1. Новый подход корпорации Microsoft к решению проблемы защищенности информационных систем (Trustworthy Computing)

1.1. Почему защищенность?

В то время как многие технологии, в которых используется вычислительная техника, продемонстрировали свою необычайную надежность и защищенность – компьютеры помогли людям долететь до Луны и вернуться обратно, они управляют важнейшими системами авиаперевозок с миллионами рейсов в год и ежедневно переводят триллионы долларов по всему земному шару – в общем и целом компьютеры не достигли того уровня, чтобы люди были готовы явным или неявным образом доверить им свою жизнь. Многие не хотят доверять сегодняшним компьютерным системам свою личную информацию, например финансового или медицинского характера, поскольку их все сильнее беспокоит уровень защищенности и надежности этих систем, которые, по их мнению, представляют собой существенный риск для общества. Если использование компьютеров действительно распространится на все стороны жизни и тем самым реализуется беспредельный потенциал информационных технологий, – то необходимо будет сделать компьютерную экосистему¹ достаточно защищенной, чтобы люди не волновались из-за ошибок и неустойчивости в ее работе, как это происходит сегодня.

Защищенность – широкое понятие, и, чтобы сделать что-то защищенным, помимо основательной работы инженеров, нужна и социальная инфраструктура. Все системы отказывают время от времени, но юридическая и коммерческая практика, в рамках которой они существуют, может компенсировать тот факт, что ни одна технология никогда не будет безупречной.

Таким образом, это не только борьба за то, чтобы сделать программное обеспечение защищенным. Поскольку компьютеры в какой-то степени уже утратили доверие людей, предстоит преодолеть существующее положение дел, когда нередко случаются отказы и сбои машин, программ и систем. Необходимо будет убедить людей, что системы, программы, службы, люди и компании, вместе взятые, вышли на новый уровень надежности, конфиденциальности и готовности к работе. Придется преодолеть ощущение незащищенности, которое люди сейчас испытывают по отношению к компьютерам.

Концепция "Защищенные информационные системы" включает целый ряд действий, которые необходимо предпринять для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя так же комфортно, как сегодня при использовании устройств, питающихся от электрической сети. Этот процесс может занять 10-15 лет – как для ИТ-индустрии, так и для всего общества.

Это подразумевает коренные перемены не только в том, каким образом пишутся и распространяются компьютерные программы, но и в том, как общество видит использование компьютеров в целом. Есть текущие проблемы, требующие решения, и есть фундаментальные вопросы для исследований. Есть шаги, которые могут и должны предпринимать отдельные люди и компании, но есть и проблемы, которые могут быть решены только совместными усилиями консорциумов, исследовательских сообществ, государств и всего мира в целом.

1.2. Защищенные технологии в целом

Все общепринятые технологии – такие как электричество, автомобили или телефоны – вошли в повседневную жизнь и пользуются доверием, поскольку они почти всегда готовы к работе, когда в них нуждаются, они делают то, что от них ждут, и работают так, как и было обещано.

Почти любой человек в развитом мире может купить новый телефон и включить его в телефонную розетку, не волнуясь о том, будет он работать или нет. Для него само собой разумеется, что, сняв трубку, он услышит гудок, а когда дозвонится, то сможет слышать собеседника. Он исходит из того, что никто не сможет подслушать разговор или получить список тех, кому он звонил. Этот человек, как правило, предполагает, что телефонная компания будет предоставлять услуги и взимать за них плату согласно своим обязательствам. Усилия инженеров, практика бизнеса и регулирование в совокупности создали ситуацию, когда люди воспринимают телефонную службу как должное.

Можно выделить три общих качества, которые, по мнению большинства людей, должны присутствовать в любой защищенной технологии: безопасность, безотказность и бизнес-этика (то есть добросовестность организации, предоставляющей технологию).

1.3. Защищенные информационные системы

Компьютерные устройства и информационные службы смогут распространиться действительно повсеместно, когда они станут настолько надежными, что о них можно будет просто забыть. Другими словами, к тому времени, когда компьютеры начнут проникать почти во все сферы жизни, необходимо иметь возможность им доверять. При этом методы создания компьютеров и методы, с помощью которых сегодня создаются службы на основе компьютеров, по сути, не настолько сильно изменились за последние 30-40 лет. Но это должно произойти.

Пока еще не найдена классификация, которая могла бы послужить моделью для обсуждения вопросов в области защищенных информационных систем. И хотя существует множество разнообразных концепций защищенности, каждая из них охватывает только узкую область. Например, есть концепции доверия в операциях электронной коммерции и взаимного доверия между системами удостоверения личности, и есть анализы восприятия компьютеров в обществе; однако подлинно эффективный подход должен объединять различные аспекты: и с инженерной точки зрения, и с точки зрения политики в этой области; и с точки зрения пользователей. При этом даже лишь с инженерной точки зрения наша задача шире, чем, например, в моделях SysTrust/SAS70² , которые имеют дело только с крупными онлайновыми системами.

Во-первых, есть сама техника. Она должна быть достаточно надежной, чтобы ее можно было встраивать во всевозможные устройства – другими словами, она не должна отказывать чаще, чем другие сравнимые по важности технологии в жизни человека. Затем есть программное обеспечение, работающее на этой технике: считают ли люди его настолько же надежным? И, наконец, существуют компоненты-службы, которые также во многом зависят от программного обеспечения. Это особенно сложная проблема, поскольку сегодня необходимо обеспечивать надежность комплексных, глубоко взаимосвязанных (а иногда и интегрированных) систем.

1.4. Фундаментальные проблемы

Политические вопросы

Когда какая-то технология становится неотъемлемой частью жизни общества, то общество начинает принимать большее участие в ее развитии и управлении ею. Так было с железными дорогами, телеграфной и телефонной связью, телевидением, энергетикой и т.п. Сегодня общество только начинает уделять внимание тому факту, что оно в значительной степени зависит от компьютеров.

Человечество вступает в эру конфликта между предпринимательской энергией, порождающей новшества, и потребностью общества осуществлять регулирование критического ресурса, невзирая на риск подавления конкуренции и изобретательности. Это осложняется тем фактом, что социальные нормы и связанные с ними правовые модели меняются медленнее, чем технологии. ИТ-индустрия должна найти подходящее равновесие между потребностью в регулирующей системе и собственными стремлениями как отрасли, сформировавшейся без регулирования и опирающейся на стандарты де-факто.

Многие современные проблемы надежности инфраструктуры – это на самом деле политический вопрос. Недавний энергетический кризис в штате Калифорния (США) во многом был вызван плохо проведенной приватизацией. Малая зона покрытия и плохое обслуживание у операторов сотовой связи в США частично обусловлены директивой Федеральной комиссии США по связи (Federal Communications Commission, FCC) не предоставлять общефедеральных лицензий. Вопросы политики часто выходят за границы государств, как можно видеть на примере борьбы за введение глобальных стандартов для технологий мобильной связи третьего поколения. Существующие пользователи эфира (часто это военные) в разных странах занимают разные полосы частот и отказываются их освобождать, затрудняя отыскание единого диапазона в мировом масштабе.

Сложность обработки данных

Сегодня можно наблюдать появление сверхкрупных компьютерных систем, построенных на основе слабых связей между службами, машинами и прикладными программами. Неожиданные (и самые разные) проявления в работе таких систем представляют собой все большую, долгосрочную угрозу.

Архитектура, основанная на разнообразии, устойчива, но при этом функционирует на грани хаоса. Это справедливо для всех сверхкрупных систем, начиная от природных – например, погодных условий, до созданных человеком – например, рынков и единой энергосистемы. Все ранее созданные людьми сверхкрупные системы – энергосистема, телефонные сети – отличались внезапным непредсказуемым поведением. Вот почему в 1965 году отказала энергосистема и было обесточено все восточное побережье Соединенных Штатов, и вот почему время от времени целые города отключаются от телефонной сети, стоит кому-нибудь установить программное исправление на единственном коммутаторе. Дело в том, что сложность системы превзошла способность любого отдельного человека – и любой отдельной организации – понимать все ее взаимосвязи.

Сегодня существуют чрезвычайно защищенные и безопасные компьютерные системы, но по большей части это отдельные системы специального назначения, которые тщательно проектируются и затем работают изолированно. На самом деле неизвестно, что случится, если динамически связать друг с другом миллиарды – а возможно, и триллионы – интеллектуальных и зависящих друг от друга устройств, обладающих архитектурой и программным обеспечением множества разных типов и поколений.

С ростом мощности компьютеров – как в отношении объема хранимых данных, так и в отношении скорости вычислений – соответственно возрастают абсолютный размер и сложность программного обеспечения. Это проявляется во многом, начиная с того, как администрируются эти машины, и заканчивая тем, как установить, что они сломались, как их ремонтировать и как расширять их возможности. Все эти моменты в конечном итоге влияют на то, воспринимают ли люди такую систему как защищенную.

Избыточность аппаратных средств

На сегодняшний день пока не существует действительно хороших экономичных и широко используемых механизмов создания сверхнадежных аппаратных средств. Тем не менее при сохранении существующих темпов развития, возможно, когда-нибудь самым обычным явлением станет кристалл, на котором будет находиться свыше 200 млн. транзисторов. В какой-то момент окажется целесообразным организовать их в четыре параллельные системы, которые будут избыточны, а значит, более устойчивы к сбоям. Возможно, себестоимость подобной избыточности в отдельном компоненте окажется приемлемой. Подобным же образом производитель компьютеров или конечный пользователь могут решить, что необходимо установить два жестких диска меньшего объема для дублирования данных, значительно повысив тем самым стойкость системы на случай выхода диска из строя.

Возможно, скоро появятся новые архитектурные подходы к живучести компьютерных систем, но в ее основе всегда лежит избыточность. А значит, за эту избыточность придется платить. Поэтому людям фактически придется снова решать: сэкономить ли деньги, но потенциально столкнуться с большим числом отказов, либо потратить больше денег, повысить сложность системы и ее администрирования, чтобы решить соответствующие вопросы безопасности, конфиденциальности и технологической достаточности, тем самым устранив проблемы?

Межмашинные процессы

Отличительная черта использования веб-сервисов – вычисления на периферии сети. Приложения peer-to-peer³ станут правилом, и данные будут обрабатываться и храниться распределенным образом. Администрирование подобной системы потребует сложных межмашинных процессов. Данные будут содержать собственное описание. Машины будут слабосвязанными, самонастраивающимися и самоорганизующимися. Они будут сами себя администрировать, чтобы соответствовать централизованно заданным политикам.

Веб-приложения предстоит проектировать с учетом работы в асинхронном мире. Персональный компьютер знает, где находятся его периферийные устройства, поскольку необходимые связи уже заданы (пользователем или программным обеспечением) в какой-то момент в прошлом. Если что-то нарушает эту синхронность, программы иногда просто зависают. Улучшенная поддержка устройств Plug-and-Play⁴ в Windows XP, а также архитектуры "горячего подключения" типа USB⁵ и IEEE 1394⁶ прокладывают путь к подлинно "асинхронному" ПК, но такого рода зависимости временами еще встречаются.

В интернете, однако, устройства появляются и исчезают, и время отклика меняется в широких пределах. Устойчивым веб-системам требуется динамическое обнаружение и автоматическая настройка. Если принимается идея о том, что все является асинхронным и слабосвязанным, возможности для отказов еще более расширяются. Для каждого потенциального взаимодействия необходимо учитывать такую возможность, что на самом деле его не произойдет, поскольку интернет – это всего лишь система с "максимальными усилиями": если пользователь щелкает ссылку и ничего не получает, то он щелкает снова. Поэтому все компьютерные системы необходимо перепроектировать с учетом восстановления при сбоях в ходе взаимодействий.

Идентификация личности пользователя

В связи с проблемой создания защищенных информационных систем иногда поднимаются вопросы, касающиеся идентификации личности пользователя. Идентификация личности не фигурирует в модели в явном виде, поскольку пользователь не ожидает, что компьютерная система будет ее определять. Тем не менее личность пользователя – это ключевое понятие, в соответствии с которым предоставляются те или иные услуги. Идентификация личности (проверка подлинности клиента, аутентификация) должна быть устойчива к взлому, чтобы можно было с большей надежностью предпринимать действия на основе полученной информации о пользователе (проверка полномочий⁷ , авторизация). Поэтому пользователи ожидают, что их персональные данные будут защищены от нежелательного использования.

Описать, что такое личность, сложно в принципе, но это особенно сложно в электронной среде. Существует рабочее определение, что личность представляет собой совокупность неизменных составляющих из числа отличительных характеристик, по которым человек (или предмет) может быть узнан или которыми он известен. Личность – понятие расплывчатое и контекстнозависимое, поскольку эти "обрывки"-составляющие находятся в самых разных местах в электронной, физической и эмоциональной форме. Какая-то часть личности "принадлежит" пользователю, но в значительной степени личность "определяется" другими людьми, будь то юридически (государством или компаниями) или в порядке неформального узнавания в обществе.

В проблему идентификации личности упираются многие элементы защищенности информационных систем. Пользователи беспокоятся о конфиденциальности своих данных частично из-за того, что они понимают, что, казалось бы, несвязанные составляющие их личности могут легче быть собраны в одно целое, когда эти фрагменты находятся в электронном виде. Лучшее свидетельство тому – растущая в обществе боязнь мошенничества с кредитными картами и "кражи личностей", поскольку операции в интернете более прозрачны и анонимны по сравнению с офлайновыми операциями, хотя оба эти преступления столь же возможны в физическом мире. Пользователи ожидают, что их персональная информация, включая составляющие их личности, не будет раскрываться без особого на то разрешения.

Человеческий фактор

Управлять очень крупными компьютерными сетями уже непросто и со временем становится лишь сложнее. Масштабность трудностей маскируется тем, что пока для этого, как правило, нанимаются специалисты. Недостатки машин, сетей, методов управления, инструментов и самих приложений часто смягчаются талантливыми системными администраторами, напряженная работа которых в какой-то степени компенсирует тот факт, что компоненты систем не всегда функционируют так, как ожидается или как хотелось бы.

Многие системные сбои происходят из-за сложности систем. Люди допускают ошибку в администрировании, не устанавливают пакет исправлений или неправильно настраивают брандмауэр, и простой сбой превращается в катастрофу. Существует очень сильная зависимость от операторов-людей, которые должны делать то, что нужно, изо дня в день.

Знающих администраторов уже не хватает, и происходит постоянная сдача позиций. Хуже того, потребности в администрировании выходят за рамки сферы деятельности профессиональных ИТ-менеджеров. С одной стороны, сложилась ситуация, когда даже лучшим операторам приходится трудно: системы меняются слишком быстро, чтобы люди успевали с этим разобраться. С другой стороны, массовое распространение компьютеров в конце концов породит необслуживаемые системы, которые люди будут носить с собой или держать в машине или дома.

Поэтому необходимо предоставить людям более простые возможности, которые обеспечат надлежащее функционирование системы при минимальном вмешательстве человека. Следует стремиться к ситуации, когда люди, принимающие решения, смогут задать политику и распространить ее на тысячи машин, не прилагая при этом существенных усилий по написанию программ, переключению рычагов или нажатию кнопок на администраторских пультах.

ИТ-индустрия может подойти к проблеме различными путями. Может быть, на самом деле следует совершенно иначе писать программы? Необходимы ли в принципе системные администраторы? Или следует разрабатывать машины, которые смогут администрировать другие машины без постоянного вмешательства человека?

Средства программирования

Для каждого из этих подходов требуются новые виды программного обеспечения. По мере того, как абсолютное число машин и их сложность растут, процесс администрирования начинает сталкиваться с проблемой нехватки обученных людей и их возможностей.

Поэтому сообществу разработчиков средств программирования необходимо задуматься о создании более подходящих способов написания программ. Людям, традиционно размышляющим над тем, как управлять компьютерами, предстоит подумать о том, как расширить возможности компьютеров по самоорганизации и самоуправлению.

Нужно продолжать совершенствование средств программирования, потому что сегодня программирование слишком подвержено ошибкам. Однако существующие средства не обеспечивают адекватной поддержки, поскольку остается ряд уровней абстракции, требующих непосредственного управления. Другими словами, проектировщику приходится не только учитывать архитектуру системы и вопросы платформ и библиотек, но также и все остальное – от производительности, локализации и удобства сопровождения до структур данных, многопоточности и управления памятью. Слабо поддерживается параллельное программирование: большинство управляющих конструкций строятся последовательно, и весь процесс также носит последовательный характер. И это только на стадии разработки; на этапе развертывания становится все труднее проверять сложные взаимодействия систем, версий и широкого спектра операционных сред. Кроме того, все большее распространение получают инструменты, предлагающие усовершенствованные функции разработки более широким слоям пользователей, но не помогающие новичкам и неопытным пользователям писать хороший код. Есть также вопросы из области долгосрочного функционирования: например, инструменты не поддерживают выход технологий из употребления или изменение тенденций, касающихся возможностей устройств, объемов хранения, скорости и т.п. Здесь можно вспомнить о том, какие колоссальные усилия были затрачены на "Проблему-2000" из-за того, что программисты 60-х и 70-х годов не ожидали, что их код все еще будет использоваться на машинах, намного превосходящих возможности машин того времени.

Функциональная совместимость

Рост сети Интернет продемонстрировал, что стандартные технологии – от TCP/IP до HTTP – необходимый элемент для создания крупномасштабных, многоцелевых компьютерных систем, способных приносить людям пользу и завоевывать их доверие (подобные же стандарты, введенные техническими средствами, или посредством регулирования, или тем и другим способом одновременно, принесли успех и многим другим технологиям – от железных дорог до телевидения). Очевидно и неизбежно, что функционально совместимые системы еще долгое время будут направлять развитие индустрии высоких технологий.

Однако функциональная совместимость ставит перед ИТ-индустрией уникальный ряд проблем с точки зрения технологий, регулирующих норм и практики бизнеса. Существующие "защищенные" информационные системы, например, сеть управления воздушным движением, очень сложны и в большой степени зависят друг от друга, но в то же время они разработаны для специальных задач, редко модифицируются и строго контролируются из единого центра. Остается открытым вопрос, может ли распределенная, гибкая и динамическая компьютерная система с нефиксированной организацией, построенная на функционально совместимых технологиях, когда-либо достичь такого же уровня безотказности и защищенности.

Функциональная совместимость также ставит определенную проблему с точки зрения ответственности и доверия, поскольку все труднее найти того, кто отвечает за недостатки. Если в сегодняшнем интернете, построенном на принципах децентрализации и коллективного управления, произойдет какой-то массированный сбой, кто будет нести ответственность за это? Одна из важных причин, по которым люди не склонны доверять интернету, состоит в том, что они не могут с легкостью определить, кто отвечает за его недостатки, кого следует винить за катастрофическое нарушение работы сети или за крах системы доменных имен? Если ставится задача создать и использовать полностью функционально совместимую (и взаимозависимую) систему, которой люди смогут доверять, необходимо четко определиться, кто и за что отвечает.

Концептуальные модели

Что касается защищенных информационных систем, здесь существует фундаментальная проблема: информатике недостает теоретических основ. Компьютерная безопасность – сама по себе лишь один из компонентов защищенной информационной системы, – как правило, рассматривается как подраздел безопасности коммуникаций, которая основана на криптографии. Криптография имеет прочную математическую основу, но явно не подходит для решения проблем защищенных информационных систем. Как заметил один из разработчиков корпорации Microsoft Джим Каджийя (Jim Kajiya): "Это все равно, как если бы мы строили паровые двигатели, не понимая основ термодинамики". Компьютерное научное сообщество пока не нашло альтернативного подхода; оно застряло на криптографии. Возможно, исследования в области вычислительной комбинаторики или какой-то другой информационной теории, изучающей фундаментальную природу передачи информации, или исследования в области компьютерных взаимодействий могли бы в конечном итоге частично предоставить такую альтернативу. Но сегодня это всего лишь предположения.

Компьютерная система защищена лишь настолько, насколько защищено ее самое слабое звено. И слишком часто слабым звеном оказывается человек: проектировщик, создающий плохое решение под напором сложностей, с которыми он сталкивается; администратор, неправильно настроивший систему; бизнесмен, предпочитающий предложить новые функции в ущерб надежности, или техник службы сопровождения, ставший жертвой мошенников, использующих "социальную инженерию"⁸ . Взаимосвязь информационных технологий и социологии станет важной сферой для исследований в области защищенных информационных систем. До сих пор взаимообмен между этими областями едва ли имел место.

2. Примеры обеспечения безопасности российских информационных систем с помощью технологий корпорации Microsoft

2.1. Средства защиты информации в автоматизированной системе Министерства путей сообщения РФ

Решаемая задача

Автоматизированная система Центра ситуационного управления (ЦСУ), созданная в Научном информационно-аналитическом центре Министерства путей сообщения Российской Федерации (МПС России), предназначена для сбора необходимой информации из различных источников и последующей обработки этой информации с помощью аналитических программных средств. Обработанная информация может быть использована для принятия отраслевых управленческих решений различного уровня.

Информация, обрабатываемая в автоматизированной системе ЦСУ, является собственностью МПС России. Воздействие на информацию, циркулирующую в АС ЦСУ, может привести к нанесению ущерба ее собственнику. Поэтому в соответствии с требованиями Федерального закона "Об информации, информатизации и защите информации" такая информация подлежит обязательному учету и защите.

Перед научно-инженерным предприятием "Инфорзащита" была поставлена задача создания комплексной системы информационной безопасности в автоматизированной системе ЦСУ МПС России, полностью удовлетворяющей требованиям к автоматизированным системам класса 1Г в соответствии с руководящим документом Гостехкомиссии России. Такая система информационной безопасности была реализована в 2000 году.

Используемые сертифицированные средства защиты информации

В настоящее время система ЦСУ должна соответствовать требованиям РД Гостехкомиссии России к автоматизированным системам класса 1Г. Однако в дальнейшем планируется повысить ее класс до уровня 1В. Учитывая, что защита информа

ции в автоматизированных системах класса 1В должна осуществляться с использованием сертифицированных средств защиты информации, в качестве основы для построения комплексной системы информационной безопасности был выбран сетевой вариант системы Secret Net 4.0.

Защита информации с помощью механизмов корпорации Microsoft

Для защиты данных, передаваемых между клиентами автоматизированных систем и веб-сервером, используется протокол SSL с использованием Сервера сертификатов (Certification authority, CA), который входит в состав Microsoft Windows 2000 Server и Internet Information Server 5.0, работающих под управлением Windows NT 2000 Server. Аутентификация с применением сертификатов клиентов позволяет серверу идентифицировать индивидуальных пользователей и предоставить им заданные администратором права доступа к каталогам или файлам веб-сервера.

Для повышения защищенности рабочих станций и серверов на всех жестких дисках используется файловая система NTFS. Атрибуты доступа к системным файлам, каталогам, а также к ключам реестра Windows NT и Windows 2000 установлены в соответствии с рекомендациями, разработанными сотрудниками компании "Информзащита".

Для восстановления системы в случае искажения системных файлов используется аварийный диск восстановления – Emergency Repair Disk. Информация на аварийный диск копируется с помощью встроенной программы Windows NT, позволяющей восстанавливать системные списки управления доступом (System Access Control Lists, SACLs).

Взаимодействие сертифицированных средств защиты информации и продуктов корпорации Microsoft

Управление

Выделенный сервер в сети ЦСУ функционирует под управлением операционной системы Microsoft Windows NT 4.0 Server и исполняет роль главного контроллера домена (Primary Domain Controller, PDC). База данных пользователей PDC используется системой Secret Net 4.0 и веб-сервером IIS 5.

Администрирование подсистемы защиты осуществляется специально выделенным сотрудником Службы информационной безопасности. Автоматизированное рабочее место администратора безопасности функционирует на компьютере под управлением ОС Windows NT 4.0 Workstation и включает в себя подсистему управления системой Secret Net 4.0.

Подсистема управления Secret Net позволяет администратору безопасности управлять штатными настройками ОС Windows NT, например, парольной политикой, политикой учетных записей, временем работы пользователей в информационной системе, атрибутами доступа к файлам, каталогам и ключам реестра Windows NT.

Необходимо отметить, что подсистема управления Secret Net позволяет управлять теми настройками ОС Windows NT, которые имеют отношение к безопасности информационной системы.

Защита информации

Клиентская часть системы защиты Secret Net позволяет повысить безопасность операционной системы Windows за счет использования дополнительных механизмов защиты, таких как:

• замкнутая программная среда;
• полномочное управление доступом;
• затирание удаляемой информации;
• идентификация и аутентификация пользователей по электронным идентификаторам.

Регистрация событий

Система Secret Net позволяет регистрировать более ста видов собственных событий. Кроме того, Secret Net позволяет управлять политикой аудита Windows NT. При этом информация обо всех событиях, которые регистрирует операционная система, записываются не только в журнал Windows NT, но и в журнал Secret Net.

Сервер безопасности выполняет сбор информации обо всех событиях, произошедших на рабочих станциях, и заносит их в единый журнал регистрации, что позволяет администратору безопасности со своего автоматизированного рабочего места ознакомиться со всеми событиями, произошедшими в информационной системе. При этом о попытках несанкционированных действий злоумышленника администратор узнает немедленно.

2.2. Обеспечение информационной безопасности в системе РИАС (Чувашская республика)

Ситуация

В настоящее время в Чувашской Республике выполняется масштабный проект по созданию Республиканской информационно-аналитической системы (РИАС), реализующей на уровне субъекта федерации ключевые направления Федеральной целевой программы "Электронная Россия на 2002-2010 годы" и закладывающей фундамент "электронного правительства". РИАС представляет собой целостную технологическую, программную и информационную среду создания, хранения, анализа и распространения информации в области финансов, экономики и хозяйственной деятельности в интересах органов государственной власти и местного самоуправления, организаций и граждан Чувашской Республики⁹.

В рамках РИАС модернизируется республиканская коммуникационная инфраструктура общего доступа, с помощью которой обеспечивается доступ к интернету, электронной почте, информационным ресурсам и системам РИАС для органов власти и местного самоуправления на всей территории республики. Районные администрации, налоговые инспекции, отделения пенсионного фонда и другие органы власти в 25 муниципальных образованиях республики подключены к узлам доступа по выделенным каналам, остальные пользователи – по коммутируемым каналам. Поддерживается единая система электронной почты Microsoft Exchange, к которой подключены практически все органы власти и местного самоуправления (более 400 абонентов), причем более 80% документооборота в органах власти уже осуществляется в электронном виде.

В ходе реализации проекта РИАС создается единая технологическая инфраструктура сбора и обработки информации, сочетающая в себе ведомственный и территориальный принципы построения. На этой технологической платформе функционирует распределенный интегрированный банк данных РИАС. С помощью программного обеспечения, реализованного на базе архитектуры клиент-сервер и интранет¹⁰ с использованием программной платформы Microsoft Windows 2000 и SQL Server 2000, пользователи в режиме реального времени из любой территориально удаленной точки республики получают доступ как к муниципальным банкам данных, так и к центральному республиканскому банку данных. Формирование центрального республиканского банка данных осуществляется на основе объединения информации из первичных источников путем репликации.

Система информационной безопасности

Выход пользователей системы РИАС в интернет реализован через сервер под управлением Microsoft Internet Security and Acceleration Server, который реализует функции кэширования и межсетевого экрана. С целью минимизации трафика используются средства разграничения доступа к веб-узлам в зависимости от их тематики.

Внутренняя безопасность пользователей реализована на базе средств Windows 2000, в том числе средств аутентификации и контроля доступа пользователей к ресурсам, системных политик и периодической смены паролей.

Центральное место в системе информационной безопасности занимает система на базе Инфраструктуры открытых ключей (PKI). В соответствии с общепринятой отечественной практикой используется криптопровайдер, сертифицированный ФАПСИ на соответствие государственным стандартам. Криптопровайдер, разработанный компанией "Крипто-Про", органично вписывается в системную архитектуру безопасности Windows 2000 на базе CryptoAPI. Взаимодействуя с различного рода клиентскими программными системами (клиент электронной почты Outlook Express и Outlook, обозреватель Internet Explorer, "толстый" клиент на базе Microsoft FoxPro), криптомодуль позволяет построить единую интегрированную систему защиты информации, реализующую электронную подпись как для сообщений электронной почты, так и для записей в базах данных. В системе реализован главный принцип информационной безопасности – наличие единой идентификационной записи и пароля для пользователя в различных информационных системах. Это позволяет минимизировать затраты на администрирование и гарантировать высокий уровень защиты информации с помощью паролей.

Пользователи РИАС получают лицензированное программное обеспечение CryptoPro и носитель ключевой информации. Всего в рамках РИАС к настоящему времени криптомодулями оснащено около 100 пользователей (в том числе все республиканские органы власти и муниципальные образования). В ближайшее время планируется развертывание криптосистемы и для предприятий и организаций республики, выступающих пользователями и поставщиками информации РИАС.

Носители ключевой информации

В качестве носителя ключевой информации используются как дискеты, так и USB-токены (ключи) производства Aladdin. Применение персонального аппаратного ключа пользователями системы обеспечивает намного более высокий уровень защиты, чем разработки только на основе программных решений.

Токен представляет собой полнофункциональный аналог смарт-карты, выполненный в виде брелка. Он напрямую подключается к компьютеру через USB-порт и не требует наличия дополнительных устройств (устройств для чтения смарт-карт и пр.). "Горячее подключение" через USB-шину позволяет одному или нескольким устройствам подсоединяться и отсоединяться без выключения системы. Главное назначение токена состоит в аутентификации пользователя при доступе к защищенным ресурсам и безопасном хранении паролей входа в систему, ключей шифрования, цифровых сертификатов, а также любой другой секретной информации.

Токен поддерживает реальную двухфакторную аутентификацию, основанную на том, что пользователь имеет персональный ключ и знает уникальный пароль. Поэтому после вставки токена в USB-порт рабочей станции пользователь должен ввести уникальный пароль. При этом пользователю не нужно помнить различные пароли и имена для каждого приложения – они хранятся в токене и при необходимости используются автоматически.

Цифровые сертификаты и Инфраструктура открытых ключей

Программная часть системы защиты информации базируется на технологиях цифровых сертификатов и Инфраструктуры открытых ключей. В инструменте PKI используются два отдельных ключа, работающих в паре: открытый ключ, который широко доступен всем, и секретный ключ, известный только его держателю. Открытый ключ может использоваться, например, для зашифровки сообщений таким образом, что только секретный ключ сможет открыть его.

На личный токен каждого пользователя системы записывается цифровой сертификат – закодированный файл, который гарантирует подлинность пользователя в системе, являясь аналогом паспорта или удостоверения личности. Он выпускается и проверяется доверяемой третьей стороной – полномочным представителем (Certification Authority, CA). На токен также записывается секретный ключ.

Файл сертификата в соответствии с международным стандартом Х.509 содержит:

• информацию о пользователе (Ф.И.О., электронный адрес и пр.);
• открытый ключ;
• информацию о полномочном представителе и срок действия сертификата.

• службами полномочного представителя в Windows 2000 Server (функция Smart Card Enrollment в Microsoft CA Certificate Services позволяет выдавать сертификат пользователю, определять соответствующие параметры регистрации в системе для пользовательского сертификата и сохранять сертификат в пользовательском токене);
• CryptoAPI (CAPI) – стандарт разработки приложений, которые включают в себя функционирование безопасных сертификатов, ключей и хранилищ данных, аутентификацию, шифрование, подписи, сигнатуры и проверки. Стандарт CAPI используется в сертификатах и ключах, поддерживающихся в продуктах Microsoft (Internet Explorer, Outlook и Outlook Express).

В рамках РИАС необходимо проводить общую корпоративную политику безопасности, оперативно отслеживать поток сотрудников в организациях, следить за изменением пользовательского статуса и решать другие сопутствующие задачи. В настоящее время эта задача решена путем создания внутренней системы управления сертификатами, использующей продукт "Удостоверяющий Центр", который разработан компанией "Крипто-Про" на основе службы Microsoft Certification Authority, входящей в стандартную поставку Microsoft Windows 2000 Server. Внедренная система поддерживает следующие функции:

• издание и отзыв сертификатов для пользователей, загрузку сертификатов в пользовательские токены;
• добавление новых пользователей: определение прав доступа, инициализацию паролей токенов и их выдачу, издание сертификатов и их хранение в пользовательских токенах;
• поддержку существующих пользователей: предоставление, изъятие и обновление сертификатов (например, при переходе в другой отдел);
• удаление пользователей: изъятие сертификатов и лишение прав пользователя при его уходе или в случае, когда токен потерян или украден.

В рамках РИАС развернута технологическая инфраструктура для использования цифровых сертификатов. В настоящее время для текущей переписки по электронной почте активно используются средства электронной подписи.

Полнофункциональное использование системы электронной подписи, предусматривающее юридическую поддержку достоверности переписки, возможно только после организации регионального удостоверяющего центра. Создание подобного центра стало возможно с принятием федерального закона "Об электронной цифровой подписи". Практическая работа по организации такого регионального центра начнется после появления подзаконных актов, регулирующих методические и организационные вопросы создания подобных удостоверяющих центров.

2.3. Организация защищенного документооборота в системе "Налоговая отчетность через интернет"

Все предприятия и организации регулярно представляют различную налоговую и финансовую отчетность в налоговые органы, Пенсионный и другие фонды, казначейство и т.д. Эти данные, сформированные, как правило, имеющимися на предприятиях системами автоматизации бухучета, попадают в соответствующие контрольные органы на бумаге и проходят там ручную проверку и обратное преобразование в электронный вид, выполняемое силами сотрудников этих органов. Между тем развитие современных интернет-технологий и технологий криптографической защиты информации, передаваемой по каналам связи, позволяет успешно решать задачу организации защищенного документооборота между предприятиями и государственными органами по интернету.

Примером такого решения может служить интегрированная система "Налоговая отчетность через интернет" (http://otchet.skbkontur.ru), разработанная совместными усилиями компаний "СКБ-Контур" и "Крипто-Про" и предназначенная для формирования и передачи отчетности предприятий в государственные органы по интернету.

Криптографическая защита

Используемое в системе "Налоговая отчетность через интернет" средство криптографической защиты информации (СКЗИ) "КриптоПро CSP" успешно соединяет реализацию российских криптографических алгоритмов с интерфейсом корпорации Microsoft – Microsoft Cryptographic Service Provider (CSP). Это решение позволяет использовать сертифицированные средства защиты (без необходимости встраивать их специальным образом) совместно со следующими широко распространенными стандартными продуктами Microsoft:

• Удостоверяющим центром сертификатов открытых ключей X.509 (Microsoft Certification Authority), входящим в стандартную поставку Microsoft Windows 2000 Server;
• клиентом электронной почты Microsoft Outlook, входящим в состав Microsoft Office 2000 и Microsoft Office XP;
• клиентом электронной почты Microsoft Outlook Express, входящим в состав Internet Explorer версии 5.0 и выше;
• средствами формирования и проверки электронной цифровой подписи (ЭЦП) программного обеспечения, распространяемого по интернету (Microsoft Authenticode);
• защитой соединений в интернете (протокол TLS/SSL, обеспечивающий взаимодействие веб-обозревателя и веб-сервера).

Преимущества решения

"Налоговая отчетность через интернет" – это система, не имеющая на настоящий момент аналогов в России. Она имеет клиент-серверную архитектуру, что позволяет добиться следующих преимуществ:

• предприятиям нет необходимости устанавливать какое-либо специальное программное обеспечение (помимо модуля криптографической защиты информации) и регулярно обновлять его;
• проверка поступающих от предприятий отчетов происходит в режиме реального времени;
• обеспечивается возможность работы с полными серверными справочниками, объемы которых делают невозможным их распространение по предприятиям;
• клиент всегда работает с формами, соответствующими современным требованиям к нормативным документам и форматам данных.

Как следствие, будучи установленной на сервере федерального, регионального или местного органа государственной власти, система "Налоговая отчетность через интернет" упростит работу как самих предприятий, так и принимающих инспекторов.

Сотрудники бухгалтерии получат возможность передавать всю отчетность в контрольные органы непосредственно со своего рабочего места, не проводя время в утомительных очередях. Им не нужно будет приобретать дополнительные программы для подготовки отчетности в электронном или бумажном виде, а затем регулярно обновлять их. И, наконец, у них исчезнет необходимость неоднократно посещать контрольные органы после каждого цикла обнаружения и исправления ошибок.

Введение системы "Налоговая отчетность через интернет" в эксплуатацию в масштабах регионов позволит сократить очереди в контрольных органах, облегчит и автоматизирует работу инспекторов, уменьшит объемы работы инспекторов по переносу информации с бумажных или магнитных носителей в базы данных государственных органов, улучшит качество передаваемых отчетов и обеспечит автоматизацию проведения проверок.

Практические успехи и перспективы развития системы

В ходе опытно-промышленной эксплуатации системы "Налоговая отчетность через интернет", проводимой в Свердловской области в марте 2002 года, осуществлялся прием отчетов по форме 2-НДФЛ за 2001 год. Все предприятия области имели возможность передавать отчеты, заверенные электронно-цифровой подписью, на сервер системы "Налоговая отчетность через интернет", установленный в областном Управлении по налогам и сборам. С помощью специализированного автоматизированного рабочего места "Инспектор", которое эксплуатировалось в локальной сети управления, проводилась обработка поступающих сведений. За время опытно-промышленной эксплуатации с помощью системы успешно отчитался ряд предприятий с суммарной численностью работающих около 12 тыс. человек. В июле 2002 года в систему была добавлена возможность формирования и передачи отчетов по различным формам бухгалтерской и налоговой отчетности (НДС, НСП, ЕСН и др. – всего около 15 форм).

В настоящее время ведутся работы по встраиванию в систему других форм налоговой отчетности предприятий, а также разработка систем для передачи отчетности предприятий в Пенсионный фонд и систем электронного документооборота в структуре налоговых органов Свердловской области.

По материалам информационного бюллетеня для государственных служб "Современные подходы к обеспечению информационной безопасности" (вып. 17), который выпускает московское представительство корпорации Microsoft (рассылается бесплатно вместе с данным номером журнала).

Дополнительную информацию по вопросам, освещаемым в данном документе, можно найти на русском языке на веб-сайте "Государство в XXI веке" по адресу: http://www.microsoft.com/rus/government.

Ссылки

¹ Здесь под "экосистемой" понимается совокупность компьютерных систем.

² Более подробную информацию об этих моделях можно найти по адресу http://www.sas70.com/systrust.html.

³ Peer-to-peer – модель обмена информацией, когда устройства, подключенные к сети, могут напрямую связываться друг с другом, и каждое может выступать как в качестве клиента, так и в качестве сервера.

⁴ Plug-and-Play ("подключи и работай") – принцип и спецификация быстрого подключения к компьютеру дополнительного оборудования и самоконфигурирования системы. Поддерживается всеми современными операционными системами, BIOS и аппаратными средствами. Операционная система обнаруживает вновь подключенное устройство, опрашивает его, оценивает предъявляемые им требования к системе, определяет и выполняет оптимальные установки для каждого устройства.

⁵ USB (Universal Serial Bus) – универсальная последовательная шина. Стандарт для обмена данными по недорогой шине между персональными компьютерами и периферийными устройствами.

⁶ IEEE 1394 – высокоскоростной (400 Мбит/сек) интерфейс с возможностью "горячего" подключения устройств.

⁷ При подключении клиента (человека либо программы) к системе производится "проверка подлинности" (authentication), т.е. клиент с помощью пароля удостоверяет, что он тот, за кого себя выдает. После успешного подключения под некоторым именем при попытке клиента выполнить какие-то действия производится "проверка полномочий" (authorization), т.е. определение, имеет ли право клиент с данным именем на данные действия.

⁸ Социальная инженерия (social engineering) – методы взлома систем с использованием человеческой психологии, например, когда взломщик звонит кому-нибудь из сотрудников компании, имеющих доступ к внутрикорпоративной сети, и, представившись администратором этой сети, под предлогом устранения неполадок узнает у сотрудника его имя пользователя и пароль.

⁹ Более подробную информацию о проекте РИАС можно найти в документе Microsoft "Внедрение Республиканской информационно-аналитической системы – основа формирования "электронного правительства" в Чувашской Республике" по адресу http://www.microsoft.com/rus/business/casestudies/chuvashia/.

¹⁰ Интранет – внутрикорпоративная сеть, использующая стандарты, технологии и программное обеспечение интернета. Интранет может быть изолирован от внешних пользователей или функционировать как автономная сеть, не имеющая доступа извне.

Источник: информационный документ корпорации Microsoft, май 2002 г., http://www.microsoft.com/PressPass/exec/craig/05-01trustworthywp.asp