БЕЗОПАСНОСТЬ
Нельзя остаться безучастным к проблематике, поднятой в статье Андрея Щеглова "Выбор средства для борьбы с внутренними угрозами" (см. PC Week/RE, N 39/2006, c. 28) , появившейся вслед за более ранней статьей Владимира Митина "Еще одно средство для борьбы с внутренними угрозами" (www. pcweek.ru/?ID=506755). Здесь есть над чем задуматься. До последнего времени необходимость в защите конфиденциальных данных испытывали в основном только государственные организации и учреждения. Защита от внутренних угроз в них де-факто обеспечивалась продуктом SecretNet компании "Информзащита". Но в данных организациях в соответствии с руководящими документами и нормативными актами на сертифицированной технике могла обрабатываться информация только одного вида, как правило, конфиденциальная. В противном случае служащий видит перед собой на экране табличку "Обработка секретной информации запрещена".
В коммерческих или каких-либо других организациях, где приходится одновременно работать с открытой, служебной и конфиденциальной информацией, проблема обеспечения безопасного информационного обмена остра как нигде. Предлагаемые на сегодняшний день продукты и решения по защите от внутренних угроз не удовлетворяют потребности этих организаций. Очень верно сказано в статье Андрея Щеглова: "...отсутствие теоретического обоснования принятых разработчиком решений не позволяет оценить реальную эффективность подобных инструментов". Конечно, производителя можно понять - ему хочется быстрее выпустить продукт, быть первым. Но при этом не стоит забывать, что ввиду сложности поставленной задачи не обойтись без глубокого анализа, моделирования и других важных теоретических процессов, прежде чем дело дойдет до практической реализации. С другой стороны, сразу согласиться с пессимистической точкой зрения на сложившуюся ситуацию тоже нельзя.
Начать хотя бы с некоторых примеров. На виду у всех развитие технологий виртуализации. Как уже сейчас применить их для защиты от внутренних угроз? Произвести разделение на области работы с открытой и конфиденциальной информацией можно через создание виртуальных машин - в одной будет обрабатываться открытая информация, а в другой - сведения конфиденциального характера. Для этого пригоден такой продукт, как Parallel Workstation.
На рабочую станцию устанавливается несколько операционных систем, которые запускаются одновременно. В одной ОС обрабатываем открытую информацию, а в другой - закрытую. С точки зрения защиты в сети можно поступить так: открытые данные по сети передаются открыто, а закрытые - по зашифрованному туннелю (к примеру, с применением OpenSSH, stunnel), либо на рабочем месте устанавливаются два сетевых интерфейса - первый обычный, а другой - с поддержкой аппаратного шифрования передаваемых данных. Основная ОС настраивается администратором таким образом, чтобы пользователь не мог переносить данные между инсталлированными операционными системами. Для полной уверенности в безопасности информации устанавливается продукт SecretNet, а также известные средства обеспечения безопасности ОС и сетей (антивирусы, межсетевые экраны, системы обнаружения вторжений и т. п.).
Можно привести и ряд других примеров из области виртуализации. Очень интересна технология зон в Sun Solaris 10. В одной из зон, например, работает файлообменный сервер для открытой информации, а в другой - для закрытой.
Однако эти технологии требуют опытных системных администраторов, что является недостатком. К тому же при комбинировании различных технологий, изначально не предназначенных для обеспечения безопасности, невозможно получить необходимую гибкость, нельзя реализовать все требования к защите информации.
Основной вывод из всего вышеизложенного: пока нет готовых решений и продуктов, удовлетворяющих потребителя, но выжить можно.
Теперь, еще раз подтверждая, что без теории не обойтись, рассмотрим подходы, помогающие создавать продукты для обеспечения внутренней безопасности. Позаимствовав основную идею у специального ПО, которое отслеживает системные процессы и, выступая в роли посредника, не позволяет вредоносному программному коду нарушить работу системы (антивирусное программное обеспечение), а также воспользовавшись идеей технологии VLAN (Virtual LAN, стандарт 802.1q), сформулируем принцип, по которому могут действовать средства обеспечения внутренней безопасности.
Пусть существует посредник на системном уровне, отслеживающий работу пользователя с информацией (рис. 1). Обнаружив, что пользователь пытается, к примеру, скопировать через буфер обмена информацию из конфиденциального документа в открытый с последующей отправкой, скажем, на сменный носитель, посредник блокирует такую операцию. Блокировать можно по-разному. Можно очистить буфер. Другой способ - организовать в посреднике шифрование на лету, а потом при вставке из буфера пользователь получит набор "случайных" символов.
Рис. 1. Работа через посредника
Каким образом посредник будет разделять открытую информацию и закрытую, тем более если при обработке она представлена обрывочными порциями в системе, в частности в том же буфере обмена? Можно воспользоваться идеей VLAN. Сеть разделяется на виртуальные сегменты - рабочие группы. Информация циркулирует исключительно внутри определенной рабочей группы, а между рабочими группами обмена не происходит, если только такая функция не задана явно. Сетевое оборудование различает виртуальные группы на основе механизма тегирования. Так и в деле разграничения открытой и закрытой информации допускается применение механизм меток. Каждая порция информации (обозначим ее как "пакет информации") будет помечена соответствующим тегом.
Посредник, отслеживающий события в системе, занимается обработкой тегов. Условно обозначим открытую информацию тегом 1, а совершенно секретную - тегом 2. Теперь процесс копирования информации можно пояснить так: попытка переноса пакета информации с тегом 2 в пакет с тегом 1 не разрешена.
Каким образом реализовать функционал посредника? Можно полностью отслеживать все системные процессы, обрабатывать теги. То есть если открыт документ с категорией 2, то он сохраняется только в области жесткого диска с такой же категорией. При этом информация должна храниться упорядоченно (а по-другому и быть не должно: не может в одном месте храниться как открытая, так и закрытая информация) - допускается хранить разные категории информации в разных разделах, томах и т. п. (см. рис. 2).
Рис. 2. Коммутация информации
на основе тегов
У предложенного механизма есть достоинство - он позволяет гибко настроить правила обмена. К примеру, при необходимости разрешается перенос информации из категории 1 в категорию 2. Однако такая реализация посредника потребует высокопроизводительной аппаратной части. Чтобы уйти от этого, можно реализовать другой подход - возложить основную нагрузку на файловую систему. Механизм будет похож на механизм списков доступа (ACL). На первом этапе инсталляции продукта защиты в систему обозначаются/выделяются разделы под отдельное хранение открытой и закрытой информации. Посредник реализуется через механизм приемного кольца (RX) и передающего (TX; см. рис. 3). При обращении пользователя к документу (разделу) определенной категории кольца передают информацию только требуемой категории. Приложения, работающие в то же время с другими категориями документов, блокируются или закрываются с выдачей соответствующего предупреждения (или без него, в зависимости от настройки или, в более широком смысле, - в зависимости от политики безопасности). После определенного события (например, сохранения и закрытия документа заданной категории) кольца переходят в режим ожидания. Добавим, что необходимо реализовать возможность возвращения к работе с более низкой категорией по окончании работы с более высокой и наоборот.
Рис. 3. Механизм колец
Теперь уточним особенности работы переноса информации на сменные носители и по сети. Здесь, в принципе, особых проблем быть не должно. Администратор системы изначально с помощью стандартных средств имеет право запретить работу со сменными носителями. Используя специальное ПО обеспечения внутренней безопасности, он разрешает копирование на сменные носители только открытой информации. В части, касаемой сети, можно поступить так. Первое - использовать ПО, позволяющее перенаправлять порты (port mapping), т. е. открытую информацию отправлять через стандартные порты, а закрытую - по другим и в зашифрованном виде. Второй способ: использование двух сетевых карт. Одна будет работать в одной виртуальной группе (Vlan 2) с осуществлением передачи открытой информации, а закрытая информация будет передаваться в рамках другой группы. Или, как уже было упомянуто, допускается использование двух контуров обмена: первый контур реализуется через обычную сетевую карту, а второй - через сетевой адаптер с аппаратной реализацией шифрования на лету.
Вот такой видится на первый взгляд подход к решению проблемы обеспечения внутренней безопасности. Здесь есть еще много моментов, требующих детальной проработки. Главное - реализовать первый продукт. А остальное, как и всегда, покажет практика их использования.
И в заключение хочется, подражая сильным мира информационных технологий (Cisco Systems, Microsoft и др.), предложить дать рассмотренному механизму название - Global Tags.
С автором, преподавателем кафедры информационной безопасности Череповецкого ВИИРЭ, можно связаться по адрес:у vinogradovnd@rambler.ru.
