Современная трактовка сервисов безопасности

Подчеркнем, что нужно не просто один раз выработать единую политику безопасности. Требуется контролировать сохранение согласованности при  всех административных действиях. Подобный контроль — одна из важнейших составляющих управления информационными системами.

Требование конфиденциальности и  целостности коммуникаций впрямую  обращается к такому понятию, как  виртуальная частная сеть. Прочие меры безопасности (например, использование  выделенных каналов, контролируемых организацией) представляются неэффективными.

"Интерпретация ...", благодаря  компонентному подходу, сделала  возможным анализ отдельных сервисов  безопасности и их комплексирование  для получения защищенных конфигураций. Кроме того, она, по сравнению  с "Оранжевой книгой", принципиальным  образом расширила спектр рассматриваемых  сервисов безопасности. Помимо традиционных:

1. идентификации/аутентификации;
2. управления доступом;
3. протоколирования/аудита

появились:

1. проверка подлинности и корректности функционирования компонентов перед их включением в сеть;
2. протокол оперативной взаимной проверки компонентами живучести и корректности функционирования друг друга;
3. криптография как основа обеспечения конфиденциальности и контроля целостности.

Рассмотрение вопросов доступности  — одно из важнейших досто "Интерпретации ...". Информационный сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Надежная система должна быть в состоянии обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.

Для обеспечения доступности (непрерывности  функционирования) могут применяться  следующие защитные меры:

1. Внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.). Это элемент архитектурной безопасности, рассматриваемой нами в следующем разделе.
2. Наличие средств обнаружения отказов. Если требуется постоянная высокая готовность, необходим специализированный сервис. В остальных случаях достаточно протоколирования/аудита в квазиреальном времени.
3. Наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность. Это или специализированная функция, или одна из функций управления.
4. Рассредоточенность сетевого управления, отсутствие единой точки отказа. Это, как и следующий пункт, — элементы архитектурной безопасности.
5. Выделение подсетей и изоляция групп пользователей друг от друга. Данная мера ограничивает зону поражения при возможных нарушениях информационной безопасности.

Каждый компонент, вообще говоря, не обязан поддерживать все перечисленные  выше сервисы безопасности. Важно, чтобы  он обладал программными и/или протокольными  интерфейсами для получения недостающих  сервисов от других компонентов и  чтобы не существовало возможности  обхода основных и дополнительных защитных средств.

Интерпретация "Оранжевой книги" для сетевых конфигураций увидела  свет в 1987 году. Нашла ли она отражение  в отечественных нормативных  документах по информационной безопасности? Во многих ли информационных системах реализованы изложенные в ней  архитектурные принципы, задействованы  описанные сервисы безопасности? Увы, на все эти вопросы приходится ответить отрицательно.

Международные стандарты X.800 и X.509

Стандарт X.800, появившийся приблизительно в то же время, "Интерпретация ...", описывает основы безопасности в  привязке к эталонной семиуровневой  модели. Это довольно обширный документ. Мы совсем коротко остановимся на предлагаемых в нем сервисах (функциях) безопасности и на администрировании  средств безопасности.

Стандарт  предусматривает следующие сервисы  безопасности:

1. Аутентификация. Имеются в виду две разные вещи: аутентификация партнеров по общению и аутентификация источника данных.
2. Управление доступом. Оно обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
3. Конфиденциальность данных. В X.800 под этим названием объединены существенно разные вещи — от защиты отдельной порции данных до конфиденциальности трафика. На наш взгляд, подобное объединение носит формальный характер, от него нет ни теоретической, ни практической пользы.
4. Целостность данных. Данный сервис подразделяется на подвиды в зависимости от того, что контролируется — целостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности.
5. Неотказуемость. Данный сервис относится к прикладному уровню, то есть имеется в виду невозможность отказаться от содержательных действий, таких, например, как отправка или прочтение письма. Трудно сказать, насколько целесообразно выделение этого сервиса, поскольку на практике его покрывают протоколирование и аутентификация источника данных с контролем целостности.

Администрирование средств безопасности включает в себя распространение  информации, необходимой для работы сервисов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение  криптографических ключей, установка  прав доступа, анализ регистрационного журнала и т.п.

Концептуальной основой администрирования  является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждый компонент системы  должен располагать информацией, достаточной  для проведения в жизнь избранной  политики безопасности.

Отметим, что в условиях глобальной связности администрирование перестает  быть внутренним делом организации. Во-первых, плохо защищенная система  может стать плацдармом для подготовки и проведения злоумышленных действий. Во-вторых, прослеживание нарушителя эффективно лишь при согласованных действиях многих администраторов. К последнему замечанию мы вернемся в разделе "Протоколирование/аудит".

Стандарт X.509 описывает процедуру  аутентификации с использованием службы каталогов. Впрочем, наиболее ценной в  стандарте оказалась не сама процедура, а ее служебный элемент — структура  сертификатов, хранящих имя пользователя, криптографические ключи и сопутствующую  информацию. Подобные сертификаты —  важнейший элемент современных  схем аутентификации и контроля целостности.

Рекомендации IETF

Сообществом Интернет под эгидой Тематической группы по технологии Интернет (Internet Engineering Task Force, IETF) разработано много рекомендаций по отдельным аспектам сетевой безопасности. Тем не менее, какой-либо целостной  концепции или архитектуры безопасности пока предложено не было ("Руководство  по информационной безопасности предприятия", Site Security Handbook, RFC 2196 , разумеется, не в счет).

Рекомендации периодически организуемых конференций по архитектуре безопасности Интернет (последняя из которых состоялась в марте 1997 года) носят весьма общий, а порой и формальный характер. Основная идея состоит в том, чтобы  средствами оконечных систем обеспечивать сквозную безопасность. От сетевой  инфраструктуры в лучшем случае ожидается  устойчивость по отношению к атакам на доступность. На наш взгляд, подход, при котором сеть трактуется как  пассивная сущность, предназначенная  исключительно для транспортировки  данных, является устаревшим. Эту мысль  подтверждают и многочисленные публикации об интеллектуальности Интернет нового поколения (Интернет-2).