Введение Повсеместное распространение компьютерных технологий, охвативших практически все сферы жизни и деятельности в современном обществе, породило множество различных проблем различного характера. Ключевой проблемой, которая приобретает все более острые и опасные формы и проявления, является проблема обеспечения информационной безопасности как населения, так и промышленных объектов различного назначения. Основой многочисленных атак (например, хакерских), которые могут быть предприняты злоумышленниками, является, прежде всего, преодоление системы контроля доступа на объекте защиты. Именно поэтому повышение стойкости системы контроля доступа по отношению к злоумышленным атакам разного типа - одна из ключевых проблем при решении проблем обеспечения защиты информации. К настоящему времени в области обеспечения эффективного контроля доступа достигнуты большие успехи [1]. Однако, несмотря на эти достижения, по-прежнему совершаются взломы различных информационных систем, особенно в банковской сфере, что обусловливает потребность в дальнейшем совершенствовании систем обеспечения информационной безопасности и, в частности, систем контроля доступа. Среды проникновения угроз Возможные угрозы информационным ресурсам могут проникать в систему обработки данных через три основные среды - назовем их средами проникновения угроз: - информационную среду, связанную с процессами обработки данных; - физическую среду, позволяющую получить физический (непосредственный) доступ к носителям и средствам обработки данных на объекте защиты; - электромагнитную среду, связанную с передачей обрабатываемых данных. Все перечисленные среды проникновения существенно различаются по условиям и характеру развития в них угроз. Вследствие этого контроль доступа по всем средам имеет свои ярко выраженные специфические особенности и, как следствие, методы противодействия этим угрозам. Рассмотрим особенности организации доступа к ресурсам объекта защиты для двух сред - информационной и физической. Наиболее опасной с точки зрения возможностей реализации угроз является информационная среда, связанная непосредственно с процессом обработки данных. В этом случае множество всех угроз можно разбить на три группы; - внешние угрозы, исходящие от источников, находящихся вне корпоративной сети, то есть из глобальных сетей, в частности из Интернета; - корпоративные угрозы, исходящие от программно-аппаратных устройств и субъектов, имеющих определенные права доступа к данной конкретной станции в рамках корпоративной или локальной сети; - внутренние угрозы, источниками которых являются объекты, участвующие в процессе обработки данных: программно-аппаратные средства, а также пользователи и персонал, имеющие легитимные права на обработку данных на данной рабочей станции, на данном рабочем месте. Технологические этапы обработки данных, а значит, и методы контроля доступа во всех трех случаях различны. Применительно к наиболее важной из сред - информационной - структура процесса обработки данных в общем случае может быть представлена в следующем виде (рис. 1). Рис. 1. Этапы доступа пользователя к данным На рис. 1 под пользователем понимается не только субъект, но и программное средство или техническое устройство, заявившее о намерение получить доступ к данным ограниченного доступа [2]. Три блока с названием «Пользователь» (с номерами 1, 2 и 3), приведенные на схеме, соответствуют перечисленным выше трем типам угроз. Каждый из блоков имеет управляющие возможности по влиянию на процесс доступа. По существу каждый из объектов, приведенных на рис. 1, должен являться некоторым рубежом защиты, который необходимо преодолеть при злоумышленной атаке, и основой средств противодействия на каждом из этих рубежей должны быть средства и механизмы контроля управления доступом (КУД). Всем перечисленным на рис. 1 блокам (этапам (рубежам) доступа к закрытым данным) должна предшествовать процедура проверки правомочности доступа и действий, которые данный пользователь может выполнять с этими данными [3, 4]. Совокупность указанных процедур контроля правомочности доступа, а также тех управляющих воздействий, которые могут быть предприняты в системе в случае возникновения отклонений от предписанных процедур, и формирует политику управления доступом применительно к информационной среде. Применительно к физической среде совокупность рубежей доступа может быть представлена в виде схемы, приведенной на рис. 2. Схема на рис. 2 отражает последовательность рубежей, которые последовательно необходимо пройти при движении извне организации любого субъекта по направлению к носителю информации. На каждом из этих рубежей могут быть развернуты средства КУД и противодействия несанкционированным попыткам проникновения к носителям данных. Таким образом, в этом случае система КУД будет включать в себя семь рубежей, которые внешнему злоумышленнику придется преодолеть для того, чтобы получить доступ к информации ограниченного доступа. В случае с внутренним злоумышленником число преодолеваемых рубежей меньше и определяется тем, какие из объектов, перечисленных на рис. 2, являются общими (кроме внешних периметров организации) одновременно для злоумышленника и носителя данных: злоумышленник может находиться в одном здании, подразделении и помещении с носителем данных. Тогда число преодолеваемых рубежей при злоумышленной атаке равно 6 минус число общих объектов. Рис. 2. Логическая схема рубежей доступа к закрытым данным по физическому каналу Отметим, что в реальной практике злоумышленная атака может быть комбинированной: часть рубежей злоумышленник преодолевает по физической среде (например, проникает в здание), а далее злоумышленная атака продолжается через информационную среду путем подключения к корпоративной сети организации внутри помещения. Именно поэтому важно сформировать полноценную систему КУД в каждом рубеже как для информационной среды, так и для физической. Эти рубежи защиты должны проводить полный контроль доступа независимо от того, что субъект уже смог преодолеть все предыдущие рубежи. Система КУД должна быть защищена от опасности пропуска субъекта через данный рубеж ввиду других обстоятельств и особенностей, связанных с субъектом доступа (личное знакомство с охранником в подразделении или в здании, статус руководителя у субъекта доступа и др.). Функции системы контроля и управления доступом Рассмотрим функции КУД на каждом из рубежей, приведенных на рис. 1 и 2. Первым объектом, которым должен воспользоваться внешний злоумышленник, является глобальная сеть - блок 1 (обычно сеть Интернет). На этом этапе система КУД может выполнять следующие действия [5]: 1. Вести списки опасных и нежелательных для контактов сайтов и других IP-адресов (черный список) и сбрасывать (прерывать) попытки войти в контакт с каким-либо субъектом или объектом внутри организации в случае, если источником начала контакта является IP-адрес из черного списка. В действительности списков может быть несколько - с учетом степени опасности контактов с указанным сетевым адресом. Более того, целесообразно развернуть систему оценки сайтов и других IP-адресов по степени доверия/недоверия к ним и на основе результатов оценки отдавать при взаимодействии и поиске предпочтение сайтам с более высоким уровнем доверия и воздерживаться от посещения сайтов с низким уровнем доверия. 2. Использовать различные защитные механизмы работы («песочница», виртуализация партнера и др.) с подозрительными, опасными и нежелательными оппонентами при контакте с IP-адресами с низким уровнем доверия. 3. Использовать имеющуюся в наличии технологию действий в чрезвычайных ситуациях (например, в случае успешной реализации злоумышленной атаки) и механизмы ее реализации (блокирование зоны атаки, немедленное отключение от глобальной сети и др.) 4. Систематически сканировать корпоративную/локальную сеть с целью выявления уязвимостей, других слабостей и недостатков. Следующим рубежом на пути движения субъекта к защищаемым данным является межсетевой экран - специализированный аппаратный или программный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. Основной принцип работы межсетевого экрана: разделение сети на две или более частей и создание списка правил, определяющих проходы пакетов с информацией из одной защищаемой части большой сети в другие и обратно. По технологии реализации межсетевые экраны достаточно разнообразны: программные или аппаратно-программные, могут реализовываться на четырех из семи уровней сетевой модели OSI, начиная с сетевого уровня (чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше и уровень защиты корпоративной сети). Результатом работы межсетевого экрана является прежде всего профильтрованный поток пакетов данных. Фильтрация реализуется на основе списка правил, заранее загруженных в межсетевой экран, которые должны быть утверждены в политике безопасности организации. В межсетевом экране обычно реализуется последовательность фильтров, каждый из которых предназначен для проверки отдельных правил фильтрации. При этом в процессе фильтрации реализуются и другие функции межсетевых экранов, среди которых выделим следующие: - фильтрация и модификация каналов данных; - регистрация событий; - преобразование данных; - проверка подлинности транспортируемых пакетов; - разграничение доступа к ресурсным фондам внутренней корпоративной сети; - кэширование пакетов, поступающих из внешней сети Интернет; - разграничение доступа к ресурсным фондам внешней корпоративной сети; - аутентификация и идентификация сотрудников; - учет заранее заданных ситуаций, регистрация событий, генерация отчетов и осмотр зарегистрированных пакетов; - передача сетевых адресов, которые расположены внутри организации для исходящих пакетов; - проверка подлинности передаваемых и получаемых пакетов; - уведомление администратора, т. е. выдача предупредительных сигналов. На рис. 1 межсетевое экранирование используется дважды: в первом случае для защиты от внешних сетевых атак (блок 2), во втором случае (блок 4) - для защиты закрытых данных внутри подразделения, на входе в которое установлен межсетевой экран, прежде всего - от сетевых корпоративных атак. В настоящее время это один из наиболее важных механизмов защиты от сетевых атак, поэтому функции межсетевого экрана, реализуемые в каждом из указанных случаев, различаются. Для блока 3 основной частью является локальная (корпоративная) сеть, другой частью - глобальная сеть Интернет. Для блока 5 основной частью является сеть подразделения, а все остальные части корпоративной (локальной) сети относятся к другим частям сети. Указанное разделение является реализацией отмеченного выше принципа изолирования в системах обеспечения информационной безопасности. В блоке 2 межсетевой экран, как рубеж защиты от внешних атак, должен обеспечивать реализацию следующих основных функций КУД: - разграничение доступа сотрудников защищаемой сети к внешним ресурсным фондам; - ограничение доступа внешних (по отношению к защищаемой сети) субъектов к внутренним ресурсным фондам корпоративной/локальной сети. В блоке 4 межсетевой экран предназначен прежде всего для фрагментирования внутренней сети (в соответствии с утвержденной топологией сети), а также для защиты от атак внутреннего злоумышленника, не являющегося сотрудником защищаемого подразделения, и должен обеспечивать реализацию следующих основных функций КУД: - разбиение входных портов (их обычно от 30 до нескольких сотен) по группам с целью реализации утвержденной топологии внутренней сети организации; - разграничение доступа сотрудников защищаемой сети к ресурсным фондам организации; - ограничение доступа внешних (по отношению к защищаемому подразделению) субъектов к внутренним ресурсным фондам подразделения. Задачи, перечисленные в блоке 4, с одной стороны, проще, поскольку список корпоративных ресурсов фиксирован, ограничен и контролируем, в отличие от блока 2, где перечень внешних ресурсов, доступных из сети Интернет, огромен и неконтролируем, а доступ персонала со стороны соседних подразделений существенно проще, чем из внешнего окружения. В соответствии с рис. 1 следующим рубежом контроля доступа является корпоративная/локальная сеть (блок 3), имеющая собственную систему контроля доступа - обычно на основе средств идентификации и аутентификации (парольные, биометрические системы, доступ по специальным атрибутам и т. п.). Набор соответствующих средств администрирования сети применительно к КУД обычно имеет свои специфические особенности в зависимости от производителя и требований организации. В России достаточно популярна виртуальная частная сеть (VPN) программно-аппаратной системы VipNet. Рассмотрим механизмы контроля доступа в этой VPN. Наиболее полно они реализованы в модулях ViPNet SafeBoot и ViPNet Контроль приложений 3.1. ViPNet SafeBoot представляет собой программный модуль доверенной загрузки, предназначенный для защиты компьютера, мобильных устройств, серверов от угроз несанкционированного доступа на этапе загрузки системы и от атак на BIOS. На самых ранних этапах загрузки есть риск перехвата данных и отключения базовых защитных механизмов, а также загрузки вредоносного кода и передачи управления недоверенному загрузчику, что может привести к обходу защитных механизмов операционной системы. ViPNet SafeBoot защищает компьютер от этих угроз. Основные функции ViPNet SafeBoot: - авторизация на уровне BIOS до загрузки основных компонентов операционной системы; - контроль целостности BIOS, защищаемых компонентов операционной системы и аппаратного обеспечения; - блокировка загрузки нештатной копии операционной системы; - разграничение доступа на основе ролей; - организация доверенной загрузки операционной системы. Программа ViPNet Контроль приложений позволяет следить за сетевой активностью приложений, установленных на компьютере. Программа «Контроль приложений» предоставляет защиту от таких угроз, как, например, несанкционированный доступ к пользовательским данным или запуск «шпионских» программ. Обычно программа «Контроль приложений» входит в состав ViPNet Personal Firewall и ViPNet Office Firewall, реализующих функции межсетевого экрана. Программа «Контроль приложений» позволяет обнаружить сетевую активность приложений на компьютере и либо блокирует ее, либо разрешает в зависимости от настроек, а именно блокирование/разрешение: - создание исходящих соединений; - открытие портов для входящих соединений; - отправку пакетов без предварительного создания соединения; - доступ приложений в сети (программы, проявляющие сетевую активность (например, прослушивание трафика) регистрируются; - регистрация приложений, проявляющих сетевую активность. Если задан уровень полномочий «Повышенная безопасность» или «Ограниченный интерфейс», то модуль реализует следующие функции блокирования: - изменять параметры в разделе Настройка; - изменять настройки в разделе Журнал событий; - изменять состав списков запрещенных и разрешенных приложений; - отключать программу «Контроль приложений». Следующим рубежом в системе КУД является коммутатор или мост (блок 5). Коммутаторы и мосты позволяют разбивать сеть на определенные сегменты - домены коллизий, что обеспечивает нераспространение различных коллизий за границы сегментов. Современные интеллектуальные коммутаторы поддерживают виртуальные локальные сети. Мост является механизмом транспортировки кадров между двумя и более участками - доменами. Мост выполняет простую функцию: анализирует кадры, которые приходят на каждый его порт, и создает списки MAC-адресов узлов, которые подключены к этим портам, а затем принимает решение о дальнейшем перенаправлении кадра. Коммутатор, наряду с функциями моста, осуществляет, прежде всего, сегментацию сети. Коммутаторы имеют множество портов, между которыми должна реализовываться виртуальная цепь транспортировки для каждого пакета. В общем случае N-портовый коммутатор реализует N/2 одновременно действующих виртуальных цепей. В мостах реализован 1 процессор, который справлялся со всеми задачами. В коммутаторах для поддержания мощности каждый порт может иметь свой процессор, и все эти процессоры работают параллельно. Таким образом, основные функции коммутатора (моста): - сегментация корпоративной/локальной сети; - коммутация портов для дальнейшей передачи кадров; - блокирование кадров при наличии такой возможности в коммутаторе. Следующим рубежом КУД является рабочая станция (блок 6), основу которой составляет компьютер. Процесс доступа к компьютеру и другим устройствам в составе рабочей станции может быть регламентирован на основе различных программно-аппаратных средств доступа: парольной системы, специальных плат, установленных в компьютер, специальных ключей, таблеток, брелков, флэшек и т. п. Внутри компьютера наиболее важным рубежом является операционная система (блок 7). Как отмечалось выше, современные операционные системы позволяют реализовывать очень широкий набор механизмов КУД, опираясь на различные политики управления доступом (в частности, дискреционную, мандатную или ролевую). Обзор имеющихся возможностей изменения регламента доступа и администрирования правил доступа для наиболее распространенных операционных систем (в частности, семейств Windows, Linux) требует отдельного рассмотрения. Вслед за операционной системой, как рубежом в системе КУД, следующим рубежом является конкретное прикладное программное обеспечение (блок 8): СУБД, редакторы, системы электронного документооборота и др.). Обычно все эти системы имеют свои индивидуальные механизмы ограничения и контроля доступа. Последний рубеж в системе КУД - непосредственно данные ограниченного доступа (блок 9), которые также могут иметь свои механизмы ограничения доступа (обезличивание, перемешивание, шифрование или кодирование), что не позволяет злоумышленнику получить доступ к требуемым элементам данных без знания ключа доступа. Таким образом, мы описали общую процедуру КУД на основе рубежной модели доступа, когда процесс доступа является многорубежным, многоэшелонированным. Были перечислены в самом общем виде 9 рубежей, которые необходимо преодолеть субъекту, чтобы получить доступ к требуемым данным. Перечисление всех функций, которые реализуются в целом по всем рубежам, требует отдельного рассмотрения. Аналогичный анализ можно выполнить и для физической среды на основе схемы на рис. 2. Опишем кратко основные методы ограничения и контроля доступа [6]. Первый рубеж (блок 1) - это внешний периметр организации. Для защиты внешних рубежей применяются: - заборы, периметровые средства защиты, системы видеонаблюдения, датчики движения; - охранные группы, сторожевые вышки; - пропускные пункты, регламент их работы применительно к персоналу, посетителям и транспортным средствам, контрольные метки у посетителей и персонала и др. Вторым рубежом защиты (блок 2) является территория организации. Возможные средства защиты во многом аналогичны предыдущим, за исключением периметровых средств, охранных групп (если они и используются, то в обычно в существенно меньших масштабах) и пропускных пунктов. Однако меняется степень важности средств - существенно возрастает роль систем видеонаблюдения, контроль со стороны ответственных сотрудников службы безопасности. Могут быть использованы также средства контроля перемещения по контролируемой территории. Третий рубеж защиты (блок 3) - это здание (или здания), где находится защищаемая информация (или защищаемые данные), а также места общего назначения внутри здания: коридоры, вестибюли, туалеты, столовые и т. п. Наряду с системой видеонаблюдения, охраной на входе в здание, контролем аварийных выходов, важное место занимают инженерно-строительные средства защиты (укрепление внешних стен, подвальных помещений и полов, потолков и крыши, решетки на окнах), а также различные датчиковые устройства и системы (датчики разбития стекол, пересечения дверных и оконных проемов, вибрационные датчики для контроля попыток механически проломить стены, потолки или полы и др.). Четвертым рубежом (блок 4) являются входные границы подразделений (двери, пункты охраны, вертушки), где размещена защищаемая информация, а также примыкающие к ним части помещений общего назначения (обычно коридоров) внутри здания. Основные механизмы и средства контроля доступа: идентификация и аутентификация, охрана, журнализация, а также системы видеонаблюдения. Следующим, пятым рубежом защиты является охраняемое помещение (блок 5). Методы защиты аналогичны методам защиты на предыдущем рубеже, но используется также визуальный контроль посетителей и часто отсутствует охрана. Шестым рубежом защиты (блок 6) является рабочая станция как физический объект (а не как средство обработки данных). Меры защиты аналогичны мерам защиты любых ценностей (в частности, системы видеонаблюдения, сигнализация) при попытках переместить компоненты рабочей станции. Последний рубеж защиты (блок 7) - непосредственно носитель данных. Злоумышленник может снять его с компьютера, раскрыв системный блок. Меры контроля доступа - сигнализация при попытках вскрыть корпус системного блока. Таким образом, кратко рассмотрены все основные рубежи защиты от угроз, приходящих в систему через информационную и физическую среды [7]. Заключение В ходе исследования были получены следующие результаты: - выделены три основные среды возможного проникновения угроз: информационная, физическая и электромагнитная; - описаны этапы процесса доступа потенциальных угроз для информационной и физической сред; - показана необходимость формирования рубежей защиты на входе каждого из приведенных этапов; - на основе анализа содержания выделенных рубежей доступа сформирован перечень функций информационной безопасности, которые необходимы на каждом из рубежей доступа и в системе защиты в целом, включающий в себя более тридцати базовых функций и технологических процедур; - отмечается, что наличие данного перечня является одной из основ формирования комплексной системы обеспечения информационной безопасности, обеспечивающей многоуровневую защиту охраняемых информационных ресурсов.