Информационные технологии и безопасность
103
методологии, нормативно-справочной информации и типовых бизнеспроцессов, стандартном программном обеспечении и отлаженной методологии его внедрения, сохранении компетенции в ОАО РЖД, инвариантности проектных решений, сохранении и эффективном возврате средств от инвестиций в ЕК АСУФР и эффективной поддержке целей и задач стратегической реформы со стороны информационных технологий.
Использование современных информационных технологий, таких как SAP R/3, опирающихся на оптимизацию бизнес-процессов, позволит успешно реализовать все функции реинжиниринга при проведении структурных преобразований железнодорожного транспорта.
Библиографический список
1. Руководство качеством проектов. Практический опыт/ В. Ильин. - M. : Вершина, 2006. - 52 с. - ISBN 5-9626-0048-7.
2. Логистическая система метрополитена / И. Б. Воробьева. - СПб. : Изд-во СПбГУЭФ, 2005. - 64 с. - ISBN 5-7310-1918-5.
3. SAP R/3: МЕНЕДЖМЕНТ / ред. М. Ребшток, К. Хильдебранд; пер. с нем. -Минск. : ООО “Новое знание”, 2001. - 27 с. - ISBN 985-6516-35-8 (рус.), ISBN 3-82660424-5 (нем.).
УДК 004.056.5
В. В. Сапожников, Вл. В. Сапожников, А. Д. Гавзов
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ ДИСПЕТЧЕРСКОЙ ЦЕНТРАЛИЗАЦИИ НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ
Изложены принципы обеспечения информационной безопасности в компьютерных системах диспетчерской централизации, сформулированные на основе отечественных стандартов, руководящих документов и опыта эксплуатации подобных систем. Даются рекомендации по построению единой системы обеспечения информационной безопасности.
информационная безопасность, защита информации, диспетчерская централизация. Введение
Компьютерные системы диспетчерской централизации (ДЦ) относятся к первой и третьей группам классов защищенности автоматизированных систем от несанкционированного доступа (НСД) к
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
информации [1] согласно руководящему документу «Информационная безопасность АПК ЖАТ. Требования по классам защищенности. РД РЖД 11.01-2003» и руководящим документам Гостехкомиссии России (ФСТЭК). Исходя из требований данных документов, практики внедрения и эксплуатации систем ДЦ, а также основ безопасности информационноуправляющих систем, выделим в этой статье принципы обеспечения информационной безопасности (ИБ) в ДЦ.
В настоящее время решение вопросов ИБ является крайне актуальным, поскольку требования безопасности достаточно высоки, а их реализация не выполняется в отрасли в полном объеме.
1 Общие принципы
На первоначальной стадии жизненного цикла системы требуется документ, раскрывающий политику информационной безопасности. В общем случае им можно признать РД РЖД 11.01-2003, но для конкретных систем следует более детально осветить ряд решений, согласно которым организовывать и поддерживать ИБ. В том числе необходима разработка плана мероприятий по организационному обеспечению ИБ.
ИБ нельзя сводить к какому-то узкому кругу вопросов, это достаточно многогранная область исследований, которая постоянно расширяется. Начать можно с того, что нарушение ИБ может произойти из-за отказа пользователей. Таким образом, уменьшение вероятности осуществления этого отказа сводится к исследованию в области человеческой психофизики, к созданию удобных и эффективных человекомашинных интерфейсов, комфортной и располагающей обстановки. Если еще более углубиться в проблему, то можно выделить следующие вопросы, требующие отдельных исследований или привлечения уже существующих решений: это ошибки человека - источника информации, ошибки обслуживающего персонала, ошибки человека, принимающего решения. Это могут быть логические (неправильные решения), моторные (неправильная реализация решения), сенсорные (неправильное восприятие информации) ошибки, вероятность совершения которых напрямую или косвенно зависит от того, было ли обращено внимание на эти вопросы в процессе проектирования системы.
Социальные атаки по праву являются самыми опасными, так как технические средства зачастую бессильны перед ними. Поэтому вопросы психологической подготовки персонала и принципы социальной инженерии также должны входить в круг мероприятий, раскрываемых в политике безопасности.
При разработке программного обеспечения (ПО) для последующей реализации требований ИБ очень важно четко следовать модели базовых этапов: системный анализ и обоснования требований к ПО,
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
105
предварительное и детальное проектирование, разработка программных компонент, их комплексирование и отладка ПО в целом, испытания, опытная эксплуатация, тиражирование, сопровождение и модификации. Следует комплексно рассматривать проблему безопасности с учетом всех структур ДЦ, возможных каналов утечки информации и несанкционированного доступа к ней, возможных неисправностей, времени и условий их возникновения. Соответственно и проектирование ПО должно производиться совместно с проектированием средств его безопасности.
В процессе эксплуатации необходимо обеспечить: современный централизованный способ авторизации пользователей на терминалах и в системе с контролем доступа (учетом), периодический сбор информации о функционировании и настройках системы на предмет соответствия требованиям политики безопасности, регистрацию событий об ошибках и неисправностях системы, выявление несанкционированных воздействий и нарушений целостности файлов и сообщений, использование закрытых протоколов и криптотехнологий, использование антивирусной защиты. Система управления обеспечением ИБ должна обладать способностью наиболее полно диагностировать систему, опережающе нейтрализовывать возникающие угрозы, как внутренние, так и внешние.
Не менее важны мероприятия по организации физической защиты, поддержке высокой квалификации обслуживающего персонала (обучение, техническая учеба, необходимая справочная литература, инструкции), материального обеспечения.
Принципы, описанные выше, касаются организации ИБ в любой компьютерной системе оперативного управления с критической информацией. В системах ДЦ ввиду значительной дальности передачи информации особое внимание следует уделить вопросу организации безопасного канала общения абонентов системы на всех уровнях, начиная с физической защиты каналов связи, заканчивая проактивной защитой (действия по блокированию нарушений и автоматическому восстановлению системы при сбоях) и мониторингом сети с фиксацией нарушений и ошибок.
2 Принципы обеспечения ИБ при организации канала связи
При организации канала связи необходимо учитывать риски, связанные с внутренними и внешними нарушениями. Рассмотрим первые. Одно из требований ИБ - высокая диагностируемость и мониторинг системы, что подразумевает наличие большого трафика в сети, относящегося к диагностике. В этом случае возможна повышенная загрузка, при которой диагностический трафик вызовет задержки в передаче информации о состоянии контролируемых устройств, что
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
недопустимо. Сеть должна работать устойчиво, несмотря на этапное развитие системы и колебания загрузки. Поэтому сети для передач телесигнализации и диагностики должны быть разделены физически или логически в случае проектирования крупной системы. Также такое разделение следует организовать изначально, если планируется дальнейшее развитие (подключение новых станций и кругов). Например, возможно разделенное во времени (time-sharing) использование 100-мегабитной сети ethernet (50% каждой сети).
Для снижения вероятности внешних нарушений необходимо организовать надлежащую охрану каналов связи, а также систему ограничения и разграничения доступа в помещения, систему видеонаблюдения, кроме того, сформировать подсистему криптографической защиты на основе ГОСТ-28147-89 (использовать иные стандарты в подобных системах пока не разрешается) с шифрованием, аутентификацией и нумерацией сообщений. Нумерация позволит отклонить повторенные сообщения, шифрование не даст нарушителю возможности узнать содержимое, аутентификация не позволит изменить и подменить сообщения.
В качестве шифрования не рекомендуется использовать режим простой замены ГОСТ 28147-89, поскольку в таком случае дополнение последних неполных блоков информации до 64 бит может вызвать снижение стойкости шифра. Следует применять один из режимов гаммирования, при котором блоки информации по 64 бита суммируются по модулю 2 с гаммой шифра, формируемой с помощью преобразований синхропосылки в режиме простой замены. Синхропосылка может открыто передаваться от абонента к абоненту. В качестве аутентификации предлагается использовать режим выработки имитовставки [2], чтобы в полной мере соответствовать спецификации ГОСТ 28147-89 и не нагружать подсистему дополнительными алгоритмами для получения хэш-функции.
Необходимо отметить, что вопрос шифрования максимально остро стоит при использовании открытых каналов передачи данных; например, удаленное подключение АРМ ШН через сеть ОАО РЖД или Интернет потребует дополнительных процедур по повышению стойкости шифрования.
Следует принимать во внимание необходимость механизма своевременного согласования ключей, так как при его отсутствии подсистема криптографической защиты может оказаться неэффективной. Для этого должен быть разработан безопасный протокол согласования и при необходимости создан сервер ключей. Решения вопросов времени согласования и длины ключа можно объединить и таким образом решить сразу две задачи. В общем случае, если мы знаем среднее количество
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
107
сообщений в сутки n и примем в политике безопасности, что ключ может использоваться а дней, то для вычисления длины ключа в битах х, отведенной для номера, можно воспользоваться формулой:
2х -1 an ^=х log2 =an +1).
Важнейшую роль в обеспечении ИБ играет подсистема для доступа к терминалам и в систему (идентификация и аутентификация персонала). Тенденция развития подобных подсистем постепенно сводится к уходу от простейших способов проверки подлинности субъекта (например, при помощи пароля). Более перспективными являются технологии на основе распознавания биометрических данных. В любом случае правильное решение задач идентификации и последующей аутентификации включает в себя решение нескольких подзадач.
■ Обеспечить невозможность успешного повторения идентификации и аутентификации путем перехвата сетевого трафика и повторной отсылки правильных ответов. Для этого используется схема запрос/ответ (challenge/response), когда проверяющая сторона присылает некоторый случайный запрос (challenge), который используется при аутентификации для преобразования введенных пользователем данных перед отправкой их проверяющей стороне. При таком подходе перехват сетевого трафика оказывается бесполезным — проверяющая сторона каждый раз присылает новый запрос, на который существует единственный правильный ответ, который невозможно быстро вычислить, не зная секретной информации (пароля или PIN-кода).
■ Обеспечить невозможность эффективного получения секретной информации, вводимой пользователем при аутентификации, в случае взлома проверяющей стороны. Для этого проверяющая сторона должна хранить не копию секретной информации, вводимой пользователем, а результат применения к ней стойкой криптографической хэш-функции, например, полученной в режиме имитовставки согласно ГОСТ 28147-89 или с использованием более традиционных американских алгоритмов MD5, AES, HMAC-SHA-256 и т. п.
■ Минимизировать вероятность ошибок первого рода (отказ в доступе легитимному пользователю) и второго рода (предоставление доступа пользователю, не имеющему на это права). При использовании биометрии для идентификации и/или аутентификации ошибки первого и второго рода играют значительную роль, т. к. биометрия при оценке степени совпадения измеренной биофизической характеристики и ранее сохраненного ее значения опирается на статистические методы. Если при настройке верификатора ослабить требования к точности совпадений, нелегальному пользователю будет легче случайно проникнуть в систему. Если же требования к точности совпадения повысить, легальные
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
пользователи достаточно часто будут получать отказ в доступе. Хорошо настроенная система идентификации по отпечаткам пальцев необоснованно отказывает в доступе примерно в одном случае из 50 и ошибочно пропускает одного нелегального пользователя в одном случае из миллиарда [3, с. 22-24].
Приуменьшать эффективность криптографической подсистемы, безусловно, не стоит, тем не менее ИБ должна обеспечиваться комплексно и несанкционированный доступ, если он произошел, должен обнаруживаться еще в самой начальной стадии взлома.
Для определения несанкционированного подключения рекомендуется использовать подсистему на основе сообщений простого протокола управления сетью (SNMP) о включении и выключении портов коммутаторов, поступаемых на сервер безопасности. Рассылку этой информации можно настроить на подавляющем большинстве сетевых коммутаторов. Сообщение должно содержать IP-адрес коммутатора и номер порта. По этой информации при наличии базы данных расположения сетевых розеток можно точно определить место нового подключения (пост, здание, этаж, помещение). Далее после проверки на легитимность, если система определила несанкционированное подключение, следует автоматически отключать порт коммутатора в сопровождении с сигнализацией для администратора безопасности и обслуживающего персонала. Также необходимо отслеживать
неавторизованные и ошибочные пакеты в сети и сигнализировать об этом.
Необходимо уделять внимание использованию шлюзов и брандмауэров или интерфейсов RS-232, RS-422, RS-485 при стыковке с другими системами. Например, возможная стыковка систем с административным уровнем повлечет за собой принятие этих мер, поскольку последние, как правило, связаны с открытыми
информационными сетями.
3 Единая система управления информационной безопасностью
Как уже говорилось выше, обеспечение ИБ требует комплексного подхода, и для наиболее качественного решения ее задач следует объединить все принципы в единую подсистему, которая была бы неотделима от конкретной реализации ДЦ.
Рекомендуется создание единого сервера безопасности (см. рисунок), который будет обеспечивать:
■ возможность наращивания инфраструктуры системы;
■ безопасность на сетевом и прикладном уровнях;
■ централизованное управление и определение политики безопасности системы (создание и корректировка правил безопасности);
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
109
■ реализацию единой политики безопасности и распространение ее на все поддерживаемые устройства;
■ создание списков доступа в помещения, к терминалам, в систему;
■ импорт уже существующих списков доступа на новые подключаемые модули;
■ контроль доступа в помещения, сигнализацию о взломе;
■ интерфейс с системой видеонаблюдения для оперативного подключения дополнительной информации;
■ аутентификацию в системе и на терминалах, систему протоколирования;
■ регистрацию попыток доступа программных средств и персонала к терминалам и другим узлам сети;
■ централизованное хранение и распределение ключей для аутентификации и шифрования;
■ управление настройками сетевой безопасности маршрутизаторов и брандмауэров;
■ сбор информации о целостности технических средств, программных модулей, сообщений;
IQJXl Информационные SNMP-пакеты
Видеонаблюдение от коммутаторов, блокирование портов при нарушениях, перенесение
I I I
Контроль доступа в помещения, контроль взлома
Отслеживание ошибочных и нелегитимных пакетов в сети
Шифрованные пакеты согласно ГОСТ 28147-89
настроек безопасности
Оборудование ЦП и ЛП
Передача ключей
Разрешение или запрет авторизации
Запрос авторизации Запрос согласования ключа Передача диагностической информации
Контроль работы брандмауэра/шлюза, перенесение настроек безопасности
Администратор безопасности: наблюдение за безопасностью, централизованная корректировка
Единый сервер безопасности: архив протоколов доступа и состояния системы, сервер ключей, списки доступа, распространяемые настройки
Организация единой системы управления ИБ
ISSN 1815-588 X. Известия ПГУПС
2008/3
Информационные технологии и безопасность
■ сбор информации о функционировании системы в целом, функционировании отдельных модулей и о возникших неисправностях, в т. ч. срабатывании антивирусной защиты;
■ проактивную защиту;
■ учет действий пользователей;
■ своевременную сигнализацию о нарушении целостности информации, программных модулей и технических средств, появлении неавторизованных и ошибочных пакетов в сети, подключении нелегитимного устройства/пользователя, о возникшей неисправности;
■ выдачу рекомендаций обслуживающему персоналу по необходимым действиям в случае нештатной ситуации;
■ периодическое самотестирование функций безопасности, имитацию попыток НСД;
■ формирование отчетов по ИБ.
В крупных системах (несколько диспетчерских кругов, более 10 станций) такое количество информации потребует введения новой должности администратора безопасности, который будет отслеживать состояние безопасности, организовывать работу обслуживающего персонала, вносить необходимые коррективы. В небольших системах эти обязанности можно возложить на дежурного механика ДЦ (мониторинг) и старшего диспетчера (корректировки).
Заключение
Следуя принципам, описанным в данной статье, и реализуя их на должном уровне при проектировании и организации ДЦ, можно построить высокозащищенную систему, отвечающую требованиям существующих ГОСТов и руководящих документов ОАО РЖД и ФСТЭК. Рекомендуется следовать предложенному принципу единой системы управления ИБ для достижения максимальных результатов защиты информации. Подобный комплексный подход не раз оправдывал себя в информационных системах различных отраслей народного хозяйства.
Библиографический список
1. Обеспечение информационной безопасности систем железнодорожной автоматики и телемеханики / С. В. Крутяков // Автоматика и телемеханика на железнодорожном транспорте : сб. докладов «ТрансЖАТ-2005». - Ростов-на-Дону : РГУПС, 2005. - С. 260-276. - ISBN 5-88814-166-6.
2. ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. - 26 с.
3. Искусство защиты и взлома информации / Д. В. Скляров. - СПб. : БХВ-Петербург, 2004. - 288 с. - ISBN 5-94157-331-6.
ISSN 1815-588 X. Известия ПГУПС
2008/3