Проблемы защиты информации в WWW информационных системах^*

А.М.Федотов
Институт вычислительных технологий СО РАН

• Введение
• Безопасность в Internet
• Принципы безопасности
• Организационно-технологические подходы
• Шифрование
• Авторизация
• Защита сети

Введение

Вхождение России в мировое информационное пространство через информационные сети общего пользования, каковой является сеть Интернет, создало проблему обеспечения безопасности различных информационных систем и создаваемых информационных ресурсов, а также организации управления информационными ресурсами и их содержанием. А в связи с интенсивным развитием глобальных систем передачи данных и Internet ориентированных информационных систем и электронных библиотек, проблема защиты информации приобретает особую важность.

Темпы роста российского сегмента Internet в последние 2--3 года не уступают и даже превосходят среднеевропейские. В то же время используемые "средства защиты информации" не удовлетворяют сегодняшним потребностям в первую очередь по чисто организационно-технологическим причинам.

Определяющим фактором интеграции в единое информационное пространство различных информационных систем и ресурсов является обеспечение должного уровня информационной безопасности, которая включает следующий комплекс мероприятий и технических решений по защите информации:

• от нарушения функционирования сети путем воздействия на информационные каналы, каналы сигнализации, управление и удаленную загрузку баз данных, коммуникационное оборудование, системное и прикладное программное обеспечение;

• от несанкционированного доступа к информации путем обнаружения и ликвидации попыток использования ресурсов сети, приводящих к нарушению целостности сети и информации, изменению функционирования подсистем распределения информации;

• от разрушения встраиваемых средств защиты с возможностью доказательства не правомочности действий пользователей и обслуживающего персонала сети;

• от внедрения программных "вирусов" и "закладок" в программные продукты и технические средства.

Построение системы безопасности компьютерной сети имеет своей целью предотвращение или снижение возможного ущерба, который может быть нанесен в результате атаки на сеть. Ценные файлы или информация могут быть уничтожены, серверы или иное оборудование могут быть приведены в нерабочее состояние так, что на их полное восстановление может потребоваться несколько дней. Кроме того, защита сети имеет целью защиту репутации организации от ущерба вследствие, например, несанкционированного изменения содержимого страниц ее WWW-сервера третьими лицами, публикации информации третьими лицами под чужим авторством или появление в публичном доступе информации, нежелательной для широкого распространения (или секретной).

Защита информации в глобальной сети имеет свою специфику, отличающую ее от проблемы защиты информации в локальных сетях.

Важнейшей отличительной особенностью задачи защиты информации в глобальной сети является тот факт, что защита информации возлагается полностью на программно-аппаратные средства, и не может быть решена путем физического ограничения доступа пользователей к компьютерам или к оборудованию, как это может быть сделано для ограничения доступа к информации в рамках отдельной организации. В глобальной сети потенциальную возможность доступа к ресурсам имеет любой пользователь сети, находящийся в любой точке Земного шара, и момент доступа к той или иной информации не может быть предсказан заранее.

Другой особенностью проблемы является огромная скорость развития в Internet программного обеспечения и технологий. Новые технологии преодоления систем защиты информации появляются каждые полгода, и арсенал используемых атакующими средств может меняться каждые 2-3 месяца. Internet с удручающей периодичностью потрясают скандалы, суть которых состоит в хищении или порче информации.

Безопасность в Internet

Но Internet не был бы Internet'ом, если бы в его недрах не родилось решение, отвечающее выставляемым жизнью проблемам. Причем, технические идеи предлагаемых решений обладает общностью, позволяющей говорить о том, что Internet после их внедрения по степени безопасности может превзойти даже специализированные закрытые корпоративные сети.

Информационная безопасность Internet определяется особенностями базовых коммуникационной (TCP/IP) и операционной платформ (UNIX). TCP/IP обладает высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ; кроме того, этот протокол в равной мере эффективно работает как в локальных сетях, так и в региональных и глобальных сетях; совокупность этих характеристик делает Internet технологии уникальным средством для создания и интеграции больших распределенных гетерогенных информационных систем.

В Internet информационных системах по сравнению с классическими системами архитектуры "клиент-сервер" вопросы информационной безопасности решаются намного проще. Это связано прежде всего со следующими особенностями:

• гораздо большая часть информационных ресурсов централизована - их предоставляет сервер, а централизованными ресурсами не только легче управлять, но их и легче защищать;

• для обмена информацией между рабочими станциями и сервером используется протокол TCP/IP, для которого разработана система защитных средств, включая криптографические;

• на рабочих станциях выполняется только WWW просмотрщик и программы интерпретации Web-документов сервера, которые загружаются непосредственно с сервера.

Принципы безопасности

Решение проблемы защиты информации состоит в использовании организационно-технологических (административных), технических и программных мер, а так же в профилактической работе среди пользователей для уменьшения возможностей для несанкционированного доступа к информации.

В целом система защиты информации строится на:

• конверсии технологий информационной безопасности и защиты информации и информационных систем, телекоммуникационной среды от несанкционированного использования и воздействий;

• обеспечении защиты ресурсов за счет параллельного доступа к управляющим базам данных и проверки полномочий при обращении к ресурсам сети;

• реконфигурации сетей, узлов и каналов связи;

• организации замкнутых подсетей и адресных групп;

• развития специализированных защищенных компьютеров, локальных вычислительных сетей и корпоративных сетевых сегментов (что особенно важно для разработчиков информационных систем);

• обеспечении защиты технических средств и помещений от утечки информации по побочным каналам и от возможного внедрения в них электронных устройств съема информации;

• развитии и использовании технологий подтверждения подлинности объектов данных, пользователей и источников сообщений;

• использовании протоколов шифрования IP пакетов, систем шифрования учетных данных и прав доступа к информации, передача информации с использованием секретных ключей;

• применении технологий обнаружения целостности объектов данных.

Таким образом, реализация системы защиты информации и информационных ресурсов распадается на три независимые задачи:

1. Обеспечение системы целостности информации и информационных систем.

2. Организация авторизованного доступа к информации.

3. Недопустимости появления в открытом доступе информации, составляющей государственную тайну или имеющую конфиденциальный характер.

Организационно-технологические подходы

Не будем останавливаться на третьей задаче, так как она носит чисто организационный характер, а рассмотрим более подробно подходы к решению первых двух.

У рассматриваемой проблемы отсутствуют готовые рецепты решений. В каждом конкретном случае, рассматривая тот или иной сетевой ресурс, следует принимать решения исходя из соотношения риска и возможного ущерба от атаки при использованием данного ресурса, из потребности в этом ресурсе, а также затрат на освоение и поддержку того или иного решения.

Любая информационная система, построенная на основе клиент-серверных Интернет технологий c учетом системы безопасности, должна содержать следующие серверные компоненты:

• шлюз-сервер, управляющий правами доступа к информационной системе;
• WWW-сервер;
• сервер баз данных;
• сервер приложений и(или) сервер обработки транзакций.

При этом среди организационно-технологических мероприятий по защите информационных систем можно выделить три основных:

1. Организация системы защиты на уровне IP пакетов (технологический уровень Модель OSI) (см. рис.1.).
   Рис 1. Защита на уровне IP пакетов.

   

2. Административный уровень защиты -- контекстная проверка и просмотр пакетов с целью принятия решения (см. рис.2.).
   Рис 2. Защита на уровне машины посредника (брандмаузер).

   

3. Программный уровень защиты. Шлюз выступает в качестве промежуточного звена между Информационной системой и клиентом (см. рис.3.).
   Рис. 3. Шлюз уровня приложений (proxy -- посредник).

   

Причем в случае размещения информационной системы на разных машинах, находящихся в различных локальных сетях (распределенной информационной системы), необходимо строить доверительные базы с обязательным применением шлюзов для обеспечения прав доступа (см. рис.4).

Организация доступа к информационным ресурсам через машину посредник является самым надежным и самым простым способом решения проблемы целостности данных, хранимой в информационной системе. В этой ситуации сама информационная система, находится на машине не доступной из глобальной сети и отвечает только на запросы из локальной сети организации, и не может быть подвержена внешним атакам.

Машина посредник - шлюз (или proxy) не обрабатывает внешние запросы, а получая запрос после проверки его правильности обращается к требуемому ресурсу и отправляет ответ пользователю. В этой ситуации злоумышленник может сломать только машину-шлюз, восстановление которой не займет много времени.

Шифрование

Для обеспечения конфиденциальности передаваемой по сети информации и организации авторизованного доступа к информации используются различные способы кодирования (шифрования) информации, как на уровне приложений, так и на уровне пакетов.

Использование шифрования на уровне приложений определяется конкретным пользователем, в то же время Интернет технологии позволяют организовать шифрование сообщений не зависимо от приложений на уровне IP пакетов.

Протокол, управляющий шифрованием трафика IP пакетов SKIP (Simple Key mamagement for Internet Protocol -- Простой протокол управления криптоключами в Интернет), разработан компанией Sun Microsystems и предложен в качестве стандарта Internet.

В основе протокола SKIP лежит криптография открытых ключей и этот протокол имеет по сравнению с существующими системами шифрования трафика ряд уникальных особенностей:

• универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах.

• сеансонезависим: (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи)

• независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.

Авторизация

Важным организационно-технологическим аспектом является организация системы авторизованного доступа к информации. Метод использующий стандартную систему паролей при работе с WWW сервером, даже при использовании системы шифрования протокола, не надежен в связи с тем, что сеанс работы кэшируется просмотрщиком, и при неаккуратной работе пользователя пароль может остаться в кэше компьютера. Для защиты от не аккуратного пользователя используется передача паролей зашифрованная открытом короткоживущим (на время сеанса) ключом.

Ну и последнее - это проблема защиты информации от "ложного" копирования. Это самая трудная проблема, которая принципиально не имеет решения - если Вы передали информацию пользователю в любом читабельном виде, то он всегда найдет способ ее скопировать и потом "исправить". Книгу или бумажную статью тоже можно переписать или перенабрать. На этом пути можно только создать некоторые трудности для такого копирования, но в целом эта проблема решается только путем принятия законодательных актов, регулирующих отношения информационного обмена.

Защита сети

Несколько слов о защите сети в целом. Одним из мероприятий, обеспечивающим высокую защищенность сети и низкую величину потенциального ущерба, который способны нанести атакующие, является планирование топологии сети и размещения сетевых ресурсов с учетом требований безопасности. У большинства сетевых протоколов передачи данных есть свои особенности, влияющие на то, в какой конфигурации сети эти данные могут быть перехвачены третьими лицами или фальсифицированы. Анализ конфигурации сети с этой точки зрения и внимание к защищенности важных сегментов сети, как, например, сегментов, по которым технический персонал осуществляет удаленное управление серверами и маршрутизаторами, может существенно улучшить общую защищенность сети.

Защита информации невозможна без четкого административного руководства сетью. Оно включает в себя создание условий и обеспечение взаимодействия всех служб сети, центра управления сетью и администраторов подсетей для достижения высокой скорости реагирования на попытки несанкционированного доступа, быстрого оповещения всех заинтересованных сторон о новых технологиях и методах преодоления систем защиты и обмена опытом.