Сервисы безопасности, какими бы мощными они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
Теоретической основой решения проблемы архитектурной безопасности является следующее фундаментальное утверждение, которое мы уже приводили, рассматривая интерпретацию Оранжевой книги для сетевых конфигураций.
Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее пусть каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.
Обратим внимание на три принципа, содержащиеся в приведенном утверждении:
- необходимостьвыработки и проведения в жизнь единой политики безопасности;
- необходимостьобеспечения конфиденциальности и целостности при сетевых взаимодействиях;
- необходимостьформирования составных сервисов по содержательному принципу, чтобы каждыйполученный таким образом компонент обладал полнымнабором защитных средств ис внешней точки зрения представлял собой единое целое (не должно бытьинформационных потоков, идущих к незащищенным сервисам).
Если какой-либо (составной) сервис не обладает полным набором защитных средств (состав полного набора описан выше), необходимо привлечение дополнительных сервисов, которые мы будем называть экранирующими. Экранирующие сервисы устанавливаются на путях доступа к недостаточно защищенным элементам; в принципе, один такой сервис может экранировать (защищать) сколь угодно большое число элементов.
С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:
- непрерывностьзащиты в пространствеи времени, невозможность миновать защитные средства;
- следованиепризнанным стандартам, использование апробированных решений;
- иерархическаяорганизация ИС с небольшим числом сущностей на каждом уровне;
- усилениесамого слабого звена;
- невозможностьперехода в небезопасноесостояние;
- минимизацияпривилегий;
- разделениеобязанностей;
- эшелонированностьобороны;
- разнообразиезащитных средств;
- простота иуправляемость информационной системы.
Поясним смысл перечисленных принципов.
Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Определенные выше экранирующие сервисы должны исключить подобную возможность.
Следование признанным стандартам и использование апробированных решений повышает надежность ИС и уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.
Иерархическая организация ИС с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. При нарушении данного принципа система станет неуправляемой и, следовательно, обеспечить ее безопасность будет невозможно.
Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.)
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост оставляют поднятым, препятствуя проходу неприятеля.
Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Этот принцип позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. В частности, соблюдение данного принципа особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.
Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и, как последний рубеж, — протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а благодаря наличию такого рубежа, как протоколирование и аудит, его действия не останутся незамеченными. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.
Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и плохо управляемой.
Для обеспечения высокой доступности (непрерывности функционирования) необходимо соблюдать следующие принципы архитектурной безопасности:
- внесение вконфигурацию той или иной формы избыточности (резервное оборудование, запасныеканалы связи и т.п.);
- наличиесредств обнаружения нештатных ситуаций;
- наличиесредств реконфигурирования для восстановления, изоляции и/или замены компонентов,отказавших или подвергшихся атаке на доступность;
- рассредоточенностьсетевого управления, отсутствие единой точки отказа;
- выделениеподсетей и изоляция групп пользователей друг от друга. Данная мера,являющаяся обобщением разделения процессов на уровне операционной системы,ограничивает зону поражения при возможных нарушениях информационнойбезопасности.
Еще один важный архитектурный принцип — минимизация объема защитных средств, выносимых на клиентские системы. Причин тому несколько:
- для доступа вкорпоративную сеть могут использоваться потребительскиеустройства сограниченной функциональностью;
- конфигурациюклиентских систем трудно или невозможно контролировать.
К необходимому минимуму следует отнести реализацию сервисов безопасности на сетевом и транспортном уровнях и поддержку механизмоваутентификации, устойчивых к сетевым угрозам.
Статьи к прочтению:
- Архитектурное проектирование в программе расчета интеграла
- Архивация файлов в ms dos или в командной строке (cmd)
Архитектурная тонировка офисного здания
Похожие статьи:
-
Автоматизация многих процессов за счет использования компьютеров. Быстрое развитие технологийновые возможности. (!) но и затрудняет обеспечение…
-
Понятие безопасности информационных систем
Глава 10. ЗАЩИТА ИНФОРМАЦИИ Понятие безопасности информационных систем Развитие информационных систем и технологий приводит к их уязвимости. Этому…