В начале декабря в Москву прилетел доктор Роджер Шелл, занимающий должность главного управляющего отдела информационной безопасности фирмы Novell. С момента прихода д-ра Шелла в Novell в 1994 г. под его руководством были разработаны системы обеспечения информационной безопасности для ОС NetWare, IntranetWare и службы глобального каталога NDS. Д-р Шелл - очень известная личность в кругах, связанных с информационной безопасностью. Он был основным разработчиком критериев оценки безопасности на уровне ПК (“Оранжевая книга”) и главным представителем отрасли при разработке критериев сетевой безопасности (“Красная книга”). Д-р Шелл состоит в комиссии Novell, координирующей отношения с правительством США.
Роджер Шелл, виднейший специалист по информационной безопасности в компьютерных сетях
В 1991 г. доктор Шелл получил Национальную награду в области безопасности компьютерных систем, присужденную ему организациями NIST и NSA и являющуюся крупнейшей наградой США в этой области.
Г-н Шелл принял участие в межведомственном семинаре по проблемам безопасности программного обеспечения зарубежного производства, проведенного в С.-Петербурге 2 - 4 декабря Гостехкомиссией при Президенте РФ, Советом по вопросам региональной безопасности, С.-Петербургским научным центром РАН и Академией национальной безопасности. Он был единственным зарубежным участником этого семинара, на котором присутствовали представители администраций субъектов Федерации, территориальных представительств федеральных органов власти (ФСБ, ФАПСИ, Гостехкомиссии, МВД РФ, МО РФ) и специалисты в области информационной безопасности финансово-кредитных учреждений.
Разумеется, РC Week/RE не упустил возможности побеседовать с д-ром Шеллом.
PC Week: Доктор Шелл, с чем связано ваше появление в России?
Роджер Шелл: Я прилетел в Россию для того, чтобы выполнить целый ряд важных дел. Одно из самых главных - официальные встречи с представителями Гостехкомиссии России по поводу начавшегося процесса сертификации ОС IntranetWare. Другие важные элементы моего визита - это встречи с разработчиками - партнерами Novell, а также с корпоративными заказчиками информационных систем на базе ОС фирмы Novell. Часть этих встреч уже состоялась в Москве, некоторые пройдут в С.-Петербурге.
PC Week: Зачем нужно было сертифицировать ОС IntranetWare в России?
Р. Ш.: Фирма Novell подписала соглашение с Гостехкомиссией России о проведении сертификации ОС IntranetWare на соответствие российским требованиям к защите от несанкционированного доступа к данным или, как это еще называется, для подтверждения отсутствия “недекларированных возможностей”. Естественно, мы сертифицировали продукт не только для того, чтобы получить документ, который можно предъявлять госучреждениям России.
Сертификация такого типа должна распространяться не только на само ПО, но и на его производство. Иными словами, столь серьезное действие имеет смысл лишь тогда, когда сертифицированное ПО произодится в этой же стране. Мы решили в ближайшие полгода организовать в России производство дисков CD-ROM c ОС IntranetWare. Таким образом, в вашей стране можно будет купить либо полностью сертифицированный продукт - CD c ОС IntranetWare, произведенный на российском предприятии, либо CD, произведенный на зарубежном заводе и приобретенный по каналам распространения фирмы Novell.
PC Week: Когда вы надеетесь получить заключение Гостехкомиссии России?
Р. Ш.: Я думаю, что процесс сертификации займет несколько месяцев, максимум - полгода.
PC Week: Какие темы вы обсуждали во время встреч с российскими партнерами?
Р. Ш.: Я представил российским разработчикам и заказчикам новую концепцию информационной безопасности, разработанную фирмой Novell сравнительно недавно. Она основывается на инфраструктуре открытых ключей (PKI, Public Key Infrastructure) и международной системе криптографии.
PC Week: Что представляет собой PKI?
Р. Ш.: PKI - это инфраструктура, состоящая из набора открытых интерфейсов прикладного программирования (API), которые можно использовать, например, для создания безопасных систем электронной коммерции. Она построена на основе NDS, что позволяет, в частности, организовывать защищенный доступ к корпоративным распределенным БД.
Второй важный элемент PKI - расширенный механизм формирования и установления подлинности (аутентификации) цифровой подписи, предполагающий получение подтверждения в виде уникальной цифровой подписи не только от людей, участвующих в какой-либо защищенной транзакции, но и от всех процессов. Между прочим, я знаю, что в России использование цифровой подписи в деловом документообороте госучреждений было официально разрешено на год раньше, чем в США. Так что у российских специалистов и заказчиков опыта работы с цифровыми подписями больше, чем у американских.
PC Week: Что вы вкладываете в понятие “международная система криптографии”?
Р. Ш.: Novell разработала оригинальную концепцию использования средств криптографической защиты информации. Эта концепция позволит свести к минимуму все проблемы с экспортом/импортом криптографических технологий, которые появляются всегда, когда продукт с криптографией, разработанный в одной стране, продается в другой. Мы предложили открытую архитектуру, позволяющую встраивать в конкретный продукт, например в ПО Border Manager или cредство групповой работы GroupWise, криптографическое ПО, разработанное в той стране, в которой этот продукт будет использоваться. Этот подход особенно понятен в применении к России, известной своей мощной школой криптографии. Таким образом, независимо от того, в какой стране мира мы хотим установить GroupWise или Border Manager с функциями криптографической защиты, достигается совместимость ПО, разработанного фирмой Novell, с локальными системами криптографии, разработанными и, что очень важно, сертифицированными государственными органами страны, где оно используется.
PC Week: Расскажите, пожалуйста, более подробно о технической стороне международной системы криптографии фирмы Novell.
Р. Ш.: Это многоуровневая структура, составленная из отдельных программных модулей. Все модули относятся к одному из трех классов: загружаемые криптографические модули (в том числе и написанные сторонними разработчиками), комплект разработчика (SDK) для генерации ключей, управление криптографическими ключами. Кроме того, предусмотрен особый модуль абстрактной операционной системы (OSA, Operating System Abstraction), представляющий собой стандартизованный набор абстрактных интерфейсов к ОС. Этот модуль предназначен для переноса всей системы криптографической поддержки на другую программную платформу. Множество интерфейсов, образующих инфраструктуру PKI, также входит составной частью в криптографическую структуру Novell.
PC Week: Применялись ли описанные выше механизмы в каких-либо странах?
Р. Ш.: То, о чем я только что рассказывал, - это новое предложение Novell своим зарубежным партнерам. Что касается Европы, то здесь, мне кажется, ближе всех к практическому применению этих подходов находятся три страны: Россия, Англия и Франция. В них, с одной стороны, имеются свои школы криптографических разработок, а с другой, существует необходимая законодательная база. Я думаю все же, что в России эти механизмы будут испробованы раньше, чем где-либо еще.
PC Week: На чем основывается такое заключение?
Р. Ш.: В большинстве стран найдется много фирм, умеющих грамотно внедрять криптографические системы, разработанные кем-то другим, но чрезвычайно мало таких, которые способны разрабатывать подобные системы сами. Во время моего визита я встретился с представителями нескольких российских компаний, имеющих богатый опыт в области разработки собственных систем криптографической защиты.
Также меня просто поразил уровень технической подготовленности персонала отделов информационной безопасности предприятий, являющихся заказчиками информационных систем. В частности, беседа со специалистами из Национального резервного банка завершилась решением передать им для детального анализа результаты научно-исследовательских работ в области защиты информации, которые представляют собой теоретическое обоснование концепции (на языке форм Бэкуса - Наура), положенной в основу системы программных модулей. Как только специалисты банка выберут российского поставщика средств криптографии, начнется реальная эксплуатация новой инфраструктуры безопасности. О своем желании опробовать предложенный подход заявили также руководители Сбербанка России.
PC Week: Как будут регулироваться отношения Novell и российского поставщика средств криптографии?
Р. Ш.: Фирма Novell продает облегченную версию соответствующего ПО, из которого удалены все части, имеющие отношения к криптографии, и заключает лицензионное соглашение с российской фирмой-разработчиком. Российский партнер берет на себя всю ответственность за правильность функционирования его криптографических алгоритмов и осуществляет все необходимое для того, чтобы их продукт был сертифицирован ФАПСИ России.
PC Week: В последнее время много говорят об ошибках, обнаруженных в аппаратных реализациях микропроцессоров фирм Intel, Cyrix. Может ли кто-то, воспользовавшись такой ошибкой в микропроцессоре сервера, вывести из строя сеть Novell?
Р. Ш.: Когда сегодня говорят об ошибках в процессорах, подразумевают, что есть некая определенная последовательность команд, исполнение которой приводит к фатальному сбою процессора. Все ОС фирмы Novell построены таким образом, что клиентские рабочие станции не в состоянии запустить никакой процесс на сервере.
PC Week: Собирает ли фирма Novell данные о взломах системы безопасности ее ОС?
Р. Ш.: Конечно, информация о взломах сети собирается и тщательно анализируется. Наибольший процент таких событий связан с физическими нарушениями сетевого оборудования, что возможно лишь в случае непосредственного доступа нарушителя к серверу. Еще один типичный пример нарушения защиты - ошибки системного администратора. Здесь помочь может только обучение администраторов.
Случаются и попытки взлома с помощью несанкционированного доступа в сеть. Если такая попытка удается, то для нас это означает выпуск соответствующих программных “заплат” и модернизацию следующей версии ПО. Один из подобных случаев произошел в прошлом году у вас в России, в Томском государственном университете. Студенты этого вуза, прилежно изучив массу книг и документации по средствам анализа пакетов данных, скрупулезно выполнили последовательность действий, описанных в одном из руководств, и - оказались внутри защищенной университетской сети. Так любознательность и пытливый ум томских студентов помогли обнаружить “дыру” в системе безопасности ОС IntranetWare.
PC Week: Доктор Шелл, над чем сейчас работают разработчики “Красной” и “Оранжевой” книг? Какого цвета будет следующая Книга?
Р. Ш.: Критерии, изложенные в “Красной” и “Оранжевой” книгах, описывают общие базовые требования к информационной безопасности, справедливые для любой платформы и любой операционной системы. В ближайшее время в США не планируется выпуска новых критериев безопасности. Я бы отметил общую тенденцию к взаимному учету локальных сертификаций, осуществленных в разных странах. Похоже, что мир идет к формированию некоторых общемировых требований, т. е. общемирового стандарта информационной безопасности, который будет действовать во всех странах мира.
PC Week: Спасибо за беседу.
Телефон московского офиса Novell: (095) 941-8075.
Елена Покатаева