Информационная безопасность и геоинформационные системы
Сегодня очень большое число предприятий используют в своей повседневной деятельности ГИС-средства. И это не только военные ведомства и исследовательские институты. Такие средства применяются в арсенале и небольших компаний, например, развозящих пиццу и прокладывающих на карте оптимальные маршруты.
Нельзя обойтись без карт в гидрографии и метеорологии. Когда мы смотрим прогноз погоды на ближайшее время, мы также обращаемся к картам. Зафиксированы случаи использования ГИС в маркетинге, где с помощью карт можно анализировать распределение различных параметров, например, клиенты с определенным уровнем дохода, точки установки телекоммуникационных устройств и т.д. В последние годы геоинформационные системы вышли и в Internet. Например, компания MapInfo выпустила систему MapXtreme, которая реализована на языке Java и предназначена для отображения картографической информации через Web-сервер. Интерес к ГИС растет как на дрожжах. И не только на Западе. Многие российские компании также начинают активизироваться на этом рынке. И хотя до зарубежных объемов нам еще далеко, но мы стремимся не только догнать, но и перегнать наших иностранных коллег. Об этом говорит и тот факт, что за последнее время было объявлено о создании новых журналов, посвященных этой тематике, открытии новых конференций и семинаров, и т.д. Однако если внимательно приглядеться к тематике этих мероприятий и изданий, то можно убедиться, что вопросам безопасности в них внимания никакого не уделяется. Лишний раз это подтверждается тем, что на последней конференции «ГИС и Интернет» 5-7 декабря 2000 г., проводимой ГИС Ассоциацией, помимо автора по направлению «Защита пространственной информации в Internet» выступал еще один специалист, рассказывающий о устройствах хранения больших объемов пространственных данных. Итак, рассмотрим схему построения ГИС с выходом в Internet. Она достаточно типична и состоит из нескольких элементов:
1.Web-сервер, представляющий картографическую информацию (т.н. Geb-сервер).
2.Сервер баз данных, содержащий всю картографическую информацию и передающий ее на Geb-сервер.
3.Программное обеспечение, осуществляющее взаимодействие между Geb-сервером и сервером баз данных. Клиент, желающий просмотреть ту или иную карту, обращается к Geb-серверу при помощи обычного броузера Microsoft Internet Explorer или Netscape Communicator.
Перечислим основные угрозы, которые подстерегают компанию, использующую ГИС:
1.Подмена страницы Geb-сервера. Основной способ реализации этой угрозы - переадресация запросов пользователя на другой сервер. Делается это путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Наибольшей опасности данная угроза достигает на шестом этапе, когда заказчик вводит аутентифицирующую его информацию для доступа к защищенным разделам Geb-сервера.
2.Создание ложной картографической информации. Проникновение в базу данных и изменение процедур обработки пространственных данных позволяет как внешним, так и внутренним злоумышленникам осуществлять различные несанкционированные манипуляции с базой данных. Особенно, если учесть, что по статистике больше половины всех компьютерных инцидентов, связано с собственными сотрудниками. К чему это может привести хорошо показано в фильме "Пятнадцатилетний капитан", когда топор помещенный под компас, привел к смене курса и китобойная шхуна вместо Америки попала в Африку.
3.Перехват данных, передаваемых между различными элементами ГИС.
4.Проникновение во внутреннюю сеть компании, реализующей услуги ГИС и компрометация ее элементов.
5.Реализация атак типа "отказ в обслуживании" ("denial of service") и нарушение функционирования или выведение из строя узла ГИС. В результате всех этих угроз компания, - провайдер ГИС-услуг, теряет доверие клиентов, теряет деньги от потенциальных, но не совершенных сделок.
В некоторых случаях этой компании можно предъявить иск за раскрытие конфиденциальной информации. В случае реализации атак типа "отказ в обслуживании" может быть нарушено функционирование Geb-сервера, на восстановление работоспособности которого будут затрачены как человеческие и временные, так и материальные ресурсы на замену вышедшего из строя оборудования. Третья описанная угроза (перехват данных) не зависит от используемого программного и аппаратного обеспечения и присуща любым системам, функционирующим в Internet, не только ГИС. Это связано с незащищенностью текущей версии протокола IP (v4). Решить эту проблему может только использование криптографических средств или переход на новую, шестую, версию протокола IP. Но в обоих случаях существуют свои проблемы. В первом случае, применение криптографических средств должно быть лицензировано в соответствующем российском ведомстве. Во втором случае возникают чисто организационные проблемы, которые на данный момент не разрешимы.
Одним из путей решения этой проблемы является встраивание отечественных криптографических средств, реализующих стойкие криптографические преобразования, в программное обеспечение не только Geb-сервера, но и, что самое главное, клиента.
На сегодняшний день это может быть реализовано двумя путями. Первый - использование "слабой" криптографии, уже встроенной в программное обеспечение клиента (MS Internet Explorer или Netscape Communicator). Второй путь - использование собственного клиентского программного обеспечения.
Первый способ самый простой, но, с точки зрения безопасности, самый незащищенный. Второй способ обеспечивает более высокий уровень защищенности, но является узко специализированным. Промежуточным решением, объединяющим в себе высокую криптостойкость и широкую функциональность, является криптопровайдер, реализованный НИП "Информзащита". Данный криптопровайдер (Cryptographic Service Provider) встраивается в ОС Windows и может быть использован в любом из продуктов, функционирующих под управлением этой ОС, наравне с "родным" криптопровайдером компании Microsoft.
Обратимся к другим угрозам. Их можно разделить на две категории. Первая связана с нарушением доступности узлов ГИС. Вторая - с неправильной конфигурацией и настройкой программного и аппаратного обеспечения компонентов ГИС. Обеспечение доступности Internet-серверов было у всех на слуху в первой декаде 2000 года. 7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo (http://www.yahoo.com), eBay (http://www.ebay.com), Amazon (http://www.amazon.com), Buy (http://www.buy.com) и CNN (http://www.cnn.com). 9 февраля аналогичная участь постигла сервера ZDNet (http://www.zdnet.com), Datek (http://www.datek.com) и E*Trade (http://www.etrade.com).
Проведенное ФБР расследование показало, что указанные сервера вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти сервера не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, и в 8 раз превысил максимально допустимую нагрузку на сервера, поддерживающие работоспособность Buy и достиг отметки в 800 Мбит/сек. По разным оценкам нанесенный ущерб достиг цифры в шесть миллиардов долларов. И это всего за три часа простоя! Все это наводит на мысль, что защита должна быть комплексной.
Однако на практике ситуация несколько иная. Какова обычно защита у новоявленных российских Amazon'ок и других Internet-компаний? Она ограничивается использованием криптографических механизмов (в частности 40-битной версии протокола SSL) для защиты передаваемой информации между броузером клиента и Web-сервером электронного магазина и включением фильтрации на маршрутизаторе. Достаточно ли этого? Как показывает опыт - нет.
Комплексная система защиты информации должна строиться с учетом четырех уровней любой информационной системы, в т.ч. и геоинформационной системы:
1.Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer и т.д.
2.Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access.
3.Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT, Sun Solaris, Novell Netware.
4.Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать протоколы TCP/IP, IPS/SPX и SMB/NetBIOS. Система защиты должна эффективно функционировать на всех этих уровнях. Иначе злоумышленник сможет реализовать ту или иную атаку на ресурсы ГИС.
Например, для получения несанкционированного доступа к информации о координатах карт в базе данных ГИС злоумышленники могут попытаться реализовать одну из следующих возможностей:
1.Прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов (уровень прикладного ПО).
2.Прочитать нужные данные средствами самой СУБД (уровень СУБД).
3.Прочитать файлы базы данных непосредственно на уровне операционной системы.
4.Отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД или перехватить эти данные в процессе их передаче по каналам связи (уровень сети). Этот пример лишний раз подтверждает тезис о необходимости построения комплексной системы защиты, эффективно работающей на всех этих уровнях. Однако, как показывает опыт, основное внимание уделяется только нижним двум уровням - уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС - встроенные средства разграничения доступа. Достаточно ли этих средств? Явно нет. И вот почему. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных электронного магазина. Сделать это достаточно просто. Или просто перехватить их в процессе передачи по сети или подобрать при помощи специальных программ, свободно лежащих в сети Internet. Далее все идет как по маслу. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам, потому что им были предъявлены идентификатор и пароль авторизованного пользователя. И это не недостаток реализованных механизмов, просто особенность их функционирования, с которой ничего нельзя поделать. Нужны новые средства и механизмы защиты.
Одним из таких механизмов является обнаружение атак (intrusion detection), уже не раз описанный в PCWeek/RE. Средствам обнаружения атак в настоящий момент уделяется очень много внимания во всем мире. По прогнозам компании IDC объемы продаж этих средств возрастут с 58 миллионов долларов в 1997 году до 977,9 миллионов долларов в 2003 году. Особенность этих средств в том, что они с одинаковой эффективностью функционируют как внутри сети, защищая от внутренних злоумышленников, так и снаружи, защищая от внешних несанкционированных воздействий. В т.ч. эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа "отказ в обслуживании", направленные на нарушение работоспособности Geb-сервера.
Одним из ярких примеров средств обнаружения атак можно назвать систему RealSecure, разработанную компанией Internet Security Systems, Inc. Согласно упоминавшемуся отчету компании IDC, система RealSecure захватила 52,8% рынка средств обнаружения атак. А собственно, почему злоумышленник смог получить пароль и идентификатор пользователя? - спросит Вы. Да потому что любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. Это могут быть как уязвимости проектирования ГИС (например, отсутствие средств защиты), так и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Перечислю только несколько примеров. Ошибка переполнения буфера (buffer overflow) в броузерах Microsoft и Netscape, ошибка реализации демона IMAP и почтовой программы sendmail, использование пустых паролей и паролей менее 6 символов, запущенные, но не используемые сервисы, например, Telnet.
Все это может привести к реализации различного рода атак, направленных, как на нарушение доступности ГИС-узлов, так и на нарушение конфиденциальности и целостности обрабатываемой ими информации. Логично предположить, что для того, чтобы нельзя было реализовать ту или иную атаку, необходимо своевременно обнаружить и устранить уязвимости информационной системы. Причем на всех 4-х ее уровнях. Помочь в этом могут средства анализа защищенности (security assessment systems) или сканеры безопасности (security scanners). Эти средства могут обнаружить и устранить тысячи уязвимостей на десятках и сотнях узлов, в т.ч. и удаленных на значительные расстояния. И в этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite, содержащим не только названную систему RealSecure, но и четыре системы поиска уязвимостей, работающих на всех четырех уровнях ИС - Internet Scanner, System Scanner, Database Scanner и Online Scanner. Совокупность применения различных средств защиты на всех уровнях ГИС позволит построить эффективную и надежную систему обеспечения информационной безопасности геоинформационной системы. Такая система будет стоять на страже интересов и пользователей, и сотрудников компании-провайдера ГИС-услуг. Она позволит снизить, а во многих случаях и полностью предотвратить, возможный ущерб от атак на компоненты и ресурсы системы обработки картографической информации.