Читаем Безопасность информационных систем полностью

Другая проблема состоит в использовании встроенных средств защиты, распределении задач между встроенными и добавочными средствами защиты. Проблема осложнена тем, что, с одной стороны, невозможно в полной мере доверять встроенным в системы иностранного производства средствам защиты, с другой – нельзя и отказываться от этих механизмов в полном объеме. Иначе для всех видов операционных систем, СУБД и т. д. потребуется разрабатывать добавочные средства защиты, а это невозможно реализовать или приведет к существенному усложнению системы.

Используются следующие подходы для решения указанных проблем:

1. Все задачи администрирования информационной безопасности системы возложить на администратора безопасности. Это невозможно. Во-первых, задача администрирования становится недопустимо сложной и требует для решения чрезвычайно высокой квалификации администратора безопасности. Во-вторых, для использования такого решения необходимо разграничивать функции администрирования на всех уровнях иерархии системы, что возможно только с реализацией защиты на всех уровнях добавочными средствами.

2. Задачи администрирования информационной безопасности системы распределить между соответствующими администраторами на соответствующих уровнях иерархии. В этом случае не ясны задачи и функции администратора безопасности центрального звена управления информационной безопасности сложной защищенной системы. Обеспечить какую-либо безопасность системы при распределенном решении данной задачи невозможно в принципе.

Наиболее широко используется компромиссное решение рассматриваемой проблемы, реализуемое с использованием метода уровневого контроля целостности списков санкционированных событий.

Суть метода заключается в следующем: все ресурсы системы делятся на уровни (по функциональному признаку). Текущая конфигурация каждого уровня заносится в соответствующий эталонный список, хранящийся в системе защиты информации и недоступный никому, кроме администратора безопасности, целостность которого контролируется с малым периодом (малая величина списка). Случай обнаружения расхождений текущего и эталонного списка является признаком НСД. В качестве реакции на НСД система защиты информации, помимо восстановления изначальной конфигурации, может выполнить дополнительные реакции. В контролируемых списках могут находиться – списки зарегистрированных пользователей, списки их паролей, списки разрешенных к запуску процессов, настройки операционной системы (например, ключи реестра для MS Windows), собственные настройки системы защиты информации и т. д.

Все настройки системы защиты информации на соответствующих уровнях иерархии задаются соответствующим администратором – системным администратором, администратором приложений, администратором СУБД. Эти администраторы контролируются администратором безопасности, реализованным организационными мероприятиями. По завершении настроек они сохраняются администратором безопасности в эталонных списках системы защиты информации, к которым имеет доступ только администратор безопасности. В процессе функционирования системы данные списки непрерывно контролируются и автоматически восстанавливаются системой защиты информации из эталонных копий в случае обнаружения их искажений.

Компромисс предлагаемого решения состоит в следующем. Администраторы уровней иерархии сами реализуют требования разграничительной политики доступа к ресурсам при непосредственном контроле со стороны администратора безопасности. Система защиты информации обеспечивает невозможность изменения заданных настроек без участия администратора безопасности, в том числе и остальным администраторам системы. Данный подход позволяет разделить задачи администраторов без использования добавочных средств защиты, и в полном объеме использовать встроенные механизмы защиты на всех уровнях иерархии системы.

Основной проблемой остается распределение функций системного администратора и администратора безопасности. Для экономии финансовых средств функции этих администраторов в сложной информационной системе следует совмещать. При этом могут быть в полной мере использованы и механизмы защиты, встроенные в операционную систему. Разделение функций системного администратора и администратора безопасности возможно при условии, что система разграничения доступа к ресурсам на уровне операционной системы будет реализована как добавочное средство защиты. В противном случае системный администратор получит доступ к эталонным спискам событий, хранящимся в системе защиты информации.