Перейти на Sec.Ru
Рейтинг@Mail.ru

29 апреля 2013

Контурирование информационных систем как способ защиты неоднородных ресурсов, различающихся по степени конфедициальности
Часть 2

Создание защищенного контура КСА предназначено для осуществления, например, закрытого (защищенного) документооборота или делопроизводства с обработкой информации, составляющей государственную тайну, и обеспечивается при помощи организационно-технических мероприятий, проводимых заказчиком и его региональными объектами автоматизации. Следует учесть, что отнесение информации к государственной тайне строго регламентировано соответствующим законом РФ и для каждого предприятия специально определяется. Помимо использования средств защиты информации от несанкционированного доступа, технологии электронной подписи для аутентификации, авторизации и контроля целостности электронных документов, одним из методов обеспечения защищенной передачи данных является использование криптографических средств защиты информации в сети между объектами ИС в субъектах Российской Федерации, т.е. создание сегмента так называемой защищенной ИТКС - информационно-телекоммуникационнной сети - в рамках ПСПД.

Учитывая тот факт, что гостайна передается на тракте между центральными и региональными объектами, то формирование ИТКС может быть связано с использованием уже имеющихся средств передачи данных, которые представляют собой современные IP-шифраторы. Таким образом, канальное шифрование производится средствами образования канала и защищенный сегмент КСА лишь образует соединение с ним за счет штатных средств.

Формирование собственной ИТКС связано с использованием аппаратных канальных шифраторов, обеспечивающих шифрование на канальном уровне, совмещенных с МЭ защищенного контура. Реализация такого шифрования может быть осуществлена двумя способами. Во-первых, установкой криптосредства на шлюз защищенного контура. Тогда весь трафик, идущий со шлюза защищенного контура шифруется и направляется на удаленный объект под контролем средств МЭ. Второй вариант связан с использованием аппаратного шифратора - внешнего устройства «периметра» защищенного контура. В этом случае для выделения защищенного сегмента необходимо использовать второй МЭ, соединенный напрямую с IP-шифратором. Тогда весь трафик с определенного адреса считается шифрованным и направляется с главного МЭ на второй. По пути он расшифровывается и доставляется на шлюз транспортной магистрали защищенного контура. Оба варианта возможны, однако необходимые средств формирования закрытого контура отличаются от открытого иными требованиями по защите информации, предписанными ФСТЭК РФ и иными регуляторами.

Таким образом, основным методом защиты защищенного контура безопасности от НСД помимо сетевой фильтрации и маршрутизации пакетов, осуществляемой при помощи двух МЭ на третьем, сетевом уровне модели OSI/ISO и маршрутизации и преобразования пакетов на четвертом, транспортном уровне при поддержке (по возможности) средствами маршрутизации на канальном уровне, является канальное шифрование, обеспечивающее однозначную идентификацию взаимодействующих субъектов.

Создание общей структуры КСА ИС с различными контурами безопасности не должно приводить к хаотичному нагромождению разнородных продуктов, но должно формироваться посредством интегрируемых в основное решение дополнительных средств и механизмов защиты, перекрывающих все возможные угрозы на всех уровнях модели OSI/ISO, начиная со второго, что обеспечивает необходимый уровень защищенности всей системы открытых, ведомственных и защищенных контуров ИС в целом и КСА в частности.

Таким образом, существует необходимость обеспечения циркуляции следующего типа информации между контурами безопасности в рамках одной транспортной магистрали обмена данными:

  1. Открытая информация циркулирует между всеми контурами: открытым, ведомственным и защищенным преимущественно в одну сторону - в сторону "повышения грифа". Обратное взаимодействие возможно только при "понижении грифа". Обмен информацией осуществляется посредством прямой связи (через МЭ) с сетью международного информационного обмена «Интернет» только из открытого контура.
  2. Информация ограниченного доступа циркулирует между ведомственным и защищенным контурами также преимущественно в сторону "повышения грифа". Обратное взаимодействие возможно только при "понижении грифа". Обмен информацией осуществляется посредством наложенной защищенной сети, функционирующей "поверх" Интернет.
  3. Информация, содержащая сведения, составляющие государственную тайну РФ, циркулирует только между защищенными контурами. Взаимодействие с прочими контурами возможно только при "понижении грифа". Обмен информацией осуществляется посредством защищенной ИТКС по каналам связи, по которым эта информация может передаваться. Это должно обеспечиваться как при помощи подключения к развернутым специализированным каналам связи, так и при помощи сертифицированных средств шифрования "поверх" Интернет.

Логическая схема разграничения контуров в случае "вертикального" обмена выглядит так:

Зеленым цветом показан открытый контур безопасности КСА объекта автоматизации, синим - ведомственный контур безопасности, красным - защищенный контур КСА. Стрелками показаны "восходящие" потоки информации (зеленый - открытая информация, синий - информация ограниченного доступа, красным - секретная информация).

Направления "горизонтальных" потоков информации в рамках контуров каждого КСА объекта автоматизации выглядят в терминах "повышение/понижение грифа" так:


Мнемоническое правило для "входящих" и "исходящих" потоков информации простое, оно изображено на схеме. Одноцветные стрелки означают свободный обмен информацией. Изменение цвета стрелки означает изменение грифа секретности информации. Вопрос о прямом выходе за пределы периметра объекта (в Интернет) с понижением грифа из ведомственного и защищенного контуров безопасности решается дополнительно при помощи штатных средств.


Таким образом, на КСА объектов автоматизации необходимо обеспечить следующий порядок циркуляции информации между контурами:

  1. Открытая информация (с грифом "не секретно", без грифа, с грифом "0") в рамках контролируемой зоны объекта свободно (без изменения грифа) циркулирует в рамках КСА с контролируемым выходом в сеть международного информационного обмена «Интернет», так как для ее обмена не требуется ни понижения, ни повышения грифа секретности. Повышение грифа секретности, например, вследствие контекстной подборки, автоматически превращает информацию в "конфиценциальную" или "секретную", которую предписано хранить в ведомственном или защищенном контурах безопасности. При создании ИС должен быть предусмотрен механизм автоматического размещения грифованной информации в необходимом сегменте необходимого контура.
  2. Информация ограниченного распространения (с грифом "конфиденциально" или "1") в рамках контролируемой зоны объекта свободно (без изменения грифа) циркулирует между ведомственным и защищенным контурами. Между открытым и ведомственным контурами эта информация свободно передается по направлению из публичного в ведомственный. В обратном направлении информация передается только с понижением грифа при помощи использования штатных сертифицированных средств преобразования (абонентского шифрования или обезличивания) информации, которое производится на периметре ведомственного контура безопасности совместно с контент-анализом трафика. Такое понижение грифа автоматически превращает информацию ведомственного контура безопасности в открытую. Далее см. п.1. Повышение грифа секретности, например, вследствие контекстной подборки, автоматически превращает информацию в "секретную", которую предписано хранить в защищенном контуре безопасности. При создании ИС должен быть предусмотрен механизм автоматического размещения грифованной информации в необходимом сегменте защищенного контура.
  3. Секретная информация (например, с грифом "секретно" - гриф "2") в рамках контролируемой зоны объекта свободно (без изменения грифа) не циркулирует. Необходимость выделения специального контура для обработки совершенно секретной информации диктуется ее объемом и количеством должностных лиц, допущенных для ее обработки. В любом случае, методы разграничения доступа по контурам - те же. Между открытым и защищенным контурами эта информация свободно передается по направлению из открытого в защищенный. Между ведомственным и защищенным контурами эта информация свободно передается по направлению из ведомственного в защищенный. В обратном направлении информация передается только с понижением грифа при помощи использования штатных сертифицированных средств преобразования (абонентского или канального шифрования) информации, которое производится на периметре защищенного контура безопасности или в его пределах. Такое понижение грифа автоматически превращает информацию ведомственного контура безопасности в информацию, передаваемую по защищенной ИТКС. Если в качестве ИТКС используется сеть «Интернет», то необходимо осуществить понижение грифа информации до "не секретно". Далее см.п.1. Необходимо предусмотреть механизмы понижения грифа секретности информации до "конфиденциально" для обеспечения возможности обработки информационных элементов в ведомственном контуре безопасности в рамках контролируемой зоны объекта автоматизации.
Результатом такого подхода в создании КСА объекта автоматизации является обеспечение четырех периметров защиты: между Интернет и публичным контуром, между публичным и ведомственным контурами, между ведомственным и защищенным контурами, а также между защищенной ИТКС (если имеется) и защищенным контуром. Можно выделить три принципиально разных метода защиты, комбинация которых реализует защиту всех указанных периметров - фильтрация, маршрутизация и шифрование (абонентское и канальное). При этом, чем выше защищенность контура, тем больше механизмов защиты следует предусмотреть. Вопрос о контакте пользователей в контурах с «Интернет2 за исключением электронной почты (например, навигация средствами web-браузера) решается отдельно, в рамках сегментации контуров.

Рассмотрим подробнее все три механизма и их роль в деле защиты периметров контуров и понижении грифа секретности. Отметим также важность так называемых организационно-технических мероприятий, связанных с разграничением внутреннего ресурса КСА, который можно рассматривать как дополнительный механизм создания контуров безопасности.

Первый механизм - фильтрация - традиционное технологическое решение, работающее на нижних уровнях (всегда на 3-м - сетевом) транспортной модели OSI/ISO. Он реализуется посредством межсетевых экранов (МСЭ или МЭ) и обеспечивает собственно фильтрацию IP-пакетов и дальнейшую их маршрутизацию по определенным правилам на 3-м уровне модели. Сюда же можно отнести технологию VLAN, как дополнительное (не обязательное) средство сегментации. Ряд продуктов, в том числе МСЭ «ИВК Кольчуга™» работают и на более высоких уровнях, например, прикладном, обеспечивая, в том числе, и контроль за содержимым пакетов. Если внутренний ресурс КСА объекта автоматизации не обрабатывает информацию с "повышением грифа" и на выходе за периметр его не меняет, то защиту периметра такого ресурса посредством МЭ можно считать достаточной. Таким ресурсом в типовом КСА ИС является открытый контур безопасности. Он может быть оснащен дополнительными средствами мониторинга защищенности, средствами антивирусной защиты и прочими механизмами, работающими на прикладном уровне. Таким образом, через периметр публичного контура, отделяющий его от внешней сети (Интернет), циркулирует только открытая информация (зеленые стрелки на схемах выше). Он защищается МЭ, класс защищенности (сертификат) которого отвечает грифу информации, обрабатывающейся не в открытом контуре, а в защищенном. Отметим, что открытый контур - это не обязательно ДМЗ (демилитаризованная зона), в нем могут находиться штатные АРМы ряда подсистем АС (например, видеоконференцсвязь).

Вторым периметром в КСА объекта автоматизации является его внутренняя граница с ведомственным контуром безопасности. Заметим, что этот периметр находится внутри контролируемой зоны объекта и дополнительно обеспечивается оргмерами. Прямого контакта с "внешним миром" он не имеет. Ничто не мешает разместить на этом периметре дополнительный МЭ, снимающий вопросы о защите контура на нижних уровнях OSI/ISO. Однако если рассматривать экономически состоятельную модель организации контуров КСА, то такая реализация может быть чрезмерно дорогостоящей. Однако класс защищенности этого МСЭ не может быть ниже, так как модель его нарушителя распространяется на все контура КСА. Существование нескольких МЭ на разных периметрах КСА ведет не только к удорожанию проекта, но и сложности настройки всего КСА в целом. Поэтому часто для защиты ведомственного контура безопасности применяются другие средства - средства программной маршрутизации, работающие на уровнях от 4-го - транспортного, до 7-го - прикладного модели OSI/ISO. К таким средствам можно отнести программные средства, например, Novell NetWare (ZenWorks) или «ИВК Юпитер™». Реализация этой модели разграничения контуров безопасности связана с выделением в каждом сегменте дополнительного логического ресурса - шлюза сегмента. Таким образом, контроль за информационными потоками с разграничением доступа к ресурсам КСА (в том числе и Интернет) осуществляется на таком устройстве. В типовом КСА ИС такими устройствами являются: сервер приложений и МЭ. Основное естественное требование - наличие двух (или более) сетевых интерфейсов. Кроме того, следует обеспечить закрытие (шифрование) содержимого IP-пакетов на прикладном уровне, что является необходимым механизмом, обеспечивающим защиту информации в контурах, так как с его помощью обеспечивается наследование и передача меток безопасности в рамках всей системы. Взаимодействие открытого и ведомственного контура (например, сохранение обработанной в открытом контуре информации) осуществляется по «наложенной» транспортной магистрали, так как в этом направлении гриф информации повышается (синие стрелки). А вот управление средствами получения информации, например, кодеками в системе "Видеоконференцсвязь" осуществляется открытым образом, так как данный информационный поток не имеет грифа "конфиденциально", и осуществление его закрытия - аппаратное. Подобного рода подсистем, занимающихся "добычей данных" в открытом контуре ИС может быть несколько. Необходимо предусмотреть достаточность средств защиты, чтобы обеспечить защиту ведомственного контура КСА ИС, являющего «вложенным» в открытый контур. Таким образом, осуществляется разграничение открытого и ведомственного контуров КСА, поддержанное канальным механизмом сегментации.

Основным механизмом, реализующим защиту защищенного контура безопасности, является механизм канального шифрования, работающий на 2-м уровне модели. Он обеспечивается сертифицированным программно-аппаратным комплексом, но может работать по-разному. Первая модель - создание защищенной ИТКС с линейным шифрованием. В этой модели при наличии выделенного канала шифруется весь поток из защищенного контура одного КСА в защищенный контур другого (см. выше на схемах), возможно, с элементами фильтрации и контент-анализа. Эта модель реальна в случае, когда поток информации из контура не велик. В этом случае вся исходящая за периметр КСА информация имеет гриф "секретно", штатное средство шифрования должно понижать его до "не секретно". Разделение информационных потоков внутри контуров КСА ведется по схеме, описанной выше, с выделенным шлюзом «наложенной» защищенной магистрали, осуществляющим абонентское шифрование. Защищенность обеспечивающего ее продукта должна быть изначально достаточна, чтобы обеспечить защиту защищенного контура КСА ИС, являющего, в свою очередь, «вложенным» в ведомственный и открытый контура.

Второй подход заключается в создании защищенной наложенной ИТКС с канальным шифрованием. В качестве канальной структуры рассматривается «Интернет». Тогда взаимодействие с ИТКС строится на основе разграничения информационных потоков по грифу секретности отправляемой и получаемой информации. Если информация определена ее владельцем как не секретная, то обмен ею производится свободно, как в открытом и ведомственном контурах. Если гриф информации (документ, сообщение, файл и пр.) - "конфиденциально", то обмен производится при помощи механизмов, описанных выше (ведомственный контур). Если выставляемый гриф - "секретно", обмен информацией производится так:

  1. Она может циркулировать в рамках контролируемой зоны КСА ИС в соответствии с матрицей пользователей, допущенных к ее обработке.
  2. Выставление указанного грифа автоматически при попытке передачи информации ведет к выполнению штатной процедуры вторичного шифрования на находящемся в защищенном сегменте сертифицированном средстве, инициируемой шлюзом защищенного сегмента. После завершения процедуры зашифрованное сообщение с пониженным грифом отправляется далее по маршруту, предписанному защищенной магистралью.

Таким образом, при получении такого сообщения на удаленном КСА оно проходит, во-первых, процедуру фильтрации, после чего попадает на маршрутизатор, который оправляет его в необходимый сегмент ЛВС объекта автоматизации. Дальнейшая дешифрация происходит в два этапа: первичная дешифрация в защищенном сегменте, после чего - окончательная расшифровка на АРМ-получателе.

Заметим, что из сказанного совершенно не следует, что контура должны быть полностью разобщены, разделены предлагаемыми техническими средствами и в их рамках осуществляется свой собственный, уникальный вычислительный процесс, не являющийся единым для всей ИС в целом. Напротив, создаваемое решение как раз-таки и должно объединить все эти контура в единую среду исполнения, когда одно и то же должностное лицо должно иметь возможность работать сразу во всех контурах одновременно (разумеется при наличии соответствующих полномочий, например, директор организации).

Окончательно, схема "горизонтального" обмена информацией на КСА объекта автоматизации с указанием механизмов реализации защиты:


Реализация этой модели защиты должна быть подробно описана в Техпроекте. ИС в соответствии с о своим функциональным предназначением  может включать в свой состав специализированные комплексы средств автоматизации, объединяемые в рамках следующих функциональных компонент (подсистем):

  • «Нормативно-справочная информация» – подсистема информационной поддержки задач, связанных с организационным обеспечением деятельности объектов заказчика (словари, классификаторы и пр.).
  •  «Административное управление» – подсистема информационно-аналитической поддержки управленческой деятельности на базе корпоративной сети АРМ руководителей объектов, а также АРМ помощников-аналитиков.
  •  «Финансы» – подсистема, автоматизирующая процессы бухгалтерского учета и отчетности, обработку оборотных балансов и формирование сводной отчетности. Ведение баз данных для задач экономического анализа и прогнозирования различных ситуаций. Доведение до мест выделенного объема финансирования, расчет заработной платы.
  • «Кадры» – подсистема автоматизации деятельности кадровых органов заказчика, учета, хранения и анализа данных об организационно-штатной структуре и фактическом кадровом составе.
  • «Видеоконференцсвязь» – подсистема, обеспечивающая взаимодействие должностных лиц с использованием технологии видеоконференцсвязи по протоколу Н.323.
  • «Документооборот» – подсистема, обеспечивающая автоматизацию процессов делопроизводства, документооборота и ведения архива с документальным оформлением каждого этапа жизненного цикла документа, в том числе и юридически значимого.
  • «Материально-технические ресурсы» – подсистема автоматизации слежения за состоянием материально-технических ресурсов и планирования потребностей в них.
  • «Аудиосвязь» – подсистема обеспечивающая взаимодействие должностных лиц с использованием технологии видеоконференцсвязи по протоколу SIP.
  • «Недвижимость» – подсистема учета, контроля и управления недвижимостью.
  • «Почтовая служба» - подсистема обмена e-mail  корреспонденцией.
  • «Служба каталога» - глобальная подсистема идентификации и аутентификации должностных лиц – пользователей ИС.
  • И пр.

Помимо выше упомянутых подсистем в ИС могут быть включены типовые функционально-технологические подсистемы:

  • Информационно-справочная подсистема;
  • Интернет-портал ИС;
  • Подсистема отображения информации коллективного пользования;
  • Подсистема обеспечения безопасности информации,

а также обеспечивающие подсистемы:

  • Подсистема связи и передачи данных;
  • Транспортная подсистема;
  • Подсистема интеграции информационных ресурсов;
  • Подсистема мониторинга и контроля функционирования;
  • Подсистема обеспечения эксплуатации и сервисного обслуживания;
  • Подсистема обеспечения функционирования прикладных процессов;
  • И пр.

Исходя из общих соображений о формировании вычислительного процесса в ИС, изначально все указанные подсистемы по функционированию в контурах безопасности можно рассматривать так:

Подсистема

Контура безопасности

Публичный

Ведомственный

Защищенный

1. Нормативно-справочная информация

+

+

+

2. Административное управление

+

+

+

3. Финансы

-

+

-

4. Кадры

-

+

+

5. Видеоконференцсвязь

+

+

-

6. Документооборот

+

+

+

7. Материально-технические ресурсы

-

+

+

8. Недвижимость

-

+

-

9. Аудиосвязь

+

+

+

10. Почтовая служба

+

+

+

11. Информационно-справочная подсистема

+

+

-

12. Служба каталога

+

+

+

13. Интернет-портал АС

+

+

-

14. Подсистема отображения информации коллективного пользования

-

+

+

15. Подсистема обеспечения безопасности информации

+

+

+

16. Подсистема связи и передачи данных

+

+

+

17. Транспортная подсистема

+

+

+

18. Подсистема интеграции

+

+

+

19. Подсистема мониторинга и контроля функционирования

+

+

+

20. Подсистема обеспечения эксплуатации и сервисного обслуживания

+

+

+

21. Подсистема обеспечения функционирования прикладных процессов

+

+

+

Как видим, практически все подсистемы (за исключением прикладных, здесь не отраженных) должны функционировать в различных контурах безопасности ИС. Сложившаяся практика эксплуатации таких систем диктует нам умножение типовых контуров на число самих контуров с реализацией «диодных» соединений или принципов «воздушный зазор». В таких случаях мощность ИС увеличивается в число контуров при неизменном количестве решаемых задач. Ни о каком принципе разумной достаточности не и речи! Такой экстенсивный путь развития ИС является тупиковым, тем более при нарастающем развитии централизованных (в том числе «облачных») технологий обеспечения прикладных процессов.

Необходимость учета рассматриваемой здесь проблематики в деле построения защищенных ИС проистекает из особенностей не столько функционирования конкретных предприятий и организаций, сколько из почти «физической» сущности самой информации и методов ее обработки должностными лицами информационных систем нового поколения.

Просмотров: 6014

Мнения экспертов

Статья ориентирована только на очень узкий круг специалистов, большинству читателей информация будет не понятна. Можно было бы описать организацию контуров защиты информации в виде применяемого оборудования.

  • Крюков А.Н.Крюков А.Н.
    Рязанское высшее воздушно-десантное командное училище им. В.Ф.Маргелова
    преподаватель
Рецензируемая статья к.ф.-м.н Андреева Валерия Владимировича посвящена обоснованию использования в ведомственном (и межведомственном) информационном обмене интегрированных систем электронного документооборота с возможностью обработки как открытых сведений, так и конфиденциальных, а также составляющих государственную тайну. В ней на основе общего подхода рассмотрен пример решения задачи разделения информации с различным грифом в единой (в перспективе — и сетецентрированной, и облачной) информационной системе. В работе автор учёл наличие (и отличия) ограничений, накладываемых на оборот данных разной степени конфиденциальности различными ведомственными регуляторами. Автором подробно изложены варианты наборов сервисов и средств защиты каждого контура, в общих чертах описаны правила взаимодействия между их элементами. Подробно, с рисунками, показаны направления и состав потоков информации как в направлении «Повышения грифа», так и в направлении «Понижения грифа». Предлагается использовать для защиты периметра в том числе механизмы электронной цифровой подписи, а для защиты передачи информации с большим грифом в контуре с меньшим грифом — криптографические средства. Подробно рассмотрены все три механизма (фильтрация, маршрутизация, шифрование) защиты периметров контуров и понижения грифа секретности. Отмечена важность организационно-технических мероприятий, связанных с разграничением внутреннего ресурса комплекса технических средств. Статья написана автором самостоятельно, на актуальную тему, имеет практическую ценность и может быть рекомендована к публикации. К недостаткам работы эксперт относит её объём и скрытую рекламу СЭД ИВК «Бюрократ».

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

  • Андреев В.В.Андреев В.В.
    ЗАО «Информационная внедренческая компания» (ИВК)
    Заместитель генерального директора по науке и развитию

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru