23.12.2003

Безопасность корпоративной сети: защита изнутри

Intelligent Enterprise, №24/2003, Алексей Афанасьев

Благодаря тому, что вся история построения безопасной информационной системы связана либо с укреплением защиты по периметру, либо с организационными и физическими мерами защиты, сегодня редко можно увидеть корпоративную сеть, которая устойчива к взлому и атакам изнутри.

Сегодня уже никто не может представить сколь угодно серьезную организацию без рабочих мест, оснащенных компьютерами, подключенными к общей корпоративной сети. Как правило, корпоративная сеть подключается к общедоступным сетям, обычно к Интернету. Поскольку большая часть жизненно важной информации компании, включая и конфиденциальную, находится в корпоративной сети, то возникает серьезный вопрос, кто может получить доступ к этой информации.

Усиление безопасности корпоративной сети: смена акцентов

Безопасность сегодня является «модным» словом. Если рассмотреть решение проблемы защиты доступа к ресурсам корпоративной сети в развитии, то можно отметить существенные изменения за последнее десятилетие. В конце 80-х больше всего беспокоили физические уязвимости системы, угрозы физического доступа посторонних лиц к системе. Поэтому решения в основном касались организационных мер. К середине 90-х акценты сместились, сильное влияние оказали подключение корпоративной сети к Интернету и построение распределенных сетей — подключение к головной корпоративной сети филиалов компании, а также опасность, связанная с компьютерными вирусами. Компьютерная безопасность корпоративной сети в этот период перестала определяться только корректностью должностных инструкций и «стойкостью двери» в комнате с серверами и в основном перешла в ведение ИТ-персонала компании. Схема решений данных задач в большинстве случаев заключалась в поиске и обнаружении уязвимостей системы, а затем в устранении найденных «дыр». Поэтому большое значение приобрели различные сетевые сканеры и сканеры безопасности, системы аудита событий и его последующего анализа. Компании в максимальной степени защищали периметр своей сети от постороннего доступа случайных лиц, реальных хакеров и компьютерных вирусов, которые проникали в сеть вместе с корпоративной почтой или из Интернета. С конца 90-х решения в области информационной безопасности от поиска и устранения «дыр» в системе безопасности переходят в сферу управления рисками. Для каждой информационной системы производится анализ уязвимостей и рисков, при этом усиливается активный сетевой контроль и ведется постоянное расследование различных инцидентов. Именно на таких подходах базируются современные системы сетевой безопасности.

Управление рисками как фактор оценки решений

Решая проблему безопасности корпоративной сети, специалист, отвечающий за выбор того или иного решения, как правило, должен отыскать «золотую середину» как минимум в трех показателях информационной системы в целом. Этими показателями, или характеристиками информационной системы являются стоимость владения, производительность, безопасность. Причем все эти параметры взаимосвязаны. При повышении безопасности системы и снижении рисков стоимость системы в целом возрастает, а производительность, как правило, снижается. Другими конфликтующими параметрами информационной системы являются открытость и удобство, с одной стороны, и защищенность и надежность — с другой. Безусловно, удовлетворить все требования невозможно — при построении или модернизации информационной системы важно найти приемлемый компромисс. Таким образом, построение безопасной современной информационной системы — это управление возникающими вследствие определенных компромиссов рисками.

Управление рисками стоит рассматривать в контексте жизненного цикла корпоративной сети или информационной системы в целом. Именно такой подход даст возможность перейти от «латания дыр» и поиска выхода из чрезвычайных ситуаций к действенному контролю и управлению безопасностью системы. При построении системы стоит задуматься над вопросами доступа к системе. Насколько те или иные бизнес-операции и данные критичны? Какие системы и пользователи должны получать доступ к тем или иным ресурсам компании? Что является наиболее критичными объектами системы? Еще на этапе планирования системы стоит разработать политики безопасности, определить порядок работ (какие продукты, как, кем и в каком порядке будут внедряться), описать планируемый анализ инцидентов. На этапе внедрения системы средствами управления и администрирования выстроить спланированную систему политик безопасности, установить доступные на текущий момент пакеты обновления и дополнения ко всем применяемым решениям и продуктам в системе, настроить сетевой аудит. В ходе эксплуатации системы необходимы постоянный мониторинг и расследование инцидентов, анализ собранного аудита. На основе этих данных можно будет корректировать политики безопасности, конфигурировать уже внедренные и добавлять новые сетевые решения. На этом шаге мы снова переходим к этапу планирования, но уже не системы в целом, а ее доработок и совершенствования.

Построение безопасной информационной системы на основе управления рисками невозможно без изучения опыта и статистических данных, полученных при эксплуатации уже существующих информационных систем. Если рассмотреть распределение потерь в корпоративной сети по их источникам, то для современных систем будет характерно превалирование потерь, связанных с внутренними источниками и человеческим фактором. Так, по данным Computer Security Institute, реальные потери из-за компьютерных вирусов составляют всего лишь 4% от всех понесенных организациями потерь вследствие проблем с безопасностью информационной системы. Из-за проблем, связанных с физической защитой, включая электропитание, теряются 20%, а из-за внешних нападений (в том числе хакерских атак) — всего 2%. При этом потери вследствие ошибок персонала — 55%, и потери от злоумышленных действий нечестных и обиженных сотрудников — 19%. Анализируя эту статистику, можно говорить о том, что главная «дыра» — беззащитность корпоративной сети изнутри. Действительно, благодаря тому, что вся история построения безопасной информационной системы связана либо с укреплением защиты по периметру, либо с организационными и физическими мерами защиты, сегодня редко можно увидеть корпоративную сеть, которая устойчива к взлому и атакам изнутри. Конечно, не стоит думать, что сегодня не нужна физическая охрана или защита по периметру, но эти меры бессильны против внутренних угроз и действий самих сотрудников. Важно отметить, что под атаками и взломом системы изнутри понимаются не столько действия злоумышленников, подключившихся непосредственно к корпоративной сети и при этом являющихся профессионалами в компьютерных атаках. Скорее всего, их как раз немного. Гораздо чаще встречаются случаи, когда обычные сотрудники компании желают получить больший доступ к сетевым ресурсам, воспользоваться заблокированными или неразрешенными программами, или просто по незнанию, или вопреки корпоративным инструкциям проинсталлировать дополнительное программное обеспечение, «поработать» с данными своего коллеги. Такая атака на корпоративную сеть возникает внезапно, без видимых предпосылок и сравнима лишь с партизанской войной, где нет линии фронта. Именно таких атак и боится как огня любой сотрудник ИТ-безопасности. Причина кроется в сложности и многофункциональности (одно и то же действие можно выполнить различными способами) современных операционных систем, а также в трудности предоставить только те возможности пользователям, какие им действительно нужны.

«Слабое звено»: доступ пользователя к информационной системе по паролю.

Надежность информационной системы в целом не может быть выше надежности самого слабого звена. Именно это слабое звено может свести на нет все усилия по укреплению безопасности всей системы. Если рассматривать изменения в способах защиты корпоративной сети за последние 10 лет, то можно с уверенностью сказать, что поменялось практически все, кроме одного, — для доступа к сети пользователь должен набрать на клавиатуре «нечто», после чего он получит доступ ко всей своей информации. Пароль и имя пользователя, как правило, являются этим «нечто», а в некоторых компаниях до сих пор можно встретить пустой пароль даже для пользователей-администраторов и менеджеров высшего звена. Сегодня в большинстве средних и крупных компаний от простого секретаря до члена совета директоров для входа в сеть все набирают имя и пароль, хотя при этом владеют отличным друг от друга уровнем полномочий и власти.

На сегодняшний день однофакторная аутентификация, основанная на простом пароле, является основной уязвимостью многих корпоративных сетей и приложений, и информационной системы в целом. Кратко перечислим основные причины, по которым пароль в современной корпоративной системе неприемлем для хоть сколько-нибудь серьезного уровня защиты.

10 основных вопросов безопасности

По данным компании Gartner, средства защиты информации в 2003 году, как и в предыдущем, были самой главной заботой ИТ-менеджеров компаний. Еще в 2001 году информационная безопасность занимала лишь вторую позицию в приоритетах ИТ-отделов организаций, уступая инфраструктуре электронного бизнеса. В прошлом году вторыми по степени важности для ИТ-менеджеров были средства создания и управления содержанием Web-сайтов, а третью строчку занимала интеграция приложений, которая в текущем году вышла на вторую позицию. По прогнозам компании Gartner, на период до 2006 года средства защиты информации по-прежнему будут составлять для ИТ-отделов организаций приоритет за номером один.

В области безопасности компания Gartner выделила 10 основных вопросов, которые были актуальны в мире ИТ в 2003 году:

  • безопасность Web-услуг;
  • безопасность беспроводных сетей;
  • управление идентификацией;
  • платформы безопасности и системы предотвращения вторжения;
  • взаимосвязь событий, относящихся к вопросам безопасности на управляющих консолях администраторов;
  • антивирусная безопасность, особенно в связи с аналогами Code Red/Nimba;
  • безопасность обмена мгновенными сообщениями;
  • безопасность инфраструктуры;
  • защита интеллектуальной собственности;
  • отслеживание надежности транзакций.

По результатам опроса, проведенного в конце 2002 года, Gartner составила определенную картину планирования компаниями приобретения или увеличения расходов на те или иные продукты и услуги, связанные с безопасностью. Более 50% компаний планируют увеличить расходы на антивирусные программы, управление доступом, системы предотвращения вторжения и VPN (см. диаграмму).

Во-первых, зачастую пароль придумывает сам пользователь, и, как правило, это простые слова, телефоны, дни рождения и т. п. — информация, которую довольно просто подобрать злоумышленнику при помощи словаря. Конечно, можно наложить определенные политики на ввод пароля, например, минимально ограничить его длину, срок использования или даже повторяемость, но не все системы обладают такими настройками. Кроме того, подобные действия приводят к тому, что пользователь, не желая запоминать часто меняющийся пароль, записывает его на кусочек бумаги и прикрепляет

Построение безопасной современной информационной системы — это управление возникающими вследствие определенных компромиссов рисками его на рабочем месте, и тогда установление любых парольных политик, естественно, теряет смысл.

Допустим, все пользователи применяют сложные пароли, но тогда высока вероятность того, что пользователь забудет пароль. Как отмечает Gartner Research, 25% всех звонков в службу поддержки компаний-производителей поступают по причине забытых паролей. Для средней или крупной компании стоимость ответа на такие звонки — это довольно ощутимые временные и денежные потери, причем решение в большинстве случаев — простой сброс пароля на пустой или по умолчанию, после которого пользователь со своего рабочего места входит в систему и сразу же задает новый пароль. Если оценивать эту процедуру с точки зрения безопасности, то она не выдерживает никакой критики. Это просто дыра в большом заборе, которой успешно пользуются злоумышленники. Злоумышленнику не надо даже ничего знать о системе и ее безопасности, стоит просто позвонить в службу техподдержки и прикинуться тем или иным сотрудником; дальнейшее зависит только от способностей злоумышленника.

Снижение влияния человеческого фактора при аутентификации

Все указанные проблемы аутентификации пользователя по паролю базируются на так называемом человеческом факторе. Для того чтобы избежать описанных выше проблем, необходимо использовать многофакторную аутентификацию, которая базируется не только на том, что пользователь знает — пароле, но и на том, что он имеет — смарт-карта или токен, или на том, чем он обладает — от отпечатка пальца и тембра голоса до структуры ДНК. Таким образом, наиболее просто значительно повысить стойкость системы аутентификации пользователя — перейти от однофакторной аутентификации к двухфакторной, например, на основе смарт-карты и PIN-кода (по сути пароля для смарт-карты).

Специалист по проектированию информационной системы безопасности компании сегодня стоит перед выбором, что использовать в качестве второго фактора — смарт-карты, электронные ключи, токены или биометрию. Сегодня большинство систем поддерживает либо биометрию, либо смарт-карты и токены. Принципиальная разница устройств биометрии от смарт-карт и токенов заключается в том, что биометрия лишь с заданной вероятностью, всегда отличной от 100%, определяет пользователя, что предполагает как ложные срабатывания на «чужака», так и возможность отказа в доступе реальному владельцу. Большинство современных систем построено на архитектуре открытых ключей (PKI) и предполагает наличие у пользователя защищенного хранилища для личных ключей — смарт-карты или токена, а универсальных систем, работающих и с тем и с другим, считанные единицы.

Кроме того, стоит учесть, что закупочная стоимость серьезного решения на основе биометрии в разы превышает решения на смарт-картах или токенах, сопоставимые по стойкости к взлому. Так, например, стоимость только аппаратной части в расчете на одно рабочее место для считывателя отпечатков пальцев составляет около 100—140 долларов США, комплект из смарт-карты и считывателя к ней — 50—70 долларов, а для USB-токена — 40—50 долларов. Исходя из этих цен становится понятно, что, усиливая безопасность корпоративной сети, вряд ли стоит начинать с внедрения биометрии. Возможно, в будущем биометрия займет большее место в решениях систем безопасности и без ее применения не будет обходиться ни одна система. Однако сегодня ее применение — скорее дополнение к чему-то, нежели отдельная или главная роль.

Все решения для управления аутентификацией пользователей можно разделить на три группы:

  • системы управления паролями (password management product, РМР);
  • решения, реализующие единый доступ (single sign-on, SSO);
  • инфраструктура управления аутентификацией (authentication management infrastructure, AMI).

Системы управления паролями

Системы управления паролями (РМР) сохраняют пароль в защищенном хранилище, например, смарт-карте или токене. Для передачи такого пароля системе пользователь должен подключить защищенное хранилище к компьютеру и ввести PIN-код, разрешающий взаимодействие системы с хранилищем. Решения по управлению паролями, как правило, реализуют следующий набор функций:

  • автоматическая синхронизация пароля (если пароль меняется в одной из систем, то он синхронизируется с другими системами);
  • сервис сброса пароля (разрешает пользователю сбросить и автоматически назначить новые пароли для всех систем);
  • сервис административного сброса пароля (разрешает администратору системы или офицеру безопасности сбросить и автоматически назначить новые пароли для всех систем).

Решения по управлению паролями помогают пользователю при смене и назначении новых паролей, а также существенно упрощают систему синхронизации пароля. Пользователь такой системы должен знать только PIN-код — пароль для доступа к своему защищенному хранилищу, и иметь само хранилище. Реальные пароли, находящиеся в самом хранилище и используемые в процедурах сетевой аутентификации, пользователь не знает. Реальный пароль или пароли могут генерироваться случайным образом и быть достаточно большой длины — пользователю их помнить все равно не придется, а злоумышленнику бессмысленно использовать атаку по словарю. Повышение удобства в работе пользователя налицо — нет необходимости помнить множество паролей и имен входа, необходимо иметь ключ или смарт-карту и помнить PIN-код. При таком решении пользователь уже не может сказать свой пароль коллеге, а на ключ как материальный объект проще наложить организационные меры, например, получать и сдавать под роспись. В такой ключ или смарт-карту может быть встроен и проксимити-чип (бесконтактная смарт-карта) и на его основе построен доступ в само помещение.

Дополнительным плюсом таких решений является относительная простота их внедрения. Как правило, все решение базируется на клиенте и станции администратора и практически не затрагивает сервер — не требует постоянно запущенных на сервере модулей. В большинстве случаев данные решения не требуют внедрения инфраструктуры открытых ключей (PKI), что, с одной стороны, сокращает время и снижает стоимость внедрения, но с другой — не ведет к значительному усилению безопасности, так как не меняет коренным образом процедуры аутентификации, базируясь на уже принятых процедурах и стандартах, расширяя и дополняя их.

Сегодня существует большое количество решений, построенных на принципах, описанных выше. Большинство таких решений встраивается в существующие процедуры аутентификации или базируется на возможностях расширения этих процедур.

При выборе системы управления паролями стоит обратить внимание, не даст ли встраиваемая система дополнительных уязвимостей в существующей защите. Встраиваемая система не должна менять что-либо в ядре операционной системы — хотя некоторые системы и меняют Microsoft GINA и некоторые системные библиотеки DLL; строго говоря, такое встраивание нельзя назвать надежным. Так как Microsoft препятствует подобному подходу, при установке обновлений к операционной системе и пакетов обновлений могут возникать серьезные проблемы. Стоит обратить внимание на используемые модули для шифрования хэш-функций. Устанавливаемая система должна использовать встроенные решения криптосервиспровайдеров (CSP) или добавлять свои. Важно также отметить, что встраиваемая система должна быть проверена на отсутствие конфликтов и устойчивую работоспособность с текущими механизмами защиты, например, межсетевыми экранами. Примеры решений приведены в табл. 1.

Решения, реализующие единый доступ

Описанные выше системы дают возможность управлять паролями для одного или двух-трех приложений через встраивание к соответствующим клиентам. Именно в этом подходе и кроется существенный недостаток таких систем — отсутствие интеграции со всем спектром используемых решений и их клиентов. Как правило, эти системы не интегрируются в информационную систему всего предприятия и не могут быть выбраны средней или крупной компанией как единственное решение. А стоимость внедрения, поддержки и сопровождения нескольких решений одновременно ставит под сомнение перспективность такого подхода в целом.

Решения, реализующие единый доступ (single sign-on, SSO), лишены описанных выше недостатков. В таких решениях пользователь, прошедший процедуру аутентификации, получает доступ ко всем возможным для него приложениям и сетевым ресурсам. Пока пользователь не покинет систему, ему нет необходимости повторять процедуру аутентификации в каком-либо приложении. Решения SSO повышают удобство работы пользователя в корпоративной гетерогенной среде. Пользователь просто не замечает прохождение процедур аутентификации, и вся среда становится более дружественной. Главным недостатком SSO-peшений является то, что все системы и решения должны доверять одному сервису аутентификации.

Решения, реализующие технологию SSO, известны уже много лет. Как пример, можно рассмотреть протокол Кегberos, использующийся в Unix-системах и поддержанный Microsoft, начиная с платформы Windows 2000. Для успешной аутентификации пользователь должен ввести свое имя и пароль. Приложение, использующее Kerberos, взаимодействует через интерфейс с репозиторием, где производится аутентификация пользователя, и при успешном прохождении пользователю выдается «билет». Последующим приложениям  достаточно обратиться к выданному «билету», чтобы разрешить или отклонить доступ. Такая модель достаточна сильна, если все приложения в информационной системе доверяют службе, выдающей «билеты».

Современные сети в большинстве случаев гетерогенны. Данная модель может быть также применена в гетерогенной сети. При первом обращении пользователь аутентифицируется в SSO-системе. В дальнейшем при обращении к какому-либо приложению или ресурсу система SSO отыскивает имя и пароль пользователя для требуемой системы и выполняет процедуру аутентификации.

Системы SSO дают больший ощутимый экономический выигрыш для компании благодаря сокращению простоя пользователя при невозможности входа в систему. Системы SSO сокращают и время на саму аутентификацию в системе. Хотя этого времени и недостаточно при успешном входе в систему, учитывая многократность выполнения таких процедур, общее выигранное время может быть существенно. Наиболее существенно экономится время администраторов, поскольку запросы с просьбой «сбросить пароль» существенно сократятся. Учитывая, что именно такие запросы обычно составляют до 25%, общий выигрыш может быть существенен.

Системы SSO могут значительно повышать безопасность информационной системы в целом. Если ранее политики, накладываемые на применяемый пароль, все же зависели от человеческого фактора — пользователю приходилось помнить довольно сложный пароль, то теперь системы SSO могут сами генерировать, менять пароль, причем пароли, как и парольные политики для разных систем, могут быть разные.

Однако следует учесть, что система SSO, использующая для разных приложений и задач один пароль, может ощутимо снизить безопасность всей информационной системы в целом, так как в данном случае общая стойкость системы будет определяться «самым слабым звеном». Причем в этом случае политики, накладываемые на подобный пароль, не позволяют решить проблему в целом. Более сильная политика уменьшает уязвимость системы, но не устраняет ее. Учитывая, что атаки на такой «золотой пароль» могут вестись, вовсе не ломая систему, а косвенными путями, например, анализируя сетевой трафик, применение единого пароля в серьезных системах SSO неприемлемо. Поэтому, администрируя систему SSO, следует опасаться задавать единый пароль для всех систем.

Другой проблемой, с которой может столкнуться специалист, внедряющий SSO-систему, может оказаться физическая доступность для злоумышленника брошенного или случайно оставленного рабочего места сотрудника, уже успешно прошедшего аутентификацию. Поскольку по ходу работы не потребуется вводить дополнительные пароли или подтверждать свою подлинность, такая брошенная рабочая консоль может стать серьезной дырой в системе. Существует несколько решений этой проблемы. Большинство систем SSO предлагают блокировать консоль рабочего места по истечении определенного времени неактивности пользователя. Другие системы предлагают блокировку консоли при отключении электронного ключа или смарт-карты. Администратору системы не стоит пренебрегать подобными настройками. Примеры решений приведены в табл. 2.

Инфраструктура управления аутентификацией

Описанные выше решения так или иначе связаны с паролем. Эти системы заменяют пароль, записывают в защищенное хранилище, накладывают политики, синхронизируют и сбрасывают. Однако все они так или иначе привязаны к одному и тому же фактору — паролю. Поэтому хотя пользователь будет иметь двухфакторную аутентификацию и реальный пароль будет сохранен в надежном хранилище, все же часть уязвимостей системы и атак, например, построенных на ловле пароля по сети, потенциально остается, и злоумышленники могут воспользоваться такими лазейками. Ни для кого не секрет, что уже сейчас существует класс систем, реализующих аутентификацию пользователя при помощи цифрового сертификата и личного ключа, базирующихся на технологии PKI. Такие системы реализуют новый подход к построению аутентификации в целом и делают принципиально недоступными старые технологии атаки на систему. Одними из важных элементов технологии PKI являются центр сертификации (ЦС), реализующий выписку и отзыв сертификатов, и хранилище сертификатов, решающие доступность открытого ключа и списка отозванных сертификатов. При этом предполагается, что пользователь хранит свой личный ключ в защищенном хранилище — смарт-карте или электронном ключе, доступ к которому невозможен без знания PIN-кода. Большинство таких систем предлагает собственную реализацию всех компонентов системы, за исключением защищенного хранилища. Безусловно, это может быть удобно, если вы пользуетесь только одной такой системой.

Хорошим примером, иллюстрирующим преимущества и недостатки такого подхода, может быть система аутентификации по смарт-карте в сети Microsoft Windows 2000. Данная технология носит название SmartCard-Logon. Для реализации решения необходимо установить и настроить сервер сертификатов — он будет осуществлять выписку и отзыв сертификатов. При этом открытые части всех выписанных сертификатов будут публиковаться в службе каталога — Active Directory, а личные ключи — в смарт-картах. На первый взгляд решение просто и относительно легко для внедрения в корпоративной сети. Но это решение применимо, если вся сеть построена на серверах Windows 2000 и в качестве рабочих мест используются станции только Windows 2000 или Windows XP. Однако в большинстве корпоративных информационных систем это не так — сети гетерогенны, что не позволяет реализовать данное решение. Другая важная проблема для реализации подобного решения — отсутствие целесообразности иметь на всех рабочих местах операционные системы Windows 2000 или ХР и защищенный вход по смарт-карте, так как не все пользователи работают с критически важными данными. Также данное решение не позволит пройти аутентификацию пользователю, чье рабочее место не подключено к сети. Это создает невозможность применения данного решения для сотрудников компании, работающих вне офиса.

При необходимости добавить в такую систему аутентификацию на основе биометрии, одноразовых паролей или любого другого устройства, отличного от поддержанного стандартно Microsoft, специалист по безопасности столкнется с проблемами совместимости стандартного клиента Microsoft с решениями третьих производителей. Как правило, расширение подобного клиента строится на недокументируемых возможностях и скорее наносит ущерб безопасности. Еще одной серьезной проблемой будет являться отсутствие единой точки администрирования. Часть пользователей, использующих пароли и смарт-карты для входа в сеть, придется администрировать при помощи стандартных утилит Microsoft, а другая часть пользователей будет недоступна для администрирования с помощью этих утилит. Отсутствие единой точки администрирования пользователей сильно усложнит администрирование системы и может привести к серьезным ошибкам. Поэтому при выборе системы крайне важно иметь единую точку администрирования, особенно систем с большим количеством пользователей. Учитывая проблемы, описанные выше, данное решение, базирующееся на стандартных возможностях Windows 2000 и условно-бесплатное для владельцев этих систем, не получило широкого распространения.

Исходя из описанного выше примера, можно представить, каким требованиям должна соответствовать система, предоставляющая инфраструктуру управления аутентификацией (AMI), для удовлетворения большинства современных потребностей среднего и крупного предприятия. Данная система безусловно должна базироваться на технологии PKI, при этом крайне желательно, чтобы такая система могла не только иметь свой центр сертификатов, но и интегрироваться с внешним центром сертификатов. В первом случае это важно, если в корпоративной сети в текущий момент отсутствует центр сертификатов или компания не предполагает задействовать внешние центры сертификатов, например, по причине их дороговизны. Во втором случае, если уже в организации существуют какие-либо решения на PKI-технологии, то внедряемая система не должна ломать устоявшиеся решения. Внедряемая система инфраструктуры управления аутентификацией должна плотно интегрироваться с какой-либо службой каталога, где и будут размещаться публичные части системы. Учитывая, что большинство корпоративных систем гетерогенно, такой каталог не должен быть привязан к одной из платформ, а представлять кроссплатформенное решение.

Одним из обязательных требований к каталогу, на котором будет базироваться AMI, должна быть возможность работы по LDAP, протоколом, по сути ставшим стандартом для взаимодействия многих приложений со службой каталога. Желательна полная поддержка спецификации LDAP v3, что сделает возможным SASL (Simple Authentication and Security Layer) аутентификацию в службе каталога. Еще одним из желательных требований также является поддержка градуированной (ступенчатой) аутентификации на уровне службы каталога. Указанным выше требованиям полностью соответствуют такие каталоги, как Sun ONE и eDirec-tory, — эти каталоги полностью поддерживают спецификацию LDAP v3 и градуированную (ступенчатую) аутентификацию. Однако eDirectory имеет преимущества в силу своей кроссплатформенности и низкой стоимости.

Система инфраструктуры управления аутентификацией должна сама являться кроссплатформенным продуктом, что позволит легко внедрять такую систему в гетерогенной информационной системе предприятия. Поскольку данная система представляет «ворота аутентификации», то она должна поддерживать многофакторную аутентификацию, построенную на различных методах — от простого пароля до смарт-карт и биометрии. Безусловно, в такой системе важную роль будет играть поддержка разных вендоров производителей оборудования и решений для аутентификации. Такая поддержка должна быть построена на принципах модульности и открытых интерфейсов взаимодействия между системой и аппаратными решениями. Например, взаимодействие с широким классом смарт-карт и электронных ключей может быть построено на основе стандарта PKCS#11. Такой подход позволит с легкостью переходить на современные устройства и при этом не потребует переписывания программных модулей.

К Новому году — новый ГОСТ

Согласно заявлению Гостехкомиссии России, с 1 января 2004 г. в нашей стране будет официально введен в действие новый российский стандарт ГОСТ/ИСО МЭК 15408-2002 «Общие критерии оценки безопасности информационных технологий». Данный документ представляет точный перевод на русский язык международного стандарта ISO 15408, принятый в качестве ГОСТа, и набор «Руководящих документов» (РД). Стандарт в целом определяет перечень параметров, описывающих разные средства защиты информации и требования к этим средствам.

Своим появлением данный ГОСТ обязан планам вступления России в ВТО, где одним из условий является сертификация средств обеспечения информационной безопасности по «Общим критериям». Дополнение к этому условию — соглашение о взаимном признании данных сертификатов для подписавших его стран (сегодня таковых 17, но РФ пока в их число не входит).

Следует заметить, что в настоящее время нет перечня организаций, для которых применение средств защиты, сертифицированных по данному стандарту, будет обязательным, однако, по заявлению представителей Гостехкомиссии, эти требования запланировано внести в изменения к Закону «0 техническом регулировании».

Ранее применявшаяся в нашей стране методология оценки защищенности была изначально основана на классах секретности информации и в значительной степени отличалась от ISO 15408, где определяющими являются наборы требований, обеспечивающие защиту объекта от определенного подмножества угроз при сохранении функциональных свойств средства безопасности.

Стандарт содержит две части: первую, посвященную функциональности разных объектов оценки (профили объектов), и вторую, определяющую оценочный уровень доверия (ОУД). По сути, он специфицирует две независимые категории: так называемый профиль, который характеризует защиту систем разного класса (VLAN, VPN, ОС с различными моделями доступа, межсетевых экранов, СУБД, биллинговых систем и т. д.), и оценочный уровень доверия. Последний указывает на «качество» и «глубину» проверок изделия на соответствие его заданию по безопасности для конкретного продукта, относящегося к системе данного класса. Наивысшее значение оценочного уровня доверия согласно ISO 15408 — семь.

Сегодня ГОСТ/ИСО МЭК 15408-2002 содержит 15 профилей, два из которых описывают межсетевые экраны для разного применения: в корпоративной сети и у провайдера услуг. Эти два профиля, учитывающие нормативы РФ, а также универсальные методики проверки для разных уровней соответствия (максимальное количество уровней — 5) функциональных свойств экрана требованиям профиля защиты разработали специалисты компании «Инфосистемы Джет».

Крайне желательно, чтобы производитель системы инфраструктуры управления аутентификацией внедрил в саму систему проверку целостности программных модулей, например, на основе электронной подписи, что существенно затруднит взломы и подмены этих модулей. Для независимых производителей модулей аутентификации, которые интегрируются в ту или иную систему, вендорами, выпускающими сами системы аутентификации, должны быть разработаны спецификации для написания таких модулей и программы сертификации подключаемых модулей.

Поскольку пользователь в АМ1-сис-теме может аутентифицироваться по нескольким факторам, то желательно, чтобы система поддерживала политики, позволяющие комбинировать независимые методы аутентификации. Такие политики носят название «логин последовательности». Логин последовательности позволяет комбинировать различные методы в процедуру, например, пользователь может аутентифицироваться только по паролю, только по смарт-карте, только по паролю и смарт-карте, только по смарт-карте или биометрии. Среди таких решений — Ankari Trinity и Novell NMAS. Пользователям может назначаться та или иная логин-последовательность, что позволяет аутентифицировать пользователя по заранее заданным факторам и методам. Назначение политик логин-последовательностей может значительно усилить аутентификацию пользователя в целом благодаря обеспечению более сильного установления подлинности пользователя. Однако без необходимости использовать такие политики не стоит, так как здесь может наблюдаться конфликт между безопасностью системы и удобством работы пользователя.

Для снижения сложности администрирования и уменьшения риска потерь от возможных ошибок в системах AMI могут предлагать мандатный доступ. Сегодня практически все системы администрирования построены на дискретном доступе, что предполагает одинаковое доверие ко всем пользователям, прошедшим аутентификацию. Системы с мандатным доступом предполагают зависимость доверия к пользователям, построенную на основе представленных факторов при аутентификации. Поэтому доступ к конфиденциальным данным пользователям, не представившим системе «весомых доказательств», в такой системе просто невозможен. Например, для работы с конфиденциальными файлами пользователю необходимо пройти аутентификацию по смарт-карте. Пользователь, вошедший в систему по паролю и смарт-карте, несмотря на одинаковое имя (login name), имеет разные права. И в доступе к конфиденциальным файлам пользователю, аутентифицированному по паролю, будет отказано. Мандатный доступ не отменяет и не заменяет дискретный доступ, однако его применение сегодня является крайне желательным в сложной корпоративной сети, так как позволяет избежать многих ошибок при назначении прав на ресурсы и переводит вопрос управления от администрирования пользователей к администрированию реальными данными и ресурсами информационной системы. Примеры систем инфраструктуры управления аутентификацией, полностью или частично удовлетворяющие критериям, описанным выше, приведены в табл. 3.

Краткие итоги

Системы управления паролем и SSO-решения позволяют снизить стоимость владения информационной системой в целом, упростить администрирование, повысить удобство работы для большинства пользователей. Однако все эти продукты в том или ином виде базируются на «технологии пароля», что не решает принципиально проблемы с безопасностью информационной системы. Более серьезные AMI-решения обеспечивают управление различными методами аутентификации и их комбинациями, а также дополняют стандартные возможности администрирования системы мандатным доступом. Системы управления паролем могут давать более быстрый возврат инвестиций, чем системы SSO и AMI-решения, однако во многих случаях их применение недостаточно. Однако если компания взвешенно подходит к решению проблем безопасности и планирует внедрение многофакторной аутентификации (пусть даже для начала двухфакторной) и при этом не ожидает быстрого возврата инвестиций, то использование AMI-решений является наиболее оправданным.