Содержание к диссертации
Введение
Глава 1. Анализ задач обеспечения безопасности информации в объектно-ориентированных сетях хранения данных 14
1.1. Управление рисками в задачах обеспечения безопасности информации 14
1.2.Системы управления информационной безопасностью 30
1.3. Методы обеспечения безопасности информации в объектно-ориентированных сетях хранения данных 41
Выводы по главе 1 51
Глава 2. Обоснование и разработка методики обработки рисков нарушения безопасности информации в объектно-ориентированных сетях хранения данных 53
2.1. Контекст управления рисками 53
2.2. Идентификация, анализ и обработка рисков 64
2.3. Методика обработки рисков в объектно-ориентированных сетях хранения данных ..77
Выводы по главе 2 89
Глава 3. Разработка моделей и протоколов обеспечения безопасности информации в объектно-ориентированных сетях хранения данных 91
3.1. Схема применения механизмов защиты 91
3.2. Протоколы аутентификации клиентских приложений 102
3.3. Обеспечение целостности и конфиденциальности информации, размещенной на объектно-ориентированных устройствах хранения данных 112
3.4. Обнаружение и предотвращение вторжений на уровне объектно-ориентированных устройств хранения данных 124
Выводы по главе 3 133
Глава 4. Разработка и применение инструментального средства для обработки рисков нарушения безопасности информации в объектно- ориентированных сетях хранения данных 134
4.1. Структура и состав каталога механизмов защиты 134
4.2. Инструментальное средство для применения методики обработки рисков 146
4.3. Экспериментальный анализ эффективности методики обработки рисков и практические рекомендации 156
Выводы по главе 4 169
Заключение 171
Список использованных источников 174
Приложение
- Методы обеспечения безопасности информации в объектно-ориентированных сетях хранения данных
- Методика обработки рисков в объектно-ориентированных сетях хранения данных
- Обеспечение целостности и конфиденциальности информации, размещенной на объектно-ориентированных устройствах хранения данных
- Инструментальное средство для применения методики обработки рисков
Введение к работе
Актуальность темы. Информационные технологии к настоящему времени стали фундаментальным средством автоматизации и повышения эффективности труда, проникшим во все сферы человеческой деятельности. Развитие современных коммерческих и общественных организаций происходит параллельно с развитием используемых ими информационных систем (ИС), в которых все большие требования предъявляются к объему, оперативности доступа, надежности и безопасности долговременного хранения массивов данных.
Для удовлетворения растущих требований до последнего времени применялись две наиболее популярные архитектуры - сети хранения данных (СХД, англ. Storage Area Network, SAN) и сетевые хранилища данных (англ. Network Attached Storage, NAS). Обе архитектуры предназначены для обеспечения эффективного доступа к данным со стороны клиентских узлов сети, но каждая обладает своими недостатками. В частности, в СХД организация совместного доступа к данным возможна только с помощью вспомогательных внешних механизмов синхронизации доступа между клиентами, требующих дополнительного сетевого взаимодействия, в то время как в сетевых хранилищах данных все передаваемые данные проходят через централизованный сервер, что ограничивает производительность и масштабируемость сети. Кроме того, в обеих архитектурах используется традиционный блочный интерфейс доступа к устройствам хранения данных (УХД), предполагающий выполнение функций оптимизации, связанных с физическим распределением данных и их кэшированием, клиентским программным обеспечением. В большинстве случаев в качестве клиентского программного обеспечения выступает реализация какой-либо файловой системы общего назначения, которая выполняет лишь поверхностную оптимизацию независимо от специфики отдельных массивов хранимых данных. Также блочный интерфейс не позволяет реализовать эффективную модель безопасности, так как управление доступом включает в себя решение сложной задачи отображения правил доступа на блочный уровень и требует высоких затрат ресурсов, а имеющаяся возможность управления доступом на уровне логических разделов УХД не обладает достаточной гибкостью.
Все эти сложности традиционных подходов привели к возникновению новой технологии, соединяющей их достоинства и устраняющей недостатки - архитектуре объектного хранения данных (англ. Object Storage Architecture, OSA). Исследования таких ученых, как G. Gibson, D. Nagle, Н. Gobioff, J. Zelenka, P. Braam, и других специалистов в 90-х годах заложили основы концепции объектного хранения данных, как способа повышения масштабируемости и производительности систем хранения данных посредством расширения функций обработки информации, выполняемых УХД. В последние несколько лет концепция объектного хранения данных получила существенное развитие совместными усилиями представителей различных фирм-производителей (HP, IBM, Intel, Lingua Data, Panasas, Seagate, Veritas, Xyratex) в рабочей группе OSD Technical Workgroup ассоциации SNIA (Storage Networking Industry Association). Данная архитектура продолжает стремительно развиваться и ее промышленные реализации (например, PanFS, Lustre) уже применяются для практического решения задач хранения данных.
Одним из важных движущих факторов при разработке архитектуры объектного хранения данных являлось обеспечение безопасности информации (ОБИ) в построенных на основе этой архитектуры сетях. Вопросы ОБИ в системах хранения данных, использующих концепцию объектного хранения данных, исследовали Н. Gobioff, В. Reed, A. Azagury, М. Factor, S. Halevi, D. Naor, V. Kher, С. Olson, E. Miller, D. Nagle, A. Leung и другие известные зарубежные специалисты. Среди отечественных трудов можно отметить работы С. В. Запечникова, посвященные решению задач ОБИ в СХД, а также научные и практические положения в области ОБИ в распределенных компьютерных системах, разработанные А. Ю. Щербаковым, Д. П. Зегждой, Д. А. Ловцовым и др.
Принятый в 2004 г. стандарт ANSI INCITS 400-2004, определяющий расширения интерфейса SCSI для взаимодействия с объектно-ориентированными УХД (ООУХД, англ. Object Storage Device, OSD), задает протокол безопасности, который выполняется при осуществлении доступа к ООУХД. Рабочая группа NFSv4 Workgroup в составе Internet Engineering Task Force (IETF) в настоящее время завершает разработку протокола NFSv4.1, включающего в себя механизмы взаимодействия клиентов с сервером метаданных и параллельного доступа к ООУХД в составе ООСХД на основе архитектуры pNFS (parallel NFS). При этом в имеющихся стандартах и проектах уровень разработанности вопросов ОБИ в ООСХД остается недостаточным. В частности, недостаточно разработанными являются методы безопасного обмена с серверами метаданных, защиты конфиденциальности данных в процессе их передачи по каналам связи, защиты данных при хранении на физических носителях.
Также следует отметить, что в современных организациях основным движущим фактором, определяющим используемые методы ОБИ, становится их экономическая эффективность. В этих условиях внедрение и использование ООСХД в современных организациях сопряжено с построением системы защиты от существующих в среде сетей хранения данных угроз, требующей комплексного экономически обоснованного подхода, применения различных стандартов и технологий и их интеграции. В связи с этим актуальной является научно-техническая задача разработки и применения методики обработки рисков нарушения безопасности информации (БИ) в ООСХД, позволяющей оптимизировать применение средств защиты информации в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ.
Целью диссертационной работы является повышение информационной безопасности предприятий, использующих ООСХД в составе корпоративных ИС, путем разработки и применения методики обработки рисков нарушения БИ в ООСХД, моделей и протоколов ОБИ в ООСХД.
Объектом исследования являются ООСХД.
Предметом исследования являются риски нарушения БИ в ООСХД.
В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:
анализ и систематизация существующих организационно-управленческих
подходов к ОБИ предприятий, включая методы управления рисками наруше-
ния БИ и методы ОБИ в ООСХД в рамках данных подходов, постановка задачи разработки методики обработки рисков нарушения БИ в ООСХД;
обоснование и разработка согласованной с организационно-управленческими подходами к управлению рисками методики обработки рисков нарушения БИ в ООСХД, позволяющей учитывать требования, предъявляемые к экономическому обоснованию деятельности по ОБИ;
разработка схемы применения механизмов защиты (МЗ) в ООСХД для комплексного снижения и устранения рисков нарушения БИ в рамках разработанной методики обработки рисков нарушения БИ в ООСХД;
разработка комплекса протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;
разработка модели обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе ООСХД;
разработка математической модели функционирования системы предотвращения вторжений уровня ООУХД;
разработка информационного и программного обеспечения для применения методики обработки рисков нарушения БИ в ООСХД, включая примерный состав базового каталога МЗ для ООСХД и программное инструментальное средство для автоматизации выполнения методики;
экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД в промышленных предприятиях и определение практических рекомендаций по ее использованию. Основными методами исследований, используемыми в работе, являются
методы системного анализа, исследования операций, дискретной оптимизации, теории вероятностей и теории множеств.
На защиту выносятся следующие основные результаты работы:
методика обработки рисков нарушения БИ в ООСХД;
комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;
модель обеспечения целостности и конфиденциальности информации, хранимой на ООУХД.
Научная новизна результатов, полученных лично автором, заключается в следующем:
обоснована и разработана методика обработки рисков нарушения БИ в ООСХД, основанная на математической модели учета влияния БИ в ООСХД на процессы деловой деятельности (ПДД) и применении методов дискретной оптимизации для поиска экономически обоснованного набора средств защиты информации;
разработан комплекс протоколов аутентификации узлов ООСХД при доступе к информации, размещенной на ООУХД и серверах метаданных в составе сети, на основе применения ролевой модели контроля доступа, ролевых ключей и распределенного хранения информации о политике безопасности;
построена модель обеспечения целостности и конфиденциальности информационных объектов, хранимых на ООУХД в составе ООСХД, в том числе на устройствах, не являющихся доверенными, и реализующие ее протоколы сопровождения политики безопасности и доступа к информационным объектам, основанные на использовании алгоритмов шифрования и электронной цифровой подписи (ЭЦП), ролевой модели контроля доступа, распределенного хранения информации о политике безопасности и группового распределения ключей.
Теоретическую значимость представляет осуществленное в работе развитие математического аппарата для анализа и обработки рисков нарушения БИ, разработанная математическая модель учета влияния БИ в ООСХД на процессы деловой деятельности, разработанные модели и протоколы ОБИ в ООСХД.
Практическую значимость представляет разработанная методика обработки рисков нарушения БИ в ООСХД и реализованное программное инструментальное средство для ее автоматизации ИСКР 1.0 (подтверждается актом о внедрении результатов диссертационной работы в компании ООО "Одноклассники", актом об использовании результатов диссертационной работы в Небанковской Кредитной Организации "Международная Расчетная Палата" (000)). В работе сформулированы практические рекомендации по выполнению разработанной методики обработки рисков в рамках общего управления рисками нарушения БИ предприятий, организации рабочей группы для выполнения методики, определению организационного порядка ее выполнения, формированию каталога МЗ с учетом разработанной схемы применения МЗ в ООСХД, а также применению разработанного программного инструментального средства ИСКР 1.0 для уменьшения трудоемкости выполняемых процессов.
Достоверность полученных результатов подтверждается математическими доказательствами и формальными выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, протоколов и алгоритмов, а также практикой применения результатов работы в крупных промышленных предприятиях.
Реализация результатов исследования. Результаты диссертационной работы использованы для обеспечения безопасности информации в системах хранения данных компании 000 "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (000), а также внедрены в учебный процесс на факультете "Информационная безопасность" Национального исследовательского ядерного университета «МИФИ». Результаты исследования представляют практическую ценность для обеспечения безопасности информации в системах хранения данных российских и зарубежных корпоративных структур различного масштаба.
Публикации и апробация работы. По теме диссертации опубликованы 10 печатных работ, в том числе 4 научных статьи в журналах Перечня ВАК и 6 тезисов научных докладов. Результаты диссертационной работы докладывались на Общероссийской научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (С.-Петербург, 2006-2007 гг.), Всероссийской научной конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 2007-2008 гг.), Всероссийской научно-технической кон-
ференции студентов, аспирантов и молодых ученых "Научная сессия ТУ СУР-2007" (Томск, 2007 г.), а также на семинарах кафедры "Информационная безопасность банковских систем" МИФИ (Москва, 2007-2009 гг.).
Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных источников, включающего 188 наименований, и шести приложений. Текст диссертации изложен на 219 страницах, включая 12 рисунков и 7 таблиц.
Методы обеспечения безопасности информации в объектно-ориентированных сетях хранения данных
Согласно информационно-аналитическим результатам, полученным в предыдущих параграфах, ОБИ на предприятии обуславливается в первую очередь следующими факторами: целями деловой деятельности и задачами организации, влекущими необходимость экономического обоснования любой деятельности по ОБИ; действующими стандартами, руководствами и каталогами, предоставляющими готовые указания по управлению рисками нарушения БИ для различных компонент ИТ. Согласно указанным факторам ОБИ для ООСХД должно осуществляться в рамках процесса управления рисками нарушения БИ предприятия, выполняемого в соответствии с некоторым методом, принятым высшим руководством организации и позволяющим обосновать полученные результаты с точки зрения целей деловой деятельности. Выше было показано, что известные методы управления рисками имеют схожую структуру, а их детализация, как правило, содержится в каталогах и других вспомогательных источниках, описывающих следующие основные элементы: компоненты ИТ; угрозы для компонент ИТ; уязвимости компонент ИТ; механизмы защиты для компонент ИТ.
Одними из наиболее полных каталогов, применимых в целях управления рисками, являются каталоги модулей, угроз и механизмов защиты, приведенные в руководстве IT-Grundschutz Catalogues [73], насчитывающем почти 3000 страниц. Анализ этих и других доступных каталогов (ІБОЛЕС 27002 [63], MEHARI [78]) показывает, что системы хранения данных, т.е. технологии долговременного хранения массивов информации, все еще не рассматриваются в них как отдельные компоненты ИТ с индивидуальными множествами угроз, уязвимостей и механизмов защиты. Релевантная системам хранения данных информация является достаточно ограниченной и представлена относительно других компонент ИТ, таких как: серверы под управлением различных операционных систем; серверные помещения; клиентские рабочие станции под управлением различных операционных систем; гетерогенные сети, включая активное и пассивное сетевое оборудование; политика резервирования данных как защита от угрозы потери сохраненных данных; электронный архив - хранение массива аутентичных и целостных электронных документов; базы данных и другие программные приложения.
Очевидно, например, что угрозы для УХД во многом соответствуют угрозам для серверов, а угрозы для сетевой инфраструктуры систем хранения данных включают в себя угрозы, выделяемые для гетерогенных сетей. Точно так же многие механизмы защиты, описываемые для других компонент ИТ, применимы к системам хранения данных. Тем не менее, в связи с тем, что системы хранения данных не рассмотрены в каталогах как отдельный компонент ИТ, каталоги являются неприемлемыми для практического управления рисками в организациях, использующих относительно сложные системы хранения данных.
Действительно, если управление рисками для простейших систем хранения данных, таких как файл-серверы, сохраняющие информацию на локальных носителях, может быть проведено с использованием каталожной информации для перечисленных выше компонент ИТ, то для более сложных системы хранения, таких как СХД, предполагающие применение различных специализированных протоколов доступа и методов хранения данных, управление рисками потребует проведения полноценного отдельного исследования возможных угроз, уязвимостей и механизмов защиты. Это исследование может базироваться на имеющихся источниках информации, таких как каталоги и стандарты, однако в любом случае потребует большого объема аналитической работы. Отсюда можно заключить, что для сохранения практической значимости, охват каталогов, применяемых для управления рисками, должен быть расширен систематизацией угроз и механизмов защиты для систем хранения данных как отдельного компонента ИТ.
Итак, согласно сказанному выше и результатам предыдущего параграфа, существующие методы управления рисками нарушения БИ и сопутствующие им источники информации обладают в контексте задачи диссертационного исследования двумя недостатками, существенно ограничивающими их практическую применимость: отсутствие методической основы для экономического обоснования принимаемых решений по обработке рисков; недостаточный охват вопросов ОБИ в системах хранения данных и ООСХД в частности. Эти недостатки могут быть устранены, если наряду с описанными выше методами управле ния рисками в распоряжении аналитиков будет находиться методика выполнения процессов иден тификации, анализа и обработки рисков нарушения БИ для отдельного компонента ИТ - ООСХД, а также универсальная методика выполнения обработки рисков, сочетающая учет результатов процесса анализа рисков и накладываемых внутри организации условий на экономические факто ры. Данные методики могут быть без потери значимости также представлены как единая интегри рованная методика, применение которой в рамках функционирующей СУИБ предприятия позво лит обеспечить экономически обоснованное непрерывное ОБИ во всех внедренных ООСХД. Со гласно этому для достижения цели диссертационной работы требуется разработать методику, удовлетворяющую следующимтребованиям: определение процедуры идентификации рисков нарушения БИ для ООСХД предприятия; определение процедуры анализа рисков нарушения БИ для ООСХД предприятия; определение процедуры обработки рисков нарушения БИ для ООСХД предприятия; выбор контрмер в условиях комбинированных ограничений и требований оптимизации для технико-экономических показателей: уровень затрат, окупаемость инвестиций, ЧПС, внутренняя норма рентабельности; наличие структурированной информации по возможным угрозам и механизмам защиты для ООСХД, позволяющей находить удовлетворяющие ограничениям и требованиям решения по обработке рисков; соответствие всех процедур международному стандарту ISO/IEC 27005 [38] и возможность их интеграции в более общие методы обработки рисков, согласованные с данным стандартом.
Далее без потери общности будем называть эту методику методикой обработки рисков в ООСХД. Основными целевыми организациями, в которых предполагается применение методики, являются такие организации, в рамках которых решения об уровне затрат на ОБИ могут быть приняты на основе технико-экономических показателей деятельности по ОБИ. К ним относятся малые, средние и большие коммерческие предприятия. Применение методики в некоммерческих организациях, организациях военного и государственного сектора не всегда возможно, так как доминирующими ограничениями для процесса управления рисками в их случае могут являться не экономические факторы, а специализированные нормы и требования, которые сложно представить в виде эквивалентных технико-экономических ограничений.
Методика обработки рисков в объектно-ориентированных сетях хранения данных
Настоящая методика используется для обоснованного выбора мер ОБИ для ООСХД. Методика разработана на основе международного стандарта управления рисками нарушения БИ ISO/IEC 27005, методов системного анализа, исследования операций, дискретной оптимизации, экспертных оценок, теории вероятностей, теории множеств. 1. Общие положения. 1.1. Данный порядок определяет выбор набора контрмер для применения в ООСХД организаций, в рамках которых решения об уровне затрат на ОБИ могут быть приняты на основе технико-экономических показателей деятельности предприятия по ОБИ, предусмотренных в исходных данных настоящей методики. 1.2. Под контрмерой понимается использование некоторого механизма защиты, использование услуги страхования риска, поручение определенной деятельности субподрядчику, отказ от определенной деятельности, а также принятие существующего риска руководством предприятия. 1.3. Механизм защиты - организационная или техническая мера, направленная на снижение уровня риска нарушения БИ предприятия. 1.4. Уровень риска - математическое ожидание финансового ущерба, связанного с реализацией риска, за фиксированный период времени. 1.5. Целью выбора контрмер является оптимизация технико-экономических показателей деятельности предприятия по ОБИ в ООСХД.
Оптимизация проводится исходя из корпоративной стратегии инвестирования денежных средств в проекты предприятия. 1.6. Рассматриваются риски нарушения БИ предприятия, связанные с нарушении измерений безопасности хранимой или обрабатываемой в ООСХД информации. Учитывается, что нарушение измерений безопасности отдельной служебной информации может приводить к нарушению безопасности прочей хранимой и обрабатываемой в сети информации. Предполагается, что корпоративная стратегия инвестирования может быть выражена с помощью: 1) системы ограничений на технико-экономические показатели проекта: максимальный уровень затрат на проект за период времени, минимальная ожидаемая прибыль от проекта за период времени, минимальная окупаемость инвестиций в проект за период времени, минимальная ЧПС проекта за период времени, минимальная внутренняя норма рентабельности проекта за период времени; 2) одного из требований оптимизации: максимизация ожидаемой чистой прибыли от проекта за период времени, т.е. ожидаемой прибыли за вычетом затрат на проект, максимизация окупаемости инвестиций в проект за период времени, максимизация ЧПС проекта за период времени. 1.7. Ожидаемая прибыль от применения контрмер в ООСХД предприятия за период времени принимается равной ожидаемому ущербу от реализации рисков нарушения БИ за период времени, взятому с противоположным знаком.
В соответствии с этим, ограничение на минимальную ожидаемую прибыль от проекта за период времени эквивалентно ограничению на максимальный ожидаемый ущерб от реализации рисков нарушения БИ за период времени. Требование максимизации ожидаемой чистой прибыли от проекта за период времени эквивалентно требованию минимизации ожидаемых суммарных затрат на применение контрмер и покрытие ущерба, связанного с реализацией рисков нарушения БИ, за период времени. 1.8. Предполагается, что множество доступных для использования в ООСХД механизмов защиты охарактеризовано в специальном каталоге, который дополняет данную методику. Каталог содержит перечень конкретных реализаций механизмов защиты, их показателей снижения уровней уязвимости и стоимости внедрения и эксплуатации. Предполагается, что в каталоге всегда может быть найдена комбинация механизмов защиты, позволяющая свести любой уровень уязвимости ДСК ООСХД к пренебрежимо малой величине. Также предполагается, что каталог содержит механизмы защиты, функции изменения уровней уязвимости ДСК ООСХД для которых не зависят от наличия или отсутствия в сети других механизмов защиты помимо данного. При этом каталог должен предоставлять возможность определения множества всех комбинаций содержащихся в нем механизмов защиты, совместное использование которых (т.е. одновременное внедрение и эксплуатация) считается практически приемлемым. Каталог должен быть сформирован на подготовительном этапе перед выполнением методики. Он может использоваться многократно при выполнении методики в различных предприятиях. 1.10. ДСК ООСХД - совокупность клиентских приложений, совокупность сетевых соединений, совокупность ООУХД или совокупность серверов метаданных, характеризуемых идентичными наборами используемых в них механизмов защиты. 1.11. Уровень уязвимости ДСК ООСХД - абстрактное значение, характеризующее вероятность успешного нарушения появившейся угрозой некоторого измерения безопасности обрабатываемой или хранимой в ООСХД информации в данном ДСК сети. Множество значений уровней уязвимости является конечным с малой мощностью. Каждому значению уровня уязвимости взаимооднозначным образом соответствует диапазон действительных значений вероятностей из множества [0,1]. 1.12. Угроза- любые действия нарушителей (атака), направленные на нарушение некоторого измерения безопасности обрабатываемой или хранимой в ООСХД информации. 1.13. Под измерением безопасности понимается одно из свойств: конфиденциальность, целостность, постоянная доступность, доступность с допустимыми ограниченными временными интервалами недоступности. 2. Номенклатура используемых данных и структура методики.
Обеспечение целостности и конфиденциальности информации, размещенной на объектно-ориентированных устройствах хранения данных
В предположениях схемы применения механизмов защиты в ООСХД было указано, что ООУХД сети могут являться как доверенными, так и недоверенными, для которых допускается возможность обхода нарушителями системы контроля доступа. Для соблюдения правил ПБ на недоверенных ООУХД требуется применение механизмов обеспечения целостности, аутентичности и конфиденциальности хранимой информации: AuthAtRestOSD и EncAtRestOSD. Согласно требованию повышенной производительности операций аутентификации, контроля доступа и сопровождения ПБ, реализация этих механизмов защиты не должна существенно ухудшать производительность выполнения операций в ООСХД по протоколу Exec, включая операции над объектами и операции изменения ПБ.
В простейшем случае для защиты хранимой на ООУХД информации требуется сгенерировать код аутентификации или ЭЦП для каждого объекта, а также зашифровать симметричным алгоритмом все объекты, содержащие конфиденциальную информацию. При этом ключи шифрования и ключи аутентификации (или ЭЦП) должны быть независимыми для каждого объекта и распределяться среди клиентов в соответствии с их полномочиями. Такой подход, очевидно, связан с чрезмерными затратами ресурсов на отзыв полномочий клиентов. В частности, для фактического вступления в силу отзыва у клиента права на чтение объекта требуется смена ключа шифрования данных и выполнение шифрования объекта на новом ключе.
Так как немедленное выполнение этой операции после изменения ПБ на практике очень затруднено, в ряде схем защиты, предлагающихся для традиционных СХД, используется концепция отсроченного отзыва полномочий (англ. lazy revocation) [137, 138]. Данная концепция предполагает, что, обладая некоторое время доступом на чтение объекта, клиент мог его кэшировать, поэтому наличие или отсутствие доступа к объекту не повлияет на осведомленность клиента о содержимом объекта. Исходя из таких представлений, операция смены ключа шифрования объекта после отзыва доступа на чтение может быть отложена до тех пор, пока она не станет действительно необходимой (например, при компрометации ключа). Однако, в некоторых случаях для операции отзыва прав доступа на чтение объекта, отсроченный отзыв полномочий может быть нежелателен, например, если заведомо известно, что клиент не располагает собственной копией объекта, или если реквизиты доступа клиента были скомпрометированы.
С учетом необходимости обеспечения высокой производительности примем следующие исходные требования к механизмам обеспечения целостности и конфиденциальности информации, хранимой на ООУХД: защита конфиденциальных объектов с помощью симметричного шифрования; защита целостности и аутентичности всех объектов с помощью ЭЦП; невозможность компрометации ключей шифрования и закрытых ключей ЭЦП данных даже в случае наличия у нарушителя неограниченного доступа к ООУХД; отсутствие доступа клиентов к ключам шифрования и закрытым ключам ЭЦП данных; поддержка ролевой модели контроля доступа; производительное централизованное выполнение операций назначения и отзыва ролей, не требующее от серверов метаданных выполнения сложных вычислений и открытия внешних сетевых соединений; производительное выполнение операций назначения и отзыва привилегий ролей на ОО-УХД, не требующее участия серверов метаданных; поддержка немедленного вступления в силу любых изменений в ПБ.
Требование использования ЭЦП для защиты целостности и аутентичности объектов, а не кодов аутентификации, обусловлено тем, что при их использовании ключи аутентификации объектов должны быть известны всем клиентам, имеющим право как на чтение (для проверки целостности), так и на запись объектов (для генерации кода аутентификации). Это означает, что клиенты, имеющие доступ только на чтение, но обладающие возможностью получить физический доступ к недоверенным ООУХД, могут перезаписать объект с корректно сгенерированным кодом аутентификации, тем самым успешно превысив свои полномочия, заданные ПБ. В связи с этим применение кодов аутентификации для защиты целостности и аутентичности объектов допустимо только в случае, если права на запись и чтение объектов не разделяются как отдельные привилегии в ПБ.
Важным требованием является отсутствие доступа клиентов к ключам шифрования и закрытым ключам ЭЦП данных. Оно позволяет реализовать немедленное вступление в силу изменений в ПБ без необходимости повторного шифрования и вычисления ЭЦП объектов. Соответственно, исчезает потребность в реализации концепции отсроченного отзыва полномочий и становится невозможной несанкционированная-передача клиентами своих ключей доступа другим участникам. Требования к производительному выполнению операций изменения ПБ помимо долгосрочного использования ключей шифрования и контроля целостности объектов, предполагают отсутствие существенных затрат ресурсов и большой временной задержки при распределении новых реквизитов доступа между узлами сети.
Одновременное выполнение требования невозможности компрометации ключей шифрования и закрытых ключей ЭЦП данных при неограниченном доступе нарушителя к ООУХД вместе с требованием отсутствия доступа клиентов к этим ключам возможно только в случае наличия доверенного посредника между клиентом и ООУХД, который осуществляет все операции, связанные с использованием данных ключей. Он может представлять собой взломозащищенный компонент самого ООУХД [139], либо отдельное доверенное устройство ООСХД (например, коммутатор), находящееся на физически охраняемой территории. Основные функции такого посредника заключаются во взаимодействии с клиентами по защищенным соединениям и выполнении операций шифрования и вычисления ЭЦП объектов, с которыми работают клиенты. При этом во взломоза-щищенном исполнении посредник не должен хранить в постоянной памяти информацию, достаточную для доступа к информации на ООУХД, так как потенциально она может быть извлечена после нарушения цепей питания устройства. Отсюда следует, что реквизиты доступа к данным должны быть распределены между клиентами и посредниками таким образом, чтобы они не имели возможности осуществить доступ к информации на ООУХД независимо друг от друга. Далее будем называть таких посредников криптографическими адаптерами (КА). Обозначим С — множество всех КА ООСХД. Использование КА в составе ООСХД, состоящей из доверенных и недоверенных сегментов, проиллюстрировано на рис. 5. Под недоверенными сегментами понимаются участки сети, размещенные на территории, в которую нарушители могут получить физический доступ.
Производительность операций изменения ПБ может быть существенно увеличена путем использования механизмов группового управления привилегиями, в которых аналог группового мандата, используемого при аутентификации, позволяет получить доступ к множеству объектов. В условиях использования ролевой модели контроля доступа и описанного ранее распределения информации о ПБ между серверами метаданных и ООУХД в качестве ролевых реквизитов доступа к криптографически защищенным данным удобно применять ролевые мастер-ключи (РМК) (отметим, что РМК никак не связаны с ролевыми ключами протоколов аутентификации клиентов).
Работа с РМК организуется следующим образом. Для каждого ООУХД на основе ПБ ключи шифрования и ЭЦП хранимых на нем объектов группируются в массивы, соответствующие зарегистрированным ролям клиентов. Полученные массивы шифруются симметричным алгоритмом на соответствующих ролям РМК и размещаются на ООУХД в виде специальных объектов — ключевых блоков (КБ). Сами РМК генерируются и сопровождаются серверами метаданных совместно с клиентами и КА с помощью протокола группового распределения ключей, удовлетворяющего следующим требованиям: наличие производительных механизмов включения/исключения участников;
Инструментальное средство для применения методики обработки рисков
Как было отмечено выше, практические трудозатраты на выполнение предложенной в параграфе 2.2 методики обработки рисков в ООСХД могут быть уменьшены посредством использования инструментального средства автоматизации, упрощающего спецификацию необходимой для выполнения методики информации и автоматизирующего вычисление результата. Выделим базовые требования, предъявляемые к такому инструментальному средству: совместимость — полная совместимость с методикой обработки рисков в ООСХД, поддержка спецификации всех исходных данных и вычисления результата согласно шагам методики; удобство в использовании — операционное использование инструментального средства не должно требовать длительной подготовки и обучения персонала, средство должно минимизировать количество ручных операций, необходимых для получения результата выполнения методики; высокая производительность — инструментальное средство должно обладать высокой производительностью при вводе исходных данных и вычислении результата методики; переносимость — инструментальное средство должно быть реализовано таким образом, чтобы оно могло использоваться на различных распространенных конфигурациях рабочих станций корпоративных информационных систем; обновляемостъ — инструментальное средство должно обладать механизмами обновления для поддержания встроенных источников исходных данных для методики в актуальном состоянии.
Проведем анализ этих требований с тем, чтобы определить подходящую архитектуру и технологии для реализации инструментального средства. Начнем рассмотрение этих требований со свойства переносимости, так как оно меньше всего связано со спецификой рассматриваемого инструментального средства.
Для обеспечения свойства переносимости инструментальное средство должно быть реализовано в виде программного продукта, доступ к которому может осуществляться с рабочих станций под управлением наиболее распространенных операционных систем, к которым следует отнести последние версии Windows (Windows Me/XP/Vista/7) и современные представители семейства Unix (Linux, Mac OS X, FreeBSD, Solaris и др.). Сам продукт при этом может функционировать либо на самих рабочих станциях, что соответствует автономной архитектуре его исполнения, либо на удаленных серверах под управлением какой-либо из распространенных серверных операционных систем (Windows NT/2000/Server 2003/Server 2008, Linux, BSD-системы, Solaris, ЛІХ, HP-UX и др.), что соответствует клиент-серверной архитектуре. При использовании клиент-серверной архитектуры доступ к продукту должен осуществляться удаленно по сети с использованием какого-либо коммуникационного протокола и клиентского приложения, функционирующего на рабочей станции. Данное клиентское приложение может быть некоторым распространенным стандартным продуктом (например, telnet-клиентом, SSH-клиентом [153], Web-браузером), либо являться специальной составной частью продукта, реализующего инструментальное средство. Таким образом, для обеспечения высокой переносимости продукта в зависимости от используемой архитектуры его реализация должна обладать возможностью запуска на клиентских и/или на серверных платформах под управлением распространенных операционных систем.
Современными средствами для достижения такой переносимости реализаций программных продуктов на определенном языке программирования являются интерпретаторы данного языка и интерпретаторы байт-кода [154]. Интерпретаторы позволяют непосредственно исполнять инструкции, написанные на языке программирования, на различных программно-аппаратных платформах без необходимости осуществлять их предварительную компиляцию. Интерпретаторы байт-кода позволяют исполнять на различных платформах единый платформо-независимый байт-код продукта, который может быть получен из исходного кода, написанного на языке программирования, с помощью специального компилятора байт-кода. Так как предварительная компиляция в байт-код позволяет выполнить множество оптимизаций программных инструкций и избежать синтаксического разбора и анализа во время исполнения программы, интерпретаторы байт-кода позволяют достичь производительности продуктов существенно более высокой, чем при использовании интерпретаторов, и сравнимой с производительностью продуктов, скомпилированных непосредственно в машинные инструкции. В связи с этим, программный продукт, написанный на языке программирования, для которого существует компилятор байт-кода и интерпретаторы байт-кода для отмеченных выше распространенных операционных систем, будет удовлетворять свойству переносимости и при этом допускать достижение высокой производительности.
Современные языки программирования, для которых существуют средства компиляции и интерпретации байт-кода, включают в себя Java, Common Intermediate Language, PHP, Python и др. Для реализации рассматриваемого инструментального средства с учетом средства переносимости выбран наиболее популярный язык Java, обладающий высокой универсальностью, большим количеством готовых компонент и библиотек, что облегчает практическую реализацию.
Вернемся к вопросу выбора между автономной и клиент-серверной архитектурой реализации. Как было сказано, при использовании клиент-серверной архитектуры на рабочих станциях, с которых осуществляется работа с инструментальным средством, в качестве клиентского приложения может использоваться какой-либо из распространенных стандартных продуктов, инсталляция которого, соответственно, в большинстве случаев не будет требоваться, так как он уже установлен для других целей. Это обеспечит более высокую переносимость инструментального средства, так как без дополнительных трудозатрат на установку новых приложений доступ к нему будет возможен с большинства рабочих станций. В связи с этим клиент-серверная архитектура является более предпочтительной. В качестве используемого для доступа к инструментальному средству стандартного клиентского приложения наиболее удобным представляется Web-браузер (например, Internet Explorer, Mozilla Firefox, Opera, Google Chrome), так как современные Web-технологии (HTML, CSS, Javascript, AJAX и др.) позволяют реализовать с его помощью интерактивный графический пользовательский интерфейс практически любой сложности и обеспечить необходимый уровень удобства в использовании инструментального средства.
Еще одним преимуществом использования клиент-серверной архитектуры является возможность обеспечения свойства обновляемости по более простой схеме, чем потребовалось бы для автономной архитектуры. В частности, для поддержания встроенных в инструментальное средство источников исходных данных для методики обработки рисков в актуальном состоянии достаточно обеспечить их обновление на серверах, на которых функционирует инструментальное средство. Так как для работы с инструментальным средством с большинства рабочих станций организации достаточно наличия одного или нескольких серверов, предоставляющих интерфейс доступа к нему, то процедура обновления справочных данных и/или программного обеспечения инструментального средства включает в себя обновление только на небольшом количестве серверов. Сам порядок обновления источников данных для инструментального средства на сервере зависит от используемого формата их хранения. Этот формат будет рассмотрен далее.
Итак, получены дополнительные требования к реализации инструментального средства: реализация на языке программирования Java; реализация в форме Web-приложения, которое может быть запущено на серверах под управлением распространенных серверных операционных систем и доступно из распространенных Web-браузеров; Web-приложение должно предоставлять удобный в использовании графический пользовательский интерфейс.
Для уточнения функциональных требований к реализации инструментального средства, связанных с требованиями совместимости и удобства в использовании, последовательно рассмотрим спецификацию исходных данных, шаги методики обработки рисков в ООСХД и возможности использования инструментального средства для их автоматизации. Далее будем использовать обозначения, используемые в параграфе 2.2.