Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
61
вартостей компонент, виходячи з прогнозу можливих загроз цим компонентам.
Можливості загроз оцінюються ймовірностями відповідних подій, а втрати
підраховуються як сума математичних очікувань втрат для компонентів по
розподілі можливих загроз.
Приклад. Нехай О
1
,...,О
n
– об'єкти, цінності яких С
1
,...,С
n
. Припустимо , щ о
збиток одному об'єкту не зниж ує ціни інших (тобто процеси нанесення збитків
різним об’єктам здійснюються незалежно один від одного), і нехай ймовірність
нанесення збитку об'єкту О
i
дорівнює р
i
, а функція втра т з би т ку дл я о б'є кта О
i
дорівнює
W
i
=
!
"
#
.,0
,',
випадк упротивномуу
збитокнанесеноєктуобякщоC
i
Тоді, зважаючи на незалежність ймовірностей, оцінка втрат від реалізації
загроз об'єкту i дорівнює EW
i
= p
i
С
i
.
Виходячи зі зроблених припущень, загальні втрати в системі дорівнюють
W=W
1
+...+W
n
. Тоді очікувані в тр ат и (середній ризик) дорівнюють
EW=
∑
=
n
i
ii
Cp
1
.
Проте такий спрощений підхід різко ускладнюється, якщ о врахувати те,
що в дійсності збитки одному об’єкту можуть впливати на оцінки вартості
інших об’єктів, тобто є взаємнозалежними. Це стосує тьс я тако ж і ймовірностей
нанесення збитків, які, по перше, тоді не будуть незалежними, а, по-друге,
формули для їх оцінки стають складними і їх дуже важко отримати.
2.8. Моделювання доступів в ІТС
Наведемо деякі відомості з моделювання доступів в захищених ІТС [11-
17].
Нагадаємо, що модель ІТС розглядається у вигляді скінченної множини
елементів. Далі використову ються такі основні поняття як об’єкт, суб’єкт,
потік, загроза, доступ, частина означень яких наведено раніше.
62
Враховуючи наведені вище властивості захищеної інформації, а також
поняття інформаційного потоку зручно множину всіх по токів ІТС поділити на
декілька підмножин:
• підмножина, що пов’язана з несанкціонованим доступом для
ознайомлення з інформацією;
• підмножина, що пов’язана з можливістю несанкціонованої
модифікації інформації;
• підмножина потоків несанкціонованого спостереження за
процесами обробки інформації;
• підмножина, що характеризує всі легальні доступи.
Тоді на основі такого поділу можна визначити аналогічний поділ множини
всіх можливих доступів до інформації. Позначимо множину всіх видів доступів
через R і вважатимемо, що |R|<
∞
.
Нагадаємо, що доступ суб’єкта до об’єкта – це процес породження потоку
інформації між ни м и .
Поняття доступу виявилося винятково важливим при розгляді будь-яких
питань забезпечення безпеки інформації в ІТС. Практичний досвід та
теоретичні досліджен ня протягом всієї історії інформаційної безпеки
показують, що доступ став фундаментальною характеристикою і одним з
основних чинників при побудові СЗІ.
Тому для подальшого розгляду питань ЗІ приймемо наступну дуже
важливу і принципову аксіому. Хоча вона має відносно давне (1983 р.)
історичне пох од ж ен н я , пр о те за л ишається актуальн о ю і н а сь о го дн і.
Аксіома 4. Усі питання безпеки інформації описуються доступами
суб'єктів до об'єктів.
Ця аксіома охоплює практично усі відомі способи порушення безпеки у
всіляких варіантах розуміння безпеки, навіть якщо включити в розгляд такі
процеси як пожежа, повінь, фізичне знищення і т.д. Однак з неї випливає, що
для подальшого розгляду питань безпеки і ЗІ досить розглядати множину
об'єктів і послідовності доступів. Додамо також, що на сьогодні авторам поки
63
що невідомі приклади порушень безпеки, які не підпадають під дане
твердження (контрприклади ).
Тепер на основі попереднього розподілу множини всіх потоків в ІТС
множину доступів R в ІТС можна представити у вигляді
lamc
RRRRR ∪∪∪=
,
де R
c
– множина доступів, за якими можливе ознайомлення з інформацією;
R
m
– множина доступів, за якими можлива модифікація інформації;
R
a
– множина доступів, за якими можливе спостереження за обробкою
інформації, тобт о с п ос те р еж е нн я за об ’є кта м и ;
R
l
– множина легальних доступів.
На практиці відомі найбіл ьш розповсюджні види доступів – на активізацію
(а), на читання (r), на запис (w), на виконання (exe) і ін . Звичайно, вони можуть
належати до будь-якої з наведених підмножин доступів.
Нагадаємо, що структуру множини об’єктів можна визначити як
об’єднання трьох множин
0
, NtOPUO
ptttt
∈∀∪∪=
,
де U
t
– множина об’єктів-користувачів, P
t
– множина об’єктів-процесів,
O
pt
– множина пасивних об’єктів. Далі позначатимемо окремі елементи ціх
множин індексами.
Визначимо тепер, які саме об’єкти можуть отримувати доступи і до яких
саме об’єктів в ІТС. Як вище зазначено, у доступі зазвичай беруть участь лише
два об’єкти:
•
PUj
a
i
njniPU ,...,1 ;,...,1 , ==!→!
, а∈R – доступ користувача до
процесу;
•
PPj
a
i
njniPP ,...,1 ;,...,1 , ==!→!
, а∈R – доступ процесу до
процесу;
•
OPj
a
i
njniOP ,...,1 ;,...,1 , ==!→!
, а∈R – доступ проц есу до об’єкта.
64
Зауважимо, що протягом певного інтервалу часу [j,j+k], j,j+k∈N
0
, n≥j+k
може бути реалізована ціла послідовність доступів, наприклад:
,...
1 m
r
kj
actact
j
act
j
act
i
OPPPU !→!!→!!→!!→!!→!
++
або скорочено будем позначати
*
m
r
i
OU !→!
, тобто зірочка вказує на те,
що мав місце саме ланцюжок доступів. Згідно з наведеними м іркуваннями, до
типових доступів також можна віднести такі ланцюжки:
•
PUj
a
i
njniPU ,...,1 ;,...,1 ,
*
==!→!
, а∈R;
•
OUj
a
i
njniOU ,...,1 ;,...,1 ,
*
==!→!
, а∈R;
•
PPj
a
i
njniPP ,...,1 ;,...,1 ,
*
==!→!
, а∈R;
•
OPj
a
i
njniOP ,...,1 ;,...,1 ,
*
==!→!
, а∈R.
Якщо об’єкт-процес Р
і
вже активізований в деякий момент часу t, то
зрозуміло, що в один з попередніх моментів часу t-k (t,k∈N
0
, t≥k) мав існувати
об’єкт (користувач або процес), щ о його активізував. Припустимо, що цей
об’єкт єдиний. На практиці, єдиність активізуючого об’єкта забезпечується
унікальністю його ідентифікатора. Будемо вважати, що в м омент t=0
активізований виділений користувач U
0
.
З вищенаведених міркувань випливає твердження.
Лема. Якщо в даний момент t акти візовано об’єкт-процес Р
і
, то існує
єдиний користувач U
j
, від імені якого він бу в активізован ий , тобто існує
ланцюжок
.,...
11
kiPPPPU
i
act
i
actact
ki
act
ki
act
j
≥"→""→""→""→""→"
−+−−
Доведення. Згідно до припущення, очевидно, що повинен існувати єдиний
об’єкт Р
і-1
, щ о акт и віз у ва в Р
і
. Я кщо U
j
= P
i-1
, то тв ер д ж ен н я до в еде н о . Якщ о ж
U
j
≠ P
i-1
, i=1,…,n
P
, то існує чи існу ва в єд ин и й о б’єкт Р
і-2
, що активізува в P
i-1
і
т.д. За індукцією прийдемо до того, що процес P
i-k
був активізований або
певним користувачем, або «системою». Єдиність активізуючого користувача
65
забезпечується дискретністю системного ч асу. П рип устим о, щ о п роц ес P
i-k
був
активізований одно часно двома користувачами U
1
та U
2
. Це означає, що
обидва ці користувачі в о ди н і т ой же момент часу здійснили доступ до п р оц е су
P
i-k
, що неможл и во , оскільки дискре ти за ц ія ч ас у обумовлюєт ьс я з м іно ю станів
об’єктів системи.
З даного твердження та попередніх означень випливають наступні важливі
наслідки:
1. до всіх процесів може здійснюватися доступ тільки на активізацію
(тобто процеси можуть лише актив ізуватися);
2. доступ виду
Ar ∈
від процесу
i
P
до об’єкта
j
O
фактично може
реалізовуватися послідовн о: протягом певного інтервалу часу [t,t+n] (
kn ≥
)
здійснюється ціла послідовність доступів
j
r
k
aaaa
i
OPPPP !→!!→!!→!!→!!→! ...
21
,
тобто спочатку активізується k процесів і тільки потім здійснюється
безпосередній доступ виду r (такі доступи будуть познача тис я
*
j
r
i
OP !→!
);
3. в сю множину процесів можна поділити на дві підмножини
ra
PPP =
,
∅=
ra
PP
: пр о ц ес и з
a
P
можуть здійснювати доступ тільки на активізацію,
інші (з
r
P
) – на всі інші види доступів;
4. породжувати та знищувати процеси і об’єкти можуть лише активні
об’єкти (користувачі та процеси);
5. в КС можуть здійснюватися наступні доступи:
• користувач – процес,
j
a
i
PU !→!
– доступ лише на активізацію,
aj
PP ∈
;
• користувач – об’єкт,
*
j
p
i
OU !→!
,
ap ≠
, р⊆A (р – деяка підмножина
доступів), тобто кожному доступу до об’єкта повинна передувати активізація
принаймні одного процеса;
66
• процес – процес,
j
a
i
PP !→!
– доступ лише на активізацію,
ai
PP ∈
;
• процес – об’єкт,
*
j
p
i
OP !→!
,
ap ≠
, р⊆A, тут також спочатку має
передувати активізація принаймні одного процесу;
• процес – об’єкт,
j
p
i
OP !→!
– всі види доступів крім активізації,
ap ≠
, р⊆A,
ri
PP ∈
.
Звідсіля виникає, що в ∀t∈N
0
в КС для кож ного користувача
i
U
і проце са
j
P
повинні існувати і, звичайно, повинні бути визначеними множини
)(
it
UD
і
)(
jt
PD
– множини об’єктів, до яких користувач
i
U
і процес
j
P
можуть мати
доступи, тобто
},*,{)(
0
NtApOUOUD
j
p
ijit
∈⊆#→#=
,
},*,{)(
0
NtApOPOPD
k
p
jkjt
∈⊆#→#=
.
Тут ураховані і можливі ланцюжки доступів.
Означення. Множини
)(
it
UD
і
)(
jt
PD
називаються множинами
асоційованих відповідно з
i
U
і
j
P
об’єктів.
Очевидно, що в кожній з ціх множин можуть міститися: підмножини
об’єктів
)(
io
UD
(або
)(
jo
PD
), до яких мають доступи лише самі
i
U
(або
j
P
),
і підмножин а об’єктів
)(
ic
UD
(або
)(
jc
PD
), до яких можуть м ат и д ост упи і
інші
i
U
(або
j
P
), тобто
)()()(
ioicit
UDUDUD =
,
∅=)()(
ioic
UDUD
і
)()()(
jojcjt
PDPDPD =
,
∅=)()(
jojc
PDPD
.
Означення. Множина
)(
i
i
co
UDR
=
називається множиною ресурсів
загального користування.
Означення. М нож ина
i
icc
UDR )(=
називається множиною загальних
ресурсів КС.
67
Множина асоційованих об’єктів відображує поточний стан
i
U
(або
j
P
). Із
визначення асоційованості об’єктів випливають наступні наслідки:
• множина асоційованих об’єктів
)(
it
UD
повинна включати до себе і ті
об’єкти-процеси, за допомогою яких
i
U
реалізує свої доступи до об’єктів;
• множина асоційованих об’єктів
)(
jt
PD
також повинна включати до
себе і ті об’єкти-процеси, за допомогою яких
j
P
реалізує свої доступи до
об’єктів;
• множина асоційованих об’єктів
)(
jt
PD
може містити об’єкти, для
яких сам
j
P
не буде асоційованим, тобто між процесами можуть існувати
односторонні доступи;
• кожний з асоційовани х об’єктів в свою чергу може мати свої
асоційовані підмножини, реалізуючі тим самим відзначені вищ е можлив і
ланцюжки доступів;
• не обмежується можливість користувача і/або процеса, взагалі кажучі,
засобами з
o
R
породжувати і знищувати об’єкти, що не належать
o
R
.
Відомі інші формальні моделі доступів, які дозволяють в подальшому
моделювати наведені вище загрози інформації. Однак детальний аналіз показує,
що для більш точного формального опису наведених каналів слід враховувати
структуру множини можлив их доступ ів.
68
РОЗДІЛ 3. ЗАГРОЗИ ІНФОРМАЦ І Ї
3.1. Поняття за г ро з и ін формації
Поняття загрози інформації є основним в теорії і практиці ЗІ. Аналіз загроз
є початковим і одним з основних етапів при розробці СЗІ і проводиться на
основі моделі загр о з. Він має ви я ви т и можливі загрози інформації, а також
показати, з якого боку і в якій точці ІТС слід чекати атаки. Згідно [1-4], модель
загроз – це абстрактний формалізований або неформалізований опис методів і
способів здійснення загроз.
Нижче розглянуто формальний опис основних класів загроз інформації,
каналів доступу та послуг, реалізація яких дозволяє їм протистояти.
Під загрозами слід розуміти шляхи реалізації дій, що вважаються
небезпечними. Наприклад, загроза з’йому інформації і перех оплення
випромінювання з дисплею може привести до втрати таємності або
конфіденційності, загроза п ожежі може привести до порушенн я цілісності та
доступності інформації, загроза розриву каналу передачі інформації може
реалізувати втрату доступності. Існує багато підхо дів щодо класиф ікації загроз,
проте, як здається, найбільш придатною для аналізу є визначення та
класифікація загроз за результатом їх дії на інформацію, а точніше, на її основні
(фундаментальні) властивості – конфіденційність, цілісність, доступність,
спостереженість.
Тоді з цієї точки зору в ІТС розрізняються наступні класи загроз
інформації:
• порушення конфіденційності (t
c
);
• порушення цілісності (t
i
);
• порушення доступності або відмова в обслуговуванні (t
a
);
• порушення спостереженості або керованості (t
s
).
Отже, множина загроз T включає наведені загрози і формально виглядає
так T={t
c
, t
i
, t
a
, t
s
}.
Таким чином, приходимо до наступного означення загрози.
69
Означення. Загроза – це потенційно мож лива будь-яка несприятлива дія
на інформацію, що може призвести до порушень хоча б одної з
фундаментальних властивостей захищеної інформації.
Розвиток теорії та практики ЗІ показує, що на сьогоднішній день у
найбільш загальному випадку слід визначити наступні основні шляхи реалізації
загроз інформації [41]:
• втрата контролю над системою захисту інформації (СЗІ);
• канали витоку інформації.
Всі інші способи порушень так чи інакше зводяться до них.
Якщо СЗІ перестає адекватно функціонувати, то, звичайно, може
реалізуватися несанкціонований доступ до інформації. Неадекватне
функціонування та втрата керування СЗІ може бути реалізована внаслідок будь-
яких порушень (навм исн их чи випадков их) безпеки. Зрозуміло, що в реальному
житті слід розглядати їх різноманітні комбінації. Вони можуть бути також
причиною виникнення прихованих каналів витоку інформації.
Наведена в попередньому пункті структуризація мн ож ини всіх доступів
дозволяє досить точно визначити основні загрози інформації в ІТС.
Історично і тех нічн о склалося так, що захист пр оти множини певних
порушень організовується за допомогою множин певних заходів, кожна з яких
отримала назву послуг. Відпов ідн о до [1-4], послуга – це набір певних
апаратних, програмних або організаційних заходів для протидії певній м ножи ні
загроз. В подальшому, відповідно до [1-4], буде надаватися список необхідних
послуг для забезпечення захисту від певної множини загроз.
Поняття послуги дозволяє також застосувати наступний підхід. Зокрема,
можна ввести наступний рівень загроз, трактуючи реалізацію яких -небудь
послуг у неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як
деякі загрози. Аналіз нормативних документів [1-4] показує, що цей ріве нь
може включати наступні загрози:
• загрози порушення конфіденційності:
а) загрози при керуванні потоками інформації;
70
б) загрози існування безконтрольних потоків інформації (наявність
схованих каналів);
в) порушення конфіденційності при обміні – загро зи при експорті/імпорті
інформації чере з н ез ах и щ ен е сер е до в и щ е;
• загрози порушення цілісності:
а) загрози при керуванні потоками інформації;
б) неможливість відкату – повернення захищеного об'єкта у вихідний стан;
в) поруш ення цілісності при обміні – загрози при експорті/імпор ті
інформації чере з н ез ах и щ ен е сер е до в и щ е;
• загрози порушення доступності чи відмовлення в обслуговуванні:
а) порушення при керуванні послугами і ресурсами користувача;
б) порушення стійкості до відмовлень;
в) порушення при гарячій заміні;
г) порушення при відновленні після збоїв;
• загрози порушення спостереженості чи керованості:
а) порушення при реєстрації небезпечних дій;
б) порушення при ідентифікації та автентифікації;
• загрози несанкціонованого використання інформаційних ресурсів.
Як неважко помітити, введення нового і більш детального рівня загроз
суттєво полегшує їх аналіз та організацію відпо відного захисту. Більше того,
даний рівень загроз можна деталізувати шляхом введення ще одного (а
можливо, і більше) рівня загроз. Тобто фактично можна побудувати певну
ієрархічну модель загр о з інформації. Тут цей напрямок моделювання загроз
розглядатися не буде, оскільки є предметом окремого дослідження. Однак
звернемо увагу на те, що введене таким чином поняття загрози (навіть з
урахуванням більш детальних рівнів) залишається певною абстракцією (що
таке конкретно, наприклад, загроза конф іденційності або загроза при керуванні
потоками інформації), а, отже, залиш ається питання про конкретн і практичні
причини виникнення загроз. В подальшому це питання вирішується шляхом
введення поняття дестабілізуючого фактору. Нижче розглянемо формалізацію