Метод контроля целостности и активности программных компонент системы защиты программно-аппаратными
средствами
Как отмечалось ранее, при загрузке системы должна контролироваться целостность (неизменность) системы защиты. Только при реализации подобного контроля можно гарантировать, что система защиты потенциально способна реализовать свои функции корректно и в полном объеме (почему потенциально, объясним в следующем разделе). Также должна контролироваться целостность (неизменность) объектов ОС и системы защиты, включая настройки механизмов защиты, и в процессе
ее функционирования.
В общем случае система защиты, как правило, представляет собою достаточно сложный программный комплекс. Этот комплекс состоит из нескольких программных модулей и содержит в своем составе как драйверы, так и прикладные программы (программирование системы защиты реализуется, как на системном, так и на прикладном уровнях).
При этом механизмы контроля целостности, осуществляющие контроль неизменности объектов файловой системы не гарантируют, что соответствующие процессы и драйверы системы защиты запущены. Кроме того, на защищаемом объекте могут находиться дополнительные программные средства, активность которых в процессе функционирования системы должны гарантироваться. Например, может находиться отдельная программа шифрования дисков, либо канала связи, программа антивирусного контроля. Если на защищаемом компьютере реализуется межсетевой экран, то всегда должна быть активна программа межсетевого экранирования и т.д. При этом данные программы могут быть различных производителей, что затрудняет встраивание в каждую из них программной компоненты защиты от перевода в пассивное состояние.
Предлагаемый метод контроля (мониторинга), осуществляемый программной компонентой системы защиты, состоит в комплексировании механизма уровневого контроля списков санкционированных событий с механизмом аппаратного контроля активности программного обеспечения, рассмотренным выше. В качестве санкционированных событий здесь следует рассматривать списки программ (процессов) и драйверов, которые обязательно должны быть запущены в системе, а также контрольные суммы (и другие данные), характеризующие целостность ПО и настроек системы защиты.
Если не запущена какая-либо программа или драйвер из списка, либо
изменены контрольные суммы контролируемых объектов системы защиты, то в качестве реакции на данное событие можно рассматривать прекращение подачи парольного кодового слова программной компонентой контроля активности в аппаратную компоненту, что приведет к блокированию функционирования системы в нештатном для нее виде. Если драйверы и приложения должны загружаться при старте системы, то после перезагрузки системы, запускаемой аппаратной компонентой, возможно возвращение системы в исходное (штатное) состояние.
Таким образом, реализуется следующий подход к решению задачи контроля целостности. Контроль целостности осуществляется программно, но
активность и корректность контролирующей программы обеспечивается
применением аппаратной компоненты защиты (т.е. контролирующая программа, в свою очередь, контролируется аппаратной компонентой системы защиты).
Иллюстрация реализации механизма уровневого контроля, в части контроля целостности и активности программных компонент системы защиты, представлена 3.
Механизм удаленного (сетевого) мониторинга активности системы защиты, как альтернатива применению аппаратной компоненте защиты
Очевидно, что наиболее эффективное противодействие переводу системы защиты в пассивное состояние может быть оказано с использованием аппаратной компоненты защиты, которая обеспечивает мониторинг активности системы защиты и автоматическую реакцию на обнаруженный факт
перевода системы безопасности в пассивное состояние. Однако использование аппаратной компоненты приводит к дополнительному увеличению стоимости системы защиты (дополнительная компонента должна устанавливаться на каждый защищаемый объект, соответственно, на наиболее критичные объекты). Рассмотрим, можно ли осуществлять мониторинг активности системы защиты без применения аппаратной компоненты и каковы ограничения на эффективность использования данного подхода.
Как отмечалось ранее осуществлять мониторинг активности одной программы другой программой, установленной на том же компьютере, не
имеет смысла. Остается единственная возможность осуществления мониторинга без применения аппаратной компоненты защиты -- осуществлять его удаленно из сети: с рабочего места (выделенного компьютера) сервера безопасности.
\ Щ При защите компьютеров в составе ЛВС, как правило, используются сетевые системы защиты, в состав которых, помимо клиентской части, устанавливаемой на защищаемый объект и реализующей собственно механизмы защиты, включается серверная часть — выделенный компьютер администратора
безопасности, либо сервер безопасности.
Различаемые состояния защищаемого объекта и их выявление
В задачи сервера безопасности, как удаленного интерфейсного модуля системы защиты, входят: удаленная настройка механизмов защиты, удаленная обработка журналов аудита и удаленный контроль действий
пользователя на защищаемом объекте. В соответсвии с рассматриваемым подходом сервер безопасности решает задачу удаленного мониторинга активности системы защиты.
Основу подобного мониторинга составляет возможность различать три состояния защищаемого объекта:
» штатный режим функционирования: защищаемый объект включен по
питанию, находится в сети, и на нем активна система защиты; » режим отключения объекта: объект отключен либо по питанию, либо
находится не в сети (например, отсоединен сетевой кабель);
» опасный режим функционирования: объект включен, находится в сети, но на нем система защиты переведена в пассивное состояние.
Выявление опасного режима крайне важно, т.к. при этом фиксируется возможность удаленной атаки на сетевые объекты (компьютер не защищен).
Очевидно, что при использовании подобной модели контроля активности системы защиты (без применения аппаратной компоненты) должна использоваться технология хранения и обработки данных на файл-серверах. Соот-
ветственно, данная технология может эффективно использоваться в системах обработки баз данных, например, с использованием СУБД, реализующей централизованное хранение и обработку баз данных на сервере.
Выявление опасного режима функционирования компьютера означает, что на данном компьютере пассивна система защиты. С учетом этого реакцией администратора безопасности может служить только противодействие
доступа с этого компьютера к другим защищаемым объектам. Для этого администратор должен воспользоваться настройками системы защиты,
установленной на сервере, и запретить удаленный доступ к ней с незащищенной рабочей станции. При этом какие-либо действия с рабочей станцией, на которой система защиты переведена в пассивное состояние, администратор безопасности удаленно совершить не может, так как удален соответствующий инструментарий - клиентская часть системы защиты.
Способ реализации удаленного мониторинга системы защиты
Метод удаленного мониторинга активности системы защиты с целью различия трех состояний защищаемого объекта состоит в следующем. После установления соединения клиентской части системы защиты с сервером
безопасности, сервер безопасности находится в режиме установленного соединения с клиентской частью. Соединение клиентской части с серверной реализуется по защищенному протоколу (как правило, поверх стека
протоколов TCP/IP) с сеансовой авторизацией и шифрованием трафика.
При разрыве соединения сервер безопасности осуществляет попытку установить тестовое соединение с клиентской частью с использованием какого-либо открытого протокола или команды, например, ping, реализуемых на уровне ядра ОС. Если активность рабочей станции подтверждена, то делается вывод, что она находится в опасном режиме — включена по питанию, в сети (т.к. отвечает на стандартный запрос), но на
ней отсутсвует система защиты (т.к. не устанавливается клиент-серверное соединение системы защиты).
Зафиксировав данный режим функционирования рабочей станции, администратор безопасности с сервера безопасности средствами удаленной
настройки механизмов защиты клиентской части может осуществить логическое отключение серверов от опасной рабочей станции. Для оперативности реакции данная процедура может быть частично либо полностью автоматизирована.
Функциональная схема системы удаленного мониторинга активности системы
Пример реализации схемы удаленного мониторинга активности системы защиты [26], использованной автором в КСЗИ «Панцирь», приведен 4. Пример реализации системы-менджера защиты информации, устанавливаемой на выделенный сервер безопасности, приведен 5.
353
Часть VI. Применение средств аппаратной защиты
На схемах, приведенных 4 и 5, использованы следующие обозначения:
• система-менджер защиты информации, устанавливаемая на выделенный сервер безопасности -- 1;
» М систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на рабочие станции — 2;
• N систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на информационные серверы — 2 (системы-агенты рабочих станций и информационных серверов в общем
случае идентичны, могут отличаться лишь настройкой параметров -
содержимым баз данных безопасности, в зависимости от реализуемой политики информационной безопасности);
• блок открытого интерфейса сетевого взаимодействия низкого уровня - 3;
« блок открытого интерфейса сетевого взаимодействия высокого уровня — 17;
» связной ресурс — 4;
• блок администрирования системы защиты — 11;
» блок закрытого интерфейса сетевого взаимодействия высокого уровня -- 12;
блок разграничения и контроля прав доступа -- 13;
» блок идентификации и аутентификации -- 14;
» блок контроля целостности программ и 15;
« блок криптографической защиты -- 16.
В системе менеджер-защиты информации, устанавливаемой на выделенный сервер безопасности 1,использованы следующие обозначения:
» вход/выход администрирования 5 распределенной системы защиты; » вход/выход анализа активности рабочих станций и информационных
серверов 18.
В N системах-агентах защиты информации, устанавливаемых на информационные серверы 2, использованы следующие обозначения:
» вход/выход подключения распределенной системы защиты 6 к связному ресурсу;
» вход/выход разграничения и контроля прав доступа 7;
» вход/выход идентификации и аутентификации пользователя 8;
вход/выход контроля целостности программ и данных 9;
» вход/выход криптографической защиты 10.
Работает схема следующим образом. Со входа 5 администратор безопасности в соответствии с реализуемой политикой безопасности настраивает параметры блоков 13, 14, 15, 16, реализующих известные механизмы
защиты информации, собственно системы-менеджера защиты информа-
ции, устанавливаемой на выделенный сервер безопасности 1, а через блоки 12, 3, посредством связного ресурса 4 настраивает параметры блоков 13, 14, 15, 16 всех систем-агентов защиты информации, устанавливаемых на рабочие станции 2; и всех N систем-агентов защиты информации, устанавливаемых на информационные серверы 2.
Со входов 7, 8, 9, 10 системы защиты 1 и 2 реализуют принципы локальной защиты сервера безопасности, рабочих станций и информационных
серверов. Адаптивно к обнаруженным попыткам несанкционированного
доступа к информации на отдельных рабочих станциях и информационных серверах администратор безопасности со входа 5 системы защиты 1 имеет возможность осуществить перенастройку параметров отдельных блоков (13, 14, 15, 16) отдельных систем защиты 2, чем достигается противодействие угрозам (причем изменяющимся во времени) информационной безопасности вычислительной системе или сети.
В случае, если блоком 19 системы-менеджера 1 фиксируется невозможность взаимодействия менеджера с каким-либо агентом (рабочей станцией, либо информационным сервером) с использованием закрытого протокола распределенной системы защиты, данный блок запускает команду
обращения менеджера системы защиты к рассматриваемому агенту с использованием открытого сетевого протокола высокого уровня — запускается взаимодействие через блок 19 (например, запускается команда Ping). Отметим, что блок 19 входит в состав ядра операционной системы.
Если блок 19 агента, к которому осуществляется обращение, отвечает, это означает, что на тестируемой рабочей станции отсутствует агент системы защиты, в противном случае — рабочая станция 19 отключена от питания либо от сети.
Примечание
Без блока 19, реализующего открытый интерфейс сетевого взаимодействия высокого уровня, для данной рабочей станции невозможно взаимодействие с другими рабочими станциями и информационными серверами, т.е. заблокирован доступ к информационным серверам.
Таким образом, обеспечивается возможность разделения двух событий — событие «рабочая станция отключена» и событие «на рабочей станции удален
агент системы защиты». Дальнейшие действия администратора безопасности должны быть определены политикой информационной безопасности
предприятия. В частности, в случае обнаружения факта удаления агента системы защиты на рабочей станции (фиксируется попытка несанкционированного доступа к информации), администратору безопасности через вход 5 системы 1 целесообразно изменить параметры блока 13 информационных серверов (систем 2), в части запрета доступа к ним с рабочей станции, на которой зафиксирована попытка несанкционированного доступа. Затем уже могут быть приняты соответствующие организационные мероприятия по восстановлению агента системы защиты и поиска злоумышленника.
Выводы по использованию метода удаленного мониторинга:
Итак, в рамках изложенного выше можно сделать следующие выводы:
1. В качестве альтернативы использования аппаратной компоненты для реализации контроля (мониторинга) активности системы защиты может использоваться метод сетевого контроля. При этом не требуется установка аппартной компоненты, а контроль осуществляется с сервера безопасности.
2. Условиями возможного использования сетевого метода контроля являются:
• централизованный характер обработки и хранения данных в ЛВС (файл-серверы, технологии, использующие СУБД и т.д.) — защищаемые данные не хранятся и не обрабатываются на рабочих
станциях в составе ЛВС;
• возможность удаленного разграничения доступа к серверам (установленными на них механизмами управления доступом), обрабатывающим и хранящим защищаемые данные, для администратора безопасности. Эта возможность должна быть реализована для осуществления реакции на обнаружение удаления системы защиты на рабочей станции, которая при этом становится незащищенным инструментарием несанкционированного доступа по сети к защищаемым данным.