- •Инструментальные средства изучения защищенности информационных систем
- •Роль и место средств анализа защищенности
- •Средства анализа на уровне операционной системы
- •System Security Scanner
- •Средства анализа защищенности сетевых сервисов
- •Intranet Scanner
- •Средства автоматического реагирования на попытки нсд
Инструментальные средства изучения защищенности информационных систем
И. Трифаленков, Jet Infosystems
Роль и место средств анализа защищенности
При построении информационной системы и включении в нее механизмов безопасности возникает естественная задача проверки, насколько задействованные механизмы адекватно выполняют возложенные на них задачи реализации политики безопасности.
Пожалуй, первой попыткой включить средства верификации механизмов защиты информационных ресурсов было определение в "Orange book" Министерства обороны США класса защищенности А, где наличие таких средств было основным свойством указанного класса.
Роль "Orange book" в формировании идеологии построения защиты информационных систем трудно переоценить. Тем не менее приходится констатировать, что реальное развитие процессов информационного обмена в настоящий момент весьма далеко от предположений, которыми пользовались авторы этого труда и во- всяком случае, современные информационные системы и задачи, возложенные на них, коренным образом изменились. В последнее десятилетие информационные потоки, связанные с компьютерными системами возросли во много раз, возникла идеология "клиент-сервер" и технологии "Internet/Intranet", возросла роль доступности как одной из составляющих информационной безопасности. Большинство современных систем базируется на взаимодействии неоднородных программно-аппаратных компонент с использованием различных системно-технических платформ. используя большой набор сетевых сервисов для обмена информацией между ними. Все это делает мало реальной задачу построения систем, где механизмы анализа защищенности заложены в архитектуру каждой из компонент и действуют на всех уровнях функционирования информационной системы.
Из вышесказанного отнюдь не следует, что необходимо исключить верификацию защищенности информационных ресурсов из списка необходимых действий по организации безопасности. Задача состоит в том, чтобы сделать ее реально решаемой в реально существующих информационных системах. Для этого требуется активизировать средства верификации защиты в тех частях информационной системы, с которыми связаны наибольшие риски для информационных ресурсов. Хотя в каждой системе существует своя уникальная иерархия рисков, во многих случаях большинство из них ассоциируется либо с работой приложений, сетевыми сервисами, либо с сервисами операционной системы. В первом случае , очевидно, нет универсальных средств, которые могли бы быть использованы для выполнения этой задачи. В двух других случаях, в силу универсальности большинства применяемых операционных систем и сетевых протоколов возможно использование средств поиска по крайней мере широко известных слабостей. При очевидной неполноте такого анализа он оказывается весьма эффективным средством проверки механизмов безопасности.
Средства анализа на уровне операционной системы
Все известные на сегодня распространенные операционные системы декларируют наличие достаточно продвинутых средств защиты информационных ресурсов. Как минимум это механизмы аутентификации/авторизации. разграничения доступа. мониторинга и аудита. криптографических компонент. Если реализации этих механизмов достаточны с точки зрения принятой политики безопасности, необходимо тем не менее иметь в виду два множества рисков: риски, связанные с неправильной конфигурацией системы и риски, возникающие вследствие ошибок в программном обеспечении.
Рекомендации по второй группе рисков в большой степени зависят от политики, проводимой производителем операционной системы: в какой мере система является открытой, насколько для производителя допустимо признание наличия ошибок в своем продукте, какова его оперативность при их исправлении. Если политика безопасности не допускает слепой веры в непогрешимость производителя и требует оперативного исправления найденных ошибок, не дожидаясь выхода следующей версии операционной системы то целесообразно обратить на это внимание при выборе системно-технических платформ, особенно для корпоративных серверов.
Для проверки корректности системных установок (или их неизменности с момента последней проверки) существуют программные продукты класса "сканер безопасности системы". Эти продукты на сегодняшний день существуют для большинства операционных систем и число достигает десятка. В их число входят такие продукты, как ASET (компонент ОС Solaris), KSA (для платформ NetWare и NT), SSS (System Security Scanner) (Unix-платформы ).