Задача защиты от несанкционированной модификации программ и данных
Защита от несанкционированной модификации (контроль целостности) программ и данных встроена во все сертифицированные ФСТЭК России СЗИ НСД - наличие реализации данного защитного механизма входит в требования РД ФСТЭК России.
Все сертифицированные программные СЗИ НСД позволяют проверять целостность ПО и данных либо по событиям, либо по расписанию. Различия в том, что именно и как именно проверяется.
Кроме того, начиная с Windows 2000 средства контроля целостности встроены непосредственно в ОС. Впрочем, подсистема Windows File Protection проверяет исключительно файлы ОС (перечень ЭЦП для файлов ОС, подписанных Microsoft, хранится в составе системы), настроить ее на проверку каких-либо других программ и данных невозможно.
Механизм Software Restriction Policies, встроенный в Windows начиная с ХР, может быть задействован для контроля целостности содержимого любых файлов путем вычисления хэш-функции от этих файлов (используется алгоритм MD5 или SHA1) либо путем проверки ЭЦП для программных файлов (технология Authenticode; администратор может подписывать любые файлы, воспользовавшись утилитой командной строки Signcode, бесплатно загружаемой с сайта Microsoft). Контроль происходит в момент обращения к файлам, при выявлении расхождений - доступ блокируется.
Как уже было сказано выше, использование механизмов Software Restriction Policies затруднено неудобством настройки. Либо нужно добавлять в политику контрольную сумму для каждого программного файла в отдельности (для справки: в программной папке Office 2007, установленного с типичным набором компонентов, более 2 тысяч файлов, из них более 50% программные), либо каждый файл подписывать утилитой Signcode, после чего пересобрать дистрибутив, и проводить установку ПО уже из модифицированного дистрибутива, причем любая модификация и любое обновление ПО сводит значительную часть работы на нет.
|
|
|
Задача защиты данных от несанкционированного копирования и перехвата средствами шифрования
Частично эти вопросы уже рассматривались применительно к средствам аутентификации, активно использующим криптографию. Другие задачи - это закрытие сетевого трафика и закрытие данных, хранящихся на диске. Существующие на рынке сертифицированные ФСТЭК России и ФСБ России СЗИ позволяют решать задачу защиты трафика путем организации виртуальных частных сетей, это рассматривается в Разделе IV данного курса. Из программ, позволяющих защитить хранящиеся на диске данные можно упомянуть:
· Семейство продуктов Secret Disk (разработчик - Компания «Aladdin Software Security», www.aladdin.ru);
· Семейство продуктов StrongDisk (разработчик - Компания «Физтех-Софт», www.strongdisk.ru);
|
|
|
· СЗИ семейства Secret Net 5.0 (разработчик - Компания «ИНФОРМЗАЩИТА», www.infosec.ru);
· ViPNet Safe Disk (разработчик - Компания «Инфотекс», www.infotecs.ru).
Такого рода программы осуществляют прозрачный доступ к данным, перехватывая запросы на чтение файла пользователем, расшифровывающие файл и передавая уже расшифрованный файл приложению. Точно так же перехватываются запросы на запись, данные зашифровываются, и файл записывается на диск уже в зашифрованном виде.
Управление средствами защиты
При выборе СЗИ НСД следует обращать внимание на наличие развитых средств сетевого управления и контроля. Существует три основные схемы управления:
· децентрализованное локальное управление {«быстрые ноги») с консоли самого защищаемого компьютера;
· децентрализованное удаленное управление {«длинные руки») в режиме текстового или графического виртуального терминала защищаемой станции на рабочем месте администратора;
· централизованное управление {«умная голова») всеми защитными механизмами компьютеров с рабочего места администратора, как в реальном времени, так и в отложенном режиме (при выключенных в момент выдачи управляющих воздействий защищаемых компьютерах).
Вопрос о необходимости средств централизованного управления следует решать исходя из соображений целесообразности, принимая во внимание количество защищаемых компьютеров, их расположение и доступность, а также перспективы расширения защищаемой АС. При этом с ростом АС неизбежно возникает ситуация, когда использование средств удаленного сетевого управления или централизованного управления становится жизненно необходимым.
|
|
|
Не все из включенных в государственный реестр сертифицированных СЗИ НСД поддерживают возможность сетевого управления. Те из них, которые поддерживают возможность сетевого управления, реализуют смешанную схему, включающую возможность децентрализованного локального и децентрализованного удаленного управления, либо смешанную схему, включающую в себя все три схемы управления.
Система, реализующая смешанную схему управления включающую удаленное децентрализованное управление, должна иметь распределенную архитектуру: клиентское ПО на защищаемых компьютерах и ПО оператора системы, обеспечивающее отображение оповещений о событиях НСД и связь с клиентским ПО для чтения/записи настроек дополнительных защитных механизмов. Возможен вариант, когда схема с использованием сетевого управления не является основной, в этом случае агентское ПО, устанавливаемое на защищаемые компьютеры, поддерживает в штатном режиме возможность автономной работы, а ПО удаленного администрирования приобретается дополнительно. Поскольку удаленное децентрализованное управление по определению предполагает назначение настроек защитных механизмов отдельно для каждого компьютера и каждого пользователя, часто такие системы включают в себя возможность настройки по шаблону в той или иной форме, что облегчает управление.
|
|
|
По такой схеме построено сетевое управление в СЗИ Dallas Lock версий 6 и 7, «Блокхост-сеть» (в обоих случаях модуль сетевого управления включен в комплект поставки) и Аккорд (ПО «Аккорд-РАУ», реализующее сетевое управление ПАК «Аккорд», поставляется дополнительно).
Система, реализующая смешанную схему управления средствами защиты, включающую централизованное управление, должна иметь распределенную «клиент (агент)-серверную» архитектуру, в которой центральным элементом является специальный сервер безопасности (сервер управления доступом), а функции контроля и управления на защищаемых компьютерах реализуют его специальные клиенты(агенты).
Возможен вариант интеграции управления дополнительными СЗИ НСД со штатными средствами централизованного управления сетевыми ОС. По этому пути пошли разработчики системы Secret Net 5.0-С (сетевой вариант): в качестве централизованного хранилища настроек здесь используется Active Directory, а распространение настроек на клиентские компьютеры производится с использованием групповых политик. Легко поддается проверке утверждение, что Secret Net 5.0-С (сетевой вариант) - единственное существующее на рынке на данный момент решение такого рода, поэтому дальнейшее изложение назначения компонент системы относится именно к этой СЗИ НСД.
Клиенты (агенты) на защищаемых компьютерах призваны обеспечивать:
· нормальную работу дополнительных защитных механизмов компьютеров в автономном режиме (при отсутствии возможности взаимодействия с сервером безопасности по сети), что предполагает наличие на защищаемых компьютерах локальных баз данных защиты, содержащих выдержки «в части касающейся» из центральной БД, размещаемой в Active Directory размещаемой на сервере безопасности (т.е. наличие распределенной базы данных защиты);
· поддержку централизованного как оперативного, так и «отложенного» (осуществляемого в периоды неактивности данных компьютеров) администрирования с рабочих мест администраторов безопасности штатных и дополнительных защитных механизмов;
· контроль за действиями пользователей и локальных администраторов, оперативное (централизованное) оповещение сервера безопасности о текущем состоянии данных компьютеров и о попытках НСД;
· передачу на сервер безопасности журналов регистрации событий для их централизованного анализа, хранения, архивирования и т.п.
Сервер безопасности, кроме работы с клиентами (агентами), должен обеспечивать взаимодействие со средствами централизованного управления и оперативного контроля, размещаемыми на компьютерах администраторов безопасности - сотрудников подразделений технической защиты информации.
Изменение различных составляющих управляющей информации производится по-разному. Одна часть информации корректируется централизованно (в групповых политиках) с рабочего места администратора, другая - децентрализовано (в локальной политике безопасности) с соответствующих рабочих станций. В локальной политике безопасности доступны для корректировки только те параметры, которые не заданы через групповые политики. Для параметров СЗИ действуют все те же правила наследования, что и для стандартных настроек, назначаемых через групповые политики.
Дата добавления: 2018-02-28; просмотров: 663; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!