На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Метод контроля целостности и активности программных компонент системы защиты программно-аппаратными
средствами

Как отмечалось ранее, при загрузке системы должна контролироваться целостность (неизменность) системы защиты. Только при реализации подобного контроля можно гарантировать, что система защиты потен­циально способна реализовать свои функции корректно и в полном объеме (почему потенциально, объясним в следующем разделе). Также должна контролироваться целостность (неизменность) объектов ОС и системы защиты, включая настройки механизмов защиты, и в процессе
ее функционирования.
В общем случае система защиты, как правило, представляет собою дос­таточно сложный программный комплекс. Этот комплекс состоит из не­скольких программных модулей и содержит в своем составе как драйве­ры, так и прикладные программы (программирование системы защиты реализуется, как на системном, так и на прикладном уровнях).
При этом механизмы контроля целостности, осуществляющие контроль неизменности объектов файловой системы не гарантируют, что соответ­ствующие процессы и драйверы системы защиты запущены. Кроме того, на защищаемом объекте могут находиться дополнительные программ­ные средства, активность которых в процессе функционирования сис­темы должны гарантироваться. Например, может находиться отдельная программа шифрования дисков, либо канала связи, программа антиви­русного контроля. Если на защищаемом компьютере реализуется меж­сетевой экран, то всегда должна быть активна программа межсетевого экранирования и т.д. При этом данные программы могут быть различ­ных производителей, что затрудняет встраивание в каждую из них про­граммной компоненты защиты от перевода в пассивное состояние.
Предлагаемый метод контроля (мониторинга), осуществляемый программ­ной компонентой системы защиты, состоит в комплексировании меха­низма уровневого контроля списков санкционированных событий с ме­ханизмом аппаратного контроля активности программного обеспечения, рассмотренным выше. В качестве санкционированных событий здесь следует рассматривать списки программ (процессов) и драйверов, кото­рые обязательно должны быть запущены в системе, а также контрольные суммы (и другие данные), характеризующие целостность ПО и настроек системы защиты.
Если не запущена какая-либо программа или драйвер из списка, либо
изменены контрольные суммы контролируемых объектов системы защи­ты, то в качестве реакции на данное событие можно рассматривать прекращение подачи парольного кодового слова программной компонентой контроля активности в аппаратную компоненту, что приведет к блоки­рованию функционирования системы в нештатном для нее виде. Если драйверы и приложения должны загружаться при старте системы, то после перезагрузки системы, запускаемой аппаратной компонентой, возможно возвращение системы в исходное (штатное) состояние.
Таким образом, реализуется следующий подход к решению задачи конт­роля целостности. Контроль целостности осуществляется программно, но
активность и корректность контролирующей программы обеспечивается
применением аппаратной компоненты защиты (т.е. контролирующая программа, в свою очередь, контролируется аппаратной компонентой системы защиты).
Иллюстрация реализации механизма уровневого контроля, в части конт­роля целостности и активности программных компонент системы защи­ты, представлена 3.
Механизм удаленного (сетевого) мониторинга активности системы защиты, как альтернатива применению аппаратной компоненте защиты
Очевидно, что наиболее эффективное противодействие переводу системы защиты в пассивное состояние может быть оказано с использованием ап­паратной компоненты защиты, которая обеспечивает мониторинг актив­ности системы защиты и автоматическую реакцию на обнаруженный факт
перевода системы безопасности в пассивное состояние. Однако использо­вание аппаратной компоненты приводит к дополнительному увеличению стоимости системы защиты (дополнительная компонента должна устанав­ливаться на каждый защищаемый объект, соответственно, на наиболее кри­тичные объекты). Рассмотрим, можно ли осуществлять мониторинг актив­ности системы защиты без применения аппаратной компоненты и каковы ограничения на эффективность использования данного подхода.
Как отмечалось ранее осуществлять мониторинг активности одной про­граммы другой программой, установленной на том же компьютере, не
имеет смысла. Остается единственная возможность осуществления мони­торинга без применения аппаратной компоненты защиты -- осуществ­лять его удаленно из сети: с рабочего места (выделенного компьютера) сервера безопасности.
\ Щ При защите компьютеров в составе ЛВС, как правило, используются сетевые системы защиты, в состав которых, помимо клиентской части, устанавлива­емой на защищаемый объект и реализующей собственно механизмы защи­ты, включается серверная часть — выделенный компьютер администратора
безопасности, либо сервер безопасности.
Различаемые состояния защищаемого объекта и их выявление
В задачи сервера безопасности, как удаленного интерфейсного модуля системы защиты, входят: удаленная настройка механизмов защиты, уда­ленная обработка журналов аудита и удаленный контроль действий
пользователя на защищаемом объекте. В соответсвии с рассматриваемым подходом сервер безопасности решает задачу удаленного мониторинга ак­тивности системы защиты.
Основу подобного мониторинга составляет возможность различать три состояния защищаемого объекта:
» штатный режим функционирования: защищаемый объект включен по
питанию, находится в сети, и на нем активна система защиты; » режим отключения объекта: объект отключен либо по питанию, либо
находится не в сети (например, отсоединен сетевой кабель);
» опасный режим функционирования: объект включен, находится в сети, но на нем система защиты переведена в пассивное состояние.
Выявление опасного режима крайне важно, т.к. при этом фиксируется возможность удаленной атаки на сетевые объекты (компьютер не защи­щен).
Очевидно, что при использовании подобной модели контроля активности системы защиты (без применения аппаратной компоненты) должна исполь­зоваться технология хранения и обработки данных на файл-серверах. Соот-
ветственно, данная технология может эффективно использоваться в системах обработки баз данных, например, с использованием СУБД, реализующей централизованное хранение и обработку баз данных на сервере.
Выявление опасного режима функционирования компьютера означает, что на данном компьютере пассивна система защиты. С учетом этого реакци­ей администратора безопасности может служить только противодействие
доступа с этого компьютера к другим защищаемым объектам. Для этого администратор должен воспользоваться настройками системы защиты,
установленной на сервере, и запретить удаленный доступ к ней с незащи­щенной рабочей станции. При этом какие-либо действия с рабочей стан­цией, на которой система защиты переведена в пассивное состояние, ад­министратор безопасности удаленно совершить не может, так как удален соответствующий инструментарий   - клиентская часть системы защиты.
Способ реализации удаленного мониторинга системы защиты
Метод удаленного мониторинга активности системы защиты с целью раз­личия трех состояний защищаемого объекта состоит в следующем. После установления соединения клиентской части системы защиты с сервером
безопасности, сервер безопасности находится в режиме установленного соединения с клиентской частью. Соединение клиентской части с сервер­ной реализуется по защищенному протоколу (как правило, поверх стека
протоколов TCP/IP) с сеансовой авторизацией и шифрованием трафика.
При разрыве соединения сервер безопасности осуществляет попытку установить тестовое соединение с клиентской частью с использованием какого-либо открытого протокола или команды, например, ping, реали­зуемых на уровне ядра ОС. Если активность рабочей станции подтверж­дена, то делается вывод, что она находится в опасном режиме — вклю­чена по питанию, в сети (т.к. отвечает на стандартный запрос), но на
ней отсутсвует система защиты (т.к. не устанавливается клиент-сервер­ное соединение системы защиты).
Зафиксировав данный режим функционирования рабочей станции, ад­министратор безопасности с сервера безопасности средствами удаленной
настройки механизмов защиты клиентской части может осуществить ло­гическое отключение серверов от опасной рабочей станции. Для опера­тивности реакции данная процедура может быть частично либо полнос­тью автоматизирована.
Функциональная схема системы удаленного мониторинга активности системы
Пример реализации схемы удаленного мониторинга активности системы защиты [26], использованной автором в КСЗИ «Панцирь», приведен 4. Пример реализации системы-менджера защиты информации, ус­танавливаемой на выделенный сервер безопасности, приведен 5.
353
Часть VI. Применение средств аппаратной защиты
На схемах, приведенных 4 и 5, использованы следую­щие обозначения:
• система-менджер защиты информации, устанавливаемая на выделен­ный сервер безопасности -- 1;
» М систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на рабочие станции — 2;
• N систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на информационные серверы — 2 (си­стемы-агенты рабочих станций и информационных серверов в общем
случае идентичны, могут отличаться лишь настройкой параметров -
содержимым баз данных безопасности, в зависимости от реализуемой политики информационной безопасности);
• блок открытого интерфейса сетевого взаимодействия низкого уровня - 3;
« блок открытого интерфейса сетевого взаимодействия высокого уров­ня — 17;
» связной ресурс — 4;
• блок администрирования системы защиты — 11;
» блок закрытого интерфейса сетевого взаимодействия высокого уров­ня -- 12;
блок разграничения и контроля прав доступа -- 13;
» блок идентификации и аутентификации -- 14;
» блок контроля целостности программ и 15;
« блок криптографической защиты -- 16.
В системе менеджер-защиты информации, устанавливаемой на выделен­ный сервер безопасности 1,использованы следующие обозначения:
» вход/выход администрирования 5 распределенной системы защиты; » вход/выход анализа активности рабочих станций и информационных
серверов 18.
В N системах-агентах защиты информации, устанавливаемых на инфор­мационные серверы 2, использованы следующие обозначения:
» вход/выход подключения распределенной системы защиты 6 к связ­ному ресурсу;
» вход/выход разграничения и контроля прав доступа 7;
» вход/выход идентификации и аутентификации пользователя 8;
вход/выход контроля целостности программ и данных 9;
» вход/выход криптографической защиты 10.
Работает схема следующим образом. Со входа 5 администратор безопас­ности в соответствии с реализуемой политикой безопасности настраива­ет параметры блоков 13, 14, 15, 16, реализующих известные механизмы
защиты информации, собственно системы-менеджера защиты информа-
ции, устанавливаемой на выделенный сервер безопасности 1, а через блоки 12, 3, посредством связного ресурса 4 настраивает параметры бло­ков 13, 14, 15, 16 всех систем-агентов защиты информации, устанав­ливаемых на рабочие станции 2; и всех N систем-агентов защиты инфор­мации, устанавливаемых на информационные серверы 2.
Со входов 7, 8, 9, 10 системы защиты 1 и 2 реализуют принципы локаль­ной защиты сервера безопасности, рабочих станций и информационных
серверов. Адаптивно к обнаруженным попыткам несанкционированного
доступа к информации на отдельных рабочих станциях и информацион­ных серверах администратор безопасности со входа 5 системы защиты 1 имеет возможность осуществить перенастройку параметров отдельных блоков (13, 14, 15, 16) отдельных систем защиты 2, чем достигается про­тиводействие угрозам (причем изменяющимся во времени) информаци­онной безопасности вычислительной системе или сети.
В случае, если блоком 19 системы-менеджера 1 фиксируется невозмож­ность взаимодействия менеджера с каким-либо агентом (рабочей станци­ей, либо информационным сервером) с использованием закрытого прото­кола распределенной системы защиты, данный блок запускает команду
обращения менеджера системы защиты к рассматриваемому агенту с ис­пользованием открытого сетевого протокола высокого уровня — запуска­ется взаимодействие через блок 19 (например, запускается команда Ping). Отметим, что блок 19 входит в состав ядра операционной системы.
Если блок 19 агента, к которому осуществляется обращение, отвечает, это означает, что на тестируемой рабочей станции отсутствует агент си­стемы защиты, в противном случае — рабочая станция 19 отключена от питания либо от сети.
Примечание
Без блока 19, реализующего открытый интерфейс сетевого взаимодействия высокого уровня, для данной рабочей станции невозможно взаимодействие с другими рабочими станциями и информационными серверами, т.е. забло­кирован доступ к информационным серверам.
Таким образом, обеспечивается возможность разделения двух событий — со­бытие «рабочая станция отключена» и событие «на рабочей станции удален
агент системы защиты». Дальнейшие действия администратора безопаснос­ти должны быть определены политикой информационной безопасности
предприятия. В частности, в случае обнаружения факта удаления агента системы защиты на рабочей станции (фиксируется попытка несанкциони­рованного доступа к информации), администратору безопасности через вход 5 системы 1 целесообразно изменить параметры блока 13 информационных серверов (систем 2), в части запрета доступа к ним с рабочей станции, на которой зафиксирована попытка несанкционированного доступа. Затем уже могут быть приняты соответствующие организационные мероприятия по восстановлению агента системы защиты и поиска злоумышленника.
Выводы по использованию метода удаленного мониторинга:
Итак, в рамках изложенного выше можно сделать следующие выводы:
1. В качестве альтернативы использования аппаратной компоненты для реализации контроля (мониторинга) активности системы защи­ты может использоваться метод сетевого контроля. При этом не требуется установка аппартной компоненты, а контроль осуществ­ляется с сервера безопасности.
2. Условиями возможного использования сетевого метода контроля являются:
• централизованный характер обработки и хранения данных в ЛВС (файл-серверы, технологии, использующие СУБД и т.д.) — защи­щаемые данные не хранятся и не обрабатываются на рабочих
станциях в составе ЛВС;
• возможность удаленного разграничения доступа к серверам (уста­новленными на них механизмами управления доступом), обраба­тывающим и хранящим защищаемые данные, для администрато­ра безопасности. Эта возможность должна быть реализована для осуществления реакции на обнаружение удаления системы защи­ты на рабочей станции, которая при этом становится незащи­щенным инструментарием несанкционированного доступа по сети к защищаемым данным.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика