metoda_2013

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

6. Модель угроз «Несанкционированный доступ к передаваемой через открытый канал информации». Криптографические методы противодействия данной угрозе

Модель угроз «Несанкционированный доступ к передаваемой через открытый канал информации» предполагает доступ злоумышленника к передаваемой по открытому каналу информации с возможностью её дешифрования.

1 метод.

Рассмотрим простейшую модель угроз

Где М-

сообщение, А и В – обмениваются сообщениями по открытому каналу

(ОК),

С – злоумышленник, подслушивающий сообщение. C=f(M,k) – функциональная нотация,

M=f-1(C,k) – функциональная нотация, C=FkM – оператор нотации,

M=Fk-1C– оператор нотации,

f – функция защифровывания, f-1– функция расщифровывания, F – оператор зашифровывания, F-1– оператор расшифровывания,

к – ключ – секретной информации, которая не передается по открытому каналу,

CK – секретный канал.

Преимущества:

1.Высокое быстродействие

2.Простота алгоритма

Недостатки:

1.Наличие секретного канала (его недостаток – высокая стоимость организации)

350

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

2 метод. Для борьбы с упомянутой моделью угроз предложена следующая криптографическая схема: будем использовать оперативную нотацию, т.к. она более удобна

Основными ид,еями данной схемы для защиты от угрозы несанкционированного доступа является:

1)для зашифровывания и расшифровки используются различные алгоритмы E и D (различные ключи). При этом совместное порождение алгоритмов E и D – алгоритмически легко разрешимая задача. A вычисление по E алгоритма D вычислительно-трудноразрешимая (неразрешимая) в оригинале задача.

2)Совместная генерация алгоритмов E и D происходит на принимающей стороне (ГП-генератор пары на рис.)

С – не может указать, что было в канале ГП – генератор пары E и D

М – исходное сообщение

С =EM – зашифрованное сообщение Преимущества: Отсутствие секретного канала Недостаток: Низкое быстродействие (на 2 порядка)

7. Модель угроз «Искажение передаваемой в открытом канале информации». Криптографические методы противодействия данной угрозе. Классификация методов. Пример.

Определение: Модель угроз – абстрактное формализованное или неформализованное описание методов реализации угроз и последствий от их реализации.

Образно модель угроз можно представить, как некоторое описание границы между добром и злом в мире. Поскольку, с

351

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

одной стороны, для любой точки зрения на соотношение добра и зла можно сформулировать множество описаний границ между ними, а с другой, существует множество точек зрения, то и различных моделей угроз может быть построено очень много.

Модель угроз «Искажение передаваемой в открытом канале информации».

А передает информацию В по отрытому каналу, которую злоумышленник С может исказить сообщение, т. е. модифицирует его.

Как устранить искажение?

О.К. – открытый канал, М - сообщение

Протоколы(схемы), основанные на симметричном и ассиметричном основании позволяют выявить искажения (рассматривая модель угроз) только в случае семантической избыточности М.

Есть три способа борьбы:

1.способ, основанный на алгоритмах симметричных криптографии;

2.способ, основанный на алгоритмах асимметричных криптографии;

3.способ, основанный на вычислении функции подтверждения целостности или криптографической хэшфункций;

352

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Метод симметрического шифрования:

С1=f-1(C1,k1); С2=f(M,k2); M1=f-1(C1,k1); M2=f-1(C2,k2); M=M1; если M1=M2

Решение о том, искажена ли информация в канале или нет принимает сторона на основе сравнения сообщения, полученных при расшифровке сообщения зашифрованного передающей стороной на двух различных ключах. При этом злоумышленник, чтобы исказить информацию в канале и убедить принимающую сторону в ее подлинности нужно знание обоих ключей, для передаче которых, каналом симметрической криптографии, используется СК – секретный канал. Т. о. атака на данную систему контроля целостности сообщения сводится к задаче криптоанализа исходной криптографической системы.

Данный протокол обеспечивает защиту от 2х видов сразу: Несанкционированный доступ Контроль целостности информации

Недостаток: наличие секретного канала.

Метод асимметрического шифрования

353

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Принцип контроля целостности, используемый в данной схеме (протоколе) аналогичен предыдущему. Злоумышленник для осуществления искажения информации в канале и убеждения принимаемой стороны в ее достоверности и должен обладать 2- мя различными секретными ключами передающих сторон, т. е. атака на данный протокол сводится к атаке на асимметрическую криптографическую систему, использованную в протоколе. В то же время данный протокол обеспечивает защиту от угрозы несанкционированного доступа (за счет технологического шифрования на открытом канале принимающей стороны).

Преимущества схемы: отсутствие секретного канала Недостаток: низкое быстродействие

Общий недостаток 2-х рассмотренных протоколов: емкость открытого канала д.б. в 2 раза больше емкости канала в случае передачи сообщения без контроля целостности.

Этого недостатка лишены подходы, основанные на использовании криптографической хэш-функций.

Принципы формирования хэш-функций(х-ф):

1)алгоритм вычисления хэш-функций не должен использовать секретную информации, хотя сообщение или значение хэшфункции, либо то и другое вместе должны быть скрыты от злоумышленников.

2)алгоритм должен эффективно выполнятся как на микропроцессорах, так и на универсальных процессорах без использования спецальных аппаратных средств защиты информации

354

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

3)если для 2-х различных сообщений произвольной длины вычислены значения хэш-функций, то вероятность их совпадений должна быть равномерной случайной величиной с математическим ожиданием 2k , k – количество значений битов контрольной суммы

4)хэш-функция должна быть чувствительна ко всем возможным перестановкам, переупорядоченным, также операции редактирования, удаления, включение текста

5)число, соответствующее значению хэш-функций, должно иметь длину не менее 120 бит, чтобы защитить информацию от вторжения быстрым подбором

6)хэш-функция должна быть необратимой, т.е. не допускающей до композиции на отдельные независимые элементы.

k<<h, k≥128 бит

<M, h(M)>

Преимущества х-ф: незначительная потеря в количестве информации пересылаемого значения.

355

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

8. Модель угроз «Нарушение целостности программного обеспечения внутри периметра защиты». Формализация. Субъектно-объектный подход.

Определение: Модель угроз – абстрактное формализованное или неформализованное описание методов реализации угроз и последствий от их реализации.

Образно модель угроз можно представить, как некоторое описание границы между добром и злом в мире. Поскольку, с одной стороны, для любой точки зрения на соотношение добра и зла можно сформулировать множество описаний границ между ними, а с другой, существует множество точек зрения, то и различных моделей угроз может быть построено очень много.

Модель угроз «Нарушение целостности программного обеспечения внутри периметра защиты».

При создании инфраструктуры корпоративной автоматизированной системы неизбежно встает вопрос о защищенности ее от угроз.

Определение понятия защищенности Автоматизированных Систем

Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие:

1.«области угроз»;

2.«защищаемой области»;

3.«системы защиты».

Таким образом, имеем три множества:

1.T = {ti} — множество угроз безопасности,

2.= {oj} — множество объектов (ресурсов) защищенной системы,

356

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

3. M = {mk} — множество механизмов безопасности АС. Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты. Для описания системы защиты обычно используется графовая модель.

Множество отношений угроза-объект образует двухдольный граф {<T, O>}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора M; в результате получается трехдольный граф {<T, M,

O>}.

Развитие модели предполагает введение еще двух элементов.

1.V — набор уязвимых мест, определяемый подмножеством декартова произведения T*O: vr = <ti, oj>. Под уязвимостью системы защиты понимают возможность осуществления угрозы t в отношении объекта o. (На практике под уязвимостью системы защиты обычно понимают не саму возможность осуществления угрозы безопасности, а те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для осуществления угрозы.)

2.B — набор барьеров, определяемый декартовым произведением V*M: bl = <ti, oj, mk>, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.

Врезультате получаем систему, состоящую из пяти элементов: <T, O, M, V, B>, описывающую систему защиты с учетом наличия в ней уязвимостей.

Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз.

Данное условие является первым фактором, определяющим защищенность автоматизированной системы(АС); Второй фактор — прочность механизмов защиты.

Видеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. Поэтому в качестве

357

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

отношении защищаемых объектов (уровень серьезности угрозы); Rl — степень сопротивляемости механизма защиты mk, характеризующаяся вероятностью его преодоления.

Прочность барьера bl = <ti, oj, mk> характеризуется величиной остаточного риска Riskl, связанного с возможностью осуществления угрозы ti в отношении объекта автоматизированной системы oj при использовании механизма защиты mk.

Знаменатель определяет cуммарную величину остаточных рисков, связанных с возможностью осуществления угроз T в отношении объектов автоматизированной системы O при использовании механизмов защиты M. Суммарная величина остаточных рисков характеризует общую уязвимость системы защиты. А защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров bk, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Rk принимается равной нулю.

На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе.

Вместе с тем, для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина Cl затраты на построение средства защиты барьера bl. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат W={wl}, состоящих из затрат C={cl} на создание средств защиты и возможных затрат в результате успешного осуществления угроз N={nl}.

Построение моделей системы защиты и анализ их свойств составляют предмет «теории безопасных систем», еще только оформляющейся в качестве самостоятельного направления.

Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным является использование неформальных классификационных подходов. Вместо стоимостных оценок используют категорирование:

358

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

нарушителей (по целям, квалификации и доступным вычислительным ресурсам);

информации (по уровням критичности и конфиденциальности);

средств защиты (по функциональности и гарантированности реализуемых возможностей) и т.п.

Такой подход не дает точных значений показателей защищенности, однако позволяет классифицировать АС по уровню защищенности и сравнивать их между собой. Примерами классификационных методик, получивших широкое распространение, могут служить разнообразные критерии оценки безопасности ИТ, принятые во многих странах в качестве национальных стандартов, устанавливающие классы и уровни защищенности. Результатом развития национальных стандартов в этой области является обобщающий мировой опыт международный стандарт ISO 15408.

Нормативная база анализа защищенности

Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются «Общие критерии оценки безопасности информационных технологий и «Практические правила управления информационной безопасностью» В других странах их место занимают соответствующие национальные стандарты.

ISO 15408.

«Общие критерии» определяют функциональные требования безопасности и требования к адекватности реализации функций безопасности. «Общие критерии» целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

С точки зрения оценки защищенности АС особый интерес представляет класс требований по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

наличия побочных каналов утечки информации;

ошибки в конфигурации, либо неправильном использовании системы, приводящем к ее переходу в небезопасное состояние;

недостаточной стойкости механизмов безопасности, реализующих соответствующие функции;

наличие уязвимостей в средствах защиты информации,

359