ВЫЧИСЛИТЕЛЬНЫЕ МАШИНЫ, КОМПЛЕКСЫ И КОМПЬЮТЕРНЫЕ СЕТИ
УДК: 004.4 ББК: 32.97-018.2
Горбачевская Е.Н., Краснов С.С. АНАЛИЗ СТРУКТУРЫ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ C ЦЕНТРАЛИЗОВАННОЙ АВТОРИЗАЦИЕЙ ПОЛЬЗОВАТЕЛЕЙ
Gorbachevskaya E.N., Krasnov S.S.
ANALYSIS OF THE STRUCTURE OF THE INFORMATION SECURITY SYSTEM OF THE ENTERPRISE WITH CENTRALIZED USER AUTHORIZATION
Ключевые слова: авторизация пользователей, система безопасности предприятия, ролевая политика безопасности
Keywords: user authentication, security company, role security policy
Аннотация: рассмотрены проблемы единой авторизации пользователей на примере предприятия среднего бизнеса. Проанализирована модель системы информационной безопасности с централизованной авторизацией пользователей. Дано описание технологии, достоинств и недостатков предложенной системы.
Abstract: the problem of designing a secure centralized management system with enterprise systems perspective. Proposed stages of development enterprise security through mandatory security policy. The structure model of the protected enterprise. The structure of the control system security policy compliance.
Организация безопасного доступа к общим ресурсам является важной задачей вопроса стабильной и безопасной работы предприятия. Требования к современной системе безопасности предприятия определяют необходимость контроля авторизации не только при входе в
корпоративную сеть, но и на сервера под одним единым паролем.
Рассмотрим совокупность методов и средств защиты компьютерной
безопасности предприятия среднего звена, сетевая схема которого представлена на рисунке 1.
Торговые площади
АРМ пользователей
Сервер домена контроллер домена
АРМ пользователей
АРМ пользователей
Главный корпус
Сервер АРМ
ресурса пользователей
Административно-бытовой корпус
Рисунок 1 - Логическая схема сети предприятия
На рабочих местах установлены операционные системы (далее - ОС) Microsoft Windows XP Professional с Service Pack 2.
Каждое рабочее место входит в определенную рабочую группу и есть индивидуальное имя компьютера.
На двух из пяти серверах производства установлено ОС Microsoft Windows Server 2012, Enterprise Edition с Service Pack 1. Они выполняют функции как основной контроллер домена ПТО и дополнительный контролер домена.
На оставшихся трех серверах установлено ОС Mandriva Linux 2011, и они выполняют функции сервера ресурсов.
Для того, чтобы работник ПТО вошел в корпоративную сеть, он должен ввести свое имя и пароль для авторизации, после чего его учетная запись проверяется в домене (Active Directory) под управлением Windows 2012 Server.
Если имя и пароль правильны, ему предоставляется доступ к выделенным ресурсам. Но в корпоративной сети есть файловые сервера, находятся под управлением ОС Linux, не дающим доступа к своим ресурсам под учетной записью работника, вошедшего в корпоративную сеть, чтобы получить доступ, работник должен обратиться к файловому серверу и ввести другое имя и пароль, что очень не удобно. И затрудняет работу предприятия, так как пользователи постоянно путаются и забывают пароли.
Администратору сети после принятия нового сотрудника на работу, приходится прописывать учетную запись на каждом из серверов корпоративной сети, что очень не удобно и отнимает очень много рабочего времени.
Организующей основой работ по качеству предприятия является
документированная система менеджмента качества, соответствующая требованиям международных стандартов качества.
Территориально предложенное
предприятие делится на 2 корпуса: административно-бытовой корпус, где находятся директорат, отдел АСУ и т.д., и главный корпус, в котором находятся
производственные цеха и подразделения учета и контроля работы цехов.
На предприятии проложена локальная сеть Ethernet, скорость которой 100 Мбит/с. Сеть состоит из сегментов, соединяющихся между собой концентраторами. Вход в сеть осуществляется по индивидуальному имени и паролю.
Для хранения информации
используются сервера, где каждая рабочая группа имеет свое дисковое пространство, которое доступно только ей.
Так же для обмена информацией и хранения документации на серверах существуют общие дисковые ресурсы. Для удобства и быстроты передачи документации каждому пользователю выделен адрес электронной почты.
Необходимо обеспечить выполнение следующих задач информационной безопасности:
1. Целостность хранимых данных об учетных записях.
2. Устойчивое функционирование системы между серверами.
3. Контроль над несанкционированным входом в домен.
4. Контроль над взаимодействиями между серверами.
Устойчивость функционирования системы и целостность хранимой информации должны поддерживаться за счет обеспечения ограниченного доступа к службам и конфигурационным файлам серверов.
Для анализа информационных потоков предприятия, которые нужны для централизации доступа, для определения основных функциональных
взаимозависимостей компонентов системы смоделируем поведенческую диаграмму Rational Rose - диаграмму прецедентов (рисунок 2). Actor Сотрудник - это любой сотрудник отделов своей доменной группы. Под Actor Ресурсы подразумевается три файловых сервера под управлением операционной системы Mandriva Linux 2011, на котором хранятся файлы различных отделов предприятия. Под Actor Средства ограничения прав доступа подразумевается Сервер домена, на платформе Microsoft
Windows Server 2012 со службой каталогов Active Directory, на который происходит Active Directory и DNS для поддержки большая часть регистраций пользователей.
Средства, lit раните ним nipsa доступа
Рисунок 2 - Взаимодействие объектов предметной области вычислительной системы
Сотрудник предприятия при обращении к Ресурсам корпоративной вычислительной системы в первую очередь проходит проверку и получает права доступа к этим ресурсам стандартными средствами у Средств ограничения права доступа. Только после получения разрешения на использование ресурсов получает ответ на требуемые данные.
Данная организация системы ограничения прав имеет ряд недостатков с точки зрения безопасности:
- сторонний пользователь (не сотрудник) может зайти в корпоративную сеть, зная адрес подключения;
- стандартные средства Linux системы для регистрации и раздачи прав пользователей имеют не достаточно высокую степень защиты;
- единая авторизация всех пользователей невозможна без дополнительной установки контролера домена.
В соответствии с поставленной задачей необходимо спроектировать такую систему, которая позволила бы входить не только в корпоративную сеть предприятия, но и на сервера под одним единым паролем.
По решению поставленной задачи можно было двигаться в трех направлениях:
1. Создать единую систему авторизации пользователей на основе серверов ОС Microsoft Windows Server 2012,
установив на все сервера ОС Microsoft Windows Server 2012.
Один из серверов сделать доменом и установить на него службу каталогов Active Director, которая позволит управлять учетными записями пользователей и группами. Также сделать дополнительный контролер домена, чтобы создать помехоустойчивость и поднять
безопасность корпоративной сети. Но это решение требует затраты на закупку дополнительного программного
обеспечения и лицензии на каждый сервер. Так как выделение денежных средств минимально, решение данным способом не может быть реализовано.
2. Создать единую систему авторизации пользователей на основе серверов Linux. Установить на все сервера предприятия ОС Mandriva Linux 2011. Настроить Службу LDAP и ввести всех пользователей в базу данных.
Но при реализации данным способом поставленной задачи могли бы возникнуть трудности:
- служба LDAP поддерживает максимальное количество записей в базе данных 1000 шт, что не приемлемо для предприятия;
- службой LDAP трудно управлять профилями пользователей Windows;
- операционная система Linux не поддерживает программное обеспечение,
которое написано для операционном системы Windows.
Программное обеспечение Linux не требует закупки лицензий и больших затрат для предприятия, решение таким методом тоже не может быть реализовано по причинам вышесказанным.
3. Создать единую систему авторизации пользователей на основе серверов ОС Microsoft Windows Server 2012 и ОС Mandriva Linux 2011.
Так как на предприятии уже установлен домен, сервер с лицензией и программным обеспечением ОС Microsoft Windows Server 2012 и контролер домена, чтобы создать помехоустойчивость и поднять безопасность корпоративной сети. Также на сервере домена установлена служба каталогов Active Director, которая позволит управлять учетными записями пользователей и группами.
Файловые сервера работают под ОС
Mandriva Linux 2011 и обеспечивают хранение информации различных отделов.
Нужно настроить файловые сервера таким методом, чтобы они могли взаимодействовать с доменом и службой каталогов Active Director.
Взаимодействие должно проходить с использованием:
- Samba сервера;
- протокола Kerberos;
- службы Winbind.
Анализ возможных реализаций позволил остановиться на третьем варианте, как менее ресурсоемким и не требующим модернизации информационной структуры предприятия.
Для определения основных функциональных взаимозависимостей
компонентов системы смоделируем поведенческую диаграмму Rational Rose -диаграмму прецедентов (рисунок 3).
Рисунок 3 - Диаграмма прецедентов вычислительной системы
Actor:
- сотрудник;
- ресурсы;
- единая система авторизации на основе серверов Linux;
- единая система авторизации на основе серверов Windows.
При моделировании динамических аспектов поведения проектируемой системы возникает необходимость представить процесс изменения ее состояний. Для этого
в Rational Rose существует инструментарий для построения диаграммы деятельности для построения алгоритма обслуживания клиента по заказу (рисунок 4).
Данная диаграмма отражает динамику действий вычислительной системы единой авторизации и представляет собой схемы потоков управления в системе от действия к действию, а также параллельные действия и альтернативные потоки.
В конкретной точке жизненного цикла
диаграммы действии могут представлять потоки между функциями или внутри отдельной функции. На разных этапах жизненного цикла они создаются для отражения последовательности выполнения операции.
Диаграммы действий иллюстрируют действия, переходы между ними, элементы выбора и линии синхронизации. В языке UML действие изображается в виде прямоугольника с закругленными углами, переходы - в виде направленных стрелок, элементы выбора - в виде ромбов, линии синхронизации - в виде толстых горизонтальных или вертикальных линий.
На основе диаграммы действий определяются основные пункты поведения
актеров системы:
- пользователь (сотрудник);
- единая система авторизации (на основе сервера Linux и сервера Windows);
- ресурсы.
Взаимосвязь пользователя и единой системы авторизации описывает процесс формирования доступа на вход в корпоративную систему. После чего пользователь превращается в
авторизованного пользователя с
определенными правами в соответствии с политикой безопасности. Пользователь имеет права на доступ к ресурсам и после проверки этих прав ресурс выделяется или не выделяется, если права превышены.
рку учетной ателя
а прав еля
на запрос в ^вами
Формирование отказа на запрос ресурсов
Рисунок 4 - Диаграмма деятельности для определения состояний исследуемой системы при входе пользователя в корпоративную систему и организации запроса на ресурс
Объект в соответствии с концепцией Rational Rose - это некая сущность
реального мира или концептуальная сущность.
Объектом называется абстракция или вещь с четко определенными границами и значением для системы. Каждый объект в системе имеет три характеристики: состояние, поведение и индивидуальность. Объекты объединяются в классы.
Класс - это описание группы объектов с общими свойствами (атрибутами), поведением (операциями), отношениями с другими объектами и семантикой. Таким образом, класс представляет собой шаблон для создания объекта.
Каждый объект является экземпляром
конкретного класса и не может быть экземпляром нескольких классов.
Для исследуемой системы единой авторизации можно выделить классы, определяющие хранение информации о сетевых ресурсах в службе каталогов Active Directory (LDAP) (рисунок 5):
- информация о пользователях (рисунок 6);
- информация о ПК;
- информация о файлах;
- информация о папках;
- информация о принтерах;
- информация о безопасности (рисунок 7).
Рисунок 5 - Классы исследуемой системы
Типы доотупа
Пр««ва доступа
Рисунок 6 - Объекты класса «Информация о пользователях»
Рисунок 7 - Объекты класса
Служба каталогов Active Directory является LDAP-совместимой реализацией службы каталогов Microsoft для операционных систем семейства Windows и хранит информацию о сетевых ресурсах
- пользователях, компьютерах, файлах, папках и принтерах, а также информацию о безопасности, касающуюся этих ресурсов. Active Directory упрощает администрирование путём централизации управления. Домен - это логическая группа компьютеров и метод организации административной безопасности. Логическая структура Active Directory состоит из доменов, лесов и деревьев, а физическая структура состоит из серверов
- контроллеров домена и сайтов (IP-подсетей). Active Directory использует модель репликации, когда копия каталога существует на каждом контроллере домена, что повышает отказоустойчивость (домен может содержать один или более контроллеров домена). Сайт (Site) Active Directory - это совокупность одной или нескольких IP-подсетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, а домен может быть размещен в нескольких сайтах. Сайты предназначены для управления репликацией Active Directory между сетями, соединёнными каналами связи с низкой пропускной способностью.
Диаграмма классов позволяет моделировать диаграмму объектов. Для примера организуем диаграмму объектов класса «Информация о пользователях»
«Информация о безопасности» (рисунок 6) и «Информация о безопасности» (рисунок 7).
На основе диаграммы классов и объектов моделируются диаграммы сущностей и строятся физические таблицы базы данных.
Класс реализует ряд обязанностей, от которых зависит поведение его объектов. Обязанности исполняются с помощью определенных для класса операций. Необходимо, чтобы операция выполняла только одну задачу и выполняла ее хорошо. За всеми экземплярами класса закреплены соответствующие операции.
Структура объекта описывается атрибутами класса. Каждый атрибут - это поле данных, содержащееся в объекте класса. Объект, созданный на основе класса, наделен значениями всех атрибутов класса. Следовательно, каждый объект будет содержать значения перечисленных атрибутов. Они могут повторяться.
При формировании имен атрибутов и операций используется определенный стиль, благодаря которому достигается единообразие в описании классов и становится удобно работать с моделью и кодом.
Сообщения на диаграммах взаимодействий обычно отображаются на соответствующие операции в классах-получателях. Однако в особых случаях сообщения не становятся операциями. Если класс-получатель является граничным классом, представляющим графический интерфейс пользователя,
сообщения отражают требования к интерфейсу. Такие сообщения
реализуются обычно в виде элементов управления (кнопок и т.п.) и не отражаются на операции, так как требуемое поведение уже заложено в стандартных элементах управления.
Отношение может также иметь структуру и поведение. Это происходит в
том случае, когда информация обращена к связи между объектами, а не к самому объекту.
Для определения поведения исследуемой системы сформирована диаграмма последовательности действий элементов системы, представленная на рисунках 8 и 9.
а пакета данных пользователя на вход в КС
Проверка пакета данных для регистрации Генерация пары ключей Шифрация пароля
Формирование информации о разрешении на вход КС
Рисунок 8 - Диаграмма последовательности действий на вход в корпоративную систему с
единой авторизацией пользователей
ПО АРМ пользователя
Файловый сервер
Домен Windows
Контроллер домена Linux
| Запрос
на данные
Деши Запрос
Передач Получе1
Запрос на разрешение доступа i
-
Проверка пользователя на права
-
Формирование прав доступа
Передача ин
формации для доступа
^-
Передача информации для доступа
Ц^-
редача ключа дешифрации
фрация пароля
Передача шифр
^-1
а данные с паролем
->
Сравнение данных по
ответа на запрос
^-
е запроса на данные
<
ованного пароля на до
ступ к данным
льзователя по запросу и Формирование ответа на запрос
к данным
^-1
Определение группы безопасности
<
соответствии с политикой безопасности
доступа
Получение пакета данных пользователя
^-1
Определение группы пользователя
^-1
Генерация сеансового ключа
^-1
Шифрация пароля
^-1
ользователя
Т
Рисунок 9 - Диаграмма последовательности действий на доступ к ресурсам с единой
авторизацией пользователей На основе диаграммы строится диаграмма состояний элементов
последовательности элементов системы системы (рисунки 10, 11).
Рисунок 10 - Диаграмма состояния элементов системы при действии на вход в корпоративную систему с единой авторизацией пользователей
п
н
правам
а
Рисунок 11 - Диаграмма состояния элементов системы при действии на доступ к ресурсам с единой авторизацией пользователей
На данной диаграмме наглядно отражены информационные потоки между элементами системы, и действия, выполняемые самими элементами.
Прецеденты и сценарии применяются для описания поведения системы, то есть взаимодействия элементов системы в ней. Иногда требуется рассмотреть поведение внутри самого элемента. Диаграмма состояний показывает положение одиночного элемента, события или сообщения, которые вызывают переход из одного состояния в другое, и действия, являющиеся результатом смены состояния.
Для определения динамических элементов в
системе, то есть объектов, отсылающих и получающих большое количество сообщений, могут использоваться диаграммы деятельности. Диаграмма состояний также полезна для изучения поведения класса-агрегата и управляющего класса.
Стратегия хранения данных предполагает использование отдельного класса доступа к базе данных (теневого класса) для каждого информационного класса в системе. Существуют и другие стратегии, например с применением механизмов наследования. Но именно эта стратегия выбрана потому, что уже накоплен достаточный опыт в реализации такого метода хранения и он считается наименее рискованным. На текущем этапе в модель добавляется диаграмма программных компонентов (рисунок 12).
Рисунок 12 - Диаграмма программных компонентов системы
На диаграмме программных компонентов системы определены и схематично изображены основные программные модули клиентской части единой системы авторизации.
Данная диаграмма отражает структуру программной реализации системы. Представление процессов учитывает такие потребности, как производительность, надежность, масштабируемость,
целостность, управление системой и синхронизация. Компоненты также используются в этом представлении архитектуры. Компоненты связаны отношением зависимости. Программные компоненты отображают классы на программные библиотеки. Исполняемые компоненты показывают интерфейсы и зависимости вызовов между исполняемыми модулями. Для демонстрации типа компонента может быть использован стереотип.
В программе Rational Rose информация для представления процессов создается в виде диаграмм в представлении
компонентов, содержащих либо
программные, либо исполняемые компоненты. Диаграммы нужны для того, чтобы показать зависимости между компонентами различного типа в системе.
Диаграмма программных компонентов определила физическое взаимодействие основных структурных элементов программы:
- служба каталогов LDAP;
- модуль клиентской части системы единой авторизации;
- модуль авторизации сервера ресурсов.
Чтобы показать различные узлы систем и связи между ними, создаются диаграммы внедрения. Такая диаграмма демонстрирует распределение компонентов по предприятию. Элементы обработки представлены в виде узлов вычислительных систем, которые соединены линиями, показывающими коммуникационные
каналы между ними (рисунок 13).
<<Сервер доменов>> Контроллер домена, DNS
<<Сервер ресурсов>>
Система авторизации
---- файлового сервера
<<Сервер ресурсов>> Система авторизации файлового сервера
<<Модуль клиентской части>> Программная часть системы авторизации пользователя
<<Сервер ресурсов>> Система авторизации файлового сервера
Рисунок 13 - Диаграмма развертывания компонентов системы
Программные процессы на данной диаграмме развертывания изображены в виде текста, привязанного к узлу или группе узлов.
Такая диаграмма позволяет разработчикам архитектуры понять топологию системы и отобразить компоненты на исполняемые процессы. Здесь учитываются следующие вопросы: процессорная архитектура, скорость, емкость, пропускная способность каналов для взаимодействия процессов, физическое расположение аппаратных ресурсов, технология распределенной обработки.
Для реализации проекта по выбранному направлению потребуется служба каталогов Active Directory. Это одна из частей программного комплекса для реализации единой системы авторизации пользователей.
Для организации доменов на базе систем Windows Server используется служба каталога Active Directory. Каждый контроллер домена под управлением этих систем является сервером каталога Active Directory, и службу Active Directory невозможно развернуть без создания доменной структуры. Автономная версия службы каталога - Active
Directory/Application Mode - входит в состав систем Windows Server.
Поскольку понятия «домены Windows Server» и «служба каталога Active Directory» тесно связаны, мы рассмотрим возможности, организацию и использование службы Active Directory.
Объединение компьютеров в единую информационную сеть позволяет пользователям совместно использовать общие ресурсы. Современные
операционные системы, ориентированные на корпоративный рынок, используют для организации ресурсов специальную сетевую службу, дающую пользователям
возможность получения доступа к ресурсам сети без необходимости точного знания местоположения этих ресурсов. Речь идет о службе каталога (Directory Service). Каталог при этом рассматривается как глобальное унифицированное хранилище информации об элементах сетевой инфраструктуры. Вся информация о компонентах сетевой инфраструктуры, в качестве которых могут выступать пользователи, ресурсы, сетевые службы и т.п., размещается в каталоге. Внутри каталога объекты организуются в соответствии с либо физической, либо логической структурой сети. В качестве аналогии можно провести параллель с библиотечным каталогом, содержащим упорядоченные сведения о книгах.
Ниже перечислены задачи, которые
служба каталога позволяет решить администратору.
1. Управление сетевыми ресурсами. Поскольку задача предоставления ресурсов в общее пользование является основной, ради чего компьютеры объединяются в сеть, необходимо, чтобы пользователи получали доступ к требуемым ресурсам наиболее эффективным способом. Служба каталога облегчает пользователям поиск нужных ресурсов, скрывая от них подробности реализации механизма поиска. Пользователь формулирует запрос, а служба каталога локализует требуемый ресурс.
2. Управление пользователями. Каждому пользователю поставлен в соответствие определенный набор характеристик, позволяющий персонализировать его деятельность в сети. Это дает возможность управлять доступом к сетевым ресурсам на уровне пользователей. При этом служба каталога рассматривает пользователей в качестве обыкновенных объектов каталога, что дает возможность организовывать их в соответствии со структурой сети (логической либо физической).
3. Управление приложениями. В зависимости от того, на решение каких конкретно задач ориентируются пользователи, на их компьютерах может быть развернуто различное программное обеспечение. В небольшой локальной сети осуществление контроля используемого программного обеспечения не требует от администратора особых усилий. В случае большой корпорации на передний план выходит задача по централизованному управлению программным обеспечением, включая развертывание новых приложений и выполнение обновления существующих.
4. Управление службами. При построении сети администратору приходится также решать вопросы, связанные с конкретным способом ее организации. Например, при построении сети на основе протокола TCP/IP необходимо решить, каким образом будет осуществляться выделение IP-адресов. Необходимо разработать соглашение о сетевых именах и организовать процесс их разрешения в соответствующие IP-адреса.
Большинство сетевых служб может быть интегрировано со службой каталога, что позволит более эффективно организовать функционирование этих служб.
Используется совокупность
технологий, базирующихся на открытых стандартах:
- протокол LDAP (Служба каталога Active Directory поддерживает протокол LDAP версий 2 и 3);
- система доменных имен (Domain Name System, DNS);
- протокол аутентификации Kerberos v5.
Использование предложенной модели
единой авторизации пользователей упрощают доступ к системам и приложениям с помощью механизма проверки подлинности на основе заявок, поддерживает технологии единого входа, помогающие ИТ-организациям в совместной работе, не ограниченной пределами организации
Единая система авторизация пользователей считается технологическим продуктом, так как предусматриваются не только теоретическая разработка и внедрение новой системы, но и эксплуатация его в конкретной организации.
Это обусловливает выбор следующих комплексных показателей качества:
- мобильность;
- надежность;
- масштабируемость.
Внедрение предложенной системы позволит регистрироваться пользователям один раз при входе в корпоративную сеть и без дополнительных паролей заходить на файловые сервера предприятия, что является удобным и надежным вариантом системы информационной безопасности с централизованной авторизацией
пользователей.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Терри, Кватрани. Rational Rose 2000 и UML Визуальное моделирование. URL: http: //flibusta.net/b/299732.
2. Ким, М. Microsoft Windows Server 2003 Unleashed, 2nd Edition.