Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

стройки с лужб безопасности R/3 можно использовать среду (окру-

жение, environment) е динственного предъявления пароля ( Single

Sign-On). Среда е динственного предъявления пароля до лжна быть

установлена внешней программой защиты ( SNC использует эту

среду). С единс твенным предъявлением пароля ваши пользователи

должны аутентифицироваться только однажды, даже если они ра-

ботают на нескольких системах. С этой целью пользователи по д-

ключаются к внешней программе защиты; программа защиты соз-

дает «мандат» (credential) информации для пользователей, который

далее обеспечивает доступ к различным другим системам R/ 3. Ко-

гда пользователь обращается к системе, которая защищена пр о-

граммой защиты, например, сис темой R/3, он автоматически вхо-

дит в эту систему поскольку последняя располагает соответствую-

щей аутен-тификационной информацией о нем, принимаемой от

программы. Программа не посылает никакой парольной инфор -

мации по сети, а лишь о дну проверочную информацию (verifi-

cation), аутентифицирующую пользователя.

SNC обеспечивает не только единственное предъявление пар о-

ля; но также дополнительную целостность и защиту сек ретности

передаваемых данных. Однако для э того требуется ис-по льзование

SAP-сертификатов внешней программы защиты. Для среды «един-

ственного предъявления пароля» под Windows NT, можно исполь-

зовать Microsoft NTLMSSP (NT LAN Manager Security Support Pro-

vider) в качестве поставщика безо пасности. В зависимости от ис-

пользуемой SNC программы безопасности можно применять и

смарт-карты для аутентифика -ционных це лей (необ ходима правда,

именно внешняя программа по безопасности, чтобы использовать

смарт-карты, поскольку не каждая программа по безопасности

поддерживает их). Со смарт-картами аутентификационная инфор-

мация пользова теля сохраняется на его или ее персональной карте

(плате). Та кие кар ты также нередко защищаются с помощью PIN

(Personal Identification Number — персонального идентификацион-

ного номера). В таких случаях, поскольку пользователь владеет

картой, а также знает PIN, шансы на то, что кто-то скопирует или

конфискует информацию минимальны. При аутентификации со

смарт-картой, нет необходимости передавать парольную ин-

формацию по сети. Хотя ау тентификация имеет место вне сис темы

R/3 с единственным предъявлением пароля, защита пол номочий

все еще проис хо дит в пределах системы R/3.

Сис тема полномочий. R/3 выполняет проверку по лномочий,

когда по льзователи пытаются выполнять программы или тран-

закции. При проверках полномочий R/ 3 удостоверяется в том, что

пользователь имеет соответствующие разрешения в своей главной

записи пользователя (user master records), перед тем, как позволить

пользователю двигаться дальше. Имеется несколько различных

типов проверок полномочий, которые включаю т:

Авторизацию запуска транзакции R/3. Пользователь до л-

жен иметь соответствующее разрешение для запуска тран-

закции. Э то применяется к транзакциям, запускаемым из

меню или вызываемым из командной строки.

Специфическую авторизацию для транзакции. Помимо

проверки полномочия на запуск транзакции, SAP транзак-

ции защищены дополнительной проверкой полномочий.

Когда создаются собственные транзакции, можно назна-

чать дополнительную проверку полномочий. Один из ме-

тодов состоит в том, чтобы назначить специфичную авто -

ризацию для транзакции. Он по лезен в том случае, если

нужно защитить транзакцию с единственной авторизацией.

Если дело обстоит не так, то необходимо пользоваться

другими доступными методами.

Проверку полномочий (authority-check) на уровне про-

грамм. Таким образом, можно защищать индивидуальные

программы на уровне кода. Программы SAP используют

этот метод также для защиты собственных разработок.

Классы отчетов и таблицы групп авторизации. Дополни-

тельно к проверке полномочий по программам или тран-

закциям, можно назначать отчеты по классам отчетов и по

таблицам групп авторизации. Другими словами, пользова-

тели могут обращаться то лько к тем классам отчетов и

группам таблиц, для которых они имеют соответствую щие

разрешения.

Централизованное администрирование пользов ателей.

Генератор конфигурации позволяет автоматизировать некото-

рые процессы и обеспечивает большую гибкость в авторизации. Он

позволяет конфигурировать назначения авторизации (полномочий)

согласно рабочим ролям, группам деятельности и задачам. Генер а-

тор конфигурации использует нисхо дящий подход для генерации

назначений авторизации, начиная с главного меню компании и

опускаясь вниз до уровня инди видуальной главной записи пользо-

вателя (user master record). Определяется рабочая модель правил,

создаются группы дея тельности и решается, в каких транзакциях и

функциях нуждается каждая роль. Генератор конфигурации обр а-

батывает и многое другое - включая выбор необходимых объектов

авторизации для различных задач.

Сетевые службы также мож но эффективно использовать в

целях защиты.

Красноречивый пример - SAProuter. SAProuter - прокси-сервер

уровня приложений, который можно использовать вместе с сете-

вым устройством защиты (firewall) для борьбы с неав-

торизированным доступом. Се тевое устройство защиты (firewall)

используется в том числе и для запрета нежелательного до ступа к

внутренней сети. Правда, желательны х соединений, должны быть

открыты соответствующие каналы доступа в се тевом устройстве

защиты (firewall), через которые эти запросы будут про хо дить. Эту

задачу и призван выполнить SAPROUTER как второй эшелон за-

щиты, который сможет управлять дос ту пом в пределах внутренней

сети. SAProuter может принимать или отклонять запросы, исхо дя-

щие от определенного пользова теля или машины; может также на-

править запрос только на определенную машину. Испо льзуя SA-

PROUTER вместе с сетевым устройством защиты (firewall), можно

эффективно защитить локальную сеть системы R/3 от неавторизи-

рованного доступа.

В этом же направлении используются и такие пр ограммно-

технические средства, как программы внешнего интерфейса SAP-

gui и др., внешние RFC-программы, сервер печати SAPlpd.

Ревизия и регистрация ( Auditing and Logging) на базе Цен-

тра регистрации. Ревизия и регистрация - важные процессы, так-

же связанные с защитой. Помимо необходимости со хранять неко-

торую информацию для чисто юридических целей ревизии и жур-

налы регистрации также могут оказаться необ ходимыми при защи-

те системы и событий в самом трэкинга в случае возникновения с

этим проблем. R/3 сохраняе т разнообразные файлы регистрации

для системного администрирова ния, мониторинга, решения разно-

образных других проблем и аудиторских целей. Информа ционная

система контроля (Audit Info System) и файлы регистрации контро-

ля безопасности (Security Audit Log) являю тся частью служб безо-

пасности R/3. Дополнительные файлы регистрации включают в

себя обячно системные файлы регистрации, статистические отче ты

в CCMS (Computing Center Management System — вычислительный

центр управления системой), документы замены для бизнес-

объектов и прикладной регистрации.

Безопасные Internet-приложения R/3 с использованием

MSNC-ад аптера. Компоненты Internet — приложений (Internet

Application Components - IAC) R/ 3 позволяют по льзователям вы-

полнять бизнес-функции в R/3, используя браузер Интернет (World

Wide Web browser) как интерфейс пользователя вместо SAPgui.

IAC можно использовать для конфигу рирования Web-интерфейсов

пользователя на корпоративном уровне идентификации (corporate

identity). Возможна также разработка своих собственных компо-

нент Internet - приложений (Internet Application Components). Сер-

вер Internet Transaction Server (ITS) служит для связи между систе-

мой R/3 и сетью, эффективной связи несмотря на их технические

различия. SNC обеспечивает защиту связей между распреде-

ленными компонентами системы R/3. Каждый компонент R/3 име-

ет свой программный уровень, называемый SNC уровнем, который

позволяет R/3 интегрироваться с внешней про граммой защиты.R/3

связывае тся с внешней программой, используя стандартный ин-

терфейс GSS-APIV2 (Generic Security Services Application Pro-

gramming Interface Version 2 - универ сальный сервис безопасности

прикладного программного интерфейса версии 2). GSS-API V2 был

разработан SAP при участии Internet Engineering Task Force (IETF).

Опция SNC позволяет интегрировать внешние программные сред-

ства защиты с R/3 и испо льзовать особенности программы безо-

пасности, которые не являются непосредственно доступными в

R/3. Поэтому бывает необхо димо выбирать программные средства

защиты, отвечающие требованиям государственных органов по

защите информации и ко торые обеспечивают:

единственное предъявление пароля;

аутентификацию со смарт-картой;

шифрование потоков данны х между компонентами R/3 (це-

лостность и защита секретности).

Внешняя программа защиты не включена в программное обес-

печение SAP R/3. Поэтому при внедрении системы SAP R/ 3 появи-

лась необ ходимость включения о течественной внешней програм-

мы защиты и сертификации фирмой SAP. В качестве внешней про-

граммы защиты, о твечающим требованиям фирмы SAP и требова-

ниям по защите информации государственных органов, было вы-

брано криптографическое ядро фирмы КриптоПро, а ттестованное

Государственным органом по защите информации. Для подключе-

ния крипто графического ядра к компонентам mySAP.com разрабо-

тан программный модифицированный адаптер, названный MSNC-

адаптером.

Начиная с версии 4.0, приложения R/3 могут использовать ме-

ханизмы безопасного хранения и перемещения (SSF) для защиты

произвольных данны х в системе R/3. Приложения R/ 3 могут ис-

пользовать механизмы (Secure Store & Forward Mechanisms) SSF,

чтобы гарантировать целостность данных, аутентификацию и ко н-

фиденциальность. Эти данные оказы ваются защищенными, даже

если они покидают систему R/3. SSF механизм также обеспечен

отечественными криптографическими средствами фирмы «Крип-

тоПро», аттестованны ми Государственным органом по защите и н-

формации. Для подключения криптографических средств исполь-

зуется MSNC- адаптер.

9.5. Задачи администрирования системы R/3 [^]

Одна из важнейших задач администрирования системы R/3 -

обеспечение ее секретности и безопасности системы.

Цель эта имеет многоуровневый характер, так как достичь по л-

ной секретности и безопасности всей системы возможно только в

том случае, если обеспечен необхо димый режим секретности и

безопасности на уровнях:

сервера презентации;

сети;

технических средств и операционной системы; базы дан-

ных;

пользователей R/3.

Вну три системы R/3 высокий уровень защиты о т несанк-

ционированного доступа обеспечивается с помощью концеп ции

полномочий SAR Концепция полномочий имеет разрешающий по

отношению к объектам смысл и характеризуется:

использованием комплексных объектов;

иерархической структурой разрешений (мето д ссылок при

создании и изменении полномочий) и распределения задач

(ведение полномочий, присвоение их пользователям и т.

д.).

С использованием данной концепции полномочий SAP была

разработана следующая технология представления по лномочий в

системе R/3:

определенные полномочия распространяются только на

определенные группы по льзователей, при э том каждый

пользователь може т принадлежать то лько к одной группе

пользователей, либо не принадлежать ни к какой группе;

полномочия присваиваются только одному типу пользо-

вателей, и при вхо де пользователя в систему осуществляет-

ся проверка указанного пользователя на возможность вы-

полнения им тех или иных задач;

должны осуществляться дополнительные проверки на на-

личие полномочий при работе с прикладными програм-

мами и перед запуском транзакций;

действия, направленные на определенные объекты, на-

пример, на использование данных бу хгалтерского учета не-

пременно должны быть «по дзащитными», т. е. по льзова-

тель может провести операцию над объектом бу хгалтер-

ского учета , если только у него есть все полномочия на та-

кую операцию.

На уровне сервера презентации уровень секретнос ти и безо-

пасности обеспечивается в результате того, что :

Неактивные в течение определенного администратором

системы времени пользователи автоматически «отключа-

ются» от системы R/3. Делается это, для того, ч тобы никто

не мог воспользоваться откры той сессией когда рабочее

место остается без присмотра.

Благодаря накладываемым администратором опреде-

ленным ограничениям пароль, вводимый пользователем

при вхо де в систему R/3, (например, запрещается некото -

рая комбинация символов в пароле, ограничивается коли-

чество неуспешны х попыток ввода самого пароля, мини-

мальная длина пароля и т. д.).

Путем регулярны х проверок на наличие вирусов.

Осуществлением защиты от несанкционированного до -

ступа на уровне операционной системы PC.

На уровне сети это же достигается через:

деление сети предприятия на несколько подсетей;

выделение подсети серверной группы R/3 от остальной с е-

ти предприятия;

использование Firewall system;

использование SAProuter как части, или дополнения к

Firewall system.

Ha уровне технических средств и операционной системы:

Сис тема R/3 позволяет иметь на уровне операционной сис-

темы только одного пользователя на сервере приложений и

дву х пользователей на центральной инстанции. Эти поль-

зователи до лжны быть защищены паролями, которые регу-

лярно меняются и никаких других пользователей (кроме

суперпользователя операционной системы) не должно

быть в это время в продуктивной системе R/3.

Файловые системы, директории, файлы на уровне опе -

рационной системы должны иметь соответствующие права

доступа.

Сервер R/3 должен быть физически защищен от несанк-

ционированного доступа и возможного разрушения.

На уровне пользователей R/3 долж ны осуществляться:

защита от несанкционированного доступа путем наст ройки

параметра, отвечающего за пароль суперпользовате ля сис-

темы R/ 3 SAP,

регулярный мониторинг неуспешных попыток входа с сис-

тему, просмотра полного списка ее сообщений и поль-

зователей и т. д.

Разработчик БД и администратор несут ответственность за

защиту данных на уровне БД. Поэтому:

БД имеет своего собственного суперпользователя и поль-

зователя-администратора. Пароли этих пользовате лей

должны регулярно обновляться только средствами БД.

Сис тема R/3 создает и испо льзует только одного пользо-

вателя на уровне БД. Пароль этого пользователя должен

быть защищен о т несанкционированного использования.

Необходимо соблюдать все меры безопасности при хра -

нении копий (backup) БД.

Удаленный доступ к БД должен быть разрешен только в

необхо димых случаях и только по чтению.

Доступ к БД должен осуществляться то лько средствами

R/3 и исключать доступ к системным таблицам R/ 3.

10. Сертификация информационных систем

[^]

10.1. Основные характеристики технических средств

защиты от несанкционированного доступа [^]

Основными характеристиками технических средс тв защи ты

являю тся:

степень полноты и качество о хвата ПРД реализованных

СРД;

состав и качество обеспечивающих средств для СРД;

гарантии правильности функционирования СРД и обес -

печивающих ее средств.

Полнота и качество охвата ПРД оценивается по наличию чет-

ких, непротиворечивых, заложенны х с СРД правил доступа к объ-

ектам доступа и мерам их надежной идентификации.

При оценке состава и качества обеспечивающих средств для

СРД учитываются средс тва идентификации и опознании субъ ектов

и порядок их испо льзования, полнота учета дейс твий субъектов и

способы поддержания привязки субъекта к его про цессу.

Гарантии правильности функционирования оцениваю тся по

способам проектирования и реализации СРД и обеспечивающих ее

српств (формальная и неформальная верификация), а также по со-

ставу и качеству препятствующих об хо ду СРД средств (под-

держание целостности СРД и обеспечивающих средств, восста-

новление после сбоев, отказов и попыток НСД, контроль дис-

трибуций, возможность тестирования на этапе эксплуатации).

Оцениваемые ИИСУП или СВТ должны быть тщательно доку-

ментированы. В состав документации включаются «Руко водство

пользователя по использованию защитных механиз мов» и «Руко-

водство по управлению средствами защиты».

Для ИИСУП и СВТ, претендующих на высокий уровень за-

щищенности, оценка осуществляется при наличии проектной до-

кументации (эскизный, технический и рабочий про екты, а также

описания процедур тестирования и их результатов).

Оценка защищенности СВТ проводится в соответствии с По-

ложением о сертификации средств и систем вычислитель ной тех-

ники и связи по требованиям защиты информации, Временным

положением по организации разработки, изготовления и эксплуа-

тации программных и технических средств за щиты информации от

несанкционированного доступа в авто матизированных системах и

средствах вычислительной те хни ки и другим документам.

10.2. Требования по защите информации от несанк-

ционированного доступа для автоматизированных

систем [^]

Защита информации от НСД является составной частью об -

щей проблемы обеспечения безопасности информации. Ме-

роприятия по защите информации от НСД должны осу ществляться

во взаимосвязи с мероприятиями по специальной защите основных

и вспомогательных средств вычислительной те хники, средств и

систем связи от технических средств раз ведки и промышленного

шпионажа.

В общем случае комплекс программно-технических средств и

организационных (процедурны х) решений по защите информации

от НСД реализуется в рамках автоматизированной СЗИ НСД, ус-

ловно состоящей из следующих четырех подсистем:

подсистема управления доступом;

подсистема регистрации и учета;

криптографическая подсистема;

подсистема обеспечения целостности.

10.3. Требования к автоматизированным системам

защиты третьей группы (см. табл. 5) [^]

Обозначения:

«-» - нет требований к данному классу;

«+» - есть требования к данному классу.

Таблица 5

Подсистемы и требования

Класс ЗБ

Класс ЗА

1. Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

• систему

• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи,

внешним устройствам ЭВМ

• к программам

• к томам, каталогам, ф айлам, записям, полям записей

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1. Регистрация и учет:

• входа (выхода) субъектов доступа в (из) системы

(узел сети)

• выдачи печатных (графических) выходных докумен-

тов

• запуска (завершения) программ и процессов (зада-

ний, задач)

• доступа программ субъектов доступа к защищаемым

файлам, включая их создание и удаление, передачу по

линиям и каналам связи

• доступа программ субъектов доступа к термина лам,

ЭВМ , узлам сети ЭВМ, каналам связи, внешним уст-

ройствам ЭВМ, программам, томам, каталогам, фай-

лам, записям, полям записей

• изменение полномочий субъектов доступа

• создаваемых защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка (обнуление, обезличивание) осво-

бождаемых областей оперативной памяти ЭВМ и

внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

3.2. Шифрование информации, принадлежащей раз-

личным субъектам доступа (группам субъектов) на

разных ключах

3.3. Использование аттестованных (сертифици-

рованных) криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и

обрабатываемой информации

4.2. Физическая охрана средств вычислительной тех-

ники и носителей информации

4.3. Наличие администратора (службы) защиты ин-

формации в АС

4.4. Периодическое тестирование СЗИ НСД

4.5. Наличие средств восстановления СЗИ НСД

4.6. Использование сертифицированных средств за-

щиты