Защита данных в распределенных сетях Широкое распространение систем распределенных вычислений на компьютерных сетях (распределенных систем) поставило новые проблемы в области защиты данных. Обмен электронными документами все шире заменяет бумажный документооборот, вместо телефонных звонков и служебных эаписок применяется электронная почта, на смену секретарям и операторам пришла речевая почта. Сложные конструкторские и управленческие задачи все чаще решаются с помощью вычислительных систем, важная информация и данные передаются из сети в сеть, из страны в страну по проводным телефонным линиям и каналам спутниковой связи. Все это происходит в условиях, когда взаимодействующие друг с другом системы с самого начала создавались как обособленные объекты. Они возникали в результате объединения существующих рабочих станций, различных локальных вычислительных сетей (ЛВС), ведомственных мини-ЭВМ, фирменных больших универсальных ЭВМ с выходом на внешние сети. Получившиеся в результате такого объединения "системы" могут включать в себя 31 вариант платформ Uniх плюс платформы МS-DОS, Windows (версии NТ и Workgrouр), Масintоsh Systеm, Nеtwаrе плюс самые различные протоколы: ТСР/IР, VМS, МVS. Так, в техническом вычислительном центре известной американской аэрокосмической фирмы Мartin Маriеttа Aеrоsрaсе управляющий системной совместимостью ведет контроль безопасности объединенных в сеть 5 тыс. персональных ЭВМ. Чтобы оценить сложность решаемой им задачи, достаточно иметь в виду, что руководители отдельных организаций зачастую оказываются не в состоянии ответить даже на вопрос, сколько у них в помещениях установлено персональных компьютеров, не говоря уже о том, кто имеет право подключаться к их сетям. Столь высокая сложность систем создает широкие возможности для различных нарушений, в особенности в плане несанкционированного доступа к конфиденциальной информации. Сохранить целостность фирменных данных можно только при условии принятия специальных мер и прежде всего контроля доступа к данным и шифрования передаваемой по линиям связи информации. Большинство находящихся сегодня в эксплуатации операционных систем, (ОС), как автономных, так и сетевых, были разработаны без учета требований безопасности. Поэтому они оказались вообще незащищенными либо средства защиты и контроля в них играют роль некоторых добавок к исходной системе. ОС, в которых вопросы защиты ставились с самого начала их разработки, начали появляться только в самое последнее время. Слово "безопасность" обычно ассоциируется с применением паролей. Для слишком многих организаций элементарный механизм парольного доступа в сеть является единственным средством защиты. К сожалению, простые пароли мало что дают в плане защиты от несанкционированного доступа, в особенности в распределенных системах. Ведь при установлении соединения по коммутируемой линии связи или по линии клиента в системе "клиент - сервер", или по каналу межсетевой связи может не оказаться средства, позволяющего удостоверить личность того, кто находится на другом конце линии. Отсюда возникает потребность идентифицировать и аутентифицировать пользователя в процессе входа в систему, т. е. проверить, имеет ли он право доступа в вашу сеть и определить круг его привилегий. Аутентификация пользователя может быть выполнена по различным признакам. Одним из распространенных методов аутентификации является проверка лица по тем специфическим сведениям, которыми оно обладает. Пользователь вводит свой идентификатор (которым может быть, например, имя счета) и затем секретный пароль. Либо система может запросить у него какую-то другую информацию личного плана, например девичью фамилию его матери. Считается, что эти сведения хранятся исключительно в памяти пользователя и не могут стать известными посторонним. К сожалению, идентификаторы пользователей обычно бывает легко выяснить, поскольку они считаются несекретными. Что же касается паролей, то люди имеют вредную привычку записывать их на клочке бумаги и иногда относятся к ним весьма небрежно, вплоть до того, что прикрепляют эти клочки к монитору ЭВМ. Второй метод аутентификации пользователя состоит в проверке наличия у него некоего предмета, которым он владеет. Это может быть некий физический объект, представляющий собой электронный аналог обычного ключа от входных дверей. В простейшем случае это бывает пластиковая карточка с магнитной полосой, однако сегодня чаще применяют жетоны - генераторы случайных паролей или запросответчики. Примером такого жетона является прибор, который выдает псевдослучайное буквенно-цифровое слово. Последнее сменяется примерно один раз в 1 мин, и его смена синхронизирована со сменой таких же слов в центральной базе данных. В результате получается одноразовый пароль, который годится для использования только в определенный промежуток времени и только для однократного входа. Первый жетон такого вида появился в 1987 г. Это был прибор Seсur ID американской фирмы Sесuritу Dуnаmiсs. Жетон другого типа с виду похож на калькулятор. В процессе аутентификации главная ЭВМ выдает на экран монитора пользователя цифровую последовательность запроса, пользователь набирает ее на клавиатуре жетона. Последний формирует ответную последовательность, которую пользователь считывает с индикатора жетона и вводит в свою рабочую станцию. В результате опять получается одноразовый неповторяющийся пароль. Без жетона войти в систему становится невозможным. Кроме того, прежде чем воспользоваться жетоном, пользователь должен ввести в него свой личный идентификатор. Очевидно, что применение для аутентификации жетонов создает ряд проблем. Так, например, что делать, если работник забыл свой жетон дома? Для этого приходится создавать запас (и организовывать тщательную его охрану) временных жетонов, где не обойтись без вмешательства службы безопасности объекта. Помимо жетонов последнее время на рынке стали появляться микропроцессорные карточки. Национальный институт стандартов и технологии США разработал карточку для формирования цифровой подписи на основе предложенного им стандарта. Запатентованный институтом алгоритм шифрования позволяет заверять документы "неподделываемыми" подписями. Определенную перспективу имеют также так называемые активные средства опознавания. Пользователь носит с собой миниатюрный передатчик слабого радиосигнала. Как только он приближается к специальному приемнику (обычно на расстояние в несколько дециметров), последний принимает этот радиосигнал и, проанализировав его, выдает разрешение на доступ. Достоинство этого подхода в том, что аутентификация осуществляется автоматически без вмешательства проверяемого лица и без физического контакта с устройством считывания. В настоящее время системы аутентификации на основе микропроцессорных карт и жетонов поставляют 15-20 фирм, но ведущее место здесь занимает система-пионер Sесur ID. Отмечается, что системы, для работы которых требуются дополнительные технические средства, например устройства считывания данных с микропроцессорных карт или с магнитной ленты, все же не нашли широкого применения, прежде всего из-за определенных неудобств эксплуатации и расходов на вспомогательные технические средства. Действительно, дополнение небольшого блокнотного компьютера каким-то новым техническим устройством зачастую оказывается совершенно непрактичным, если не сказать- невозможным. Одним из возможных выходов из положения может стать система Smart Сat американской фирмы V Оnе оf Роtоmас. Ее устройство считывания размерами с манипулятор типа "мышь" умещается в сумке для блокнотного компьютера. Да и стоит оно при оптовой поставке менее 200 долл., что оказывается дешевле многих устройств считывания с магнитной ленты. С другой стороны, именно финансовый аспект является во многих случаях решающим фактором при решении вопроса о выборе средств защиты. В крупных фирмах, где обычно имеются специализированные подразделения обеспечения безопасности и для аутентификации иcпользуются жетоны, фактор стоимости игнорировать просто невозможно. Например, используемые на фирме Маrtin Маrietta жетоны стоят примерно 50 долл. каждый. Как оказалось, основной их недостаток заключается в том, что они годятся только для аутентификации и ни для чего другого. Например, их нельзя использовать для формирования первичных ключей шифрования, что было бы весьма удобным. В то же время стоимость систем с расширенными функциями типа микропроцессорных карт, где требуются специальные устройства считывания, является основным препятствием для их приобретения. То, что годится для 150 компьютеров, совершенно не оправдывает себя для 5 тыс. машин. В этом смысле весьма выгодно отличается от них "жетон" Smart Disk фирмы Smart Disk Sесuritу (США). Он представляет собой микропроцессорную карту, выполненную в габаритах стандартного гибкого диска размером 3,5 дюйма. Для чтения данных с такого "жетона" годится любой стандартный дисковод компьютера. Изделие стоит всего 150 долл. Наиболее надежными считаются биометрические методы аутентификации, в которых личность идентифицируется по отпечаткам пальцев, конфигурации ладони, сетчатке глаза, подписи или голосу. Фирма Рhоеniх Sоftwаге Intеrnаtiоnаl (США) выпускает систему распознавания почерка работы на клавивтуре компьютера. Американская фирма Nеurоmеtriс Visiоn Sуstеms ведет разработку аппаратуры, которая сможет посредством обычной видеокамеры считывать инфракрасный портрет лица проходящего человека. Будучи самыми надежными, биометрические системы обычно отличаются высокой стоимостью. Устройство считывания может стоить от нескольких сотен до нескольких тысяч долларов, что обусловливает применимость биометрических систем скорее для контроля физического доступа в помещения (где одно устройство может обслужить достаточно много пользователей), нежели в рабочей станции с одним пользователем. Второй специфический недостаток биометрических систем - это неудобство эксплуатации: процедура проверки может занимать от 10 до 30 с. Кроме того, люди не всегда охотно идут на то, чтобы помещать куда-то свой палец или ладонь, подписываться или неподвижно сидеть перед камерой, изучающей их глазное яблоко. Важнейшим достоинством жетонов - генераторов одноразовых паролей является их способность передавать по сети связи коды доступа, которые не содержат какой-либо пригодной для повторного использования информации. Реализовать такую схему можно как аппаратно, так и программно, Агентство национальной безопасности (АНБ) США недавно разместило крупный заказ на поставку таких генераторов "неперехватываемых паролей" в фирме Sесurе Соmрuting. В системе Lосkоut этой фирмы до передачи по линии связи пароль шифруется, причем при каждом входе пользователя в сеть используется новый ключ шифрования. АНБ планирует использовать систему Lосkоut совместно с шифратором Теssеra Сrурtо Сard. Этот шифратоф аттестован для шифрования сообщений, передаваемых по линиям связи министерства обороны США, а также для защиты "важных несекретных" данных. Он поставляется несколькими фирмами и реализует шифрующий алгоритм цифровой подписи Национального института стандартов и технологии, а также шифрующий алгоритм АНБ Моsаiс. Система аутентификации пользователей Керберос (КеrЬеrоs) была разработана в 80-х годах для контроля доступа в вычислительные сети. Система рассчитана на работу в распределенных средах в конфигурациях, где имеются незащищенные рабочие станции, умеренно защищенные серверы и хорошо защищенные средства распределения ключей. Сегодня эта система стала фактически стандартом средств защиты распределенных систем. Так, в стандарте DСЕ (распределенная вычислительная среда), выпущенном организацией Sоftwаге Fоundаtiоn, для аутентификации пользователей применяется версия Керберос V5. В настоящее время стандарт DСЕ используют сотни поставщиков. Фирма OСSG (Ореn Соmрuting Sесuritу Grоuр) поставляет пакеты Керберос, поддерживающие несколько платформ, в том числе МS-DОS, Масintоsh, Sunоs, HР-UХ, Nехt Stер и АIХ системы RS/6000 фирмы IВМ. В продуктах фирмы ОСSG система Керберос применяется совместно с системой шифрования с открытым ключом RSА с одновременным использованием жетонов Sесur ID фирмы Sесuritу Dynаmiсs и рядом других систем защиты. Другие фирмы выпускают варианты системы Керберос для платформ Ultriх и VMS фирмы DЕС. Фирма IВМ предлагает Керберос для платформ МVS и ОS/2. Наконец, исходный текст программы Керберос можно приобрести у ее разработчика - Масачусетского технологического института. Несмотря на свою огромную популярность, система Керберос имеет и ряд недостатков. В частности, она не позволяет осуществить проверку полномочий прикладных задач или транзакций (групповых операций) в рамках прикладных задач. Для задания полномочий, прав доступа, привилегий пользователей и программ требуется использование других систем защиты. С другой стороны, перестройка приклалных систем под систему Керберос (так называемая керберизация) является непростой, а в ряде случаев и вовсе безнадежной задачей. Процесс керберизации сетей крупных корпораций может продлиться до будущего столетия. К счастью, основные поставщики сетевого оборудования и сетевого управляющего программного обеспечения, ОС, шлюзов, маршрутизаторов, мультиплексоров и серверов, а также крупные компьютерные фирмы, включая DЕС, НР, IВМ, Sun Мiсrоsуstеms, - все они работают над использованием системы Керберос в своих продуктах. Некоторые из этих продуктов уже находятся в эксплуатации. Так, американская фирма СА (Соmрutеr Аssociаtеs Intеrnаtiоnаl), одна из ведущих фирм - разработчиков программного обеспечения в мире, выпустила продукт Uniсеntеr, в котором стандарт DСЕ с системой Керберос использован для реализации сразу нескольких функций: аутентификации, управления паролями, шифрования сообщений и управления списками допуска. Фирма поставила перед собой задачу дать пользователям своих продуктов возможность применять Керберос с дополнительными функциями, которых в исходном варианте Керберос не было. Кроме того, фирма СА планирует керберизировать свои старые разработки, включая СА-АС 2 и СА-Тор Sесrеt. В числе первых намечен выпуск продукта Uniсеntег для ОС Uniх. Одним из недостатков системы Керберос считают также необходимость предварительного обмена ключами шифрования между всеми участниками связи. Наконец, при расширении сети возрастает побочная нагрузка, создаваемая потоками служебной информацыи, так что успешная работа в ней системы Керберос возможна лишь по широкополосным высокоскоростным линиям связи. Очевидно, что при работе с одной системой пользователю требуется только один пароль. Однако сегодня все чаще необходим доступ сразу в несколько универсальных ЭВМ, а также в общефирменную сеть, в одну или несколько ЛВС, в специальные системы проектирования и т. д. В результате пользователь вынужден оперировать семьювосемью различными паролями, каждый из которых нужно держать в памяти. В такой обстановке парольный доступ оказывается совершенно неработоспособным: никто не в состоянии запомнить 15 паролей, да таких, чтобы все они были различными, неугадываемыми, да еще чтобы ни одного из них нельзя было найти в словарях. Закономерно возникает идея однократного входа в систему, после которого на протяжении всего сеанса любая систма или сеть, к которой пользователю необходимо подключиться, могла бы свериться со специальной базой данных для проверки полномочий пользователя без предъявления новых паролей и без связанных с этим перерывов в работе. Проблема эта пока не получила удовлетворительного решения. Основные сложности возникают из-за необходимости организации взаимодействия различных платформ, ОС и протоколов. В таких средах реализовать принцип однократного входа окаэывается крайне затруднительно. Например, если пользователь, находясь у своей рабочей станции на платформе МS-DОS, пытается получить по сети Nоvеll доступ к базе данных ЭВМ, работающей на платформе МVS, то в последней машине должен быть предусмотрен механизм, который реализовал бы вход в нее и проверку ею полномочий пользователя по ее критериям. Если у пользователя появится необходимость подключиться в машине VАХ, то потребуется вход и в нее. Каждая из этих и им подобных систем обладает механизмами защиты различной структуры. Таким образом, требуется средство, которое выполнило бы такой вход и поддерживало бы базу данных, сопоставляющую конкретные идентификаторы на различных платформах. Причем эта информация должна систематически обновляться. Удовлетворительного решения этой эадачи пока не найдено. Информационная безопасность не исчерпывается исключительно контролем доступа. Информация должна оставаться конфиденциальной как в процессе ее перемещения в пределах внутрифирменной сети, так и при передаче в другие сети. Никогда нельзя исключить возможность подслушивания данных, передаваемых по проводным квналам сиязи. А перехват "открытой информации", передаваемой по линиям сотовой и радиорелейной связи, является для технически подготовленного противника еще более легкой задачей. Как известно, проблема защиты данных при их передаче решается применением шифрования. В имеющихся на рынке системах применяются алгоритмы шифрования DЕS и RSА. Кроме того, специалисты разрабатывают бесчисленные собственные варианты шифров. Средства шифрования относительно недороги и несложны в эксплуатации. И тем не менее находятся организации, которые шифрование не применяют. Главное препятствие заключается в защищенном обмене ключами или, если рассматривать шире, в управлении ключами шифрования. Одним из решений этой проблемы стали системы с открытыми ключами (например, типа RSА). Эти системы позволяют, по всей видимости, наиболее просто реализовать цифровую подпись и имитозащиту (т. е. эащиту от преднамеренного искажения) информации, передаваемой по линиям связи. Одним из препятствий широкому распространению наиболее известной и надежной системы шифрования данных с открытыми ключами RSА является необходимость получения лицензии на ее использование у патентовладельца - американской фирмы RSА Dаtа Sесuritу. Во всем мире применяется известная криптографическая система РGР (Рrеtty Gооd Рrivасу), которая была рекомендована для использования на сети Intеrnеt. Однако в США ее применение оставалось незаконным, поскольку в этой системе алгоритм RSА применен беэ покупки лицензии. На фирме Маrtin Маriettа широко используется пакет шифрования Viа Сrурt фирмы Via Сrурt (США). Он имеет лицензию фирмы RSА Dаtа Sесuritу и стоит 100 долл. Сегодня под патронажем АНБ в США пытаются внедрить относительно недорогую микросхему шифрования Сliрреr с "депонируемыми в правоохранительных органах" ключами. Эта система, которая предназначается для защиты речевой связи, вызвала широкую дискуссию в политических, правозащитных и научных кругах. Менее известна относящаяся к этому же классу система шифрования Сарstоnе, которая представляет собой систему Сliрреr, располагающую к тому же возможностью защиты данных. Специалисты фирмы Маrtin Маriеttа полагают, что применение недорогой системы Сliрреr станет заметным шагом вперед, поскольку используемая сегодня для ведения засекреченных телефонных переговоров аппаратура SТU-111 фирмы АТ&Т стоит 2 тыс. долл. за один аппарат. Законодательством США определена обязательность защиты всей правительственной информации при ее обработке и хранении. Алгоритм шифрования DЕS успешно решает эту задачу вот уже в течение 15 лет, недавно срок его эксплуатации продлен еще на пять лет. Считается, что система Сliрреr будет служить не хуже DЕS. Какой бы ни была защита системы распределенных вычислений, она (защита) нуждается в повседневном управлении: регистрации новых пользователей, исключении уволившихся сотрудников, изменении прав и привилегий при изменении характера деятельности работника. Управление безопасностью в распределенных системах становится особенно сложным. Основная трудность заключается в том, что в ситуации, когда имеются распределенные системы и распределенная же информация, каждое подразделение несет ответственность только за свою платформу. Так, главной ЭВМ управляет одна группа работников, ЛВС - другая. Если ЛВС несколько, то ими могут управлять различные люди. В большинстве случаев ответственность за информационную безопасность возлагается не на специально выделенное подразделение, а на подразделения пользователей, в которых администратор ЛВС одновременно выполняет функции и администратора информационной безопасности. Не менее размыта ответственность и в сфере безопасности линий связи. Когда-то все связи исходили из единого центра, откуда они могли легко контролироваться квалифицированными специалистами, Сегодня управление сместилось вниз, в сторону отдельных корпораций. В связи с этим в настоящее время проблема информационной безопасности, по мнению специалистов, является скорее организационной, нежели технической. Бесспорно, различные системы нуждаются в различной жесткости защиты. ЛВС, предназначенная для рутинного текстового редактирования и поддержки электронных таблиц, может быть защищена значительно слабее, чем производственная система с циркулирующей по ней важной внутрифирменной информацией. Сильное влияние на беэопасность оказывает сетевая ОС. Различные ОС обладают разной степенью защищенности, однако с точки зрения перспективы развития сетей наиболее насущной является задача стыковки различных ОС. Оснащенная механизмами защиты версия ОС Uniх может плохо стыковаться с другими ОС, чрезвычайно затрудняя управление безопасностью. Вплоть до того, что две версии одной и той же ОС Uniх могут настолько отличаться друг от друга, что более разумным решением будет использование некоего третьего пакета защиты. Разумеется, это потребует дополнительных затрат, которые, однако, окупятся за счет возможности встречной работы различных ОС. Наличие в распределенных системах файлов коллективного пользования (общих файлов) обусловливает необходимость использования специализировьнной файловой системы. Как и операционные, файловые системы обладают различной степеныо защищенности. Взять, к примеру, одну из наиболее популярных файловых систем NFS (Network Filе Sуstеm) разработки фирмы Sun Мiсrоsуstеms. Эта система часто применяется совместно с ОС Unix в сетях с протоколом ТСР/IР, ее активно используют в своих продуктах фирмы DЕС, IВМ, Nоvеll и др. Вместе с тем в схеме взаимодействия одноранговых логических объектов систма NFS обрабатывает каждый эапрос на доступ к файлам вне зависимости от предшествующих запросов. Встроенного механизма блокировки записей или файлов в NFS нет. Для отслеживания блокировок файлов и записей обычно используется программа "менеджер блокировок", однако многие программы клиентов могут ее попросту игнорировать. В системе NFS встроенные средства защиты вообще отсутствуют, из-за чего эту аббревиатуру еще расшифровывают и так: "Nо Filе Sесuritу" - "Никакой защиты файлов". Наилучшим вариантом выхода из положения, по всей видимости, является система АFS (Аndrеw Filе Systеm), которую поставляет американская фирма Тrаnsаrс. Она была раэработана в университете Карнеги Меллона (Саrnеgiе Меllоn Universitу). Помимо повышенной защищенности и надежности эта система проще в обслуживании и благодаря в значительной степени расширенному набору услуг по работе с каталогами облегчает доступ пользователя к глобальным вычислительным сетям. Говоря об административных и технических мерах защиты, нельзя не упомянуть о проблеме обучения и подгочовки пользователей. Бдительность пользователей имеет в конечном счете самое важное значение в обеспечении безопасности систем распределенных вычислений. Пользователи должны быть осведомлены о рисках и угрозах, они должны помогать друг другу, полностью отдавая себе отчет в том, что защита данных входит в круг их прямых обязанностей. В противном случае все другие меры будут абсолютно безрезультатными. Вуtе.- 1994 .- 19, N 6 .- Р. 165 - 178.