных процессов. Недостаток обоих решений — сильная зависимость построенной модели защиты от частных особенностей реализаций, а также необходимость стабилизации конкретной версии используемой операционной системы для внешних средств защиты информации.
Концепция модели защиты
В версии 5.0 «ИВК Юпитер» заложена высокоуровневая модель безопасности, базовые понятия которой приближены к понятиям должностных инструкций и других нормативных документов, регламентирующих организационные аспекты обеспечения безопасности предприятий. Такое соответствие устраняет источник проблем при формулировании и реализации общей политики безопасности корпоративной сети. Одновременно, средствами «ИВК Юпитер», в тех случаях, когда это возможно, высокоуровневая модель безопасности отображается на уровень базовых средств безопасности, имеющихся на каждой поддерживаемой платформе. Понятно, что для этого используются унифицированные вызовы API «ИВК Юпитер», транслируемые на уровень конкретной ОС (например, получение контекста пользователя, процесса, атрибутов файлов и т.д.).
Концепция модели защиты информации, реализованная средствами программного продукта «ИВК Юпитер», предполагает создание доверительной среды на уровне базовой ОС, поскольку контроль и управление защищаемыми ресурсами производится на уровне промежуточного программного обеспечения. Доверительная среда обеспечивается, в частности, системным администратором посредством специальных настроек в конфигурации ресурсов средствами самой операционной системы. Примерами таких настроек могут служить разрешение приема/передачи информации между абонентами только по специализированной магистрали передачи данных, переключение средств поддержки стандартных сетевых протоколов (FTP, telnet, SMTP) на прокси-сервер из состава «ИВК Юпитер», запрет режима удаления основного файла хранилища данных «ИВК Юпитер» и т.п.
После создания доверительной среды из конфигурационных файлов ОС встроенными средствами контроля целостности «ИВК Юпитер» извлекаются контрольные суммы зарегистрированных приложений и помещаются в специальный раздел (журнал) хранилища данных, в режиме просмотра доступный администратору по безопасности. В начале каждого сеанса работы, а также по особому регламенту, средства контроля целостности «ИВК Юпитер» обеспечивают проверку наличия доверительной среды. При отрицательном результате производится автоматическая запись в журнал контроля целостности о факте нарушения целостности ПО и завершение работы ядра «ИВК Юпитер», а также зарегистрированных приложений. Продолжение работы возможно только после восстановления доверительной среды.
Рис. 1. Примерная схема организации взаимодействия приложений в среде базовой операционной системы с использованием «ИВК Юпитер» |
Информация, относящаяся к работе средств защиты (пароли, журналы, эталонные значения контрольных сумм и т.д.), хранится в специализированном хранилище и недоступна для непосредственного просмотра или модификации должностными лицами.
Подсистема безопасности встроена в ядро «ИВК Юпитер», экземпляры которого работают на каждом узле сети (рис. 2). В ядро заложена функция проверки состава и целостности прикладного и системного ПО, в том числе, и самого ядра. Средства контроля целостности обеспечивают проверку наличия доверительной среды в процессе функционирования. При отрицательном результате производится автоматическая запись о факте нарушения в журнал контроля целостности и завершения работы ядра на данном узле. Продолжение работы возможно только после восстановления доверительной среды. Соответственно, невозможно разрушение системы безопасности за счет «подмены» ядра, компонентов системного или прикладного ПО. С другой стороны, подсистема безопасности автоматически контролирует все обращения прикладных программ к интерфейсам «ИВК Юпитер». В ядро также встроены средства защиты информации, передаваемой в локальных и глобальных вычислительных сетях, а также информации, распределено хранящейся в узлах вычислительной сети в так называемых «личных сейфах» пользователей, реализованных на основе концепции унифицированных хранилищ данных «ИВК Юпитер».
Рис. 2. Структурная схема механизма управления доступом и интерфейсов |
В целом, совокупность описанных технических решений в области защиты информации на основе использования компонентов «ИВК Юпитер» создает замкнутую вычислительную среду на поле разнородных программно-аппаратных средств, вход в которую извне (со стороны других узлов сети) возможен только по унифицированной магистрали «ИВК Юпитер». При этом определенный слой внутренних протоколов обмена, принципы адресации, маршрутизации, квотирования скрыты от прикладных программ, что существенно затрудняет (а в ряде случаев делает принципиально невозможными) внешние атаки со стороны незащищенных фрагментов сети. Контроль состава и целостности функционирующих приложений, осуществляемый локально компонентами «ИВК Юпитер» на каждом узле гетерогенной сети, позволяет существенно ограничить саму возможность и масштабы последствий внутренних атак. Максимально возможный ущерб в данном случае — выход из строя одной вычислительной установки на узле, что, конечно, неприятно, но не влечет за собой катастрофических последствий для всей сети. Симметричная (peer-to-peer) модель организации вычислительного процесса на каждом узле гетерогенной сети, лежащая в основе функционирования компонентов «ИВК Юпитер» позволяет администратору вычислительного процесса перераспределить функции между имеющимися в его распоряжении исправными вычислительными средствами, хотя технологически это не всегда возможно.
В состав ядра «ИВК Юпитер» входят унифицированные средства хранения данных UP-Warehouse, распределенным образом функционирующие в гетерогенной сети и выполняющие на каждом узле функции специализированных хранилищ с возможностью помещения в них конфиденциальной информации и управляемым доступом со стороны приложений. По способу реализации хранилище представляет собой специализированную систему управления многомерными базами данных, предназначенную для хранения информационных объектов различной природы (документы, структурированные сообщения, файлы). Понятно, что доступ к хранилищам (в том числе, и удаленный) возможен только со стороны зарегистрированных в среде «ИВК Юпитер» приложений; при этом непосредственная обработка стандартными программными средствами файлов с хранящейся на магнитном носителе преобразованной информацией невозможна.
Практические аспекты
На сегодняшний день защищенная версия «ИВК Юпитер» проходит этап сертификационных испытаний и может быть использована в опытно-конструкторских разработках и пилотных проектах, связанных с созданием информационных систем (АСУ классов до 1Б включительно), предназначенных для обработки сведений, составляющих государственную тайну. «ИВК Юпитер» позволяет решать многие задачи интеграции создаваемого и унаследованного прикладного программного обеспечения, организовать унифицированный доступ к разнородным хранилищам и другим источникам данных в гетерогенной среде, а также улучшить эксплуатационные характеристики создаваемых приложений корпоративного уровня, сократить сроки их разработки и снизить расходы на сопровождение.
Предлагаемый в качестве инструментария разработчика комплект API позволяет разрабатывать кросс-платформные приложения, совместно функционирующие в гетерогенных сетях (в том числе, и с унаследованным программным обеспечением). Поддержка синхронных («клиент-сервер») и асинхронных (обмен сообщениями) моделей взаимодействия приложений посредством универсальной магистрали передачи данных «ИВК Юпитер», обеспечивающей режим гарантированной пересылки информации между узлами гетерогенной сети, позволяет комплексно повысить ключевые эксплуатационные характеристики корпоративного программного обеспечения.
Решения на базе «ИВК Юпитер» могут быть внедрены в информационных системах разного масштаба — от отдельных корпоративных приложений и программных комплексов, работающих в пределах информационной системы предприятия, до межведомственных информационных систем федерального уровня. Так, данные технологии в течение ряда лет используются в проектах, выполненных для управлений Минобороны, предприятий ВПК и ряда других государственных структур, предъявляющих повышенные требования к безопасности информационных систем и использующих весь спектр вычислительных платформ — от мэйнфреймов до рабочих станций и ПК, объединенных в локальные и глобальные сети. Главная цель новой версии «ИВК Юпитер» — обеспечить уровень безопасности, позволяющий, в соответствии с действующим российским законодательством, создавать информационные системы для работы со сведениями, составляющими государственную тайну.
Подсистема безопасности ядра способна «прозрачно» взаимодействовать с дополнительными средствами безопасности, такими как сертифицированные средства шифрования, электронной подписи, аппаратного «закрытия» каналов связи и др., которые могут рассматриваться как метаприложения, функционирующие в среде «ИВК Юпитер», взаимодействие с которыми происходит посредством так называемых «оберточных» (wrapping) механизмов.
Визуальные компоненты «ИВК Юпитер», обеспечивающие управление безопасностью в гетерогенной сети, работают в среде Web-браузера. При этом сами HTML-страницы хранятся как документы в хранилищах данных UP-Warehouse и либо статически, либо динамически формируются из табличных объектов в процессе выполнения внешних запросов (например, выборки журнала безопасности). С АРМ администратора безопасности через Web-интерфейс обеспечен удаленный просмотр журналов действий пользователей и управление различными аспектами безопасности как на уровне связующего программного обеспечения, так и на уровне платформ.
Валерий Андреев (andreev@ivk.ru) — технический директор, Константин Здирук (zdiruk@ivk.ru) — руководитель проекта ЗАО ИВК (Москва).