В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Дмитрий Счастный, начальник отдела разработки и проектирования ТС СЗИ, ОКБ "САПР"
Ностальгия
Долгими зимними вечерами крупные IT-спе-циалисты с большим стажем вспоминают начало своей трудовой деятельности с теплотой и ностальгией. Упоминание перфокарт, перфолент, действительно БОЛЬШИХ ЭВМ и терминалов доступа к данным вызывает невольный трепет, ассоциируясь с теми временами, когда не было спама и вирусов, DOS-атак и спуфинга, хакеров и инсайдеров. Масла в огонь подливают заявления о том, что автоматизированные системы, построенные на мейнфреймах, ни разу не были взломаны и вообще весьма надежны с точки зрения безопасности. Поэтому от современных терминальных систем подсознательно ждешь, что с безопасностью у них все в порядке. Однако не все так просто, как хотелось бы...
В классических терминальных системах пользовательские терминалы не только были лишены каких-либо портов ввода-вывода, но и полноценная операционная система на них отсутствовала. Все терминалы были идентичны, и как-то изменять их, чтобы они могли существенно отличаться друг от друга, было невозможно. Вся обработка и хранение данных происходили в одном месте, а пользовательские процессы были архитектурно отделены друг от друга. "Притвориться сервером", то есть сымитировать большую ЭВМ можно было только с помощью другой большой ЭВМ, поэтому для злоумышленника это было фактически невозможно именно из-за того, что она была большая. В принципе она и представляла собой всю терминальную систему, так как самостоятельными единицами терминалы не являлись. Поэтому для системы защиты от несанкционированного доступа было необходимо грамотно настроить права доступа пользователей, идентифицировать пользователя по имени и ау-тентифицировать его с помощью пароля.
Делать это и сейчас необходимо, но, увы, уже недостаточно.
Сегодняшняя реальность
Терминальные системы сегодня - это не есть классические большие ЭВМ, скорее, они представляют собой результат слияния больших и персональных электронных вычислительных машин. От больших ЭВМ в терминальных системах осталась лишь основная идея централизованной обработки и хранения данных, от персональных же ЭВМ - практические программные и аппаратные реализации. Сегодня одинаково легко заставить программное обеспечение терминального сервера работать на ноутбуке и использовать в качестве терминала полноразмерный специализированный сервер. Налицо изменение парадигмы терминальных систем: вместо иерархии "множество глупых терминалов - один умный сервер" сейчас используется "много достаточно умных терминалов - один умный сервер". Исходя из данной парадигмы, нужно подходить к вопросам защиты от несанкционированного доступа к информации в терминальных системах.
Еще одним важным моментом, о котором необходимо помнить в рассматриваемом контексте, является то, что данные в терминальных системах не только хранятся, но и обрабатываются. Перефразируя известный постулат относительно компьютера, можно сказать, что терминальная система - это не только память, но и вычисления. Нарушение информационной технологии - порядка обработки данных -приводит к не меньшим неприятностям, чем нарушение их целостности или конфиденциальности. Поэтому защищать и контролировать нужно не только данные, подлежащие обработке, и каналы их передачи, но и средства (программные и аппаратные), с помощью которых обработка данных выполняется.
Построение систем защиты в терминальных системах
Таким образом, можно сформулировать особенности построения систем защиты в терминальных системах примерно так:
1. Защите подлежат не только терминальные серверы, но и сами терминалы. При этом задача защиты терминалов распадается на две подзадачи:
а) необходимо контролировать доступ пользователя к портам ввода-вывода терминала с тем, чтобы запретить подключение неразрешенных внешних устройств, например, принтеров или флэш-дисков. Это позволяет как предотвратить создание возможных каналов утечки данных с терминального сервера, так и защитить терминал, а впоследствии и сервер, от вредоносного программного обеспечения;
б) необходимо обеспечивать контроль целостности программных средств, с помощью которых пользователь взаимодействует с терминальным сервером. Важно помнить, что, хотя пользовательские данные хранятся и обрабатываются на терминальном сервере, пользователь все-таки воспринимает и интерпретирует эти данные непосредственно на терминале. К тому же нажимает пользователь на кнопки клавиатуры, подключенной опять-таки к терминалу. И только после обработки этих нажатий в операционной системе терминала они попадают на терминальный сервер.
2. Идентифицироваться и аутентифицироваться должны не только пользователи, но и сами терминалы и терминальные серверы. Причем терминалы и терминальные серверы должны уметь проводить процедуры взаимной аутентификации.
Аутентификация терминального сервера особенно важна для пользователя. Зачастую для пользователя терминальный сервер представляется ярлычком на его рабочем столе. Пользователь знает, что его данные хранятся и обрабатываются на терминальном сервере, знает, что для доступа к этим данным он должен пройти процедуры идентификации и аутентификации, но не знает, откуда приходит к нему изображение на монитор терминала и куда он передает нажатия кнопок на клавиатуре и мыши. Реально у пользователя нет механизма проверки, куда он подсоединяется, откуда получает данные и куда передает результаты их обработки. Пользователь взаимодействует в первую очередь с терминалом, и это функция терминала - обеспечить корректное соединение с терминальным сервером.
С другой стороны, необходимо в рамках политики безопасности правильно разграничивать подключения легальных пользователей к терминальному серверу в зависимости от того, с какого терминала он обращается. Терминалы могут существенно отличаться друг от друга не только составом аппаратных средств, но и набором программного обеспечения, функционирующего на них.
3. Правила разграничения доступа пользователей на терминалах и серверах должны быть синхронизированы между собой.
Как уже не раз упоминалось выше, в качестве терминалов могут выступать вполне современные ПЭВМ, для которых работа с терминальным сервером является только одной из множества функций. И очень важно, чтобы правила разграничения доступа, установленные для пользователя на терминальном сервере, поддерживались бы и на терминале. Если пользователю запрещено печатать тот или иной документ, хранящийся на терминальном сервере, то нужно обеспечить реализацию этого требования и на терминале, для того чтобы он не смог все-таки распечатать документ, например, как копию экрана.
Комментарий эксперта
Алексей Задонский, ведущий менеджер проектов, Oracle CIS, Россия
ЭКСКУРС в историю терминальных систем говорит о том, что безопасность "больших" компьютерных систем на основе стандартных терминалов базировалась, скорее, на отсутствии доступных аппаратных возможностей (трудно так просто сделать эмуляцию сервера) и на практическом отсутствии желающих их "взломать", так как стандартный и открытый протокол взаимодействия не мог защитить процедуру обмена информацией.
Сейчас те или иные терминальные системы используются в основном крупными клиентами ввиду следующих очевидных выгод:
Появившийся функционал современных терминальных систем (когда клиенты все больше "умнеют") диктуется требованиями времени. Раньше чистый терминальный клиент не умел задействовать ресурсы локального компьютера, то есть использовался только в качестве отображения информации и ввода данных пользователем (клавиатура+мышь). Это приводило к некоторым проблемам (например, печать документов осуществлялась только через сервер, что доставляло неудобства при работе с удаленного офиса). Как и в любой системе - чем больше ее гибкость и функционал, тем больше проблем офицерам безопасности.
Один из наиболее безопасных вариантов применения терминалов - это использование бездисковых аппаратных терминалов, в которых имеются только экран, мышь, клавиатура и USB-порты, использование которых полностью контролируется сервером, и наличие криптозащиты каналов связи. Такие системы хороши в работе с критическими секретными документами или для организации безопасного выхода в Интернет из закрытого контура. В этом случае аутентификацию удобно производить с помощью смарт-карты. Конечно, проектируя такие системы, необходимо дополнять безопасность возможностями телекоммуникационного оборудования.
Но и терминальные системы не позволяют снять всех вопросов безопасности. Необходимо еще использовать и организацию безопасного электронного документооборота, при котором пользователи получают только ту информацию, которая необходима по их служебным обязанностям, и могут с ней делать только действия, определенные политиками безопасности. Например, если сказано, что нельзя печатать данный документ, то и пользователь ни в каком варианте не должен иметь такой возможности ни локально, ни через центральный сервер. Имеются в виду такие важнейшие системы, как:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2008