Одним из основных принципов современной безопасности ИТ становится правило, гласящее, что любая информация должна быть доступной лишь уполномоченным лицам. На уровне файлов средством для реализации этого правила является шифрование.
Почти ежедневно поступают сообщения о взломах корпоративных сетей злоумышленниками и промышленными шпионами. Озабоченность этой проблемой нашла отражение в юридических документах, к примеру Федеральном законе о защите данных. Довольно часто возникают опасения и по поводу того, что собственный сетевой администратор во время обеденного перерыва может просмотреть данные о зарплатах. Тем более удивительно, что во многих компаниях меры по обеспечению безопасности заканчиваются установкой брандмауэра.
ПОХИЩЕНИЕ ДАННЫХ — НЕВИДИМОЕ ПРЕСТУПЛЕНИЕ
На ошибках учатся, гласит пословица. Однако в отношении безопасности ИТ, как показывает опыт, следует внести уточнения: «Учатся только на ошибках, но не всегда». Практически повсеместная установка брандмауэров и антивирусных сканеров на предприятиях доказывает, что большинство из них готовы реагировать на причиняемый, к примеру вирусом, ущерб принятием определенных контрмер. А вот криптографические решения до сих пор влачат жалкое существование. Причина конечно же в том, что воровство данных не оставляет за собой столь очевидных следов, как вирус или атака по типу «отказ в обслуживании», парализующая сеть. Однако во многих случаях экономический ущерб от кражи данных оказывается во много раз больше.
Кроме того, брандмауэры затрудняют проникновение в сеть только извне, однако не могут защитить от растущего числа внутренних преступлений. Уже в 2001 г. в исследовании консалтинговой компании Mummert und Partner общий ущерб от кражи данных на предприятиях Германии был оценен в 20 млрд марок, причем от 60 до 80% случаев вызвано действиями самих сотрудников. Статистика уголовного розыска указывает на повышение уровня компьютерной преступности при снижающейся доле раскрытия. Тем не менее при упоминании этой темы многие предпочитают прятать голову в песок.
ШИФРОВАНИЕ КАК ПРЕДУПРЕДИТЕЛЬНАЯ МЕРА
Против хищения данных имеется уже давно испытанное средство — шифрование. Идея не нова, но многие предприятия, как и прежде, отказываются от повсеместного шифрования своих данных. Наряду с отсутствием осознания серьезности проблемы и страхом перед вложением денег в безопасность ИТ причина кроется в том, что зачастую сами решения шифрования не отвечают практическим требованиям. Вместо этого производители аппаратного и программного обеспечения устраивают битву за характеристики, предлагая максимальное количество индивидуально настраиваемых криптографических алгоритмов или максимальную длину ключа.
Конечно, хороший метод шифрования и достаточная длина ключа очень важны. Порекомендовать можно гибридные методы из хорошего симметричного алгоритма, к примеру Triple DES или AES, с длиной ключа не менее 128 бит для шифрования полезной нагрузки и асимметричного метода, как RSA, с длиной ключа 1024 бит для управления ключами. Однако уровень безопасности, предлагаемый программным обеспечением, нельзя свести к выбору криптографических параметров. Для практического применения в корпоративной области необходимо решить и ряд других вопросов.
ПОЛЬЗОВАТЕЛИ ПРЕДПОЧИТАЮТ ПРОЗРАЧНОСТЬ
В первую очередь речь идет о четырех требованиях к решению шифрования:
- отсутствие изменений в привычных деловых процессах;
- простое администрирование и интеграция в существующие системные среды;
- соблюдение внутренних правил безопасности;
- высокая отказоустойчивость.
Правилами безопасности должно предусматриваться, что всемогущего администратора, имеющего доступ ко всем без исключения данным, быть не может. Кроме того, при необходимости должна быть возможность быстрого блокирования доступа пользователя к зашифрованным данным. В этом контексте обязательным является создание центральной системы администрирования решения обеспечения безопасности, поскольку в противном случае соблюдение директив зависело бы от каждого конкретного пользователя, который, как правило, заинтере-сован в выполнении только своей основной работы. «Прозрачное шифрование» — вот волшебное слово, которое понравится пользователям.
СТАНДАРТНЫЕ СРЕДСТВА В СРАВНЕНИИ СО СПЕЦИАЛИЗИРОВАННЫМИ
Прозрачное шифрование означает, что данные зашифровываются и расшифровываются без участия пользователя работающим в фоновом режиме драйвером фильтра, который следит за всеми обращениями к данным. Для этой цели некоторые операционные системы уже предлагают стандартные средства. Пользователям Linux доступна файловая система с прозрачным шифрованием (Transparent Cryptographic File System, TCFS), а Microsoft оснащает свои Windows 2000 и Windows XP Professional шифруемой файловой системой (Encrypted File System, EFS). Сколь ни привлекательны эти подходы, они еще должны доказать свою пригодность. Как для TCFS в Linux, так и для EFS в Windows известен ряд «дыр» в системе безопасности.
В ходе анализа EFS, результаты которого были представлены в 2003 г. на конгрессе Федерального ведомства безопасности информационных технологий (BSI), выяснилось, что «EFS лишь условно подходит для использования на предприятиях, поскольку отчасти или полностью не отвечает важным требованиям к корпоративному решению шифрования данных». Среди прочего в качестве важных аспектов отмечается следующее: передача Windows EFS данных по сети в незашифрованном виде и невозможность шифровать данные, доступ к которым предоставляется нескольким пользователям из одной рабочей группы. Кроме того, в Windows EFS, как и прежде, администратор остается всемогущим. При недостаточном внимании со стороны администратора по безопасности этим же пороком страдают продукты Safeguard Lancrypt и Protectfile от Eracom Technologies. В обоих случаях, если не используется смарт-карта, вся процедура связана с регистрацией в Windows, причем управление информацией о ключах происходит децентрализованно на соответствующих клиентах. Однако в Windows 2000 системному администратору совсем не сложно обойти пароль члена домена и получить доступ к системе соответствующего пользователя. Как только администратор получает доступ к профилю шифрования, ему становятся доступны все зашифрованные данные. Кроме того, Protectfile, как и Windows EFS, не в состоянии шифровать сжатые данные.
КЛИЕНТ-СЕРВЕРНОЕ РЕШЕНИЕ КАК ВЫХОД
Децентрализованное управление информацией о ключах порождает принципиальные проблемы. Первой является упомянутый доступ администратора, который путем сброса пароля может войти в систему от лица пользователя. Вторая заключается в том, что у пользователя, имеющего доступ ко всей необходимой информации, далеко не так просто отобрать это право. К тому же уже существующие массивы данных шифруются на файловом сервере, только когда пользователь обратится к нему при помощи активного драйвера фильтра. Однако пока этого не произойдет, данные сохраняются в виде открытого текста.
Альтернативой с хорошими надеждами на успех является переход от клиентского решения к клиент-серверной модели. На клиенте требуется лишь инсталлировать драйвер фильтра, который будет заниматься шифрованием в фоновом режиме. Однако информацию о ключах клиент получает лишь в случае необходимости от сервера безопасности, отвечающего за управление ключами и соблюдение правил безопасности. Этот сервер, кроме того, может осуществлять первоначальное шифрование всех нуждающихся в защите данных на файловом сервере, и тогда они оказываются защищены от слишком любопытных взглядов еще до первого обращения со стороны клиента.
Для предотвращения входа администратора под чужим паролем важно, чтобы авторизация в системе шифрования не была привязана исключительно к регистрации в операционной системе. При помощи технологий «вопрос/ответ» можно обезопасить процесс, чтобы лишь авторизованные пользователи получали доступ к зашифрованным данным. Тем, кому требуются дополнительные гарантии, для хранения ключа понадобятся смарт-карты. Если не хочется работать с нестандартными решениями,то при выборе решения безопасности следует обратить внимание на наличие у него международного стандартизированного интерфейса для чтения смарт-карт, к примеру PKCS#11. То обстоятельство, что пользователь помимо регистрации в операционной системе должен лишний раз авторизоваться при помощи пароля или смарт-карты, при этих преимуществах выглядит приемлемо.
В подобном сценарии доступу к зашифрованному файлу, хранимому на файловом сервере, предшествует запрос от клиента к серверу. Затем сервер на основе своих директив безопасности проверяет, имеет ли клиент право расшифровывать запрашиваемый файл. В случае положительного ответа сервер надежным путем предоставляет ему необходимый для расшифровки ключ. Если доступ не разрешен, он ключа не получает. Таким образом, одним выстрелом убиваются два зайца. Во-первых, администратор системы безопасности может лишить пользователя права на доступ, удалив соответствующий атрибут разрешения на сервере безопасности. Во-вторых, системный администратор больше не способен выдать себя за уполномоченного пользователя, поскольку авторизация на сервере безопасности проходит независимо от регистрации в операционной системе.
Естественно, необходимо следить за тем, чтобы роли системного администратора и администратора безопасности де-факто распределялись между разными лицами. В противном случае повышение безопасности за счет введения сервера безопасности будет сведено на нет из-за неверных организационных мер. Последние по порядку, но не по значению преимущество состоит в том, что таким образом очень легко организовать пользовательские группы, обладающие общим доступом к защищенным данным. Достаточно объединить всех сотрудников, например отдела кадров, в группу «Отдел кадров» и дать всем ее членам одинаковые права. После этого любые действия будут касаться всей группы и не должны производиться для каждого пользователя в отдельности.
При повсеместном применении клиент-серверное шифрование должно быть избыточным, чтобы при необходимости параллельно запускался второй сервер безопасности, который в случае недостижимости первого (проблемы с сетью, отказ питания, профилактическое обслуживание и проч.) немедленно возьмет на себя выполнение его задач. Это обеспечивает высокую отказоустойчивость системы и постоянную готовность данных.
Клиент-серверный подход был реализован в продукте Fideas Enterprise («fideas» по-латыни означает «ты должен доверять») компании Applied Security. Стоит отметить, что клиент-серверная концепция функционирует лишь до тех пор, пока управление распространяется на все оборудование во всей сети. Как только устройство, к примеру ноутбук, удаляется из сети, в этом случае возможна работа лишь с локальными ключами. Это не всегда является недостатком, поскольку на собственной машине каждый пользователь в любом случае остается хозяином своих данных. Если подобные решения получат такое же распространение, как вирусные сканеры и брандмауэры, информационный шпионаж сойдет на нет.
Фолькер Шайдеманн — консультант по безопасности ИТ компании Apsec и преподаватель безопасности ИТ во Франкфуртском высшем профессиональном училище. С ним можно связаться по адресу: wj@lanline.awi.de.
? AWi Verlag
Идентичность и роль
Шифрование данных занимает свое место в структуре безопасности ИТ, где в центр концепции безопасности ставится управление доступом с аутентификацией и авторизацией: отдельные действующие лица раздельно управляют доступом к отдельным документам, а системы поддержки коллективной работы под контролем администратора решают задачу на основе ролей и групп. Интересно, что недорогие системы с поддержкой групп пользователей сегодня охотно применяются и самостоятельно администрируются отделами предприятий, которым требуется обеспечить конфиденциальность при отсутствии поддержки от отдела ИТ предприятия.