На главную
Системы
защиты второго рода
Приведенные примеры иллюстрируют тот факт, что распределенные системы
не могут считаться АЕЗИ, а это значит, что недостаточно средств
безопасности, построенных по принципу защиты на уровне передачи
информации/установления связей. Вспомнив определение распределенной
системы как связанной совокупности единиц обмена информации, можно
выделить в ней два типа связей - сильные (непосредственное
взаимодействие субъектов и объектов) и слабые (например сетевой
трафик). Поскольку нельзя распространить понятие АЕЗИ на все связи
распределенной системы, то разумно использовать его только для
субъектов и объектов, охваченных сильными связями.
В данной модели слабые связи возможны только между субъектами
информационного обмена.
Таким образом, атомарный для защиты уровень должен быть понижен до
уровня составляющих распределенной информационной системы -
информационных узлов: для вычислительной сети - отдельный компьютер
(хост); для системы электронной торговли - продавец, покупатель или
брокер/банк; для корреспондентской сети банков - отдельный банк или
банки одной финансовой группы.
Что происходит в хост-системе, представляющей собой узел некоторой
распределенной системы? Узел с некоторой периодичностью устанавливает
слабые связи с другими информационными узлами, вследствие ряда внешних
по отношению к нему процессов. Для каждой из таких связей в данной
хост-системе создается представление - образ внешнего процесса (ОВП).
Уже было убедительно показано, что информации, предоставляемой
технологией передачи распределенной системы, недостаточно для получения
адекватного ОВП. По-другому этот принцип может быть сформулирован так:
ни один субъект не может считаться полностью авторизованным для доступа
к информационному объекту.
Реализация данного подхода и характеризует то, что называется здесь
средствами защиты второго рода которых сегодня в чистом виде просто не
существует. Каковы же тогда основные принципы, которые должны быть
реализованы в подобных системах защиты?
1. Мониторинг процессов [1]. Очевидно, что некоторая система становится
хост-системой только в том случае, когда она предоставляет возможность
доступа извне к своим информационным ресурсам. При создании средств
такого доступа (серверных процессов), как правило, имеется достаточное
количество априорной информации, относящейся к поведению клиентских
процессов. К сожалению, в большинстве случаев эта информация попросту
игнорируется. После аутентификации внешнего процесса в системе он в
течение всего своего жизненного цикла считается авторизованным для
доступа к некоторому количеству информационных ресурсов. Попыток
проверить, насколько адекватен созданный ОВП этому внешнему процессу и
имеющейся априорной информации, не делается.
Метод мониторинга процессов заключается в создании специального
расширения системы, которое бы постоянно осуществляло подобные типы
проверок. И хотя указать все правила поведения внешнего процесса в
большинстве случаев не представляется возможным, вполне реально
определить их через отрицание или, иначе говоря, указать, что внешний
процесс не может делать ни при каких условиях.
2. Дублирование технологий передачи. Поскольку существует риск
компрометации любой технологии передачи информации как в силу ее
внутренних недостатков, так и вследствие воздействия извне,
единственный способ застраховать себя от последствий подобной ситуации
заключается в параллельном применении нескольких отличных друг от друга
технологий передачи. Может показаться, что сегодня данный подход уже
широко используется - например вполне возможно, взяв за основу
перечисленные в начале статьи способы, войти в систему, защищенную
брандмауэром, используя протокол ssh, и быть аутентифицированным в ней
по паролю. Однако использование нескольких средств защиты является в
таких случаях скорее последовательным, нежели параллельным. Очевидно,
что дублирование приведет к резкому увеличению сетевого трафика. Тем не
менее такой способ может быть эффективным, когда стоимость рисков от
возможных потерь оказывается выше накладных расходов по дублированию.
3. Децентрализация. Во многих случаях использование стандартизованных
технологий обмена информацией вызвано не стремлением к стандартизации,
а недостаточной вычислительной мощностью большинства хост-систем.
В качестве примера можно привести широко используемый в Internet
протокол Domain Name Service (DNS). Его применение для получения
сетевого адреса зачастую требует прохождения запроса через цепочку
серверов, что увеличивает риск подмены информации. Для уменьшения
подобного риска вполне возможно создание локальных баз данных всех (или
части) имен DNS с периодическим их обновлением.
Реализацией децентрализованного подхода может считаться и широко
распространенная в сети Internet практика "зеркал". Создание нескольких
идентичных копий ресурсов может быть полезным в системах реального
времени, даже кратковременный сбой которых может иметь достаточно
серьезные последствия. Случай с Web-сервером компании Microsoft,
который на 10 минут был выведен из строя, хорошо иллюстрирует этот
вывод.
Построенные с применением этих трех принципов системы защиты не могут
заменить системы первого рода. Важно то, что применение этих принципов
не исключает использования технологий защиты информации сетевого
уровня. Поэтому при разработке политики безопасности для распределенной
информационной системы целесообразно использование систем защиты как
первого, так и второго рода.
