Лычев А.В. Распределенные автоматизированные системы

Подождите немного. Документ загружается.

Распределенные автоматизированные системы

законными техническими средствами. Кроме того, некоторые

методы, например резервирование средств и каналов связи,

оказывают эффект при определенных техногенных факторах;

4. Программно-аппаратные методы. Программно-аппаратные

методы главным образом нацелены на устранение угроз, непо-

средственно связанных с процессом обработки и передачи ин-

формации. Без этих методов невозможно построение целостной

комплексной системы информационной безопасности.

Сопоставление описанных выше угроз безопасности инфор-

мации и групп методов их парирования позволяет решить, ка-

кими способами какие угрозы наиболее целесообразно париро-

вать, а также определить рациональное соотношение групп ме-

тодов при распределении средств, выделенных на обеспечение

безопасности информации.

Анализ результатов моделирования с учетом принятых в

модели ограничений и допущений позволяет считать, что все

группы методов парирования угроз безопасности информации

имеют примерно равную долю в организации комплексной защиты

информации. Однако необходимо учесть, что некоторые вариан-

ты могут быть использованы только для решения ограниченного

круга задач защиты. Это особенно характерно для устранения

угроз техногенного и стихийного характера.

Наибольший эффект достигается при применении совокуп-

ности организационных и программно-аппаратных методов пари-

рования. Анализ программно-аппаратных методов позволяет

сделать вывод, что гипотетическое средство защиты корпора-

тивной сети, прежде всего, должно обеспечивать разграниче-

ние доступа субъектов к объектам (мандатный и дискреционный

принципы), управлять внешними потоками информации (фильтра-

ция, ограничение, исключение) и, как минимум, обеспечивать

управление внутренними потоками информации с одновременным

контролем целостности программного обеспечения, конфигура-

ции сети и возможности атак разрушающих воздействий. Рас-

смотрим основные принципы построения системы комплексной

защиты информации автоматизированной системы управления:

1. Принцип максимальной дружественности. Парирование

угроз безопасности информации всегда носит недружественный

характер по отношению к пользователям и обслуживающему пер-

соналу АСУ. Это происходит из-за того, что любая система

защиты по определению налагает ограничения на работу орга-

низационного и технического характера. Поэтому одним из ос-

новных принципов создания системы комплексной защиты инфор-

мации должен стать принцип максимальной дружественности.

Иными словами, не надо вводить запреты там, где без них

можно обойтись (нa всякий случай), а если уж и налагать ог-

раничения, то предварительно нужно продумать, как это сде-

лать с минимальными неудобствами для пользователя. Притом

Распределенные автоматизированные системы

следует учесть совместимость создаваемой системы комплекс-

ной защиты с используемой операционной системой и программ-

но-аппаратной структурой автоматизированной системы, а так-

же сложившимися традициями фирмы;

2. Принцип прозрачности. Автоматизированной системой

управления пользуются не только высококлассные программи-

сты. Кроме того, основное назначение АСУ состоит в обеспе-

чении производственных потребностей пользователей, то есть

работы с информацией. Поэтому система защиты информации

должна работать в «фоновом»

режиме, быть незаметной и не

мешать пользователям в основной работе, но при этом выпол-

нять все возложенные на нее функции;

3. Принцип превентивности. Надо всегда помнить, что

последствия реализации угроз безопасности информации могут

потребовать значительно больших финансовых, временных и ма-

териальных затрат по сравнению с затратами на создание сис-

темы комплексной защиты информации;

4. Принцип оптимальности. Оптимальный выбор соотноше-

ния различных методов и способов парирования угроз безопас-

ности информации при принятии решения позволит в значитель-

ной степени сократить расходы на создание системы защиты

информации;

5. Принцип адекватности. Принимаемые решения должны

быть дифференцированы в зависимости от важности, частоты и

вероятности возникновения угроз безопасности информации,

степени конфиденциальности самой информации и её коммерче-

ской стоимости;

6. Принцип системного подхода к построению системы за-

щиты позволяет заложить комплекс мероприятий по парированию

угроз безопасности информации уже на стадии проектирования

автоматизированной системы, обеспечив оптимальное сочетание

организационных и инженерно-технических мер защиты информа-

ции. Важность реализации этого принципа основана на том,

что оборудование действующей незащищенной системы средства-

ми защиты информации сложнее и дороже, чем изначальное про-

ектирование и построение её в защищенном варианте;

7. Принцип адаптивности. Система защиты информации

должна строиться с учетом возможного изменения конфигурации

системы, числа пользователей, степени конфиденциальности и

ценности информации. При этом введение каждого нового эле-

мента АСУ или изменение действующих условий не должно сни-

жать достигнутого уровня защищенности автоматизированной

системы в целом;

8. Принцип доказательности. При создании системы защи-

ты информации необходимы соблюдение организационных мер

внутри автоматизированной системы управления, включая при-

вязку логического и физического рабочих мест друг к другу,

Распределенные автоматизированные системы

а также применение специальных аппаратно-программных

средств идентификации, аутентификации и подтверждения под-

линности информации. Реализация данного принципа позволяет

сократить расходы на усложнение системы, например применять

цифровую электронную подпись только при работе с удаленными

и внешними рабочими местами и терминалами, соединенными с

корпоративной сетью по каналам связи.

Рассмотренные принципы должны быть положены в основу

при выборе направлений обеспечения безопасности корпоратив-

ной сети, функций и мер защиты информации.

При выборе средств защиты информации обязательно вста-

ет вопрос о необходимости подтверждения выполнения тех или

иных функций конкретным средством защиты. Это немаловажный

процесс, который в определенных случаях (например: при ор-

ганизации защиты информации, содержащей государственную

тайну или сведения о личности - персональные данные) строго

регламентирован. Свидетельством того, что те или иные функ-

ции защиты реализованы конкретным средством защиты, являет-

ся сертификат соответствия - документ, которым независимые

эксперты подтверждают готовность средства выполнить возло-

женные на него задачи.

§ 7. Архитектура безопасности

Международная организация по стандартизации ISO разра-

ботала стандарт ISO 7498-2 «Архитектура безопасности». В

соответствии с этим стандартом любая система безопасности

должна обеспечивать следующие восемь услуг безопасности:

1. Аутентификация объекта;

2. Аутентификация источника данных;

3. Контроль доступа;

4. Конфиденциальность и целостность соединения;

5. Конфиденциальность и целостность полей памяти;

6. Конфиденциальность и целостность трафика;

7. Целостность блока данных;

8. Доказательство источника;

9. Доказательство доставки.

Указанные услуги безопасности в соответствии со стан-

дартом реализуются с помощью механизмов безопасности, раз-

мещенных в распределенных системах на промежуточном уровне

модели OSI. Комплекс всех механизмов защиты называется до-

веренной вычислительной базой и включает в себя механизмы

защиты локальных операционных систем ЭВМ, входящих в рас-

пределенную систему. Рассмотрим вышеупомянутые механизмы

безопасности:

1. Шифрование (криптография). Шифрование (криптогра-

фия) – это замена исходного сообщения его нечитабельным ва-

Распределенные автоматизированные системы

риантом с целью сохранения конфиденциальности содержащейся

в сообщении информации. Существует два вида криптосистем:

а) Симметричные криптосистемы. В симметричных крипто-

системах для шифрования сообщения и его дешифровки исполь-

зуется один и тот же ключ. В качестве симметричной крипто-

системы в настоящее время чаще всего применяется стандарт

шифрования данных DES (Data Encryption Standard). Стандарт

преобразует 64-битовый блок данных за 16 шагов, на каждом

из которых используется собственный 48-битовый ключ. Каждый

из этих шестнадцати ключей порождается из единого 56-

битового ключа. Для дешифровки используются преобразования,

обратные применяемым для шифрования. Достоинства симметрич-

ных криптосистем:

- простота реализации;

- высокая стойкость шифра.

Недостатки симметричных криптосистем:

- необходимость использования закрытого (секретного)

ключа;

- возможность подбора ключа.

В настоящее время наблюдается тенденция увеличения

размера обрабатываемых блоков данных до 128 бит и более, а

также длины ключа;

б) Несимметричные криптосистемы. В несимметричных

криптосистемах используется уникальная пара различных клю-

чей – для шифрования и для дешифровки. Несимметричные крип-

тосистемы основаны на использовании односторонних функций,

обладающих следующими свойствами:

- при заданном значении аргумента X можно вычислить

значение функции Y = f(X);

- по известному значению функции Y = f(X) вычислить

значение X крайне сложно или в идеальном случае невозможно.

Например, в несимметричном алгоритме RSA (аббревиатура

по начальным буквам фамилий авторов алгоритма Ривеста, Ша-

мира, Адлемана) в качестве односторонней функции использу-

ется функция f(X) = a

mod p, где X – целое число, лежащее

в диапазоне 1 < X < p – 1, p – очень большое простое число,

a – простое число, степени которого равны 1, 2, …, p – 1.

Один из ключей несимметричной криптосистемы закрытый (сек-

ретный), а другой – открытый. Какой из ключей – шифрующий

или дешифрующий – будет открытым, зависит от конкретного

применения криптосистемы. Достоинства несимметричных крип-

тосистем:

- наличие открытых ключей, возможность их пересылки по

незащищенным каналам связи;

- высокая стойкость шифра. Эффективного метода нахож-

дения простых множителей больших чисел не существует.

Распределенные автоматизированные системы

Недостаток несимметричных криптосистем заключается в

высокой сложности вычислений. Так, в частности, расшифровка

сообщения занимает от 10

до 10

большее время по сравнению

с симметричными криптосистемами. По этой причине несиммет-

ричные криптосистемы чаще используют лишь для обмена закры-

тыми ключами симметричных криптосистем, основной же закры-

тый трафик производится с использованием симметричных крип-

тосистем.

Федеральная служба безопасности России устанавливает

для программных продуктов, требующих сертификации ФСБ РФ,

пять классов криптографической защиты информации, которым

должны соответствовать сертифицируемые программные продук-

ты:

- класс КС1. Программные продукты, сертифицируемые по

этому классу криптографической защиты информации, должны

обеспечивать теоретическую стойкость используемого крипто-

графического алгоритма и правильную реализацию самого шиф-

ровального средства;

- класс КС2. Программные продукты, сертифицируемые по

этому классу криптографической защиты информации, должны

обеспечивать практическую стойкость шифра в условиях воз-

можного доступа к системе неквалифицированного персонала;

- класс КС3. Программные продукты, сертифицируемые по

этому классу криптографической защиты информации, должны

обеспечивать практическую стойкость шифра в условиях осуще-

ствления атак со стороны авторизованного пользователя сис-

темы;

- класс КВ1. Программные продукты, сертифицируемые по

этому классу криптографической защиты информации, должны

обеспечивать практическую стойкость шифра в условиях осуще-

ствления нарушителем перехвата паразитных электромагнитных

излучений и наводок, сопровождающих работу автоматизирован-

ной системы;

- класс КВ2. Программные продукты, сертифицируемые по

этому классу криптографической защиты информации, должны

обеспечивать практическую стойкость шифра в условиях ис-

пользования нарушителем недокументируемых возможностей в

прикладном программном обеспечении;

2. Аутентификация. Аутентификация – это проверка под-

линности объекта. Существуют три алгоритма аутентификации:

а) Аутентификация на основе симметричных криптосистем.

Алгоритм такой аутентификации содержит пять этапов:

- отправитель посылает получателю открытый запрос на

установление закрытого соединения;

- получатель посылает отправителю открытую квитанцию о

готовности установить закрытое соединение;

Распределенные автоматизированные системы

- отправитель возвращает получателю его квитанцию, за-

шифрованную сгенерированным отправителем сеансовым симмет-

ричным ключом;

- отправитель посылает получателю открытое контрольное

сообщение;

- получатель возвращает отправителю его контрольное

сообщение, зашифрованное сеансовым симметричным ключом;

б) Аутентификация на основе несимметричных криптоси-

стем. Алгоритм такой аутентификации проще и содержит всего

три этапа:

- отправитель посылает получателю запрос на установле-

ние закрытого соединения, зашифрованный открытым несиммет-

ричным ключом получателя;

- получатель посылает отправителю квитанцию о готовно-

сти установить закрытое соединение и сгенерированный полу-

чателем сеансовый симметричный ключ, зашифрованные открытым

несимметричным ключом отправителя;

- отправитель возвращает получателю его квитанцию, за-

шифрованную сеансовым симметричным ключом;

в) Аутентификация с использованием центра распростра-

нения ключей KDC (Key Distribution Center – центр распро-

странения ключей). Центр распространения ключей осуществля-

ет генерацию как симметричных, так и несимметричных ключей

защиты информации. Это самый сложный алгоритм аутентифика-

ции, содержащий шесть этапов:

- отправитель посылает в центр распространения ключей

открытый запрос на установление закрытого соединения с по-

лучателем;

- центр распространения ключей посылает отправителю

сгенерированный центром сеансовый симметричный ключ, зашиф-

рованный закрытым несимметричным ключом отправителя;

- центр распространения ключей посылает получателю за-

прос отправителя на установление закрытого соединения с по-

лучателем и тот же самый сеансовый симметричный ключ, кото-

рый был послан отправителю, все зашифрованное закрытым не-

симметричным ключом получателя;

- отправитель посылает получателю сгенерированное от-

правителем случайное число, называемое талон, зашифрованное

сеансовым симметричным ключом;

- получатель посылает полученный от отправителя талон

в центр распространения ключей, зашифровав его своим откры-

тым несимметричным ключом;

- центр распространения ключей возвращает талон отпра-

вителю, зашифровав его закрытым несимметричным ключом от-

правителя.

При организации защищенных каналов связи закрытые се-

ансовые симметричные ключи уничтожаются по завершении каж-

Распределенные автоматизированные системы

дого очередного сеанса связи. Для каждого нового сеанса

связи генерируется новый сеансовый ключ;

3. Целостность данных. 4. Цифровая подпись. Целост-

ность данных – это механизм безопасности, обеспечивающий

защиту сообщения от изменений. Одним из способов обеспече-

ния целостности данных служит цифровая подпись, которая, в

свою очередь, также является одним из механизмов безопасно-

сти. Для создания цифровой подписи используются криптогра-

фические хэш-функции (hash - рандомизация, перемешивание),

с помощью которых генерируется так называемый дайджест со-

общения. Криптографическая хэш-функция представляет собой

ряд последовательных алгебраических преобразований исходно-

го сообщения, обеспечивающих наличие в получаемом дайджесте

сообщения информации как о содержании исходного сообщения,

так и о его длине. Дайджест сообщения шифруется любым спо-

собом и пересылается вместе с исходным сообщением. Исходное

сообщение в зависимости от требуемой степени конфиденциаль-

ности может пересылаться как в открытом, так и в закрытом

виде. Если исходное сообщение передается в закрытом виде,

то оно шифруется другим ключом, чем пересылаемый совместно

с этим сообщением дайджест (например: симметричный и несим-

метричный ключи, несимметричные ключи отправителя и получа-

теля и т.п.).

В распределенных системах большую роль играет взаимо-

действие процессов в группах, которое так же должно быть

защищено. Использование единого симметричного ключа для об-

мена информацией между процессами группы недопустимо, так

как при дискредитации ключа одним из процессов, вся группа

лишается конфиденциальности. Для группового взаимодействия

используются криптосистемы с открытым ключом, когда каждый

процесс группы имеет свою пару ключей, из которых открытые

ключи используются всеми членами группы для посылки сообще-

ний конкретному процессу.

Для повышения стойкости системы защиты информации ис-

пользуется репликация защищенных хранилищ данных и серве-

ров, генерация для каждой из реплик своих уникальных ключей

и последующее сравнение закрытых откликов по мажоритарному

принципу. Несовпадение одного или нескольких откликов с

большинством остальных может означать взлом сервера (серве-

ров) или хранилища (хранилищ) данных.

В случае совместной работы двух или более процессов с

одним хранилищем данных или сервером, используется техноло-

гия разделения секрета, когда ключ делится на несколько

частей по числу совместно работающих процессов, и доступ к

хранилищу данных или серверу становится возможным только

при совместном обращении всех процессов группы к хранилищу

данных или серверу. В качестве варианта разделения секрета

Распределенные автоматизированные системы

применяется деление на несколько частей дайджеста цифровой

подписи;

5. Контроль доступа. Контроль доступа заключается в

формальном подтверждении прав доступа к ресурсам. Понятие

контроля доступа тесно связано с понятием авторизации. Ав-

торизация – это предоставление процессу, успешно прошедшему

процедуры идентификации и аутентификации, соответствующих

полномочий и прав доступа к ресурсам системы. В простейшем

случае контроль доступа реализуется программой под названи-

ем монитор ссылок, которая запускается при любом обращении

к защищаемому ресурсу. В локальных системах монитор ссылок

формирует единую для всей системы матрицу контроля доступа,

строки которой представлены авторизуемыми процессами, а

столбцы – защищаемыми ресурсами. Элементы матрицы определя-

ют, выполнение каких операций над ресурсом доступно процес-

су.

В распределенных системах, где процессы и запрашивае-

мые ими ресурсы находятся на разных ЭВМ сети, создание мат-

рицы контроля доступа не решает задачи авторизации. В рас-

пределенных системах каждый ресурс имеет свой собственный

монитор ссылок и список контроля доступа ACL (Access Con-

trol List – список контроля доступа), в котором указываются

процессы и их права доступа к ресурсу. Таким образом, спи-

сок контроля доступа представляет собой разбиение матрицы

контроля доступа по столбцам. В распределенных системах,

построенных на базе локальных сетей ЭВМ с низкой вероятно-

стью несанкционированного доступа к ресурсам, могут приме-

няться мониторы ссылок, привязанные к авторизуемым процес-

сам. При этом в качестве исходной информации для работы мо-

нитора ссылок используется список мандатов, в котором ука-

зываются ресурсы и права доступа к ним данного процесса.

Таким образом, список мандатов представляет собой разбиение

матрицы контроля доступа по строкам.

При масштабировании системы списки контроля доступа

или списки мандатов могут стать излишне большими. Для

уменьшения размера списка контроля доступа или списка ман-

датов создают защищенные домены. Защищенные домены пред-

ставляют собой группы процессов или ресурсов с одинаковыми

правами доступа, объединенные таким образом, что в соответ-

ствующие списки заносятся не отдельные процессы или ресур-

сы, а группы процессов или ресурсов. Защищенные домены мо-

гут структурироваться по одноранговому или иерархическому

принципам.

Для защиты ресурсов локальных распределенных систем,

имеющих выход в глобальные сети, применяется монитор ссылок

особого типа, называемый брандмауэр. Брандмауэр – это мони-

тор ссылок, работающий как шлюз прикладного уровня между

Распределенные автоматизированные системы

локальным сегментом сети и остальной глобальной сетью, и

предназначенный для тотальной авторизации всех пакетов, по-

ступающих в локальный сегмент сети, и выходящих из него.

Различают три вида брандмауэров:

а) Шлюз фильтрации пакетов – это тип брандмауэра, ана-

лизирующий только заголовки пакетов и принимающий решение

об авторизации пакета только на основании адресов отправи-

теля и получателя;

б) Шлюз прикладного уровня – это тип брандмауэра, ана-

лизирующий всю информацию пакетов и на основе этого анализа

принимающий решение об авторизации пакета;

в) Прокси-шлюз – это тип брандмауэра, скрывающий рабо-

ту ряда прикладных программ (например, апплетов рекламного

характера).

§ 8. Управление защитой информации

Когда мы рассматривали методы криптографической защиты

информации, мы заранее предполагали наличие ключей защиты

информации. Однако в реальности генерация и распространение

ключей защиты является сложным процессом, также нуждающимся

в защите. Под управлением защитой информации подразумевает-

ся:

1. Создание ключей криптографической защиты информа-

ции. Симметричные ключи, как правило, создаются двумя спо-

собами:

а) Генерация ключа одной из сторон сеанса с последую-

щим доведением этого ключа до другой стороны при помощи не-

симметричных криптосистем;

б) Использование метода Диффи-Хеллмана:

- обе стороны сеанса генерируют каждая свое большие

случайные числа Х и Y;

- отправитель посылает получателю открытым текстом три

числа: a = g

mod n, g и n;

- получатель посылает отправителю открытым текстом

число b = g

mod n;

- обе стороны сеанса вычисляют закрытый симметричный

ключ, равный g

mod n = a

= b

Создание ключей несимметричной криптосистемы происхо-

дит в четыре этапа:

а) Выбираются два больших простых числа a и b;

б) Вычисляются произведения

m = a · b и n = (a – 1)(b – 1);

в) Выбирается нечетное не простое число c, меньшее m и

взаимно простое с n. Два или несколько чисел называются

взаимно простыми, если наибольший общий делитель этих чисел

равен единице (например: 15 и 22; 7, 19, 32, и 84);

Распределенные автоматизированные системы

г) Вычисляется число d такое, чтобы произведение c · d

нацело делилось на n.

Числа c и m образуют открытый ключ, а число d - закры-

тый, или наоборот. Для шифрования необходимы числа d и m, а

для дешифровки – c и m. Рассмотренный нами метод Диффи-

Хеллмана является примером несимметричной криптосистемы,

где X и Y – закрытые ключи, а a = g

mod n и b = g

mod n –

открытые ключи;

2. Распространение ключей криптографической защиты ин-

формации. Для того, чтобы получатели были уверены, что рас-

пространяемый открытый несимметричный ключ действительно

является парой к заявленному закрытому ключу, необходимо,

чтобы канал, по которому он пересылается, обеспечивал ау-

тентификацию. Аутентифицированное распространение открытых

ключей осуществляется при помощи сертификатов открытого

ключа. Сертификат открытого ключа представляет собой сооб-

щение, содержащее сам открытый ключ и идентификатор сущно-

сти, с которой ассоциирован этот ключ, и то, и другое вме-

сте защищенное цифровой подписью сертифицирующей организа-

ции.

Цифровая подпись производится закрытым несимметричным

ключом сертифицирующей организации. Открытые ключи различ-

ных сертифицирующих организаций свободно распространяются

вместе с файлами коммуникационных программ (например: поч-

товый клиент, web-браузер и т.п.). При желании установить,

принадлежит ли на самом деле открытый ключ, содержащийся в

сертификате, указанной в нем же сущности, клиент с помощью

открытого ключа соответствующей сертифицирующей организации

проверяет цифровую подпись сертификата. В случае сомнения

подлинности сертификата, клиент может проверить правиль-

ность открытого ключа через другой сертификат, полученный

от вышестоящей сертифицирующей организации. Примером может

служить конфиденциальная почта Интернета PEM (Privacy En-

hanced Mail - [электронная] почта с повышенной защитой),

которая использует трехуровневую иерархическую службу сер-

тификации, предусматривающую безусловное доверие к сертифи-

цирующей организации верхнего уровня.

Для обеспечения защиты аутентифицированных каналов

сертификаты должны периодически меняться. Для этого сущест-

вует механизм отзыва сертификата, позволяющий сделать из-

вестным тот факт, что сертификат более не действителен.

Имеется три способа отзыва сертификатов:

а) Список отозванных сертификатов CRL (Certificate

Revocation List – список отозванных сертификатов). Сертифи-

цирующая организация регулярно публикует списки отозванных

сертификатов. При аутентификации ключа клиент просматривает

списки отозванных сертификатов, и при обнаружении там имею-