В трудах конференции 1997 года выделены базовые протоколы, наиболее полезные с точки зрения безопасности. К  ним относятся IPsec, DNSsec, S/MIME, X.509v3, TLS и  ассоциированные с ними. Далее  мы кратко остановимся на двух — IPsec и TLS. Здесь же заметим, что существование (и важнейшая роль) спецификаций DNSsec опровергают положение о том, что от сетевой инфраструктуры ожидается  лишь высокая доступность.

Наиболее проработанными на сегодняшний  день являются вопросы защиты на IP-уровне. Спецификации семейства IPsec регламентируют следующие аспекты:

1. управление доступом;
2. контроль целостности на уровне пакетов;
3. аутентификация источника данных;
4. защита от воспроизведения;
5. конфиденциальность (включая частичную защиту от анализа трафика);
6. администрирование (управление криптографическими ключами).

Протоколы обеспечения аутентичности  и конфиденциальности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть может, некоторые  поля заголовков. Как правило, транспортный режим используется хостами. В туннельном режиме защищается весь пакет —  он инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют  на специально выделенных защитных шлюзах (в роли которых могут выступать  маршрутизаторы или межсетевые экраны). Это обстоятельство будет рассмотрено  детальнее в разделе "Туннелирование".

Следует отметить, что IP-уровень можно  считать оптимальным для размещения защитных средств, поскольку при  этом достигается удачный компромисс между защищенностью, эффективностью функционирования и прозрачностью  для приложений. Стандартизованными механизмами IP-безопасности могут (и  должны) пользоваться протоколы более  высоких уровней и, в частности, управляющие протоколы, протоколы  конфигурирования и маршрутизации.

На транспортном уровне аутентичность, конфиденциальность и целостность  потоков данных обеспечивается протоколом TLS (Transport Layer Security, RFC 2246 ). Подчеркнем, что здесь объектом защиты являются не отдельные сетевые пакеты, а именно потоки данных (последовательности пакетов). Злоумышленник не сможет переупорядочить пакеты, удалить некоторые из них или вставить свои.

На основе TLS могут строиться  защищенные протоколы прикладного  уровня. В частности, предложены спецификации для HTTP над TLS.

Архитектурная безопасность

Сервисы безопасности, какими бы мощными и стойкими они ни были, сами по себе не могут гарантировать  надежность программно-технического уровня защиты. Только разумная, проверенная  архитектура способна сделать эффективным  объединение сервисов, обеспечить управляемость  информационной системы, ее способность  развиваться и противостоять  новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.

В контексте данной статьи важнейшим является архитектурный  принцип невозможности обхода защитных средств. Опасность обхода существует по двум причинам:

1. при реализации системы защиты в виде совокупности сервисов может существовать способ миновать отдельные защитные средства, нарушая тем самым целостность планируемой цепочки сервисов безопасности (пример — наличие модемных выходов в Интернет, идущих в обход межсетевых экранов);
2. при построении информационной системы в многоуровневой архитектуре клиент/сервер может существовать способ обхода одного или нескольких уровней, на которых сосредоточены средства защиты.

Последнее обстоятельство можно  проиллюстрировать простым примером. Пусть в системе, построенной  в архитектуре Интернет/Интранет, в качестве информационного концентратора  используется Web-сервер (см. Рис. 2 ). Пусть, далее, на этом сервере сосредоточены средства аутентификации, управления доступом и протоколирования/аудита. Если злоумышленник на клиентской системе способен напрямую воспользоваться программным интерфейсом, предоставляемым сервером СУБД, он тем самым обойдет штатные защитные средства и, возможно, получит неконтролируемый доступ к базам данных.

Рисунок 2. Опасность  обхода защитных средств в многоуровневой архитектуре клиент/сервер.

Еще одним важным архитектурным  принципом следует признать минимизацию  объема защитных средств, выносимых  на клиентские системы. Причин тому несколько:

1. для доступа в корпоративную сеть могут использовать потребительские устройства с ограниченной функциональностью;
2. конфигурацию клиентских систем трудно или невозможно контролировать.

К необходимому минимуму следует  отнести реализацию сервисов безопасности на сетевом и транспортном уровнях  стека протоколов TCP/IP и поддержку  механизмов аутентификации, устойчивых к сетевым угрозам.

Принцип простоты использования  нацелен на то, чтобы сделать работу сервисов безопасности прозрачной для  пользователей. Полностью добиться этого, конечно, невозможно (например, без аутентификации с участием пользователя не обойтись), но некий порог сложности  превышать нельзя. Пользователи —  самое слабое звено любой системы, и чем меньше они должны (и могут) сделать, тем лучше.

Важность принципа простоты архитектуры доказана всем ходом  развития информационных технологий, кризисами программирования, неудачами  при создании больших систем. В  полной мере он относится и к подсистеме безопасности, причем на всех уровнях  — от реализации отдельных функций  до объединения сервисов. Следует  стремиться к минимизации числа  связей между компонентами информационной системы, поскольку именно оно определяет сложность. Перефразируя поговорку, можно  утверждать, что в информационных технологиях "иная сложность хуже воровства".

Вообще говоря, с принципом  простоты архитектуры конфликтует  необходимость внесения в систему  определенной избыточности, обеспечивающей устойчивость по отношению к сбоям  и отказам. По целому ряду причин реальная архитектура оказывается результатом  многочисленных компромиссов, однако, если опираться на отработанные решения  по повышению доступности, можно  не слишком поступиться простотой  и эффективностью использования  ресурсов.

Сервисы безопасности

Мы приступаем к описанию сервисов безопасности, совокупность которых, на наш взгляд, достаточна для построения защиты, соответствующей современным  требованиям.

Идентификация/аутентификация

Современные средства идентификации/аутентификации должны удовлетворять двум условиям:

1. быть устойчивыми к сетевым угрозам (пассивному и активному прослушиванию сети);
2. поддерживать концепцию единого входа в сеть.

Первое требование можно выполнить, используя криптографические методы. (Еще раз подчеркнем тот очевидный  факт, что современная криптография есть нечто гораздо большее, чем  шифрование; соответственно, разные ветви  этой дисциплины нуждаются в дифференцированном подходе с нормативной точки  зрения.) В настоящее время общепринятыми  являются подходы, основанные на системе Kerberos или службе каталогов с сертификатами  в стандарте X.509.

Единый вход в сеть — это, в  первую очередь, требование удобства для  пользователей. Если в корпоративной  сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что  единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

Дополнительные удобства создает  применение биометрических методов  аутентификации, основанных на анализе  отпечатков (точнее, результатов сканирования) пальцев. В отличие от специальных карт, которые нужно хранить, пальцы "всегда под рукой" (правда, под рукой должен быть и сканер). Подчеркнем, что и здесь защита от нарушения целостности и перехвата с последующим воспроизведением осуществляется методами криптографии.

Разграничение доступа

Разграничение доступа, вероятно, является самой исследованной областью информационной безопасности. "Дискрец" и "мандатное" управление вошли во все теоретические  курсы и критерии оценки. Доминируют они и на практике.

К сожалению, в настоящее время  следует признать устаревшим (или, по крайней мере, не полностью соответствующим  действительности) положение о том, что разграничение доступа направлено на защиту от злоумышленных пользователей. Современные информационные системы  характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

Динамичность современной программной  среды в сочетании со сложностью отдельных компонентов существенно  сужает область применимости самой  употребительной — дискреционной  модели управления доступом (называемой также моделью с произвольным управлением). При определении допустимости доступа важно не только (и не столько) то, кто обратился к объекту, но и то, какова семантика действия. Без привлечения семантики нельзя выявить троянские программы, противостоять  которым произвольное управление доступом, как известно, не в состоянии.