все лекции
.pdf
Рисунок 2.1 – Модель информационного противоборства двух систем
Существуют технологии создания электронных ловушек в компо-
нентах элементной базы систем вооружения вероятного противника.
2.1 Основные способы несанкционированного доступа к информации
Основные причины утечки информации следующие:
–несоблюдение норм, требований и правил эксплуатации;
–ошибки в проектировании АС и систем защиты;
–ведение противником технической и агентурной разведок.
В соответствии с ГОСТ Р 50922-96 рассматриваются ТРИ ВИДА
3
УТЕЧКИ информации.
1 РАЗГЛАШЕНИЕ – несанкционированное доведение информации до потребителей, не имеющих права доступа.
2 НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП к информации – получение информации заинтересованным субъектом с нарушением установленных прав и правил доступа.
В качестве заинтересованного субъекта могут выступать: государство, юридическое или физическое лицо (группа), общественная ор-
ганизация.
3 ПОЛУЧЕНИЕ ИНФОРМАЦИИ РАЗВЕДКАМИ (как отечественны-
ми, так и иностранными) – осуществляется или с помощью технических средств, или агентурными методами. Разведка может быть агентурной и
технической.
Техническая разведка занимается добыванием с помощью техниче-
ских средств сведений в интересах информационного обеспечения заинтересованной стороны.
Используют два основных признака классификации технических
разведок:
–по принципам построения разведывательной аппаратуры;
–по местонахождению этих средств.
В отличие от разглашения, разведка всегда ведётся умышленно и,
как правило, с враждебными целями.
Каналы проникновения в систему и утечки информации делят на пря-
мые и косвенные.
Косвенные не требуют проникновения в помещения расположения системы. Прямые каналы используют такое проникновение.
4
По типу средства для реализации угрозы, каналы делят на три
группы:
–человек;
–программа;
–аппаратура.
КАНАЛ УТЕЧКИ ИНФОРМАЦИИ – это совокупность источника информации, среды распространения информации и средства выделения информации из сигнала (носителя).
Для АС выделяют следующие каналы утечки информации:
а) электромагнитный канал: BЧ-излучение (радиодиапазон); HЧ-
излучение; сеть питания; провода заземления; линии связи между компь-
ютерами;
б) акустический канал: звуковые волны в воздухе; упругие колебания в физической среде;
в) визуальный канал: визуальное наблюдение за устройствами отображе-
ния информации;
д) информационный канал (информационно-математический) – связан с
доступом (непосредственным и телекоммуникационным) к:
1)коммутируемым линиям связи;
2)выделенным линиям связи;
3)локальной сети;
4)машинным носителям информации;
5)терминальным и периферийным устройствам.
МОДЕЛЬ НАРУШИТЕЛЯ отражает его практические и теоретиче-
ские возможности, априорные знания, время, место действия и т. д.
НАРУШИТЕЛЬ – это лицо, предпринявшее попытку выполне-
5
ния запрещённых операций по ошибке, незнанию или с умыслом и без такового (ради игры, удовольствия, и т. д .) и использующее для этого различные методы и средства.
При отсутствии запретов и ограничений нет и нарушителей, то есть БОРЬБА С НАРУШЕНИЯМИ НАЧИНАЕТСЯ С УСТАНОВЛЕНИЕМ ЧЁТКИХ ОГРАНИЧЕНИЙ И ПРАВИЛ.
Злоумышленник – это нарушитель, намеренно идущий на наруше-
ние.
Сотрудники организации (пользователи и обслуживающий персонал)
являются наиболее массовой категорией нарушителей в силу их много-
численности, наличии санкционированного доступа, разнообразия мотивов совершения различных небезопасных действий.
Анализ статистики говорит, что источник 83 % проблем с безопасно-
стью находится внутри организации.
По данным Института компьютерной безопасности (Computer Security Insti-
tute) анализ нарушений характеризуется следующими данными:
–ошибки персонала 55 %;
–нечестные сотрудники 10 %;
–обиженные сотрудники 9 %;
–отказы и сбои технических средств 20 %;
–вирусы 4 %;
–внешние нападения 2%.
Исходя ИЗ ВОЗМОЖНОСТИ возникновения НАИБОЛЕЕ ОПАСНОЙ СИТУАЦИИ, обусловленной действиями нарушителя, составле-
на |
ГИПОТЕТИЧЕСКАЯ |
МОДЕЛЬ |
ПОТЕНЦИАЛЬНОГО |
|
|
6 |
|
НАРУШИТЕЛЯ [1]:
а) квалификация нарушителя может быть на уровне разработчика данной системы;
б) нарушителем может быть как постороннее лицо, так и законный пользователь системы;
в) нарушителю известна информация о принципах работы системы; д) нарушитель выберет наиболее слабое звено в защите.
Правильно построенная модель нарушителя должна быть
адекватна реальности.
Она должна отражать его практические, теоретические возможности и априор-
ные знания, время и место действия и т. п. Это важнейшая составляющая
успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.
Так как при достаточном количестве времени и средств можно преодолеть любую защиту, то РАССМАТРИВАЮТ УРОВЕНЬ
БЕЗОПАСНОСТИ, СООТВЕТСТВУЮЩИЙ СУЩЕСТВУЮЩИМ УГРОЗАМ – РИСКАМ.
Защита в компьютерных системах организаций – это управление рисками, связанными с эксплуатацией систем и сетей.
Если УГРОЗА – это событие, наносящее ущерб, то РИСК – это оценка опасности определённой угрозы.
Обычно РИСК ВЫРАЖАЮТ в виде вероятностно-стоимостной оценки возможного ущерба:
n |
|
|
C PiCУi CЗi CMAX |
, |
|
i 1 |
||
|
где Рi – вероятность успешной реализации угрозы;
СУi – стоимость ущерба при реализации угрозы;
7
СЗi – стоимость реализации мер защиты;
СMAX – максимально допустимые издержки.
УПРАВЛЕНИЕ РИСКАМИ – это принятие мер защиты для уменьшения частоты реализации угроз и снижении ущерба, выбирае-
мых исходя из разумной достаточности. При этом минимизируются общие затра-
ты на защиту и остаточные потери от угроз.
ДЛЯ АНАЛИЗА РИСКОВ используется качественный подход, так
как количественный подход крайне сложен в реализации из-за различ-
ных факторов (недостоверности статистики и оценки ущерба по нематери-
альным позициям, косвенным потерям, в том числе из-за постоянной модифика-
ции систем). Качественный подход ранжирует угрозы и связанные с
ними риски по степени их опасности.
Ниже приведены ОСНОВНЫЕ ЭТАПЫ АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ.
1 Определение границ системы и методологии оценки рисков. 2 Идентификация и оценка ресурсов системы (их ценности).
3 Идентификация угроз и оценка вероятностей их реализации.
4 Определение риска и выбор средств защиты.
5 Внедрение средств защиты и оценка остаточного риска.
Основные СПОСОБЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
следующие.
Перехват пароля. При попытке пользователя войти в систему, программа-
перехватчик имитирует на дисплее ввод имени и пароля пользователя, которые сразу же пересылаются владельцу перехватчика, на экран выводится сообщение об ошибке и управление возвращается операционной системе.
«Маскарад». Это выполнение действий одним пользователем от имени
8
другого пользователя. Особенно опасен в банковских системах электронных платежей.
Незаконное использование привилегий. Обычно в системах каждый име-
ет свой набор привилегий (администратор – максимальный). Захват привилегий, например, посредством «маскарада» приводит к выполнению действий наруши-
телем в обход защиты.
Нарушение целостности информации возможно за счёт внедряемых
программ.
«Троянский конь» – программа наряду с действиями, описанными в её
документации, выполняет действия, ведущие к нарушению безопасно-
сти системы и отрицательным результатам.
В безопасную программу вставляется блок команд, который срабатывает при наступлении какого-либо условия (даты, состояния системы и т. п.), либо по ко-
манде извне. Возможные деструктивные функции:
–уничтожение информации;
–перехват и передача информации (например, перехват паролей, наби-
раемых на клавиатуре);
– целенаправленное изменение текста программы, реализующей
функции защиты системы.
Способ защиты – создание замкнутой среды исполнения про-
грамм, которые хранятся и защищаются от несанкционированного доступа.
«Вирус» – программа, обладающая свойствами живого организма
– рождается, размножается и умирает.
Ключевое понятие в определении вируса – способность к саморазмножению и к модификации вычислительного процесса. Начальный период «дремоты» вируса – это механизм его выживания, а проявляется он в момент времени, когда про-
исходит некоторое событие вызова. Обычно вирусы изменяет системные файлы так, что вирус начинает свою деятельность при каждой загрузке. Также инфици-
9
руются исполняемые файлы.
«Червь» – сетевая разновидность программы-вируса, распространяю-
щаяся по глобальной сети и не оставляет своей копии на носителе дан-
ных.
В отличии от «вирусов» не имеет программы-носителя. Первоначально «черви» искали в сети компьютеры со свободными ресурсами для выполнения распределённых вычислений, но легко превращались во вредоносную программу. Он
определяет узел сети как цель для поражения, затем передаёт своё тело в этот узел и либо активируется, либо ждёт подходящих условий.
Так «червь» Морриса в 1988 г. по Internet заразил порядка 6000 компьютеров США. Компьютеры были остановлены, и после анализа программы она оказалась безвредной. Но простой ЭВМ привёл к срыву работ с ущербом в 98 000 000 долла-
ров [2].
Для борьбы с последними тремя типами атак следует:
–исключить несанкционированный доступ к исполняемым файлам;
–тестировать приобретаемое ПО;
–контролировать целостность исполняемых файлов и системных
областей;
– создавать замкнутую среду для исполнения программ.
По данным специалистов Стенфордского университета (США) [2], число несанкционированного проникновения в ЭВМ правительственных учреждений более 450 в год при общем ущербе более 200 000 000 долларов. Аналогичная картина в коммерческих структурах.
Распространёнными являются массовые атаки на серверы с ис-
пользованием средств удалённого доступа.
Здесь наблюдается нарушение работы различных подсистем ата-
куемого объекта из-за недостатков протоколов обмена и средств разграничения удалённого доступа к ресурсам.
При этом используются любые средства, вплоть до подключения специальных
10
аппаратных средств в каналах передачи данных и применения специальных программ для преодоления систем защиты.
В целом же можно сказать, что к настоящему времени известно большое количество разноплановых угроз безопасности информации различного происхож-
дения. Различными авторами предлагается целый ряд подходов к их классификации.
2.2 Показатель уязвимости
При решении практических задач защиты первостепенное значение
имеет КОЛИЧЕСТВЕННАЯ ОЦЕНКА УЯЗВИМОСТИ.
Рассмотрим возможные подходы к определению этой оценки.
ТЕРРИТОРИАЛЬНО потенциально возможные несанкционированные
действия могут иметь место в указанных ниже зонах:
1 внешней неконтролируемой зоне (где не применяются средства и ме-
тоды защиты);
2зоне контролируемой территории (применяются спецсредства и персонал);
3зона помещения АС (где расположены средства системы);
4зоне ресурсов АС (откуда есть непосредственный доступ к ресурсам);
5зоне баз данных – откуда возможен непосредственный доступ к защищаемым данным.
Для несанкционированного получения информации
НЕОБХОДИМО одновременное наступление событий:
а) есть доступ в соответствующую зону (уязвимость «д»);
б) при нахождении нарушителя в зоне доступа, в ней должен быть канал
несанкционированного получения информации (КНПИ) (уязвимость «к»); в) КНПИ должен быть доступен нарушителю (уязвимость «н»);
д) в КНПИ в момент доступа к нему нарушителя должна быть защища-
11
емая информация (уязвимость «и»).
Чем больше интервал времени, тем больше возможностей у нарушителя для действий и больше вероятность изменения состояния АС.
Можно определить малые интервалы времени (не сводимые к точке),
на которых процессы, связанные с нарушением защиты, являлись бы одно-
родными.
Такие малые интервалы, в свою очередь могут быть разделены на очень малые интервалы, уязвимость информации на каждом из которых
определяется независимо от других, и к тому же по одной и той же зависимости.
Обозначим Ptm – показатель уязвимости в точке (вероятность непре-
одоления защиты на очень малом интервале);
Р – тот же показатель на малом интервале (вероятность непреодо-
ления защиты на малом интервале).
Тогда:
P |
|
nt |
|
m |
|
|
1 |
1 |
Pt |
, |
|
|
|
i 1 |
|
|
|
|
|
|
|
|
где t – переменный индекс очень малых интервалов (номер точки);
m – тип уязвимости;
nt – число очень малых интервалов.
???????????Для других интервалов, большой интервал представляется
последовательностью малых; очень большой – последовательностью
больших; бесконечно большой – последовательностью очень больших.
Приведённое выражение справедливо, если на интервале времени условия для нарушения защищённости неизменны. В действительности эти условия могут меняться, например, за счёт действия самой системы защиты.
12