Решения «Информзащиты» для российских пользователей операционной системы
И хотя начиная с сетевой версии Windows NT 4.0 разработчики операционной системы стали уделять внимание вопросам безопасности, стандартные механизмы их реализации далеко не всегда соответствуют требованиям российского законодательства по работе с государственной и коммерческой тайной.
Выход в свет Windows 2000, содержащей подсистемы аутентификации пользователя, криптоалгоритмы и некоторые функции защищенного обмена данных, не снимают проблему с повестки дня. Даже если допустить, что со временем значительная часть пользователей перейдет на новую версию Windows, вряд ли государство в обозримой перспективе одобрит использование «негостированных» 128-разрядных ключей, встроенных в систему.
Посему для пользователей, проживающих в странах, где особенно заметна обеспокоенность соответствующих органов использованием сильных криптосредств, Windows 2000, видимо, будет комплектоваться «испытанным» алгоритмом DES.
Так или иначе, отечественные разработчики ПО на ближайшее время обеспечены работой по созданию дополнительных сертифицируемых модулей безопасности или локализации встроенных объектов в соответствии с российским законом. И актуальность работ будет возрастать по мере проникновения продукции Microsoft в корпоративный сектор. Такое впечатление сложилось после семинара московского отделения Microsoft и компании «Информзащита», посвященного информационной безопасности.
Встроенные и встраиваемые защитные модули
Рассмотренные на семинаре вопросы касались реализации механизмов защиты информации, содержащей коммерческую и государственную тайну, обнаружения атак и локализации уязвимостей в корпоративных сетях на базе Windows, встраиваемых криптомодулей российского производства и анализа защищенности серверов баз данных Microsoft SQL Server.
В качестве дополнительных модулей безопасности «Информзащита» предлагает три класса продуктов, которые реализуют практически одинаковые штатные функции защиты, но отличаются друг от друга типом взаимодействия с ядром ОС. Поскольку в версиях Windows 9x защитные функции при аутентификации пользователей и работе с файловой системой отсутствуют, во встраиваемых продуктах «Информзащиты» для этих ОС все функциональные модули были написаны заново. По словам разработчиков, чтобы обеспечить прозрачность и полную совместимость взаимодействия прикладного пакета и ОС, приходилось углубляться до уровня системного ядра и работать с фрагментами исходного кода Windows.
Для Windows NT и Windows 2000, обладающих достаточно мощными функциями защиты, предусмотрен иной подход. В данном случае дополнительные модули, поставляемые «Информзащитой», дополняют и упрощают штатные настройки защищенных операционных сред. Например, к оригинальному механизму идентификации пользователя в NT добавлена возможность применения аппаратных идентификаторов, таких как Touch Memory или Smart Card.
К отдельному классу продуктов «Информзащиты», предназначенных для управления безопасностью в гетерогенных системах, относится семейство решений, построенных на базе технологии «Беркут». Сложность управления информационной безопасностью в гетерогенных средах, по мнению специалистов компании, возрастает в геометрической прогрессии в зависимости от количества продуктов разных производителей, взаимодействующих в сети. Для облегчения задачи управления разработчики технологии «Беркут» пересмотрели модель объектных абстракций. Вместо распространенной структуры объектов типа «файл», «диск» и «рабочая станция» в «Беркуте» используются термины «сотрудник» или «задача». Такой подход позволяет администратору безопасности оперировать значительно более крупными объектами и избежать многочисленных потенциальных ошибок в настройке системы.
Уязвимость СУБД - угроза всей сети
Руководитель отдела Internet-решений НИП «Информзащита» Алексей Лукацкий подробно остановился на средствах анализа защищенности СУБД, в частности, Microsoft SQL Server. По его мнению, в последнее время все чаще складывается ситуация, когда специалисты по информационной безопасности недооценивают степень уязвимости СУБД. Кроме того, Лукацкий считает, что налицо явный недостаток объективной информации, касающейся анализа уязвимости и защищенности корпоративных сетей при работе с базами данных, обусловленный нежеланием самих производителей полностью «раскрывать карты».
Между тем статистика показывает, что 70% такого рода неприятностей с СУБД возникает в результате неправильной конфигурации. Получив тем или иным способом доступ к базе данных, злоумышленник может воспользоваться мощью систем СУБД для установления контроля над другими системными приложениями. Например, получив доступ к Microsoft SQL Server под именем зарегистрированного пользователя, с помощью расширенных хранимых процедур злоумышленник затем может создавать новые учетные записи с привилегиями администратора или изменять конфигурацию Web-сервера предприятия. К каким последствиям приведут подобные действия, говорить излишне.
Наиболее эффективным средством противодействия в «Информзащите» считают установку в систему программного анализатора защищенности СУБД. Анализатор работает в фоновом режиме и проверяет корректность настроек элементов сети, сетевых сервисов и протоколов и эффективность выбранного пользователем пароля. Последняя из перечисленных функций не даст пользователю прописать в качестве пароля, скажем, свое имя, имя с цифрой, дату рождения или другие легко подбираемые данные.
Российская криптография в Windows
Основная сложность при замене встроенных криптомодулей на «гостированные» заключается в необходимости создания единой системной криптослужбы, прозрачной для всех приложений Windows, чего российские разработчики до недавнего времени еще не предлагали. Существовали отдельные решения, обеспечивающие встраивание криптомодулей в некоторые приложения, например, электронную почту, но недоступность так называемых приложений нулевого кольца (ядра ОС) делала уязвимой хранение ключевой информации.
Представители «Информзащиты» с уверенностью заявили, что разработанный ими криптопровайдер является первым решением, полностью соответствующим спецификациям Microsoft CriptoAPI. Его использование не требует специальной переделки или дополнительной настройки всего многообразия приложений, ориентированных на применение штатных криптосредств Windows. Высказывались мнения, что «Информзащита» смогла создать вариант, отвечающий более жестким требованиям по защите информации в сетях Windows, чем это предусматривалось собственным криптопровайдером разработчика ОС.