Средства обеспечения безопасности

Информационная безопасность должна гарантировать конфиденциальность (разумное ограничение доступа), целостность и достоверность информации, а также обеспечить учет и анализ всех событий, в ходе которых информация создается, модифицируется и распространяется по сети.

Общая концепция безопасности

Общая концепция IBM при формировании архитектуры безопасности построена на основе определений стандарта ISO 7498-2, в которых представлены следующие базовые механизмы обеспечения безопасности:

• идентификация и аутентификация (проверка подлинности) пользователей и взаимодействующих объектов;
• управление доступом, понимаемое как избирательное разрешение или отклонение запросов авторизованных пользователей (объектов) на доступ к ресурсам;
• конфиденциальность данных, гарантирующая их раскрытие только теми людьми (объектами), которым они предназначены;
• целостность данных, гарантирующая устойчивость к неавторизованной модификации содержания хранимых или передаваемых данных;
• доступность как способность обеспечивать беспрепятственный контроль выполнения транзакций.

При этом достижение концептуальных целей реализации названных механизмов в подходе IBM предусматривается на трех уровнях:

1. Платформенном (или операционных систем), на котором главным образом решаются задачи идентификации и аутентификации пользователей, управления доступом и целостности системного кода. Типичным примером этого в z/OS является использование средства системной авторизации SAF (System Authorization Facility) и внешнего менеджера безопасности RACF (Resource Access Control Facility) - широко известном средстве управления доступом к ресурсам, разработанном компанией IBM.
2. Сетевом, расширяющем возможности реализации политики безопасности SP (Security Policy) на случай сетевых технологий вычислений и манипуляции с данными, включая функции обеспечения конфиденциальности и целостности. Примерами реализации этих механизмов в Z/OS являются технологии межсетевых экранов (брандмауэров) и сервиса обнаружения вторжений IDS (Intrusion Detection Services). Первые из них реализуют набор правил, определяющих условия прохождения протокольных блоков данных через межсетевые границы. Сервисы IDS идентифицируют, документируют и анализируют подозрительные с точки зрения угроз безопасности события, а также извещают о них операторов.
3. Обмена данными (транзакций). Этот уровень подразумевает предоставление приложениям дополнительных сервисов, позволяющих осуществлять защиту поверх базовых средств обеспечения безопасности. Примером такой реализации механизмов безопасности является протокол уровня защищенных сокетов SSL (Secure Socket Layer), разработанный компанией Netscape Communications Corporation. Этот протокол создает защищенное сквозное соединение виртуальной сети, обеспечивая взаимную аутентификацию абонентов, а также конфиденциальность, подлинность и целостность циркулирующей по соединению информации.

Как отмечено выше, в основе реализации механизмов безопасности первого уровня лежит использование средства SAF, являющегося частью операционной системы и обеспечивающего интерфейс между источниками запросов на доступ к ресурсам системы и структурой обеспечения безопасности, которая традиционно представляется в форме RACF. SAF и RACF работают совместно (рис. 4.16.) при определении возможности доступа к ресурсу. В качестве защищаемых ресурсов выступают наборы данных, мини-диски, терминалы, транзакции, ресурсы, описанные при установке пользователями и др.

Рис. 4.16. Реализация механизмов безопасности средствами SAF и RACF

Основываясь на первичном запросе пользователя, менеджер ресурса формирует свой запрос и передает его SAF. В зависимости от типа запроса SAF или создает ответ или транслирует запрос RACF. При этом не требуется обращение к базе данных RACF, если ответ может быть оформлен с учетом данных, хранящихся в памяти профилей.

Примерами менеджеров ресурсов являются:

• CICS (Customer Information Control System) при входе в диалоговую систему и авторизации транзакций CICS;
• z/OS Unix - ядро доступа к файлам, авторизации и др.,
• DFSMS (Data Facility Storage Management Subsystem) для доступа к наборам данных и представления полномочий.

IBM реализовала продукт SAF, используя макрос, называемый RACROUTE [4.12], который обеспечивает выполнение подфункций для каждого выводимого макроса безопасности. Например, собранной программе нужно определить лишь RACROUTE REQUEST=VERIFY для верификации пользовательского идентификатора и RACROUTE REQUEST= AUTH для проверки авторизации.

Представленная концепция позволяет настраивать систему безопасности на использование различных продуктов безопасности. По мере появления усовершенствованных продуктов (например, модификации RACF) компания IBM обеспечивает включение дополнительных функций безопасности в SAF. Так, в течение нескольких последних лет SAF был адаптирован к обработке в среде Unix на мэйнфреймах с использованием вызываемых сервисов для интерпретации широкого спектра приложений, таких как Java. Основными функциями SAF являются:

• обеспечение и поддержание безопасной среды для всех работ;
• корректное распространение информации, связанной с безопасностью. В частности, SAF выполняет раннюю верификацию и авторизацию такого рода информации (идентификаторов пользователей и паролей) даже если RACF отсутствует или неактивно;
• создание и обслуживание идентификаторов защиты (токенов защиты), понимаемых как группа атрибутов защиты и существующих в форме перемещаемых структур данных. Токены позволяют ассоциировать среду безопасности с состоянием (активно, неактивно) исполняемых задач. Для генерации и обслуживания токенов SAF использует сервисы RACROUTE.