Вы находитесь в разделе Типовых решений систем безопасности
Защита добавочной сзи нсдВ предыдущей части работы мы рассматривали вопросы корректности реализации добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД), при этом отмечали, что использование добавочных средств защиты связано, при некорректной их реализации, с возможностью внесения СЗИ НСД дополнительны, уже собственных, уязвимостей. В данной части работы, прежде чем перейти к рассмотрению принципов реализации важнейших механизмов добавочной защиты, остановимся еще на одном важнейшем аспекте построения СЗИ НСД – вопросах собственно защиты СЗИ НСД. Как отмечали ранее, внешнее, по отношению к ОС, программное средство, вносящее дополнительные сервисы (здесь речь идет о добавочных СЗИ НСД, вносящих дополнительные сервисы защиты информации), должны обеспечивать безопасность данных сервисов. Рассмотрим, какие это накладывает дополнительные требования к реализации добавочных средств защиты, в чем состоят задачи защиты добавочных СЗИ НСД, и пути их решения. Рассмотрим интересующую нас проблему. СЗИ НСД в основе своей представляет собою программный комплекс (драйверы и приложения), реализующий программно основные механизмы защиты от НСД. Это означает, что при установке СЗИ НСД защита добавочным средством осуществляется до тех пор, пока компоненты СЗИ НСД активны (запущены), при этом СЗИ НСД корректно функционирует настолько, насколько корректны ее настройки. Таким образом, в качестве основной задачи защиты можем выделить задачу обеспечения активности и корректности функционирования программной компоненты СЗИ НСД (т.е. в любой момент времени функционирования защищаемого объекта все компоненты СЗИ НСД должны быть активны, настройки корректны). Естественно, что осуществлять подобный контроль одной программы другой программой занятие бессмысленное, поэтому на практике с этой целью может использоваться аппаратная компонента СЗИ НСД (плата), при условии, что реализованы соответствующие организационные меры, предотвращающие несанкционированное удаление платы из компьютера (в частности, корпуса компьютеров должны быть опечатаны), либо контроль может осуществляться удаленно – с сервера безопасности, при сетевой реализации СЗИ НСД. На сегодняшний день широкое использование для решения рассматриваемой задачи нашла, так называемая, технология доверенной загрузки. Данную технологию реализуют различные производители средств защиты, технические решения которых несколько различаются. Рассмотрим основные и наиболее общие задачи, решаемые аппаратной компонентой защиты, реализующей технологию доверенной загрузки. Как собственно и следует из названия, данные средства призваны решить задачу загрузки ОС только после проведения некоторых контрольных процедур, обеспечивающих доверенность загрузки ОС и СЗИ НСД, в частности, авторизации пользователя (для пользователей разграничиваются права на модификацию BIOS), проверки целостности технических и программных средств защищаемого компьютера (в том числе исполняемых файлов и файлов настроек безопасности), предотвращения загрузки ОС с внешних устройств ввода (как правило, посредством их физического отключения до завершения процедур авторизации и контроля). Предполагаемым результатом реализации данных процедур является гарантия того, что проведена санкционированная загрузка ОС и СЗИ НСД, т.е. компьютер загружен в штатном защищенном режиме. Мы пытаемся рассмотреть эту задачу несколько шире. В отличие от ОС, для защиты которой может использоваться технология доверенной загрузки, СЗИ НСД содержит в своем составе внешние по отношению к ОС системные драйверы, запускаемые в режиме «ядра», но не включаемые в состав ядра ОС (причем так должны строиться СЗИ НСД даже для свободно распространяемых ОС, что, прежде всего, диктуется требованиями соответствующих лицензионных соглашений). Поэтому ОС не обеспечивает в полном объеме их защиту и контроль активности в процессе функционирования системы, и, как следствие, данные компоненты СЗИ НСД могут быть переведены в пассивное состояние в процессе функционирования системы, что приведет к отключению механизмов защиты. С учетом сказанного, применительно к защите СЗИ НСД аппаратными средствами, на наш взгляд, следует говорить не только о доверенной загрузке СЗИ НСД, но и контроле ее активности и корректности функционирования в процессе работы защищаемого компьютера, в части противодействия группе потенциально возможных атак уже собственно на отключение (перевод в пассивное состояние) СЗИ НСД или ее компонент. Для решения данной задачи, нами предлагаются рассматриваемые в работе технологии доверенной загрузки, контроля активности и корректности функционирования СЗИ НСД. Прежде, чем приступить к описанию предложенного подхода, сформулируем основные требования к его реализации:
Основу предлагаемого подхода, реализующего сформулированные выше требования, составляет реализация предлагаемых нами технологий: технология доверенной загрузки ОС и СЗИ НСД и технология контроля активности и корректности функционирования СЗИ НСД. 1. Технология доверенной загрузки ОС и СЗИ НСД Основу предлагаемой технологии составляет синхронный контроль этапов загрузки ОС и СЗИ НСД. В общем случае можем выделить три этапа контроля загрузки: начало загрузки ОС (может осуществляться контроль, откуда загружается система), завершение загрузки ОС и СЗИ НСД (может контролироваться загрузилась ли СЗИ НСД, а также продолжительность загрузки, как следствие, контроль действий, осуществляемых при загрузке, в частности, обращений к BIOS), контроль корректности загрузки ОС и СЗИ НСД (может контролироваться корректность загрузки системы и СЗИ НСД, и корректность их настроек). Продолжительность этих этапов, относительно момента включения питания компьютера, может быть однозначно определена (несмотря на то, что она может быть различной для различных компьютеров и различных способов загрузки системы). Следовательно, можно обеспечить пассивность аппаратной компоненты защиты (платы) – аппаратная компонента является лишь приемной стороной во взаимодействии с программной компонентой защиты, так как их действия могут быть жестко синхронизированы относительно единого события – включения питания компьютера. С учетом сказанного, получаем структуру системы доверенной загрузки ОС и СЗИ НСД (программно-аппаратного комплекса), см. рис.4.1 (Патент №218565 , которая содержит аппаратную и программную компоненты, в состав последней входят следующие модули: модуль контроля начала загрузки ОС и СЗИ НСД (система еще не загружена) и модуль контроля завершения и корректности загрузки ОС и СЗИ НСД. Каждый из этих двух модулей взаимодействует с аппаратной компонентой, посредством передачи ей тестового сигнала (парольного слова), подтверждающего корректность выполненного этапа загрузки. Аппаратная компонента пассивна, лишь получает тестовые сигналы от модулей программной компоненты (например, через заданный порт). Неполучение тестового сигнала означает некорректность загрузки, на что аппаратная компонента должна вырабатывать реакцию, например, выдача сигнала «Reset», «Разрыв» шины данных и т.д. (принцип формирования реакции следующий – реакция должна выполняться на аппаратном уровне внутри корпуса защищаемого компьютера, что противодействует возможному ее отключению). Опционально аппаратная компонента может выполнять функцию подключения внешних устройств ввода, при условии, что начало загрузки системы выполнено корректно – с жесткого диска.  Работу программно-аппаратного комплекса проиллюстрируем временной диаграммой, см. рис.4.2  Модуль контроля начала загрузки ОС и СЗИ НСД располагается в BUUT секторе жесткого диска. В задачи этого модуля входит контроль фазы начала загрузки с жесткого диска. В случае корректной загрузки (загрузка системы осуществляется с жесткого диска), модуль выдает тестовый сигнал на плату. Плата в течение тайм-аута T1 ожидает тестовый сигнал. Если сигнал не получен, плата отключает компьютер (например, генерирует сигнал «Reset»), в противном случае, сигнал не выдается, опционально могут подключаться внешние устройства (например, питание на них может быть заведено через реле, установленные на плате). После завершения загрузки ОС и СЗИ, модуль контроля завершения и корректности загрузки ОС и СЗИ НСД (СЗИ НСД запущена), выдает тестовый сигнал на плату. Неполучение этого сигнала в течение времени T2 (продолжительность загрузки ОС и СЗИ НСД), приводит к вырабатыванию платой реакции. Следующий этап контроля загрузки – это контроль корректности загрузки ОС и СЗИ НСД. На этом этапе СЗИ НСД осуществляет контроль целостности (корректности) ключевых исполняемых файлов и настроек ОС и СЗИ НСД (соответствующих файлов настройки и ключей реестра ОС), а также контроль событий – запущенные процессы, драйверы и т.д. После завершения контроля корректности модуль выдает тестовый сигнал на плату. Неполучение этого сигнала в течение времени T3 (продолжительность контроля корректности загрузки ОС и СЗИ НСД), приводит к вырабатыванию платой реакции. Рассмотрим преимущества данного подхода, ответив на вопрос: чем обеспечивается доверенность загрузки ОС и СЗИ НСД?
Технология контроля активности и корректности функционирования СЗИ НСД Данная технология является развитием подхода, описанного выше, и состоит в контроле активности и корректности функционирования СЗИ НСД уже во время работы системы (после ее доверенной загрузки). Здесь с аппаратной компонентой взаимодействует модуль контроля активности и корректности функционирования СЗИ НСД. Структура программно-аппаратного комплекса, решающего данную задачу, представлена на рис.4.3  Работу программно-аппаратного комплекса проиллюстрируем временной диаграммой, см. рис.4.4 В задачи модуля контроля активности и корректности функционирования СЗИ НСД входит периодический контроль состояния компонент СЗИ НСД, с выдачей тестового сигнала (парольного слова) на плату, в случае успешного результата контроля. Аппаратная компонента с тайм-аутом Tк (см. рис.4. , после получения тестового сигнала, ожидает следующего тестового сигнала от программной компоненты. Неполучение тестового сигнала приводит к вырабатыванию платой реакции, например, к выдаче сигнала «Reset», не позволяющего функционировать компьютеру в незащищенном исполнении (при некорректном функционировании, либо при отключении СЗИ НСД - при ее неактивности). Рассмотрим, что дает данный подход.
 Теперь, буквально в нескольких словах, остановимся на вопросах контроля корректности функционирования СЗИ НСД, определим, в чем состоит эта задача, рассмотрим, как решение данной задачи влияет на структуру СЗИ НСД. В части контроля будем разделять два его вида: контроль объектов и контроль событий. Под объектами будем понимать объекты файловой системы, реестра ОС и т.д., целостность (неизменность) которых следует проверять в процессе функционирования системы. Необходимость контроля событий вызвана следующими соображениями. Исходя, как из требований соответствующих нормативных документов, так и из практики построения СЗИ НСД, можем заключить, что СЗИ НСД имеет модульную, в идеале – хорошо структурированную, структуру. Как правило, можно выделить две большие группы модулей в составе СЗИ НСД: драйверы, реализующие разграничительную политику доступа к ресурсам, и приложения, на которые возлагаются функции контроля и иные задачи. Очевидно, что весьма затруднительно и не эффективно обеспечивать взаимодействие с аппаратной компонентой всех модулей СЗИ НСД, поэтому, в части решения задачи контроля, программно-аппаратную СЗИ НСД предлагается строить по схеме, приведенной на рис.4.5 (Патент №218013 . Как следует из рис.4.5, в структуре СЗИ НСД выделяется главный модуль – это модуль ответственный за взаимодействие с аппаратной компонентой (выдает ей тестовые сигналы), что гарантирует невозможность перевода программным способом данного модуля в пассивное состояние. Для того, чтобы невозможно было перевести в пассивное состояние другие запущенные компоненты СЗИ НСД, главный модуль осуществляет контроль событий (Патент №217425 . Контролировать, прежде всего, целесообразно запущенные в системе драйверы и приложения на соответствие спискам разрешенных к запуску и обязательных при функционировании системы (в обязательных должны быть указаны все драйверы и приложения СЗИ НСД). При запуске в системе неразрешенного драйвера или приложения, а также при остановке обязательного драйвера или приложения, главный модуль зафиксирует критичную ситуацию и не выдаст очередной тестовый сигнал в аппаратную компоненту, что приведет к аппаратному отключению компьютера. Контроль же объектов (настройки ОС и СЗИ НСД – соответствующие файлы и ключи реестра ОС, необходимых исполняемых файлов и др.) осуществляется соответствующими приложениями СЗИ НСД (активность которых обеспечивается главным модулем). Данные модули СЗИ НСД могут осуществлять собственные программные реакции, например, восстановление файлов и ключей реестра ОС из резервной копии.  Таким образом, видим, что реализация рассмотренных в работе технологий обусловливает реализацию определенных требований к структурной организации СЗИ НСД. К возможным недостаткам рассмотренных технологий можно отнести повышение дополнительных затрат вычислительного ресурса на решение задач защиты информации (заметим, что это общая проблема реализации синхронных (с заданным интервалом времени) проверок, в том числе, контроля целостности файловых объектов). Здесь проблема состоит в том, что, с одной стороны, подобные проверки должны осуществляться с небольшим периодом, иначе в них мало толку, с другой стороны, частые проверки приводят к большим накладным затратам вычислительного ресурса. Компромиссное решение сформулированной проблемы определяется предложением двух типов контроля – контроля событий и контроля целостности объектов. Дело в том, что контроль событий должен производиться часто, но он очень быстр (практически не требует затрат ресурса), в свою очередь, контроль объектов (в зависимости от их числа и объемов) может быть весьма ресурсоемок, но может производиться редко. Поясним свою мысль. Быстрая атака на защищаемые объект может быть осуществлена лишь с использованием дополнительного инструментария – запущенной злоумышленником программы, либо драйвера. Если подобная возможность исключена (в СЗИ НСД средствами контроля событий), то на атаку потребуются десятки секунд, а то и минуты (так как в этом случае атака может проводиться только с консоли). Таким образом, с малым интервалом времени (сотни миллисекунд) требуется осуществлять лишь контроль событий, контроль объектов же при этом может осуществляться с периодом в десятки и сотни секунд. Реализация подобного подхода не будет оказывать сколько-нибудь заметного влияния на эффективность использования вычислительного ресурса (с исследованиями авторов в этой части можно познакомиться в }. Заметим, что в пределе (при обоснованном наборе списка контролируемых событий) контроль целостности объектов может запускаться асинхронно – как реакция на контроль событий (Патент №216994 . В этом случае объект на целостность контролируется уже только в том случае, если обнаружено несанкционированное событие (например, запуск неразрешенного процесса или драйвера), т.к. в противном случае к этому объекту не получить несанкционированного доступа. Отметим, что рассмотренные в статье решения апробированы при создании семейства СЗИ НСД - КСЗИ «Панцирь» (разработка НПП «Информационные технологии в бизнесе»), при этом они, либо уже запатентованы, либо находятся в стадии патентования, поэтому без нарушения авторских прав, рассмотренные в работе технологии не могут быть реализованы в разработках иных производителей. В порядке иллюстрации приведем интерфейсы настройки соответствующих механизмов, реализованные в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003, представлены на рис.4.6 – рис.4.8    В качестве замечания по приведенным интерфейсам отметим, что, процессы можно задавать не только их полнопутевыми именами, но и полнопутевыми именами папок, где расположены их исполняемые файлы, и откуда разрешается запуск процессов. В качестве же реакций здесь предусмотрено следующее: «Завершить» – означает завершить неразрешенный к запуску процесс или драйвер, «Восстановить» – соответственно, перезапустить обязательные процессы или драйверы, «Файл сценария» – предполагает запуск сценария (любой программы, подключаемой администратором безопасности) по факту обнаружения некорректности функционирования.Как отмечали в начале работы, альтернативным решением является контроль корректности функционирования СЗИ НСД, реализуемый с сервера безопасности (удаленно с выделенного компьютера в сети, в том числе, решающего задачи удаленного администрирования СЗИ НСД). Рассмотрим предлагаемую нами технологию контроля активности СЗИ НСД.Следуя структуре СЗИ НСД, представленной на рис.4.5, сервер безопасности должен заменить аппаратную компоненту защиты, а основной его функциональной задачей (в рамках рассматриваемой нами проблемы) становится удаленный контроль активности СЗИ НСД. Соответственно, система защиты в данном случае сетевая, в основу реализации которой положена технология клиент-сервер.Основу удаленного контроля активности СЗИ НСД составляет возможность различать три состояния защищаемого объекта – штатный режим функционирования (защищаемый объект включен по питанию, находится в сети, на нем активна система защиты), режим отключения объекта – объект отключен либо по питанию, либо находится не в сети (например, отсоединен сетевой кабель), опасный режим функционирования (объект включен, находится в сети, но на нем не активна система защиты). Предлагаемое нами решение в части удаленного контроля активности системы защиты с целью различия трех состояний защищаемого объекта состоит в следующем (Патент №216994 . После установления соединения клиентской части системы защиты с сервером безопасности (реализуется по защищенному протоколу (как правило, поверх стека протоколов TCP/IP) с сеансовой авторизацией и шифрованием трафика), сервер безопасности находится в режиме установленного соединения с клиентской частью. При разрыве соединения, сервер безопасности осуществляет попытку установить тестовое соединение с клиентской частью с использованием какого-либо встроенного в состав ОС протокола, либо команды, например, ping, реализуемых на уровне ядра ОС. Если активность рабочей станции подтверждена, то делается вывод о том, что она находится в опасном режиме – включена по питанию, в сети (т.к. отвечает на стандартный запрос), на ней система защиты не активна (т.к. не устанавливается клиент-серверное соединение сетевой системы защиты). Таким образом, с использованием данного решения администратору безопасности предоставляется возможность контроля в реального времени состояния защищаемых объектов, в частности контроля активности СЗИ НСД на защищаемых объектах.В качестве замечания отметим, что данный альтернативный подход позволяет лишь частично решать рассматриваемые в работе задачи защиты СЗИ НСД. Однако будем помнить, что использование аппаратной компоненты – это дополнительные и весьма существенные затраты на безопасность, кроме того, аппаратная компонента не всегда может применяться, например, при защите ноутбуков. В этом случае остается единственный способ контроля – с сервера безопасности.В порядке иллюстрации приведем интерфейс контроля активности СЗИ НСД удаленно с сервера безопасности в сетевой системе защиты КСЗИ «Панцирь» для ОС Windows 2000/XP/2003, представлен на рис.4.9, где отображены возможные варианты отображения состояния защищаемого компьютера - станции: станция выключена (по питанию) или не подключена к сети; станция подключена к сети, но при соединении аутентификация не прошла; станция подключена к сети, но КСЗИ на ней не активна; станция подключена к сети и на ней активна КСЗИ.Станция в состоянии ( обозначается темно-зеленым, в состоянии ( – красно-желтым, в состоянии ( – красным, и в состоянии ( – ярко-зеленым цветом. Данный механизм позволяет определить с сервера безопасности в реальном времени критичные станции (т.е. те станции, которые работают, но на них не активна КСЗИ - состояние ( или станции, не прошедшие аутентификацию при соединении с сервером безопасности - состояние ( ).  При реализации данного способа контроля активности СЗИ НСД, администратору целесообразно предоставить инструментарий, обеспечивающий возможность предотвращения удаленного доступа к защищаемым ресурсам (например, к серверам) с критичных рабочих станций (на которых СЗИ НСД переведена в пассивное состояние, либо удалена). Это может быть реализовано механизмом контроля доступа к сетевым ресурсам (по существу, средством распределенного межсетевого экранирования). В порядке иллюстрации приведем интерфейс настройки механизма управления доступом к сетевым ресурсам в сетевой системе защиты КСЗИ «Панцирь» для ОС Windows 2000/XP/2003, представлен на рис.4.10  Отметим, что здесь, как и во всех механизмах контроля доступа к ресурсам, реализованных в КСЗИ “Панцирь”, основу составляет реализация разрешительной разграничительной политики доступа к ресурса (т.е. реализована индуктивная модель безопасности), в части расширения функциональных возможностей механизма защиты включен процесс, как самостоятельный субъект доступа (по схеме, приведенной в первой части нашей работы). В качестве замечания отметим, что, если в составе СЗИ НСД отсутствует аппаратная компонента, решающая рассмотренные задачи в полном объеме, а защиту СЗИ НСД в общем виде, к механизмам защиты СЗИ НСД выдвигаются дополнительные требования, уже в части собственно ее защиты. Поскольку в этом случае уже нельзя решить рассмотренные задачи защиты в общем виде, то, по крайней мере, должны “закрываться” явные уязмости, позволяющие перевести СЗИ НСД в пассивное состояние. Причиной этих уязвимостей, как отмечали, является то, что ОС не обеспечивает защиту внешних по отношению к ней драйверов и приложений. Примером может служить выполнение уточняющих требований к корректности реализации механизма авторизации (вопросам корректности реализации механизмов защиты была посвящена третья часть работы). Здесь, в частности, следует говорить о необходимости осуществлять средствами СЗИ НСД авторизацию пользователя при доступе к режимам, позволяющим перевести СЗИ НСД (либо отдельные ее компоненты) в пассивное состояние, в том числе к режиму загрузки системы в Safe Mode (в ОС этот режим может быть запущен любым пользователем после его авторизации, а механизмом дополнительной авторизации СЗИ НСД запуск данного режима следует разрешить только администратору безопасности). Читайте далее:  22 - 23 мая 2006 года 25 мая 2006 года 10 - 16 июля 2006 года 1 - 6 августа 2006 года 21 - 31 августа 2006 года 25 - 30 сентября 2006 года 23 - 30 октября 2006 года 13 - 19 ноября 2006 года Я помню, как все начиналось ,часть 8, 8 - 14 января 2007 года 1 - 4 февраля 2007 года 5 - 11 марта 2007 года
|
