D.M.Nessett. Factors Affecting Distributed System Security// IEEE
Transactions on SE, v.13, N2, 1987, pp.233-248. Факторы, влияющие
на  безопасность  распределенной системы. I. Введение В последних
исследованиях    предлагается   расширить   понятия,   касающиеся
безопасности  отдельных  систем, на сети (распределенные системы)
[1,2].   При  этом  отстаивается  совместное  применение  сетевой
топологии и уровней оценки [3] систем в сети (т.е., ее узлов) для
определения  ограничений,  налагаемых  на  обработку  грифованной
информации.  В  одном из предложений определено несколько режимов
работы  сети  и  для  каждого  режима  разработаны ограничения на
сетевую топологию и уровни оценки системы [1]. Другое предложение
изучает  механизмы  для  внедрения  мандатного контроля доступа в
распределенной  среде  и  определяет  механизмы,  необходимые для
обеспечения   безопасной   работы   [2].  Привлекательность  этих
предложений  состоит  в  их  идейной  экономичности.  Если  можно
показать,  что  существующие  концепции компьютерной безопасности
адекватно  описывают  безопасность в распределенной среде, то это
сэкономит  много средств и интеллектуальных усилий. Такая овчинка
стоит  выделки. Однако этот подход таит опасность. Если ожидаемые
преимущества  велики,  то  значительное  количество  усилий будет
положено  на  создание необходимой обобщенной концепции. При этом
мало  внимания  будет  уделяться  вопросу:  а  возможно  ли такое
обобщение.   Велико  искушение  утвердительно  ответить  на  этот
вопрос,   не   задумываясь  над  доброкачественностью  ответа.  В
действительности,  можно  привести  сильные доводы в пользу того,
что  распределенные  системы  ставят новые проблемы безопасности,
которые  либо  вообще  неприменимы  к отдельным системам, либо не
характерны  для  них. Эти проблемы расширяют понятие безопасности
для  распределенных  систем  и  не  допускают  простого  переноса
существующих  концепций.  В статье представлены факторы, влияющие
на  безопасность  распределенных  систем  и  отличные  от узловых
уровней   оценки  и  сетевой  топологии.  Их  диапазон  ограничен
уместностью.  Не делается попытки решить проблемы, вносимые этими
факторами,  хотя  и имеются некоторые предварительные результаты.
II.   Безопасность   распределенной  системы  Степень  доверия  к
распределенным  системам  важна в ряде сред. Для краткости термин
"безопасность"  используется  в  традиционном  значении,  а также
охватывает  термин  "секретность".  Перед  обсуждением  факторов,
влияющих  на безопасность в распределенных системах, рассмотрим в
качестве   основы   для  анализа  архитектуру  таких  систем.  А.
Архитектура   распределенных  систем  По  общему  соглашению  для
описания  архитектуры  большинства распределенных систем подходит
Эталонная   модель   взаимосвязи   открытых   систем   (ЭМ  ВОС),
стандартизованная  МОС  [4].  Несмотря на то, что некоторые черты
этой  архитектуры  спорны  [5-7],  ее  общепринятость оправдывает
применение  в  качестве  основы для обсуждения. ЭМ ВОС определяет
семь    уровней   обслуживания,   необходимых   для   обеспечения
распределенных  применений.  Первые  четыре  уровня  (физический,
канальный,   сетевой  и  транспортный)  обеспечивают  надежное  и
эффективное  взаимодействие  автономных  компьютерных систем и их
процессов.  Три  высших уровня (сеансовый, представления данных и
прикладной)   обеспечивают   дополнительные  услуги,  из  которых
построены    распределенные    применения.    Нет   общепринятого
определения  сети.  Некоторые  авторы  используют этот термин для
обозначения  услуг,  обеспечиваемых  четырьмя нижними уровнями ЭМ
ВОС.  Другие  применяют  его для обозначения физически автономной
подсистемы   связи,  составленной  из  узлов  коммутации  пакетов
специального   назначения,   соединяющих   системы  более  общего
назначения   под   названием   "главные   ЭВМ"   (host).   Термин
используется и для обозначения услуг, предлагаемых всеми уровнями
ЭМ   ВОС.   В   этой   статье   термин  "сеть"  означает  услуги,
предоставляемые   четырьмя   нижними   уровнями   ЭМ   ВОС  и  их
программным/аппаратным   обеспечением   (т.е.  каналами  связи  и
узлами).   Таким   образом,  сеть  включает  те  услуги,  которые
обеспечивают   надежную  и  эффективную  связь  между  процессами
(СМП/IPC).   Термин  "распределенная  система"  используется  для
обозначения  услуг,  предоставляемых  всеми  уровнями ЭМ ВОС и их
программными/аппаратными  элементами.  Архитектура распределенной
системы  - это естественная и согласованная основа для обсуждения
безопасности  распределенной  системы. Этот подход принимается во
внимание   при  работе  над  дополнением  к  ЭМ  ВОС,  касающимся
безопасности  [8].  Архитектура  ЭМ  ВОС используется ниже, чтобы
показать  недостаточность  принятия  во  внимание  только сетевой
топологии  и узловых уровней оценки при рассмотрении безопасности
распределенной системы. В. Обзор услуг распределенной системы Для
поддержки   надежной   и   эффективной  распределенной  СМП  сеть
обеспечивает  услуги  в  узлах, расположенных на пути прохождения
пакетов  передачи  сообщения  (рис.1).  Услуги физического уровня
используются  для  формирования  канала  связи,  соединяющего два
узла.  Услуги  канального  уровня  используют  услуги физического
уровня   для  обеспечения  надежной  и  синхронизированной  связи
(управление    потоками)   между   непосредственно   соединенными
вычислительными   системами.   Услуги  канального  уровня  обычно
реализуются  путем  группирования  программного обеспечения (ПО),
которое  включает  драйверы устройств и выполняется в соединенных
узлах. Сетевой уровень использует услуги услуги канального уровня
для  передачи данных между узлами, которые не соединены напрямую.
Обычно   сетевой   уровень  реализуется  в  каждом  узле  в  виде
совокупности  процедур,  которая  в  ряде  случаев дополняется ПО
сетевого управления. Процедуры сетевого уровня вызываются узловым
ПО  канального  и  транспортного  уровня,  чтобы определить, куда
отправлять пакет. Транспортный уровень использует услуги сетевого
уровня,  чтобы  обеспечить  надежную  и  синхронизированную связь
(управление  потоками)  между  узлами,  не соединенными напрямую.
Обычно   услуги   транспортного   уровня   реализуются   частично
операционной  системой,  а  частично  -  программами пользователя
(например,  как библиотечный код, добавляемый к коду, написанному
пользователем).  В  общем  случае  хотя  бы некоторая часть услуг
транспортного   уровня   реализуется   в   виде   ПО,  резидентно
находящегося в ОС, вследствие чего оно может быть непосредственно
вызвано программным обеспечением сетевого уровня. Более подробное
обсуждение  услуг,  обеспечиваемых  в  сети,  можно  найти в [9].
Услуги  высшего  уровня взаимодействуют с услугами распределенной
СМП  через  интерфейс,  реализованный хотя бы частично при помощи
ПО,  выполняемого  в  пользовательских  процессах.  Интерфейс СМП
предоставляет   пользовательским   процессам  улучшенный  вариант
услуг, предоставляемых сетью. Интерфейс основан на той концепции,
что   распределенная   система  -  это  множество  процессов  или
процессуальных   портов,   через   которые   передаются  в  обоих
направлениях данные. За интерпретацию передаваемых по сети данных
отвечают   связные   процессы,   хотя   некоторые  услуги  уровня
представления  данных  могут  оказывать  помощь в форматировании,
кодировании   и   представлении   данных.  Размещение  механизмов
безопасности  на  высших уровнях ЭМ ВОС до сих пор неясно. Услуги
безопасности,    такие    как    аутентификация,   распределенный
избирательный   контроль  доступа  и  контрольный  журнал,  можно
разместить  на  любом из трех высших уровней (то есть, сеансовом,
представления  данных  или  прикладном). Их размещение зависит от
особенностей  архитектуры определенной распределенной системы, не
охватываемых   моделью   (например,   является  ли  избирательный
контроль  доступа  единообразным во всей распределенной системе).
Существуют  мнения,  что высшие уровни должны организовываться не
так,  как  определено  ЭМ ВОС [6]. Поскольку не существует общего
соглашения о модели услуг безопасности высших уровней, обсуждение
характеристик  этих  услуг затруднено. Однако в целях дальнейшего
обсуждения  коротко  расмотрим  услуги  двух  высших  уровней: 1)
услуга    удаленного    взаимодействия    и   2)   распределенный
избирательный контроль доступа. Эти услуги можно использовать для
иллюстрации различных моментов при последующем анализе. 1) Услуга
удаленного   взаимодействия.   Установление   сеансов   работы  с
терминалами  (т.е. вход в систему) в распределенной системе можно
осуществить   различными   способами.   От   пользователей  может
потребоваться  вход  через удаленный узел при помощи существующих
узловых   средств   входа   в   систему.  При  этом  пользователь
предъявляет  узлу  пароль, который обычно действителен только для
этой системы. Пользователь должен запоминать отдельные пароли для
каждого узла, с которым он полномочен работать. Такой тип входа в
систему  используется  в  ARPANET  и  ее  разновидностях.  Особый
узловой  вход  в  систему  требует  минимальных изменений узловых
операционных  систем  для  поддержки  распределенного  разделения
ресурсов.    Системы    должны   реализовать   только   требуемые
СМП-протоколы  (например,  через  транспортный  уровень)  и общий
терминальный   протокол   (например,  протокол  TELNET  для  сети
ARPANET)  для  поддержки услуги удаленного взаимодействия. Однако
особый   узловой   вход  в  систему  имеет  тот  недостаток,  что
пользователи  должны  помнить  разные  пароли для каждой системы,
куда  осуществляется  доступ. При использовании нескольких систем
запоминание   паролей   становится  трудным  и  требующим  затрат
времени.  У пользователей возникает искушение записать или другим
способом  физически отобразить свои пароли в общедоступных местах
(например, на листике бумаги, прикрепленном к столу, или в памяти
терминала).  Это  неблагоприятно влияет на состояние безопасности
распределенной   системы,   так   как  увеличивается  вероятность
компрометации    пароля.   Центральная   аутентификация   [10-13]
поддерживает   вход   в   систему,  не  требуя  от  пользователей
запоминания  нескольких  паролей. Специальный узел распределенной
системы, называемый аутентификатором, управляет пользовательскими
паролями  и  аутентифицирует  (то  есть,  проверяет  соответствие
идентификатора  и  пароля пользователя) запросы на вход в систему
(рис.2).  Когда  пользователь делает с терминала запрос на вход в
систему,    тот    посылается    схемой    реализации   терминала
аутентификатору,  который сравнивает находящиеся в запросе пароль
и   идентификатор  пользователя.  При  совпадении  аутентификатор
направляет  запрос  в  целевую ГЭВМ в виде запроса о полномочиях.
Если  пользователь  полномочен использовать ГЭВМ, устанавливается
сеанс  с  удаленного  терминала, и возвращается ответ об успешном
входе  в  систему.  При неуспешной аутентификации или авторизации
возвращается  отказ  во входе в систему. Возможны варианты метода
центральной   аутентификации.   Например,   аутентификатор  может
возвращать  запрос  о  полномочиях  схеме  реализации  терминала,
которая  затем  отправляет  его  на  целевую  ГЭВМ.  Такой  метод
используется,   когда  терминалы  подключаются  к  распределенной
системе   через   доверенные   концентраторы   терминалов   [11].
Центральную   аутентификацию   в  распределенных  системах  можно
реализовать  при  помощи  нескольких аутентификаторов [12,13]. 2)
Распределенный   избирательный  контроль  доступа.  Избирательный
контроль доступа в распределенной системе можно также реализовать
различными  способами.  Распределенные  системы, основной задачей
которых  является обеспечение диалогового доступа к узлам, обычно
требуют,  чтобы  пользователи  входили  в  систему  через  узел и
манипулировали доступными им объектами при помощи соответствующих
механизмов   избирательного   контроля   доступа.  При  удаленном
копировании  файлов  в этих системах также требуется предъявление
пользователями    паролей.   Такой   подход   к   распределенному
избирательному  контролю доступа имеет преимущество в том, что он
требует  лишь  незначительной  модификации операционной системы в
узлах распределенной системы. Обычно требуется модификация, чтобы
обеспечить  услугу  удаленного  взаимодействия и передачу больших
массивов данных. Важный недостаток подхода заключается в том, что
доступ  к объектам возможен только после установления диалогового
сеанса  работы  с  терминалом.  Задачи типа распределенного сбора
данных,  услуги  по реализации надежных распределенных вычислений
типа   элементарных   транзакций,   распределенные  иерархические
системы   памяти   и   распределенные   услуги   управления  типа
выравнивания  нагрузки  и  распределенного  управления  заданиями
противоестественно  реализуют как совокупность диалоговых сеансов
работы  с  терминалом.  Более  того,  любая  попытка  реализовать
распределенные  задачи  при  помощи модели таких сеансов поощряет
хранение   паролей  в  файлах,  текстах  программ  и  загрузочных
модулях,  что  оказывает  неблагоприятное влияние на безопасность
этих  задач  и  поддерживающих их узлов. Альтернативная стратегия
распределенного   избирательного   контроля   доступа  использует
концепцию  администратора  объектов  или  сервера  ресурсов [14].
Такой  подход  вполне  естественно  поддерживает  задачи, которые
неудобно реализовать как совокупность диалоговых сеансов работы с
терминалом.  Каждый  ресурс  распределенной системы (т.е. объект)
управляется  сервером  ресурсов,  выступающим  в роли посредника.
Избирательный контроль доступа к таким ресурсам основывается либо
на  списках  доступа,  либо  на  мандатах  [14-17]. Избирательный
контроль  доступа  на базе списка доступа может использовать либо
адреса процессов [16], либо идентификаторы агента (администратора
доступа) [17,18]. Если субъект А желает передать субъекту В права
доступа  к  ресурсу, то он посылает сообщение в сервер ресурсов с
просьбой  добавить  В в список доступа к ресурсам с определенными
правами  доступа  [рис.3(а)]. Перед добавлением В в список сервер
проверяет,  обладает  ли  А расширенным набором передаваемых прав
доступа,  путем  сравнения  идентификатора А (т.е. либо адреса А,
либо   идентификатора   администратора   доступа,  находящихся  в
запросе)  с  идентификатором  в  списке  доступа. При обнаружении
идентификатора  в  списке,  ассоциируемом  с  расширенным набором
передаваемых  прав доступа, в список добавляется идентификатор В,
ассоциируемый  с  передаваемыми  правами  доступа [рис.3(b)]. При
хранении  адресов  процессов  в  списках  доступа  передача  прав
доступа  между  процессами требует вмешательства сервера ресурсов
[16]. Это может привести к нежелательному снижению эффективности,
особенно  если  распределенная  задача  требует  частого создания
процессов  с  сопутствующей  передачей  прав доступа. Если сервер
ресурсов  использует  идентификаторы  администратора  доступа для
передачи   прав,   то   эффективность  распределенных  вычислений
улучшается, так как корректировка списка доступа требуется только
при  передаче  прав  между администраторами доступа. Во избежание
кражи   или   подделки   этих   идентификаторов   и  последующего
использования их необходимо защищать при помощи криптографических
контрольных  сумм,  как  это  делается  в  мандатах  (см.  ниже).
Использование  идентификаторов администратора доступа неполностью
поддерживает  принцип наименьших привилегий [18], так как процесс
имеет  доступ  ко  всем  ресурсам, доступным администратору, а не
только  к  необходимым для работы. С другой стороны избирательный
контроль  доступа  на  базе  мандатов  более  близок  к  принципу
наименьших  привилегий  и  позволяет  передачу прав доступа между
процессами  и администраторами доступа без посредничества сервера
ресурсов.  Мандат  включает идентификатор ресурса, права доступа,
уровень    секретности   и   парольные   поля,   в   совокупности
подтверждающие     права     владельца    получить    доступ    к
идентифицируемому   ресурсу  [14],  [19].  Идентификатор  ресурса
используется   сервером   для   отыскания  ресурса.  Поле  уровня
секретности  сравнивается  с  запрашиваемым  процессом уровнем, а
поле  прав  доступа сравнивается с запрашиваемой операцией, чтобы
определить   соответствует   ли   запрашиваемый  доступ  политике
мандатной    и   избирательной   безопасности.   Пароль   -   это
криптографическая    контрольная    сумма    относительно   полей
идентификатора   ресурса,  прав  доступа  и  уровня  секретности,
обеспечивающая   невозможность  подделки  мандата  или  скрытного
изменения полей прав доступа или уровня секретности. Пароль можно
использовать для защиты от кражи мандата [16,17]. Термин "пароль"
для  контрольной  суммы  используется  потому,  что концептуально
каждый  класс  доступа  к  ресурсу  (т.е.  каждая комбинация прав
доступа  и уровня секретности с идентификатором ресурсов) защищен
уникальным паролем. Когда процесс в запросе на доступ предъявляет
серверу  мандат  ресурса,  тот проверяет законность мандата путем
расчета  контрольной  суммы  и  сравнения полученного значения со
значением   в   поле  пароля.  При  совпадении  сервер  разрешает
запрошенный  доступ,  а в противном случае отказывает в доступе к
ресурсу.  Распределенный  избирательный  контроль  доступа  можно
реализовать  либо  объединяя ядра операционных систем узлов, либо
при    помощи    механизмов,   поддерживаемых   пользовательскими
процессами.   В   первом  случае  идентификаторы  администраторов
доступа  или  мандаты  хранятся  в  области  ядра ОС. В последнем
случае    они    хранятся    в   области   процесса,   при   этом
криптографический  ключевой  материал  для  их защиты управляется
ядрами   узлов.   В  обоих  случаях  мандаты  или  идентификаторы
передаются  в  СМП-сообщениях.  Если контроль доступа реализуется
при  помощи  ядер  ОС,  то процесс, уполномоченный действовать от
имени  администратора  доступа  или  использовать  мандат,  имеет
особую  информацию,  ассоциируемую с ним ядром. При использовании
идентификатора   администратора   доступа   ядро   хранит  его  в
информации    о    состоянии    процесса,    которая   недоступна
непосредственно  процессу.  В  мандатных  методах  ядро управляет
мандатным списком, ассоциируемым с каждым процессом. Если процесс
желает  передать  идентификатор  или  мандат другому процессу, он
делает  системный  вызов  передачи с запросом ядра. Если процесс,
принимающий  информацию  о  контроле  доступа, находится в другом
узле,  ядро  форматирует  сообщение, содержащее идентификатор или
мандат,  и  посылает  его ядру процесса-получателя. Это ядро либо
ассоциирует  идентификатор  с  процессом, либо добавляет мандат в
мандатный   список  процесса.  Кроме  того,  процесс,  передающий
информацию    о   контроле   доступа,   должен   проинформировать
процесс-получатель  о  транзакции  контроля  доступа. Это требует
передачи  другого  сообщения,  передаваемого  скорее  между двумя
процессами,  чем  между  их ядрами. Криптографические контрольные
суммы   идентификаторов   и   мандатов  защищают  ядра  узлов  от
злонамеренных   действий   других  ядер  узлов.  Если  все  узлы,
обменивающиеся информацией о правах доступа, доверяют друг другу,
узлы  никогда  не  компрометируются  и  все  каналы  защищены  от
активных   и  пассивных  угроз,  то  нет  необходимости  защищать
идентификаторы  администратора  доступа  и  мандаты,  управляемые
ядрами   ОС,   при  помощи  криптографических  контрольных  сумм.
Поскольку  эти  условия  редко  выполняются, то криптографические
контрольные   суммы  в  этом  случае  необходимы.  Распределенный
избирательный  контроль  доступа  на базе процессов действует так
же,  как  и  избирательный  контроль  доступа  на  базе  ядер, за
исключением того, что идентификаторы и мандаты хранятся в области
процесса,  а  не  в  области  ядра  [16,17].  Это позволяет вести
передачу   идентификаторов  или  мандатов  между  процессами  без
трафика сообщений между ядрами. Такой контроль доступом облегчает
некоторые  проблемы  с  управлением ресурсами и синхронизацией, с
которыми  сталкиваются  методы  на  базе ядер, обеспечивает более
эффективную   связь   и   упрощает   ядра   ОС  узлов.  Поскольку
криптографические     суммы    идентификаторов    или    мандатов
обеспечивают,   что   последмогут   использоваться  только  одним
процессом, то контроль доступа на базе процессов предлагает ту же
степень  безопасности, что и механизмы, связанные с ядрами. Таким
образом,    в    типичной   операционной   среде   распределенный
избирательный  контроль доступа на базе ядер не имеет преимуществ
с  точки  зрения  безопасности  по  сравнению с контролем на базе
процессов.  Если ядра взаимно не доверяют, то передача информации
о  контроле  доступа между ними не является более безопасной, чем
передача   между   процессами.   Более   того,   управление  этой
информацией  в  узловых ядрах требует передачи двух сообщений при
передаче   идентификатора   или   мандата:   одно   от  источника
ядру-получателю,  а  другое от источника процессу-получателю. При
контроле  доступа  на  базе  процессов  требуется передача одного
сообщения,  то  есть  он  более экономичен и прост. III. Факторы,
влияющие   на  безопасность  распределенных  систем  При  анализе
безопасности   распределенных   систем   требуется  идентификация
факторов  и  проблем,  влияющих  на  степень  доверия  к  услугам
распределенной системы. Можно утверждать, что сетевая топология и
узловые  уровни  оценки недостаточны для такого анализа. С равной
степенью,   если   не  более,  важны  такие  факторы,  как  среда
физической   безопасности   распределенной   системы,   структура
управления   и   взаимодействие   между   различными  механизмами
безопасности.  Для  доказательства  этого  утверждения приводятся
примеры  для  одной  из  четырех  сфер безопасности. Каждая сфера
определяется  специфическим  набором  требований  к безопасности,
хотя   допускается   и   перекрытие   в   ряде   ситуаций.  Сфера
государственной   безопасности  включает  действия,  связанные  с
обороной  государства. Задачи обычно связаны с военными службами,
разведывательными     агенствами     или     другими     орудиями
государственного   суверенитета.  Политическая  сфера  охватывает
активность государственных и местных правительственных органов, а
также  квазиправительственных  органов,  таких  как  политические
партии,  общественные  корпорации  и финансируемые правительством
учреждения  и  власти. Коммерческая сфера охватывает деятельность
частных  лиц и корпораций, связанных с государственными, местными
или  частными  финансами,  экономикой  и  бизнесом. Частная сфера
охватывает  те  частные  и  общественные  предприятия, которые не
имеют   прямой   коммерческой,   политической   или  связанной  с
государственной  безопасностью  ориентации,  включая  социальную,
благотворительную,   академическую  и  религиозную  деятельность.
После  установления  важности  каждого  фактора анализируется его
влияние   на   безопасность  услуг  распределенной  системы.  Для
уменьшения    влияния    узловых   уровней   оценки   на   анализ
предполагается,   что   в   реализацию   программного/аппаратного
обеспечения  узлов  заложена  наивысшая  конфиденциальность и что
обеспечиваются   все   желаемые   механизмы  мандатного  контроля
доступа.  Более  того,  при  анализе  не делается предположений о
топологии  сети. Это делается без потери общности, поскольку учет
взаимодействия между сетевой топологией, секретностью, заложенной
в   реализацию   аппаратного/программного   обеспечения   узла  и
описываемыми  факторами значительно усложняет анализ безопасности
распределенной  системы.  Поскольку  цель статьи состоит в показе
важности  дополнительных  факторов,  а не в исчерпывающем анализе
безопасности  распределенной  системы,  такой подход оправдан. А.
Факторы,  связанные с физической безопасностью Предположение, что
все   элементы   распределенной   системы  физически  защищены  в
соответствии  с  высшим  классификационным  уровнем  для  данных,
обрабатываемых    в    распределенной   системе   [2],   является
естественным   расширением   предположений,   высказываемых   для
отдельных  систем [рис.4(а)]. Если расположение отдельной системы
в  однородной  среде  физической  безопасности вполне обычно, это
редкое  явление  для  различных  элементов распределенной системы
(рис.4(b)].     Изменения     среды    физической    безопасности
распределенной   системы   возможны   по   двум  направлениям:  в
зависимости  от  размещения  элементов системы и изменений среды,
связанных  с  фактором  времени.  1) Зависимость среды физической
безопасности   от   размещения:  На  практике  при  использовании
распределенных задач требуется, чтобы узлы и каналы размещались в
областях  с разными характеристиками физической безопасности. Это
требование  возникает  по  ряду  причин, включая следующие: * Для
распределенных  задач  обычно  используются существующие системы,
расположенные  в  областях  с  разной  физической  безопасностью.
Редко,    когда   приобретают,   устанавливают   и   работают   с
распределенной  системой, не используя существующее оборудование.
*  Со  временем  возникают  новые условия и требования, ведущие к
усилению или ослаблению среды физической безопасности, окружающей
канал  или  узел. Организационные, административные и программные
перемены  могут потребовать от узла или канала обработки данных с
более  высокими классификационными признаками. Это в свою очередь
может  потребовать  усиления среды физической безопасности вокруг
затрагиваемого  элемента.  В  других  случаях  среда безопасности
элемента   ослабляется   ввиду   урезания   бюджета,   сокращения
персонала,  занимающегося вопросами безопасности, устаревания или
порчи    охранного    оборудования,   административных   решении,
ослабляющих  пропускной  режим.  Таким  образом,  даже если среда
физической безопасности распределенной системы может вначале быть
однородной,   в   силу   указанных   причин   она   может   стать
пространственно разнородной. Можно предложить, чтобы безопасность
распределенной системы строилась на требовании однородности среды
безопасности,  а  распределенные системы не принимались, пока для
всех  элементов  не  будет  обеспечена требуемая среда физической
безопасности.   На  практике  это  редко  возможно  по  следующим
причинам:  *  Может  отсутствовать  единое  законодательное лицо,
которое   способно  обеспечить  такое  ограничение.  Этот  момент
развивается  в  главе  III-B. * Приведение всех систем к наиболее
строгим стандартам по физической безопасности может быть дорогим,
организационно    сложным   и   может   привести   к   чрезмерной
классификации    данных.    Капитальные,    эксплуатационные    и
логистические расходы при этом подходе могут служить препятствием
во  многих  случаях.  * Иногда эксплуатационные требования делают
этот  подход невыполнимым. От некоторых систем требуется работа в
среде   физической   безопасности,   которую  нельзя  привести  к
требуемому    уровню    безопасности   (см.   главу   III-А-1-а).
Следовательно,  на практике распределенные системы будут работать
в  средах,  характеризуемых разнородной физической безопасностью.
Устанавливаемые  в распределенных системах механизмы безопасности
должны  действовать  с  учетом такой разнородности. Лишь в редких
случаях  можно  полагать,  что  все  элементы  защищены в строгом
соответствии    со    стандартами.   а)   Сфера   государственной
безопасности.  Задачи  в  этой  сфере  обычно  требуют передачи и
обработки информации в разнородной среде физической безопасности.
Например,  интегрированная  вычислительная  сеть  государственной
лаборатории в Лос-Аламосе [20] связывает системы, размещенные как
в   контролируемых,   так  и  неконтролируемых  зонах  физической
безопасности.   Взаимосвязь   этих  систем  допускает  разделение
основных интенсивно используемых ресурсов, таких как терминальные
и  архивные  подсистемы.  Оборонная сеть передачи данных (Defense
Data  Network)  связывает  системы обработки информации с разными
классификационными  уровнями,  размещенные  в  зонах  с различной
степенью   физической   безопасности.  Она  допускает  разделение
основных  интенсивно используемых подсистем передачи данных среди
различных  задач  и общностей интересов [21]. Тактические системы
С3I  предлагаются  для взаимосвязи полевых систем, систем полевых
штабов   и   государственных   агенств   [22].  Среда  физической
безопасности   таких   распределенных  систем  может  быть  самой
различной.   б)   Политическая   сфера.  Федеральное  авиационное
управление   постоянно  модернизирует  и  улучшает  свою  систему
управления воздушным сообщением [23]. В частности, для выполнения
функций  управления государственным воздушным сообщением внедрена
общегосударственная  подсистема передачи данных NADIN. В конечном
итоге  она  будет  объединять  20  центров  управления  воздушным
сообщением  и  обеспечивать  сбор  радарных  данных.  NADIN будет
связана  с  Аэронавтической  сетью  связи  (AFTN),  сетью AUTODIN
Министерства  обороны и средствами Государственной службы погоды.
У  нас  нет  подробной  информации  о  различиях  сред физической
безопасности  в  этой распределенной системе. Однако скорее всего
среда  физической безопасности вокруг оборудования сбора радарных
данных  будет  значительно  отличаться  от  среду  вокруг центров
управления    воздушым    сообщением,    что   оправдывает   учет
разнородности  физической  безопасности  при  оценке безопасности
всей распределенной системы. Более того, взаимосвязь NADIN, AFTN,
AUTODIN   и   средств   Государственной  службы  погоды  приведет
наверняка к созданию распределенной системы с большими различиями
в среде физической безопасности. в) Коммерческая и частная сферы.
В  коммерческой  и частной сфере имеется несколько распределенных
систем,  для  которых  характерны  различия  в  среде  физической
безопасности.  Например,  системы  электронного перевода денежных
средств  в  розничной  торговле  соединяют  большие  автостанции,
банкоматы  и  кассовые  терминалы  [24].  И если среда физической
безопасности  вокруг  автостанций  и  банкоматов обычно тщательно
контролируется,  то  в  ряде  случаев соединяющие их каналы связи
физически  уязвимы.  Кроме  того,  банкоматы доступны в нерабочее
время,   что  делает  их  более  уязвимыми  перед  злоумышленными
действиями,  чем оборудование, размещенное на автостанциях. Среда
физической   безопасности   вокруг   кассовых  терминалов  обычно
контролируется   хуже,   чем  вокруг  банкоматов  и  автостанций.
Преимущества, предоставляемые ARPANET научным работникам, привели
к  созданию сети CSNET [25]. Эта распределенная система соединяет
большое   число   университетов   и   исследовательских  центров,
обеспечивая  работу  электронной  почты  и сервера преобразования
имен,   который   каталогизирует   исследователей  и  их  научные
интересы.  Также планируется обеспечение передачи файлов и услуги
удаленного  взаимодействия  [26].  С  одной  стороны  CSNET имеет
весьма  однородную  среду  физической  безопасности - большинство
объектов  имеют  незначительный  (или  вообще  не имеют) контроль
физического доступа. Однако с разрастанием сети и превращением ее
в   основу   исследовательского  сотрудничества  наверняка  будет
контролироваться     физический     доступ     к    определенному
исследовательскому   оборудованию.   Следовательно,   даже  такую
открытую   распределенную  систему,  как  CSNET,  можно  в  итоге
охарактеризовать через разнородную среду физической безопасности.
2)  Изменение среды физической безопасности, связанное с фактором
времени.  Существует,  по крайней мере, две причины, почему среда
физической  безопасности  вокруг узла, может испытывать связанные
со  временем  изменения.  Эти  причины  справедливы  для любой из
описанных   выше   сфер.   Иногда   физический  контроль  доступа
ослабляется    в    связи    с    незапланированным   техническим
обслуживанием,  установкой  и  снятием  оборудования,  доступом в
случае  пожара,  землетрясения,  медицинской необходимости и т.д.
Каждое   из   таких   событий  влияет  на  всю  среду  физической
безопасности  распределенной  системы.  Вторая причина в том, что
распределенная   система   иногда  включает  подвижные  элементы.
Тактическая  система  на  базе  пакетной  радиосвязи  имеет явные
переменные  во  времени  характеристики  физической безопасности.
Системы с менее подвижными средами также вынуждены сталкиваться с
динамическими   изменениями   среды.   Например:   *   Переносные
персональные  компьютеры  становятся  преобладающим компонентом в
распределенных   сетях.   Их   легко  перемещать  из  одной  зоны
физической  безопасности  в  другую,  и они быстро подключаются к
распределенной   системе   через  телефонные  линии,  а  также  к
локальным  сетям  через  специальные  стенные розетки. Такие узлы
являются  источником  чрезвычайной  изменчивости среды физической
безопасности.   *   Возможно   проникновение   нарушителей  через
физические   периметры,  защищающие  оборудование  распределенной
системы,  что  является изменением среды физической безопасности.
Необходимо  так  ограничить  ущерб  от  незаконных проникновений,
чтобы не компрометировалась безопасность элементов распределенной
системы,   размещенных  в  незатронутых  нарушителями  зонах.  3)
Влияние  изменений среды физической безопасности. Такие изменения
могут   иметь   самые   тяжелые   последствия   для  безопасности
распределенной  системы. Анализ влияния проведем в соответствии с
уровнями  услуг  ЭМ  ВОС.  а)  Физический  уровень.  Безопасность
физического    уровня    в    основном    связана   с   контролем
электромагнитных  излучений от канального и узлового оборудования
и  с  обеспечением  непрерывности  связи в условиях разных помех.
Конртрмеры  сосредотачиваются  на  ограничении  или  маскировании
излучений,    предотвращении   несанкционированного   физического
манипулирования   информацией,   находящейся   на  долговременном
хранении или передаваемой по каналам распределенной системы, и на
противодействии  активным преднамеренным помехам. Изменения среды
физической безопасности распределенной системы, возникающие из-за
различий  в  размещении  элементов,  требуют  установки, защиты и
эксплуатации   защитного   оборудования,  такого  как  защищенные
проводники,  электромагнитные  экраны, а также применения методов
противодействия   активным   преднамеренным  помехам  таких,  как
передача   сигналов   с  расширенным  спектром.  Изменения  среды
физической  безопасности,  связанные  с фактором времени, требуют
постоянной   оценки   существующих   контрмер,   которые   должны
обеспечивать   соответствующую   защиту   частной,  уязвимой  или
грифованной информации от пассивных и активных атак. б) Канальный
уровень.  Если  невозможно обспечить надлежащую физическую защиту
некоторых  каналов, проходящих по доступным для нарушителя зонам,
то  для  обнаружения  и исправления дублированных, уничтоженных и
переданных  повторно  данных,  а  также  для  защиты передаваемых
данных  от  несанкционированного  ознакомления можно использовать
методы     шифрования.    Для    предотвращения    маскарада    в
широковещательных   каналах   можно  использовать  аутентификацию
сообщений  на  основе  криптометодов.  Изменения среды физической
безопасности,  связанные  с  фактором времени, требуют постоянной
оценки   требований   к  контрмерам  и  защиты  самих  механизмов
контрмер.  Краткосрочные изменения среды вызывают необходимость в
дополнительных   недорогих   мерах,   таких   как   сопровождение
недопущенного  персонала в защищенной среде, временное прерывание
обработки  в  узлах, подключенных к физически скомпрометированным
каналам или прерывание связи по пораженным линиям. Долговременные
изменения  требуют усиления/ослабления контрмер канального уровня
или   повышения/понижения   уровня   информации,   которая  может
обрабатываться   в  пораженных  узлах  или  каналах.  в)  Сетевой
уровень.  Влияние  изменений  среды  физической  безопасности  на
услуги сетевого уровня оказывает воздействие на безопасность всей
распределенной  системы.  Узлы или каналы, испытывающие изменение
их    среды   физической   безопасности,   могут   использоваться
нарушителем  для  воздействия  на  трафик  распределенной системы
(наблюдение,  задержка, инициирование). Подходящие для канального
уровня  контрмеры  могут  быть неприемлемы на сетевом уровне изза
большего  диапазона  возможных  угроз.  Захват  нарушителем  узла
позволяет  ему  вести  маскарад, повторять старые пакеты сетевого
уровня  или  их  последовательности,  дублировать  или уничтожать
пакеты,  проходящие через узел, вставлять на узле ложные пакеты в
существующий  поток  пакетов.  Атаки  сетевого  уровня могут быть
направлены  на  функции  сетевого уроня, такие как маршрутизация,
контроль    перегрузки,    и   услуги   сетевого   уровня,   либо
непосредственно  на  связь  между  процессами. В последнем случае
основные  контрмеры  реализуются  на  транспортном уровне. Знание
локальной  связности может использоваться шлюзами для обеспечения
некоторой   защиты   (например,   ограничения  по  маршрутизации,
проверка  адреса  отправителя  сетевого пакета с целью убедиться,
что   он  соответствует  трафику,  прибывающему  по  определенным
каналам).  Однако  с  ростом  распределенной системы отслеживание
сетевого  трафика становится сложным, а проверяемые данные быстро
устаревают.  Кроме  того,  временные  изменения  среды физической
безопасности могут разрушить предположения относительно локальной
связности  и  уровня защиты, имеющегося на узлах, непосредственно
подключенных  к  шлюзу.  Обновление информации о среде физической
безопасности  большой  распределенной  системы  весьма сложно. г)
Транспортный   уровень.   Угрозы  безопасности,  появляющиеся  на
сетевом  уровне,  становятся  видимыми  на  транспортном уровне в
качестве  аномалий,  мешающих  надежной, безопасной и эффективной
услуге  СМП. Правильность работы механизмов транспортного уровня,
созданных   для   обеспечения   надежной   СМП,  основывается  на
открывающем  и  завершающем подпротоколах рукопожатия, наблюдении
за  порядковыми  номерами в последовательности и старении пакетов
[27].   При   изменении   среды  физической  безопасности  доступ
нарушителя  к  зонам  с  низкой  физической  безопасностью  может
серьезно  повлиять  на  связь  между  зонами с высокой физической
безопасностью,   нарушая   механизми   надежности.   Видимые   на
транспортном   уровне   угрозы   включают   раскрытие  содержания
сообщений, анализ трафика, модификация потока сообщений, задержка
или  отказ  в  доставке  сообщения и маскарад [28,29]. Контрмеры,
препятствующие   этим  угрозам,  обычно  основаны  на  управлении
маршрутизацией (например, маршрутизация от источника или от шлюза
на  сетевом  уровне),  чтобы предотвратить прохождение пакетов по
зонам   с   неподходящей   физической   безопасностью,   либо  на
криптографических  методах.  Управление маршрутизацией подвержено
временным   изменениям  среды  физической  безопасности,  которые
сложно  отследить.  В  больших распределенных системах обновление
маршрутной   информации,   основанной   на  временных  изменениях
физической    безопасности,    также    может    быть    сложным.
Криптографические методы используют подходящий симметричный или с
открытым  ключом  алгоритм  для  скрытия  информации, переносимой
пакетами,  тем  самым  защищая  содержание  сообщений. Порядковый
номер   в  последовательности,  зашифрованный  вместе  с  данными
пакета,   защищает   от   модификации   потока   сообщений.  Коды
аутентификации  сообщений, полученные путем шифрования надлежащих
контрольных  сумм  или  при  помощи  других кодов, обнаруживающих
ошибки, используются для предотвращения маскарада. Анализ трафика
и   задержку/отказ   в   доставке   сообщения   нельзя  полностью
предотвратить   криптометодами.   Угроза   анализа   трафика   на
транспортном  уровне  может  быть  предотвращена  путем  передачи
ложного трафика или передачи трафика через транспортный или более
высокие   уровни   одного  или  нескольких  промежуточных  узлов.
Задержка  и  отказ  в доставке сообщений могут быть предотвращены
путем  избыточной передачи пакетов через несколько сетевых путей.
Это  может  осуществляться  либо  на  сетевом  уровне посредством
методов пакетной передачи, либо на транспортном уровне при помощи
маршрутизации  от  источника.  Криптографические  методы  требуют
введения,  развития  и  вывода  из действия ключевого материала и
порядковых  номеров  в  последовательности,  чтобы  противостоять
упомянутым  угрозам  [30-32].  Эти  действия должны выполняться с
требуемой  безопасностью  перед лицом угроз, против которых они и
направлены.   Генерация   и   распределение  ключей  поддерживают
безопасное  открытие  и  завершение  соединений, которые являются
фундаментальными  методами  управления соединениями, необходимыми
для  безопасной  связи  на  транспортном  уровне  [31]. д) Высшие
уровни. Обычно взаимосвязь узлов позволяет разделение ресурсов. В
дополнение  к  проблемам  безопасности,  с  которыми сталкиваются
четыре  нижних  уровня  распределенной системы ввиду неоднородной
среды  физической  безопасности, высшие уровни взаимодействуют со
средой физической безопасности, создавая проблемы, не характерные
в   общем  случае  для  отдельных  систем.  Эти  проблемы  удобно
проиллюстрировать    на    примере   влияния   среды   физической
безопасности на услуги удаленного взаимодействия и распределенный
избирательный   контроль   доступа.   Отдельные   системы   могут
обрабатывать  данные  определенного типа в определенном диапазоне
классификационных уровней, основанных на отдельных поддерживаемых
системой механизмах безопасности, на степени доверия к системному
аппаратному  и  программному  обеспечению  и на типах физического
контроля   доступа,   используемых  для  защиты  основной  ЭВМ  и
оборудования    ввода/вывода   (включая   терминалы).   Например,
физический контроль доступа в системе, обрабатывающей грифованную
информацию  в  диапазоне  от "секретно" до "совершенно секретно",
обычно  более  строг, чем при обработке информации в диапазоне от
"конфиденциально"   до   "секретно".   Требования   к  физической
безопасности  для системы, обрабатывающей специфические категории
и  грифы  данных, определяются вероятностью получения нарушителем
доступа  к  системе  и  возможным  уроном при несанкционированном
доступе.   Общей   практикой   является  соединение  существующих
отдельных систем в распределенную систему. Если узлы обрабатывают
данные  в  различных,  но  пересекающихся  диапазонах грифов, это
может  оказать  вредное  влияние  на  безопасность распределенной
системы ввиду взамодействия между средами физической безопасности
разных  систем.  Например,  предположим, что узел, обрабатывающий
данные в диапазоне от "конфиденциально" до "секретно", соединен с
узлом,   обрабатывающему   данные   от"секретно"  до  "совершенно
секретно"(рис.5).  Весьма  вероятно,  что первый узел имеет более
слабый  физический  контроль  доступа, чем второй узел. Возможные
проблемы,  вызываемые  таким  соединением, в значительной степени
зависят   от  степени  разделения  ресурсов  между  узлами.  Если
разрешается  услуга  удаленного  взаимодействия, то пользователи,
работающие  с  секретной информацией на узле нижнего ранга, могут
войти в узел, обрабатывающий секретную информацию, более высокого
ранга.  При  таком  разделении  ресурсов  распределенная  система
образует   конгломератную   систему,  обрабатывающую  грифованные
данные  от  "конфиденциально"  до  "совершенно  секретно". Однако
наименее   строгие   ограничения   по   физической  безопасности,
налагаемые   на   узел   нижнего  ранга  определяют  ограничения,
налагаемые  на  конгломерат.  Поскольку  это нежелательно, то при
подсоединении   отдельных   систем   следует   принять  меры  для
сохранения   принятых   условий.   Даже  если  услуги  удаленного
взаимодействия   не   обеспечиваются   в  соединенных  узлах,  то
разрешение  СМП  для секретного процесса в одном узле и такого же
процесса   в   другом   узле   служит  основой  для  формирования
конгломератной   системы  с  аналогичными  свойствами.  Секретный
процесс  системы  более  высокого  уровня  может  действовать как
заменитель  (суррогат)  любого  объектового  запроса  на  доступ,
направленного  ему  секретным  процессом  системы низшего уровня.
Если  пользователь  находится  в  терминальной  связи с процессом
системы низшего уровня, он получает суррогатный доступ к объектам
системы  более  высокого  уровня.  Как  и  прежде, конгломератная
система  обрабатывает  данные в диапазоне от "конфиденциально" до
"совершенно секретно" и, по сущности, помещена в среду физической
безопасности,   соответствующую   узлу  с  обработкой  данных  от
"конфиденциально"   до   "секретно".   4)   Выводы   из  анализа:
Приведенный   анализ   показывает   проблемы,   возникающие   при
использовании  концепций  защиты  отдельных  ЭВМ  по  отношению к
безопасности    распределенных    систем.   Идея   распределенной
доверенной  вычислительной  базы (распределенной ДВБ), доверенной
сетевой  базы  (ДСБ)  [2,33]  или  сетевого  монитора  ссылок [1]
подразумевает,  что  каждая  участвующая узловая ДВБ [3] доверяет
всем  остальным,  реализующим распределенную ДВБ, ДСБ или сетевой
монитор   ссылок.   Однако  если  среда  физической  безопасности
распределенной  системы не является однородной, это предположение
опасно.   Узлы  и  каналы  могут  быть  скомпрометированы,  могут
обслуживаться  недопущенным персоналом, либо подвергаться другому
воздействию   в  средах  физической  безопасности,  зависящих  от
размещения   и   фактора  времени.  Узлы,  содержащие  доверенное
аппаратное  обеспечение  и выполняющие высокодоверенное ПО, могут
размещаться   в  средах  физической  безопасности  с  неприемлемо
высокой     вероятностью     модификации    этого    обеспечения.
Следовательно, определения распределенной ДВБ, доверенной сетевой
базы или монитора ссылок вряд ли применимы. В. Факторы, связанные
с   юрисдикцией  Существование  множества  взаимо  подозрительных
юрисдикционных  представителей,  каждый  из  которых контролирует
часть  распределенной системы, быстро становится скорее правилом,
чем     исключением.     Использование     компьютерной    почты,
транспортировки  файлов,  широкого  совместного  использования  и
распределения ПО в сетях - все это социальный феномен, вызывающий
возрастающее взаимодействие отдельных и распределенных систем под
управлением   различных   администраций.   Есть   все   основания
предполагать,  что  так  будет  и  в  будущем.  Влияние различных
юрисдикций на безопасность в различных сферах весьма значительно.
 

Оставит комментарий