Принципы защиты от нсд

Наблюдаемые в последние годы тенденции к развитию информационных технологий могут привести к появлению качественно новых (информационных) форм борьбы, получивших название информационной войны. Устоявшегося, международного признанного определения информационной войны нет. Одним из компонентов ведения информационной войны является так называемое информационное оружие, которое эксперты определяют как совокупность средств и методов, позволяющих похищать, искажать или уничтожать информацию, ограничивать или прекращать доступ к ней законных покупателей, нарушать работу или выводить из строя телекоммуникационные сети и компьютерные системы, используемые в обеспечении жизнедеятельности общества и государства.

Классификация принципов защиты от НСД

Принцип обоснованности доступа. Данный принцип заключается в обязательном выполнении 2-х основных условий: пользователь должен иметь достаточную "форму допуска" для получения информации требуемого им уровня конфиденциальности, и эта информация необходима ему для выполнения его производственных функций.

Принцип достаточной глубины контроля доступа. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированных систем, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями.

Принцип разграничения потоков информации. Для предупреждения нарушения безопасности информации, которое, например, может иметь место при записи секретной информации на несекретные носители и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации.

Принцип чистоты повторно используемых ресурсов. Данный принцип заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности. Каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможнее нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или могут привести к несанкционированному ознакомлению с конфиденциальной информацией, ее искажению или уничтожению, или делают такую информацию недоступной для законных пользователей.

Принцип целостности средств защиты. Данный принцип подразумевает, что средства защиты информации в автоматизированных системах должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения должна включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе.

Основные направления обеспечения защиты от НСД

Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) осуществляется: системой разграничения доступа (СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД.

Основными функциями СРД являются:

• - реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
• - реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
• - изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
• - управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;
• - реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Обеспечивающие средства для СРД выполняют следующие функции:

• - идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
• - регистрацию действий субъекта и его процесса;
• - предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
• - тестирование;
• - очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
• - учет выходных печатных и графических форм и твердых копий в АС;
• - контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

• - распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);
• - СРД в рамках операционной системы, СУБД или прикладных программ;
• - СРД в средствах реализации сетевых взаимодействий или на уровне приложений; использование криптографических преобразований или методов непосредственного контроля доступа; программная и (или) техническая реализация СРД.

Вывод: невозможно абсолютно защитить информацию от несанкционированного доступа. Для выбора принципа организации защиты от НСД необходим индивидуальный подход в каждом конкретном случае.

Сравнительный анализ наиболее распространенных средств защиты информации от несанкционированного доступа

Проведен сравнительный анализ наиболее распространенных средств защиты информации (СЗИ) от несанкционированного доступа (НСД), применяемых для защиты данных в информационных системах. Критерии сравнения выбраны исходя из характеристик СЗИ от НСД.

Для защиты информации в компьютерных системах от атак на уровне операционной системы, системы сетевого программного обеспечения и системы управления базами данных применяются средства защиты информации от несанкционированного доступа (СЗИ от НСД). Определяющим фактором выбора СЗИ от НСД в информационной системе является соответствие нормам и требованиям уполномоченных органов в сфере обработки данных. Наиболее распространенными средствами защиты информации от несанкционированного доступа в ИСПДн семейства MS Windows являются средства : "Secret Net LSP", "Dallas Lock 8.0?K", "Панцирь?К", "Аура 1.2.4".

Все вышеперечисленные СЗИ являются сертифицированными программными средствами защиты информации, поддерживающими автономный и сетевой режим работы. Кроме того, они выполняют схожие функции, такие как:

• 1. Идентификация и аутентификация пользователей.
• 2. Разграничение и контроль доступа пользователей к ресурсам системы, терминалам, ЭВМ, узлам сети ЭВМ, внешним устройствам, программам, томам, каталогам, файлам и т. д.
• 3. Учет носителей информации.
• 4. Контроль целостности защищаемых ресурсов.
• 5. Контроль компонентов СЗИ.
• 6. Контроль вывода на печать и маркировка документов.
• 7. Уничтожение (затирание) содержимого файлов при их удалении.
• 8. Регистрация событий безопасности в журнале.
• 9. Теневое копирование выводимой информации.

В сетевом режиме СЗИ выполняют следующие функции:

• 1. Централизованное управление настройками СЗИ.
• 2. Централизованный сбор информации о событиях безопасности на защищаемых компьютерах.

Методика сравнительного анализа СЗИ от НСД "Secret Net LSP", "Dallas Lock 8.0?K", "Панцирь?К", "Аура 1.2.4" приводится ниже.

Критериями для сравнительного анализа в настоящей работе выбраны следующие технические характеристики СЗИ от НСД:

• 1. Класс защищенности.
• 2. Уровень контроля НДВ.
• 3. .
• 4. Дополнительные аппаратные требования: требуемый объем свободного места на жестком диске для размещения СЗИ.
• 5. : есть или нет.

Указанные технические характеристики для выбранных СЗИ от НСД приводятся в таблице 1.

Таблица 1 - Технические характеристики СЗИ от НСД

Критерии сравнения		Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности	По 3 классу защищенности	По 5 классу защищенности	По 5 классу защищенности	По 5 классу защищенности
Уровень контроля НДВ	По 2 уровню контроля	По 4 уровню контроля	По 4 уровню контроля	По 4 уровню контроля
Класс автоматизированных систем	До класса 1Б включительно	До класса 1Г включительно	До класса 1Г включительно	До класса 1Г включительно
Дополнительная аппаратная поддержка	есть (Secret Net Card, ПАК "Соболь")		есть (ПАК контроля активности КСЗИ)

Таблица 2 - Матрица показателей

В данной матрице каждому показателю Aij присваивается определенное числовое значение.

Поясним назначение числовых значений показателей Aij на примере СЗИ от НСД "Secret Net LSP". Класс защищенности, уровень контроля НДВ и класс автоматизированной системы выше, чем у остальных СЗИ, принятых для сравнительного анализа. С другой стороны, требуемый объем жесткого диска для реализации этого СЗИ значительно больше, что вводит ограничения на возможности аппаратных средств. Теперь необходимо ввести следующее правило для количественной оценки показателя Aij: показатель должен принимать тем большее значение, чем выше значимость выбранного критерия для принятия решения. В данном конкретном случае, количественную оценку показателей для принятых критериев сравнения будем выполнять следующим образом:

А 1J = 1 / (Класс защищенности: 3 или 5);

А 2J = 1 / (Уровень контроля НДВ: 2 или 4);

А 3J = 1 / (Класс автоматизированных систем: 2 - для класса 1Б или 4 - для класса 1Г);

А 4J = 1 / (Требуемый объем жесткого диска в Гб);

А 5J = 1 - дополнительная аппаратная поддержка есть; 0 - дополнительной аппаратной поддержки нет.

Таким образом, нетрудно получить числовые значения матрицы показателей (таблица 3).

Таблица 3 - Матрица показателей. Числовые значения

Критерии сравнения		Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности
Уровень контроля НДВ
Класс автоматизированных систем
Дополнительные аппаратные требования: свободное место на жестком диске		1/0,030 = 33,333	1/0,020 = 50,000
Дополнительная аппаратная поддержка

Дальнейший сравнительный анализ проводится с помощью расчета рейтинга по критериям сравнения.

где Aij - текущее значение показателя;

Aimin - минимальное значение показателя для указанного критерия;

Aimax - максимальное значение показателя для указанного критерия;

где m - количество критериев средства защиты информации.

Пример расчета по предложенной методике приводится ниже в таблицах 4 и 5. Весовые коэффициенты назначены из условия приоритетных требований по первым трем критериям сравнения.

Таблица 4 - Исходные данные для расчета итогового рейтинга СЗИ от НСД

Вывод: проанализировав основные критерии выбранных СЗИ от НСД, предложена методика их сравнительного анализа. С точки зрения технического уровня, из числа рассмотренных средств защиты информации, бесспорным преимуществом обладает СЗИ от НСД "Secret Net LSP". Однако необходимо учитывать, что данное СЗИ может применяться не только для защиты конфиденциальной информации, но и для защиты секретной (сертифицирован по 3 классу защищенности СВТ и по 2 уровню контроля НДВ), поэтому для защиты ИСПДн "Secret Net LSP", в данном случае, избыточен. Далее приоритеты распределяются следующим образом: "Панцирь?К", "Dallas Lock 8.0?K" и СЗИ "Аура 1.2.4".

Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Электронные средства хранения даже более уязвимы, чем бумажные: размещаемые на них данные можно и уничтожить, и скопировать, и незаметно видоизменить.

Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов.

По данным Миннесотского университета США, 93% компаний, лишившихся доступа к своим данным на срок более 10 дней, покинули свой бизнес, причем половина из них заявила о своей несостоятельности немедленно.

Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно растет. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Чем больше людей получает доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.

Компьютерным преступником может быть любой.

Типичный компьютерный преступник - это не молодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам. Типичный компьютерный преступник - это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 70-80 процентов ежегодного ущерба, связанного с компьютерами.

Признаки компьютерных преступлений :

· кражи частей компьютеров;

· кражи программ;

· физическое разрушение оборудования;

· уничтожение данных или программ;

Это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено, или что не выполняются меры защиты. Они также могут свидетельствовать о наличии уязвимых мест и указать, где находится брешь в защите. В то время как признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.

Защита информации – это деятельность по предотвращению утраты и утечки защищаемой информации.

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Информационная безопасность дает гарантию того, что достигаются следующие цели :

· конфиденциальность критической информации;

· целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода);

· доступность информации, когда она нужна;

· учет всех процессов, связанных с информацией.

Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. К критическим также относят данные, которые при неправильном использовании или раскрытии могут отрицательно воздействовать на способности организации решать свои задачи; персональные данные и другие данные, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.

Любая система безопасности, в принципе, может быть вскрыта. Эффективной считают такую защиту, стоимость взлома которой соизмерима с ценностью добываемой при этом информации.

Применительно к средствам защиты от несанкционированного доступа определены семь классов защищенности (1 - 7) средств вычислительной техники и девять классов (1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизированных систем. Для средств вычислительной техники самым низким является класс 7, а для автоматизированных систем - 3Б.

Технические, организационные и программные средства обеспечения сохранности и защиты от несанкционированного доступа

Существует четыре уровня защиты компьютерных и информационных ресурсов:

Предотвращение предполагает, что только авторизованный персонал имеет доступ к защищаемой информации и технологии.

Обнаружение предполагает раннее раскрытие преступлений и злоупотреблений, даже если механизмы защиты были обойдены.

Ограничение уменьшает размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению.

Восстановление обеспечивает эффективное воссоздание информации при наличии документированных и проверенных планов по восстановлению.

Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации. К мерам защиты относят разработку административных руководящих документов, установку аппаратных устройств или дополнительных программ, основной целью которых является предотвращение преступлений и злоупотреблений.

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня :

- законодательный: законы, нормативные акты, стандарты и т. п.;

- административный: действия общего характера, предпринимаемые руководством организации;

- процедурный: конкретные меры безопасности, имеющие дело с людьми;

- программно-технический: конкретные технические меры.

В настоящее время наиболее подробным законодательным документом России в области информационной безопасности является Уголовный кодекс. В разделе "Преступления против общественной безопасности" имеется глава "Преступления в сфере компьютерной информации". Она содержит три статьи - "Неправомерный доступ к компьютерной информации", "Создание, использование и распространение вредоносных программ для ЭВМ" и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети". Уголовный кодекс стоит на страже всех аспектов информационной безопасности - доступности, целостности, конфиденциальности, предусматривая наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".

Рассмотрим некоторые меры защиты информационной безопасности компьютерных систем.

1. Аутентификация пользователей . Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя. Необходимо внедрить меры защиты при администрировании паролей, и ознакомить пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению. Если в компьютере имеется встроенный стандартный пароль, его нужно обязательно изменить.

Еще более надёжное решение состоит в организации контроля доступа в помещения или к конкретному компьютеру сети с помощью идентификационных пластиковых карточек с встроенной микросхемой - так называемых микропроцессорных карточек (smart - card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Установка специального считывающего устройства таких карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.

Существуют также различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д.

2. Защита пароля.

Следующие правила полезны для защиты пароля:

· нельзя делится своим паролем ни с кем;

· пароль должен быть трудно угадываемым;

· для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;

· предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из 6 и более символов;

· пароль не должен отображаться на экране компьютера при его вводе;

· пароли должны отсутствовать в распечатках;

· нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;

· пароль нужно периодически менять и делать это не по графику;

· на должности администратора паролей должен быть самый надежный человек;

· когда сотрудник увольняется, необходимо сменить пароль;

· сотрудники должны расписываться за получение паролей.

В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.

В организации должен быть установлен такой порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.

Если информация обрабатывается на большом вычислительном центре, то необходимо контролировать физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана. Ответственный за информационную безопасность должен знать, кто имеет право доступа в помещения с компьютерным оборудованием и выгонять оттуда посторонних лиц.

4. Предосторожности при работе.

· отключать неиспользуемые терминалы;

· закрывать комнаты, где находятся терминалы;

· разворачивать экраны компьютеров так, чтобы они не были видны со стороны двери, окон и прочих мест, которые не контролируются;

· установить специальное оборудование, ограничивающее число неудачных попыток доступа, или делающее обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру

· использовать программы отключения терминала после определенного периода неиспользования;

· выключать систему в нерабочие часы;

· использовать системы, позволяющие после входа пользователя в систему сообщать ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.

5. Физическая безопасность.

В защищаемых компьютерных системах необходимо принимать меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения.

Пожарная сигнализация и системы пожаротушения должны регулярно проверяться. ПЭВМ можно защитить с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Горючие материалы не должны храниться в этих помещениях с компьютерами.

Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ, поэтому необходима их регулярная проверка.

Желательно применение воздушных фильтров, что поможет очистить воздух от веществ, которые могут нанести вред компьютерам и дискам. Следует запретить курить, принимать пищу и пить возле ПЭВМ.

Компьютеры должны размещаться как можно дальше источников большого количества воды, например трубопроводов.

6. Защита носителей информации (исходных документов, лент, картриджей, дисков, распечаток).

· вести, контролировать и проверять реестры носителей информации;

· обучать пользователей правильным методам очищения и уничтожения носителей информации;

· делать метки на носителях информации, отражающие уровень критичности содержащейся в них информации;

· уничтожать носители информации в соответствии с планом организации;

· доводить все руководящие документы до сотрудников;

· хранить диски в конвертах, коробках, металлических сейфах;

· не касаться поверхностей дисков, несущих информацию

· осторожно вставлять диски в компьютер и держать их подальше от источников магнитного поля и солнечного света;

· убирать диски и ленты, с которыми в настоящий момент не ведется работа;

· хранить диски разложенными по полкам в определенном порядке;

· не давать носители информации с критической информацией неавторизованным людям;

· выбрасывать или отдавать поврежденные диски с критической информацией только после их размагничивания или аналогичной процедуры;

· уничтожать критическую информацию на дисках с помощью их размагничивания или физического разрушения в соответствии с порядком в организации;

· уничтожать распечатки и красящие ленты от принтеров с критической информацией в соответствии с порядком организации;

· обеспечить безопасность распечаток паролей и другой информации, позволяющей получить доступ к компьютеру.

7. Выбор надежного оборудования.

Производительность и отказоустойчивость информационной системы во многом зависит от работоспособности серверов. При необходимости обеспечения круглосуточной бесперебойной работы информационной системы используются специальные отказоустойчивые компьютеры, т. е. такие, выход из строя отдельного компонента которых не приводит к отказу машины.

На надежности информационных систем отрицательно сказываются и наличие устройств, собранных из комплектующих низкого качества, и использование нелицензионного ПО. Чрезмерная экономия средств на обучение персонала, закупку лицензионного ПО и качественного оборудования приводит к уменьшению времени безотказной работы и значительным затратам на последующее восстановление системы.

8. Источники бесперебойного питания.

Компьютерная система энергоемка, и потому первое условие ее функционирования - бесперебойная подача электроэнергии. Необходимой частью информационной системы должны стать источники бесперебойного питания для серверов, а по возможности, и для всех локальных рабочих станций. Рекомендуется также дублировать электропитание, используя для этого различные городские подстанции. Для кардинального решения проблемы можно установить резервные силовые линии от собственного генератора организации.

9. Разработка адекватных планов обеспечения непрерывной работы и восстановления.

Целью планов обеспечения непрерывной работы и восстановления являются гарантии того, что пользователи смогут продолжать выполнять свои самые главные обязанности в случае невозможности работы по информационной технологии. Обслуживающий персонал должен знать, как им действовать по этим планам.

Планы обеспечения непрерывной работы и восстановления (ОНРВ) должны быть написаны, проверены и регулярно доводиться до сотрудников. Процедуры плана должны быть адекватны уровню безопасности и критичности информации. План ОНРВ может применяться в условиях неразберихи и паники, поэтому нужно регулярно проводить тренировки сотрудников.

10. Резервное копирование.

Одним из ключевых моментов, обеспечивающих восстановление системы при аварии, является резервное копирование рабочих программ и данных. В локальных сетях, где установлены несколько серверов, чаще всего система резервного копирования устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании.

Для архивной информации, представляющей особую ценность, рекомендуется предусматривать охранное помещение. Дубликаты наиболее ценных данных, лучше хранить в другом здании или даже в другом городе. Последняя мера делает данные неуязвимыми в случае пожара или другого стихийного бедствия.

11. Дублирование, мультиплексирование и резервирование офисов.

Помимо резервного копирования, которое производится при возникновении внештатной ситуации либо по заранее составленному расписанию, для большей сохранности данных на жестких дисках применяют специальные технологии - зеркалирование дисков и создание RAID-массивов, которые представляют собой объединение нескольких жестких дисков. При записи информация поровну распределяется между ними, так что при выходе из строя одного из дисков находящиеся на нем данные могут быть восстановлены по содержимому остальных.

Технология кластеризации предполагает, что несколько компьютеров функционируют как единое целое. Кластеризуют, как правило, серверы. Один из серверов кластера может функционировать в режиме горячего резерва в полной готовности начать выполнять функции основной машины в случае ее выхода из строя. Продолжением технологии кластеризации является распределенная кластеризация, при которой через глобальную сеть объединяются несколько кластерных серверов, разнесенных на большое расстояние.

Распределенные кластеры близки к понятию резервных офисов, ориентированных на обеспечение жизнедеятельности предприятия при уничтожении его центрального помещения. Резервные офисы делят на холодные, в которых проведена коммуникационная разводка, но отсутствует какое-либо оборудование и горячие, которыми могут быть дублирующий вычислительный центр, получающий всю информацию из центрального офиса, филиал, офис на колесах и т.д.

12. Резервирование каналов связи.

При отсутствии связи с внешним миром и своими подразделениями, офис оказывается парализованным, потому большое значение имеет резервирование внешних и внутренних каналов связи. При резервировании рекомендуется сочетать разные виды связи - кабельные линии и радиоканалы, воздушную и подземную прокладку коммуникаций и т.д.

По мере того, как компании все больше и больше обращаются к Internet, их бизнес оказывается в серьезной зависимости от функционирования Internet-провайдера. У поставщиков доступа к Сети иногда случаются достаточно серьезные аварии, поэтому важно хранить все важные приложения во внутренней сети компании и иметь договора с несколькими местными провайдерами. Следует также заранее продумать способ оповещения стратегических клиентов об изменении электронного адреса и требовать от провайдера проведения мероприятий, обеспечивающих оперативное восстановление его услуг после аварий.

12. Защита данных от перехвата.

Для любой из трех основных технологий передачи информации существует технология перехвата: для кабельных линий - подключение к кабелю, для спутниковой связи – использование антенны приема сигнала со спутника, для радиоволн - радиоперехват. Российские службы безопасности разделяют коммуникации на три класса. Первый охватывает локальные сети, расположенные в зоне безопасности, т. е. территории с ограниченным доступом и заэкранированным электронным оборудованием и коммуникационными линиями, и не имеющие выходов в каналы связи за ее пределами. Ко второму классу относятся каналы связи вне зоны безопасности, защищенные организационно-техническими мерами, а к третьему - незащищенные каналы связи общего пользования. Применение коммуникаций уже второго класса значительно снижает вероятность перехвата данных.

Для защиты информации во внешнем канале связи используются следующие устройства: скремблеры для защиты речевой информации, шифраторы для широковещательной связи и криптографические средства, обеспечивающие шифрование цифровых данных.

При рассмотрении вопросов, связанных с получением информации, хранящейся и обрабатываемой в компьютерных системах, под основными способами несанкционированного доступа предполагались следующие:

Преодоление программных средств защиты;

Несанкционированное копирование информации;

Перехват информации в каналах связи;

Использование программных закладок;

Использование аппаратных закладок;

Перехват побочных электромагнитных излучений и наводок (ПЭМИН).

При рассмотрении методов защиты мы не будем разделять их по вышеперечисленным способам, так как во многих случаях одни и те же методы оказываются эффективным средством предотвращения различных видов несанкционированного доступа.

Основными способами защиты являются следующие:

Аутентификация пользователей на этапе регистрации их полномочий;

Физическая защита компьютерных систем;

Выявление программных и аппаратных закладок;

Кодирование информации.

Эти (и другие) способы в тех или иных сочетаниях реализованы в программных и программно-аппаратных системах защиты компьютерной информации от несанкционированного доступа. Некоторые из этих систем будут описаны ниже.

Естественно, что для защиты компьютерной информации должен применяться весь комплекс организационных и технических мероприятий, включая физическую охрану территории, введение пропускного режима, осуществление линейного и пространственного зашумления, выявление закладных устройств и т. д. Но они характерны для любых информационных систем, поэтому здесь отдельно рассматриваться не будут.

Аутентификация пользователей на этапе регистрации их полномочий. Разграничение доступа пользователей к ресурсам вычислительных средств сопряжено с использованием таких понятий, как идентификация и аутентификация.

Идентификация - это присвоение субъекту (человеку) или объекту (компьютеру, диску и т. п.) индивидуального образа, имени или числа, по которому он будет опознаваться в системе.

Аутентификация - проверка подлинности объекта или субъекта на основе его идентификационных признаков.

Установление подлинности может производиться человеком, аппаратным устройством или программой вычислительной системы. В автоматизированных устройствах аутентификации в качестве идентификатора обычно используются:

индивидуальные физиологические признаки: отпечаток пальца (рис. 185), контур ладони (рис. 189), изображение сетчатки глаза и др.

Рис. 185. Внешний вид устройства аутентификации по отпечатку пальца

Рис. 186. Внешний вид устройства аутентификации по контур ладони пароли;

специальные устройства-идентификаторы (ТоисЬ Метогу), выполненные в виде брелков - «таблеток», пластиковых магнитных карт и т.п., опознаваемых с помощью специальных устройств считывания информации (см. рис. 187).

Рис. 187. Устройство считывания установленное на компьютере

Каждый из этих признаков обладает своими достоинствами и недостатками. Так, например, пароли часто бывают тривиальными и легко угадываются, кроме того пользователи обычно их записывают в блокнотах; индивидуальные физиологические признаки человека могут изменяться (например, порез пальца руки); устройство-идентификатор может быть утеряно пользователем или украдено у него. Поэтому в настоящее время в системах аутентификации стараются комплексировать разные виды идентификационных признаков: пароль - отпечаток руки, пароль -магнитная карта и т. д.

В результате аутентификации происходит определение полномочий пользователя по допуску к ресурсам вычислительной системы (файлам, базам данных, сегментам памяти) и по видам производимых операций (чтение, запись, выполнение и т. д.).

Проведение аутентификации - принципиально необходимый процесс, присущий всем системам защиты, информации, роль ее особенно возрастает при удаленном доступе в сети.

Физическая защита компьютерных систем предполагает применение таких устройств, которые бы исключали доступ к информации без нарушения физической целостности персонального компьютера.

В ряде случаев принципиальным оказывается применение мер, исключающих негласный (в том числе и регулярный) доступ к компьютеру с целью копирования или модифицирования информации. Для решения этой задачи как нельзя лучше подходят средства физической защиты.

1. Опечатывание системного блока и других элементов компьютерной системы специальными пломбами или печатью руководителя службы безопасности.

Опечатывание системного блока позволяет исключить бесконтрольный несанкционированный доступ к информации на жестком диске (в обход установленной системы защиты) посредством извлечения диска и подключения его к другому компьютеру. Кроме того, данная процедура позволяет устранить опасность нахождения в вашем вычислительном средстве аппаратных закладок, естественно, если вы позаботились провести проверку на их отсутствие до опечатывания компьютера. Не поленитесь после проверки провести опломбирование и всех других компонентов, включая коммутационные кабели, так как современные технологии позволяют установить закладки и в них.

2. Установка специальных вставок в «карман» гибкого дисковода, оборудованных замком с фиксацией на ключ.

Данная мера может применяться как средство защиты от негласного копирования информации, от заражения компьютера вирусами и программными закладками.

3. Применение специальных замков, блокирующих клавиатуру компьютера. Это эффективное средство защиты информации от возможной преднамеренной модификации, а также от заражения компьютерными вирусами и установки программных закладок.

4. Организация хранения магнитных и оптических носителей информации в сейфах либо в запирающихся на замок специальных дискетницах. Позволяет исключить негласное копирование информации с этих носителей, модификацию ее, заражение компьютерными вирусами, внедрение программных закладок.

Выявление программных и аппаратных закладок. Устранение программных закладок в персональном компьютере задача близкая по своей сути к задаче борьбы с компьютерными вирусами. Дело в том, что в настоящее время не существует четкой классификации программ с потенциально опасными воздействиями. Так, например, обычно выделяют программы типа «троянский конь», логические бомбы, вирусы и некоторые другие.

Под «троянским конем» при этом понимают программы, предназначенные для решения каких-то тайных задач, но замаскированные под «благородные» программные продукты. Классическим примером «троянцев» могут служить программы, выявленные в некоторых программах обеспечения финансовых операций локальных банковских сетей. Программы эти совершали операцию зачисления на счет ее владельцев сумм, эквивалентных «полкопейке». Такие суммы, возникающие в результате банковских пересчетных операций, должны округляться, поэтому исчезновение их оставалось незамеченным. Выявлено воровство было только благодаря быстрому росту личных счетов сотрудников, отвечающих за программное обеспечение. Небывалый рост происходил вследствие огромного числа пересчетных операций. К программам типа «троянский конь» относятся и программные закладки, рассмотренные выше.

К логическим бомбам относят, как правило, программы, совершающие свои деструктивные действия при выполнении каких-то условий например, если тринадцатый день месяца приходится на пятницу, наступает 26 апреля и т. д.

Под вирусами, как отмечалось выше, понимаются программы способные к «размножению» и совершению негативных действий.

Об условности такой классификации можно говорить на том основании, что пример с программой-закладкой в финансовой системе банка может быть отнесен и к логической бомбе, так как событие зачисления «пол-копейки» на личный счет наступало в результате выполнения условия - дробного остатка в результате операции над денежной суммой. Логическая бомба «пятница, тринадцатое» есть ничто иное как вирус, так как обладает способностью к заражению других программ. Да и вообще, программы-закладки могут внедряться в компьютер не только в результате их прямого внесения в текст конкретных программных продуктов, а и подобно вирусу благодаря указанию им конкретного адреса для будущего размещения и точек входа.

Из вышесказанного следует, что для защиты вашего компьютера от программных закладок необходимо соблюдать все требования, изложенные при рассмотрении вопросов борьбы с компьютерными вирусами. Кроме того, необходимо исключить бесконтрольный доступ к вашим вычислительным средствам посторонних лиц, что может быть обеспечено, в том числе, благодаря применению уже рассмотренных средств физической защиты.

Что же касается вопросов борьбы с программными закладками - перехватчиками паролей, то здесь следует отметить следующие меры.

1. Требования по защите от программ-имитаторов системы регистрации:

Системный процесс, который получает от пользователя его имя и пароль при регистрации, должен иметь свой рабочий стол, недоступный другим программным продуктам;

Ввод идентификационных признаков пользователя (например, пароля) должен осуществляться с использованием комбинаций клавиш, недоступных другим прикладным программам;

Время на аутентификацию должно быть ограничено (примерно 30 с), что позволит выявлять программы-имитаторы по факту длительного нахождения на экране монитора регистрационного окна.

2. Условия, обеспечивающие защиту от программ-перехватчиков паролей типа фильтр:

Запретить переключение раскладок клавиатур во время ввода пароля;

Обеспечить доступ к возможностям конфигурации цепочек программных модулей и к самим модулям, участвующим в работе с паролем пользователя, только системному администратору.

3. Защита от проникновения заместителей программных модулей системы аутентификации не предусматривает каких-то определенных рекомендаций, а может быть реализована только на основе проведения перманентной продуманной политики руководителя службы безопасности и системного администратора; некоторым утешением здесь может служить малая вероятность применения вашими конкурентами программ-заместителей ввиду сложности их практической реализации.

Наиболее полно всем изложенным требованиям по защите от программных закладок -перехватчиков паролей отвечает операционная система Windows NT и отчасти UNIX.

Выявлением аппаратных закладок профессионально могут заниматься только организации, имеющие лицензию от Федерального агентства правительственной связи и информации на этот вид деятельности. Эти организации обладают соответствующей аппаратурой, методиками и подготовленным персоналом. Кустарно можно выявить только самке примитивные аппаратные закладки. Если же вы испытываете определенные финансовые трудности и не можете себе позволить заключить соответствующий договор, то предпримите хотя бы меры физической защиты вашего компьютера.

Кодирование информации обеспечивает самый высокий уровень защиты от несанкционированного доступа. В качестве простейшего вида кодирования может рассматриваться обычная компрессия данных с помощью программ-архиваторов, но так как защитить она может лишь от неквалифицированного пользователя, то и рассматриваться архивирование как самостоятельный способ защиты не должно. Однако такое кодирование позволяет повысить криптостойкость других методов при их совместном использовании.

Не касаясь основных методов кодирования рассмотрим только примеры программно-аппаратных и программных систем защиты информации, в которых кодирование выступает одним из равноправных элементов наряду с другими методами защиты.

Программно-аппаратный комплекс «Аккорд». В его состав входит одноплатовый контроллер, вставляемый в свободный слот компьютера, контактное устройство аутентификации, программное обеспечение и персональные идентификаторы DS199x Touch Memory в виде таблетки. Контактное устройство (съемник информации) устанавливается на передней панели компьютера, а аутентификация осуществляется путем прикосновения «таблетки» (идентификатора) к съемнику. Процесс аутентификации осуществляется до загрузки операционной системы. Ко-

дирование информации предусмотрено как дополнительная функция и осуществляется с помощью дополнительного программного обеспечения.

Программно-аппаратный комплекс «Dallas LockЗ.1». Предоставляет широкие возможности по защите информации, в том числе: обеспечивает регистрацию пользователей до загрузки операционной системы и только по предъявлению личной электронной карты Touch Memory и вводе пароля; реализует автоматическую и принудительную блокировку компьютера с гашением экрана монитора на время отсутствия зарегистрированного пользователя; осуществляет гарантированное стирание файлов при их удалении; выполняет помехоустойчивое кодирование файлов.

Программная система защиты информации «Кобра». Осуществляет аутентификацию пользователей по паролю и разграничение их полномочий. Позволяет работать в режиме прозрачного шифрования. Обеспечивает высокую степень защиты информации в персональных ЭВМ.

Программная система защиты «Снег-1.0». Предназначена для контроля и разграничения доступа к информации, хранящейся в персональном компьютере, а также защиту информационных ресурсов рабочей станции локальной вычислительной сети. «Снег-1.0» включает в себя сертифицированную систему кодирования информации «Иней», построенную с использованием стандартного алгоритма криптографического преобразования данных ГОСТ 28147-89.

В качестве примера системы, выполняющей только кодирование информации, можно привести устройство «Криптон-ЗМ».

Напоминаем, что в данном подразделе рассматривались методы защиты, характерные исключительно для компьютерных сетей. Однако полноценная защита информации в вычислительных средствах невозможна без комплексного применения всех вышеописанных организационных и технических мер.

Если работа вашей фирмы связана с выполнением государственного заказа, то скорее всего вам не обойтись без получения лицензии на работу с государственной тайной, а следовательно и проверки аппаратуры на наличие возможно внедренных «закладок» и на наличие и опасность технических каналов утечки информации. Однако если такой необходимости нет, то в ряде случаев можно обойтись и своими силами, так как стоимость подобных работ все же достаточно высока.

Хакеры и вирусы на AS/400? Это невозможно. Они пиратствуют только на Unix и ПК.

Я вспоминаю фильм "Парк юрского периода", в конце которого девочка подходит к компьютеру, на котором была совершена диверсия, приведшая к выходу динозавров на свободу. "Это Unix!" - восклицает она, вскрывает его защиту и немедленно устраняет неполадки. Тут я сказал про себя: "Конечно, чего же Вы хотели от Unix". А в фильме "День независимости" вирус был запущен в компьютер космического корабля пришельцев. Большинство зрителей до этого и не подозревали, что инопланетяне используют компьютеры Apple Macintosh. Но, слава Богу, это оказалось именно так, вирус сработал, и наш мир был спасен.

Вообще, в фильмах часто злодеи проникают в чужие компьютеры, или недовольный сотрудник внедряет вирус в компьютерную сеть фирмы. Приятно сознавать, что ничего подобного на AS/400 произойти не может. Или всетаки может?

Как и многие другие функции, в AS/400, в отличие от большинства иных систем, защита была встроена с самого начала, а не добавлена уже после создания. Однако никакие средства защиты не помогут, если их не использовать, а многие пользователи AS/400 так и делают. Например, в среде клиент/ сервер необходимо принимать специальные меры для защиты данных AS/400 от незащищенных клиентов, таких как Windows 95 и Windows NT. Более того, в современном сетевом мире многие AS/400 подключены к Интернету, в этом случае также следует применять определенные средства защиты информационных ресурсов. По счастью, интегрированные средства защиты AS/400 обеспечивают крепкий фундамент безопасности всей системы. В этой лекции мы рассмотрим средства защиты AS/400 и обсудим, как лучше использовать их.

Интегрированная защита

В прошлом защитить вычислительную систему было относительно легко. Обычно, было достаточно вставить замок в дверь машинного зала и заставить конечных пользователей вводить при входе в систему пароль . Современный мир уже не так прост. Наибольшей степени опасности подвергаются AS/400, включенные в вычислительную сеть : во внутрифирменную ЛВС или в глобальную сеть , например в Интернет . В любом случае, AS/400 предоставляет средства для минимизации или полного устранения риска несанкционированного доступа. Проблемы защиты вычислительной системы очень похожи на те, что возникают при защите дома или автомобиля: Вы должны правильно рассчитать соотношение цены и допустимой степени риска.

Очевидно, что в разных ситуациях AS/400 нужен разный уровень защиты. У пользователя должна быть возможность самостоятельного выбрать этот уровень. Хорошая система защиты разработана так, чтобы компьютер мог работать вообще без защиты, с ограниченной защитой или с полной защитой, но во всех случаях система защиты должна быть активна.

И сейчас есть системы, запертые в помещениях, куда доступ строго ограничен. Понятно, что им не нужен такой уровень защиты, как компьютеру, подключенному к Интернету. Но с течением времени требования к защите и этих систем могут повыситься. Интегрированная защита AS/400 достаточно гибка, чтобы перестроиться по мере изменения требований к ней.

Защита AS/400 представляет собой комбинацию средств защиты в OS/400 и в SLIC . В OS/400 реализованы уровни общесистемной защиты, при этом OS/400 полагается на функции защиты объектов на уровне MI. Например, как упоминалось в "Объекты" , MI выполняет проверку прав доступа при каждом обращении к объекту. За действия MI по защите объектов ответственен SLIC . Реализуемый им тип защиты называется авторизацией и предназначен для предохранения объекта от несанкционированного доступа или изменения.

Некоторые компоненты защиты AS/400 расположены полностью поверх MI в OS/400, например, задание системных параметров защиты. Другие, такие как контроль за доступом к объектам, полностью реализованы ниже MI в SLIC . Третьи компоненты защиты реализованы частично над, а частично под MI. Пример - поддержка привилегированных команд и специальных прав доступа. Давайте подробнее рассмотрим компоненты, лежащие и выше и ниже MI.

Уровни защиты

AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая соответствующие системные параметры, можно выбрать одну из пяти степеней: отсутствие защиты, парольная защита, защита ресурсов, защита ОС и сертифицированная защита. При конфигурировании AS/400 должны быть заданы четыре системных параметра, относящихся к защите: QAUDJRL, QMAXSIGN, QRETSVRSEC и QSECURITY.

Системным параметром, определяющим уровень защиты, является QSECURITY. В System/38 и первых AS/400 было только три уровня системной защиты, в версии V1R3 OS/400 к ним добавился четвертый, а в V2R3 - пятый, высший уровень защиты. Допустимые значения QSECURITY - 10, 20, 30, 40 и 50.

AS/400 поддерживает также дополнительную функцию аудита. Если эта функция задействована, то определенные события, связанные с защитой, заносятся в журнал. То, какие конкретно события протоколировать в журнале аудита защиты, определяет значение системного параметра QAUDJRL и текущий уровень защиты. Могут протоколироваться такие события, как попытки несанкционированного доступа, удаление объектов, идентификация программ, использующих привилегированные команды и др. Содержимое журнала защиты анализирует администратор защиты.

Максимальное количество неудачных попыток входа в систему задает системный параметр QMAXSIGN. Если число таких попыток превысит значение этого параметра, то терминал или устройство, с которого они были предприняты, отключаются от системы и связь между ними и системой разрывается. Такой метод позволяет предотвратить попытки подобрать пароль для входа в систему. Значение параметра QMAXSIGN для каждого устройства сбрасывается после успешного входа в систему.

Системный параметр QRETSVRSEC (Retain Server Security Data ) определяет, может ли информация , необходимая AS/400 для аутентификации пользователя на другой системе через интерфейсы клиент/ сервер , запоминаться сервером. Если информация запоминается, то сервер ее использует. Если нет, то сервер будет запрашивать идентификатор и пароль пользователя для другой системы. Системный параметр FFQRETSVRSEC используется для клиент/серверных интерфейсов TCP/IP , Novell NetWare и Lotus Notes.

Теперь давайте рассмотрим каждый из пяти уровней защиты, начиная с самого низкого.

Отсутствие защиты (уровень 10)

Уровень 10 означает самую низкую степень защищенности - отсутствие таковой. Для доступа к системе не требуется пароля и любому пользователю разрешен доступ ко всем системным ресурсам и объектам без ограничений. Единственное условие - нельзя влиять на задания других пользователей системы.

Системный уровень защиты 10 обычно применяется тогда, когда достаточно только физической защиты системы, например, замка на двери машинного зала. Любой пользователь, имеющий физический доступ к машине, может войти в систему. При этом он не обязан регистрироваться . Регистрация пользователя предполагает наличие где-либо в системе профиля пользователя. Такой профиль при использовании уровня защиты 10 создается автоматически, если еще не существует.

Парольная защита (уровень 20)

Если Вам нужна только защита при входе в систему, используйте уровень 20. При этой степени защиты требуется, чтобы пользователь AS/400 был зарегистрирован и знал правильный пароль. После того, как разрешение на вход в систему получено, пользователь имеет доступ ко всем ее ресурсам без ограничений. Как видите отличие от уровня 10 незначительно.

Только в одном особом случае доступ пользователя к системе при уровне 20 ограничивается: если в профиле пользователя это специально оговорено. Пользователь с ограниченными возможностями может только выбирать пункты меню. Большинство системных меню имеют строку ввода команд, и упомянутое средство ограничивает использование системных команд.

Предположим, что в организации есть группа работников, в чьи обязанности входит прием заказов на товары и ввод соответствующих данных в систему. Для таких пользователей целесообразно создать специальное меню и разрешить им действовать только в этих рамках, для чего их следует зарегистрировать как пользователей с ограниченными возможностями и задать в их профилях меню, доступ к которому им разрешен.

Но даже пользователю с ограниченными возможностями разрешено исполнять четыре необходимых команды: для отправки сообщений, для отображения сообщений, для отображения состояния задания и для выхода из системы. То, какие именно команды открыты для пользователя с ограниченными возможностями, можно задать индивидуально. Ограничение возможностей также определяет, какие поля пользователь может изменять при входе в систему.

Уровни 20 и 10, не обеспечивают системе защищенность, так как после регистрации пользователя в системе, он может производить там любые операции. Я бы не рекомендовал ограничиваться столь низкими степенями защиты за исключением особых случаев, когда сама система практически недоступна извне.

Защита ресурсов (уровень 30)

Минимальным рекомендуемым уровнем защиты является уровень 30. На этом уровне, так же как и на уровне 20, для входа в систему пользователь должен быть зарегистрирован и знать правильный пароль. После входа в систему проверяется, обладает ли пользователь правами доступа к системным ресурсам; несанкционированный доступ не разрешается. На уровне 30 пользователь также может быть зарегистрирован с ограниченными возможностями.

Отдельным пользователям могут быть предоставлены права доступа к системным объектам, таким как файлы, программы и устройства. Обеспечивают такую возможность профили пользователя, и вскоре мы поговорим подробнее о том, каким образом они это делают. Мы также рассмотрим другие варианты наделения пользователя правами доступа к системным объектам: с помощью групповых или общих прав.

Уровень защиты 30 был наивысшим в System/38. Но на нем не различаются пользовательские объекты и объекты, используемые только ОС. В связи с доступностью на System/38 ассемблера MI и наличия определенной информации о внутренней структуре объектов возникла серьезная проблема. ISV стали писать прикладные пакеты, зависящие от внутренней структуры объектов, что нарушало технологическую независимость MI.

В первых моделях AS/400 использовались те же самые уровни защиты. Хотя в AS/400 не было ассемблера MI, и мы не публиковали информацию о внутренних структурах, специалисты довольно скоро поняли, что AS/400 - это System/38. Поэтому программы, зависимые от внутренней структуры объектов, работали и на AS/400.

Мы понимали, что при переходе к клиент/серверным вычислениям, AS/400 нужна более надежная защита, блокирующая доступ к большинству внутренних объектов. В связи с переходом на RISC-процессоры изменениям подверглась и внутренняя структура. Но если бы мы просто реализовали новый, повышенный, уровень зашиты, то программы, зависимые от внутренней структуры объектов, перестали бы работать, что вызвало бы недовольство заказчиков.

Мы объявили о том, что собираемся встроить в V1R3 новый уровень защиты, и что на этом уровне доступа к внутренним объектам не будет. Мы также начали искать тех ISV , кто использовал внутренние объекты, чтобы предоставить им стандартные системные API, с информацией, необходимой для их программ.

Большая часть таких программ были утилитами, использовавшими информацию некоторых полей внутри системного объекта. Например, системе управления магнитной лентой могли понадобиться некоторые данные о заголовке ленты. Такую информацию можно было получить единственным способом - проникнув в системный объект. Мы создали сотни API для предоставления подобной информации через MI (по сути дела, эти API были новыми командами MI) и гарантировали, что они будут работать во всех последующих версиях ОС. Таким образом мы развязали себе руки и начали вносить изменения во внутренние структуры.

С защитой связана еще одна серьезная тема: тема открытости AS/400. Довольно долго многие ISV не только использовали внутренние объекты, но и настаивали, что бы IBM сделала внутреннее устройство ОС открытым и дала тем самым "зеленый свет" разработчикам ПО. В ответ IBM утверждала, что при неправильном использовании команд MI велика вероятность программных сбоев, за которые она не может нести ответственность. Компромисс (управляемая открытость через API) был достигнут, частично в результате серии заседаний группы COMMON, начатых по инициативе ISV и других пользователей. Работу с ISV и определение новых API возглавил Рон Фесс (Ron Fess) - один из основных разработчиков ПО с большим опытом работ по CPF и OS/400. Результат это работы - реализация на AS/400 Single UNIX Specification и других стандартных API. AS/400 стала более открытой для пользователей.

Защита ОС (уровень 40)

Уровень 40 появился в версии V1R3 OS/400. Сегодня все новые AS/400 поставляют ся именно с этим уровнем защиты, а не 10, как ранее. Но старые версии OS/400 и при модернизации сохраняют текущий уровень, установленный заказчиком. Теперь пароль начальника защиты (пользователь, обладающий правами доступа наивысшего уровня) становится недействительным после первого ввода в систему и он должен его изменить. Ранее заказчики AS/400 часто не утруждали себя изменением пароля, установленного в системе по умолчанию, что создавало явную "дыру" в защите.

При уровне 40 пользователь AS/400 также должен быть зарегистрирован, должен знать правильный пароль для входа в систему и иметь права на доступ к системным ресурсам. Впрочем, пользователи с ограниченными возможностями при этом уровне защиты тоже поддерживаются.

В отличие от уровней 10–30, при уровне защиты 40 доступ к нестандартным интерфейсам блокирован. Пользователю теперь доступны далеко не все команды MI, а лишь их разрешенный набор, включая сотни API, разработанных для ISV . Остальные же команды блокированы, то есть система не будет исполнять их в пользовательской программе.

Тем не менее, команды из блокированного набора попрежнему доступны OS/400. Для различия программ OS/400 и пользовательских, были введены понятия системного и пользовательского состояния , к которым можно отнести любой процесс на AS/400. Использование заблокированных команд и доступ, таким образом, к некоторым объектам системы разрешены только в системном состоянии.

Для большей надежности защиты в V1R3 была также устранена адресация на базе возможностей, а из системных указателей, предоставляемых пользователям, убраны все права доступа.

Защита C2 (уровень 50)

Уровень 40 обеспечивает системе достаточную степень защищенности в большинстве случаев. Однако, некоторым фирмам, выполняющим государственные заказы, необходим уровень защиты, сертифицированный правительством США. Таких сертификатов несколько, включая, так называемый, уровень С2. Они включают такие положения, как защита ресурсов пользователя от других пользователей и предотвращение захвата одним пользователем всех системных ресурсов, например, памяти. Кстати, подобные требования сейчас применяются и во многих неправительственных организациях.

Для заказчиков, нуждающихся в правительственных сертификатах, мы дополнили уровень защиты 40 на AS/400 до соответствия упомянутому уровню С2. Так в версии V2R3 появилась защита уровня 50.

Но прежде чем система будет признана соответствующей стандарту С2, она должна пройти всеобъемлющую проверку. В настоящее время такая проверка идет.

Правительством США определены уровни защиты от А до D, где А - наивысший уровень защиты, а D – самый низкий. Классы B и С имеют несколько подуровней. Уровень защиты С2 - уровень, наивысший из обычно используемых в бизнесе. В будущем, если возникнет такая необходимость, мы сможем включить в AS/400 поддержку и более высоких уровней защиты.