- Назначение,
структура и содержание
управления КСЗИ
Конкуренция
в области разработки средств
защиты компьютерных систем неизбежно
приводит к унификации перечня общих требований
к таким средствам. Одним из пунктов в
таком унифицированном списке практически
всегда можно встретить требование наличия
средств управления всеми имеющимися
защитными механизмами. К сожалению, кроме
того, что средства управления в системе
должны быть, в лучшем случае, для вычислительных
сетей, можно встретить лишь уточнение
о необходимости обеспечения
централизованного
удаленного контроля и управления
защитными механизмами. Разработчики
систем защиты основное внимание уделяют
реализации самих защитных механизмов,
а не средств управления ими. Такое положение
дел свидетельствует о незнании или непонимании
и недооценке проектировщиками и разработчиками
большого числа психологических и технических
препятствий, возникающих при внедрении
разработанных систем защиты. Успешно
преодолеть эти препятствия можно только,
обеспечив необходимую гибкость управления
средствами защиты.
Недостаточное
внимание к проблемам и пожеланиям
заказчиков, к обеспечению удобства
работы администраторов безопасности
по управлению средствами защиты на всех
этапах жизненного цикла компьютерных
систем часто является основной причиной
отказа от использования конкретных средств
защиты.
Опыт
внедрения и сопровождения систем
разграничения доступа в различных
организациях позволяет указать на ряд
типовых проблем, возникающих при установке,
вводе в строй и эксплуатации средств
разграничения доступа к ресурсам компьютерных
систем, а также предложить подходы к решению
этих проблем.
В
настоящее время в большинстве
случаев установка средств защиты
производится на уже реально функционирующие
АС заказчика. Защищаемая АС используется
для решения важных прикладных задач,
часто в непрерывном технологическом
цикле, и ее владельцы и пользователи крайне
негативно относятся к любому, даже кратковременному,
перерыву в ее функционировании для установки
и настройки средств защиты или частичной
потере работоспособности АС вследствие
некорректной работы средств защиты.
Внедрение
средств защиты осложняется еще
и тем, что правильно настроить
данные средства с первого раза обычно
не представляется возможным. Это, как
правило, связано с отсутствием у
заказчика полного детального списка
всех подлежащих защите аппаратных, программных
и информационных ресурсов системы и готового
непротиворечивого перечня прав и полномочий
каждого пользователя АС по доступу к
ресурсам системы.
Поэтому,
этап внедрения средств защиты информации
обязательно в той или иной мере включает
действия по первоначальному выявлению,
итеративному уточнению и соответствующему
изменению настроек средств защиты. Эти
действия должны проходить для владельцев
и пользователей системы как можно менее
болезненно.
Очевидно,
что те же самые действия неоднократно
придется повторять администратору
безопасности и на этапе эксплуатации
системы каждый раз при изменениях состава
технических средств, программного обеспечения,
персонала и пользователей и т.д. Такие
изменения происходят довольно часто,
поэтому средства управления системы
защиты должны обеспечивать удобство
осуществления необходимых при этом изменений
настроек системы защиты. Такова "диалектика"
применения средств защиты. Если система
защиты не учитывает этой диалектики,
не обладает достаточной гибкостью и не
обеспечивает удобство перенастройки,
то такая система очень быстро становится
не помощником, а обузой для всех, в том
числе и для администраторов безопасности,
и обречена на отторжение.
Для
поддержки и упрощения действий
по настройке средств защиты в
системе защиты необходимо предусмотреть
следующие возможности :
- выборочное подключение
имеющихся защитных механизмов, что обеспечивает
возможность реализации режима постепенного
поэтапного усиления степени защищенности
АС.
- так называемый
"мягкий" режим функционирования
средств защиты, при котором несанкционированные
действия пользователей (действия с превышением
полномочий) фиксируются в системном журнале
обычным порядком, но не пресекаются (то
есть не запрещаются системой защиты).
Этот режим позволяет выявлять некорректности
настроек средств защиты (и затем производить
соответствующие их корректировки) без
нарушения работоспособности АС и существующей
технологии обработки информации;
- возможности по
автоматизированному изменению полномочий
пользователя с учетом информации, накопленной
в системных журналах (при работе как в
"мягком", так и обычном режимах).
С увеличением масштаба
защищаемой АС усиливаются требования
к организации удаленного
управления средствами
защиты. Поэтому те решения, которые
приемлемы для одного автономного компьютера
или небольшой сети из 10-15 рабочих станций,
совершенно не устраивают обслуживающий
персонал (в том числе и администраторов
безопасности) больших сетей, объединяющих
несколько сотен рабочих станций.
Для
решения проблем управления средствами
защиты в больших сетях в системе
необходимо предусмотреть следующие возможности
:
- должны поддерживаться
возможности управления механизмами защиты
как централизованно (удаленно, с рабочего
места администратора безопасности сети),
так и децентрализовано (непосредственно
с конкретной рабочей станции). Причем
любые изменения настроек защитных механизмов,
произведенные централизованно, должны
автоматически распространяться на все
рабочие станции, которых они касаются
(независимо от состояния рабочей станции
на момент внесения изменений в центральную
базу данных). Аналогично, часть изменений,
произведенных децентрализовано, должна
быть автоматически отражена в центральной
базе данных защиты и при необходимости
также разослана на все другие станции,
которых они касаются. Например, при смене
своего пароля пользователем, осуществленной
на одной из рабочих станций, новое значение
пароля этого пользователя должно быть
отражено в центральной базе данных защиты
сети, а также разослано на все рабочие
станции, на которых данному пользователю
разрешено работать;
- управление механизмами
защиты конкретной станции должно осуществляться
независимо от активности данной станции,
то есть независимо от того, включена она
в данный момент времени и работает ли
на ней какой-то пользователь или нет.
После включения неактивной станции все
изменения настроек, касающиеся ее механизмов
защиты, должны быть автоматически перенесены
на нее.
- в крупных АС процедура
замены версий программ средств защиты
(равно как и любых других программ) требует
от обслуживающего персонала больших
трудозатрат и связана с необходимостью
обхода всех рабочих станций для получения
к ним непосредственного доступа. Проведение
таких замен может быть вызвано как необходимостью
устранения обнаруженных ошибок в программах,
так и потребностью совершенствования
и развития системы (установкой новых
улучшенных версий программ);
- для больших АС
особую важность приобретает оперативный
контроль за состоянием рабочих станций
и работой пользователей в сети. Поэтому
система защиты в свой состав должна включать
подсистему оперативного контроля состояния
рабочих станций сети и слежения за работой
пользователей.
Увеличение
количества рабочих станций и использование
новых программных средств, включающих
большое количество разнообразных программ
(например MS Windows), приводит к существенному
увеличению объема системных журналов
регистрации событий, накапливаемых системой
защиты. Объем зарегистрированной информации
становится настолько велик, что администратор
уже физически не может полностью проанализировать
все системные журналы за приемлемое время.
Для
облегчения работы администратора с
системными журналами в системе
должны быть предусмотрены следующие
возможности :
- подсистема реализации
запросов, позволяющая выбирать из собранных
системных журналов данные об определенных
событиях (по имени пользователя, дате,
времени происшедшего события, категории
происшедшего события и т.п.). Естественно
такая подсистема должна опираться на
системный механизм обеспечения единого
времени событий;
- возможность автоматического
разбиения и хранения системных журналов
по месяцам и дням в пределах заданного
количества последних дней. Причем во
избежание переполнения дисков по истечении
установленного количества дней просроченные
журналы, если их не удалил администратор,
должны автоматически уничтожаться.
- в системе защиты
должны быть предусмотрены механизмы
семантического сжатия данных в журналах
регистрации, позволяющие укрупнять регистрируемые
события без существенной потери их информативности.
Например, заменять все многократно повторяющиеся
в журнале события, связанные с выполнением
командного файла autoexec.bat, одним обобщенным.
Аналогично можно одним событием заменять
многократно повторяющуюся последовательность
запуска программ системы MS-Windows и т.п.;
желательно
также иметь в системе средства
автоматической подготовки отчетных документов
установленной формы о работе
станций сети и имевших место
нарушениях. Такие средства позволили
бы существенно снять рутинную нагрузку
с администрации безопасности. (18)
Как
показывает практика, управление КСЗИ,
затруднено в связи с наличием
следующих основных проблем:
- Проблема
взаимодействия различных подразделений,
отвечающих за управление АС. В крупных
организациях существуют специальные
подразделения, отвечающие за функционирование
в АС различных операционных сред и обеспечивающих
их администрирование. По роду своей деятельности
сотрудники этих подразделений обладают
статусом привилегированных пользователей
и зачастую имеют неограниченный доступ
к ресурсам АС. В силу специфики своей
деятельности на эти подразделения возлагается
решение задач по управлению пользователями
и настройками механизмов защиты в соответствующих
операционных средах. Препятствие осуществлению
деятельности этих подразделений может
повлечь за собой дезорганизацию функционирования
всей АС. Дублирование администраторской
деятельности этих подразделений специалистами
по защите информации может привести к
размыванию ответственности за управление
системой, а отсутствие контроля за работой
этих подразделений может привести потере
управления АС.
- Проблема
несоответствия уровня управления безопасностью
в АС организации и в операционных средах,
используемых в АС. В АС крупных организаций,
как правило, используются различные операционные
среды. Для каждой из операционных сред
характерно свое именование объектов
и субъектов доступа, свои правила управления
доступом, своя номенклатура настроек
по управлению безопасностью.
Каждая
операционная среда работает со своей
моделью предметной области, в которой
некоторому объекту предметной области
сопоставляется объект из модели. В
Таблице 1 для примера приведены
наиболее часто встречающиеся соответствия:
Таблица 1.
Объект
предметной области |
Объект в
модели |
Сотрудник |
Пользователь |
Подразделение |
Группа пользователей |
АРМ |
Компьютер |
Задача |
Совокупность
файлов программ, данных, таблиц баз
данных |
Для
упрощения управления безопасностью
в современных АС администратор
оперирует понятиями более высокого уровня,
чем это реализовано в существующих операционных
средах. Это приводит к усложнению управления
безопасностью в связи с тем, что преобразование
"Объект предметной области в объект
в модели" приходится выполнять сотрудникам
подразделения, отвечающего за обеспечение
информационной безопасности.
Проблема использования
средств единого управления
безопасностью.
Для различных операционных сред
существуют свои модели предметной
области. Их согласование с
целью организации единого управления
полномочиями пользователей по доступу
к ресурсам АС представляет собой трудоемкую
задачу. Ее решение осложняется следующими
факторами:
- Предельным
уровнем абстракции при описании объектов
предметной области, используемым в ряде
средств единого управления безопасностью.
Для согласования моделей предметной
области, существующих в различных операционных
средах, разработчики средств единого
управления безопасностью вынуждены вводить
свой понятийный уровень и приводить к
нему понятия, существующие в моделях
предметной области операционных сред.
Это делает задачу единого управления
безопасностью трудной для понимания
и практически невозможной для реализации.
- Многовариантностью
назначения прав доступа к ресурсам АС.
Одни и те же права доступа пользователя
к ресурсу могут быть заданы как непосредственно
для данного пользователя, так и для группы,
в которую он входит. Кроме того права
доступа, например, к файлу, могут быть
заданы на уровне каталога или диска;
- Наличием
разнородных средств управления безопасностью.
В любой операционной среде существуют
собственные средства управления безопасностью
(именами и полномочиями пользователей,
и их правами доступа к ресурсам в этой
среде, настройками безопасности среды
и т.п.). Существование таких средств существенно
затрудняют единое управление полномочиями
пользователей в организации
- Отсутствием
коллективного управления полномочиями
пользователей. При наличии в АС нескольких
администраций (файловых серверов, серверов
баз данных, прикладных задач), можно утверждать
что средства единого управления окажутся
в распоряжении только одной из этих администраций.
В этом случае контроль за использованием
этих средств и корректностью настройки
АС будет утерян, что может привести к
непредсказуемым последствиям.