Антонюк А.О. Теоретичні основи захисту інформації

Подождите немного. Документ загружается.

основних загроз інформації.

3.2. Види загроз

Означення. Загроза порушення конфіденційності інформації – це

можливість реалізації певної множини доступів для ознайом лення з

інформацією користувачам і/або процесам, які не мають на це відповідних

повноважень.

Множина R

містить доступи, які дозволяють лише ознайомлитися з

інформацією. Вони вважаються несприятливими, оскільки завдяки ним можуть

реалізуватися загрози порушення конфіденційності. Саме вони називаю т ьс я

каналами витоку.

Таким чином, за допомогою цього каналу зловмисник може отримати

нелегальний доступ на оз найомлення з інформацією. Прикладом виникнення

такого каналу можуть служити дії так званої програми «троянський кінь» (або

просто «троян»). Така програма, окрім документованих функцій, може

виконувати приховані дії на користь її розробника (зловмисника), тобто

переписати конфіденційну інформацію у місце, що доступне зловмиснику.

В основному до загальних заходів захисту від порушення конфіденційн ості

слід віднести зах оди, що по в’язані з різного роду о бмеж енням и доступу до

інформації.

Якщо звернутися до питань захисту проти каналів витоку такого типу, то

слід сказати, що протидію загро зам п ору шенн я ко нфіденц ійності в К С м ож на

забезпечити за допомогою таких послуг як [2]:

• довірча конфіденційність – таке управління доступом, при якому засоби

захисту дозво ляють звичайним користувачам управляти (передають

управління) потоками інформації між іншими користувачами і об'єктами свого

домена (наприклад, на підставі права власності об'єкту), тобто призначення і

передача повноважень не вимагають адміністративного втручання;

• адміністративна конфіденційність – таке управління, при якому засоби

захисту дозво ляють управляти потоками інформації між ко ристу вачам и і

об'єктами тільки спеціально авторизованим користувачам;

• повторне використання об'єктів – якщо перед наданням об'єкту

користувачу або процесу в ньому не залишається інформації, яку він містив, і

відміняються попередні права доступу до цього об'єкту;

• аналіз прихованих каналів – проводиться з метою виявлення і

перекриття існуючих потоків інформації, які не контролюються ін шими

послугами;

• конфіденційність при обміні – дозволяє забезпечити безпеку обміну

інформацією м іж з ах и щ ен и м и о б'єк та ми в н ез ах и щ е но м у се р едо в и щ і.

Звичайно, у принципі, можливі і інші послуги, однак, якщо користуватися

нормативними документами [1-4], то саме ці посл уги є н еобхідним и для

забезпечення конфіденційності.

Мова опису загроз порушення цілісності інформації t

в основному

аналогічна мові опису загроз порушення конфіденц ійності.

Означення. Загроза порушення цілісності інформації – це можливість

реалізації певної множини доступів для м одиф ікації інформації користувачам

і/або процесам, я кі н е м ають на це відпов ідн и х п ов н о в аж е н ь.

Між загрозами порушення конфіденційності та цілісності існує

принципова відмінність. Так, для конфіденційності основна загроза – це

незаконне ознайомлення з інформацією, тобто фактично відсутній активний

вплив на інформацію і вона, таким чином, не зазнає жодних змін. Виявляється,

що для опису такої загрози достатньо поняття каналу витоку. Для цілісності ж,

у свою чергу, основна загроза – це несанкціонована модифікація інформації,

тобто повинен існувати активний вплив на інформацію з боку порушника.

Фактично канал дії є теж каналом витоку, оскільки йдеться про

нелегальний доступ, проте він вимагає принципово інших дій зловмисника: не

просто ознайомитися (наприклад, прочитати) з інформацією, а, ін о ді не

цікавлячись її змістом (тобто навіть, не читаючи), внести певні зміни в її зміст.

Знову ж прикладом виникнення каналу дії на цілісність може служити

використання «трояна». У даному ви падку така програма може виконувати

приховані дії на користь її розробника (зловмисника), які полягають у

модифікації захищеної інформації.

Серед заходів захисту від порушення цілісності виділяють наступні:

1) своєчасне резер вне коп іюван ня цінної інфор мації;

2) введення надмірності в саму інформацію, тобто використання

вадостійкого кодування інформації, що дозволяє контролювати її цілісність;

3) введення надмірності в процес обробки інформації, тобто

використання аутентифікації, що дозволяє контролювати цілісність об'єктів;

4) введення системної надмірності, тобто підвищення «живучості»

системи.

Послуги, за допомогою яких забезпечується цілісність, наступні:

• довірча цілісність – аналогічна довірчій конфіденційності;

• адміністративна цілісність – аналогічна адміністративній

конфіденційності;

• відкат – дозволяє відновлю ватися після поми лок користувача, збоїв

програмного забезпечення і апаратури і підтримувати цілісність баз даних,

додатків і т.д.; забезпечує можливість відміни операц ії або послідовності

операцій і повернути захищений об'єкт в попередній стан;

• цілісність при обміні – дозволяє забезпечити захист об'єктів від

несанкціонованої модифікації інформації, що міститься в них, під час їх

експорту/імпорту в незахищеному середови щі.

Загроза порушення доступності t

може виникнути внаслідок наведених

раніше причин порушень безпеки та їх джерел.

Означення. Загроза порушення доступності до інформації – це можливість

реалізації певної множини заходів, які не дозволяють її використовувати за

вимогами користувачів і/аб о процесів , що мають на це відповідні

повноваження.

Загроза порушення доступності виникає, коли взагалі немає доступу до

об’єктів або ресурсів ІТС, а також при наявності доступу, але з порушенням

вимог користувача щ одо доступ до них в потрібний час, в потрібному місці і в

потрібній формі.

В більшості випадків доступність в ІТС інформації визначається

працездатністю самої ІТС [41], тобто її відсу тніст ь слід вважати основною

загрозою. На сьогодні, унаслідок інтенсивної діяльності всесв ітньої мережі

Internet, дуже актуальною є боротьба з так званими загрозами відмови у

обслуговуванні (атаки на відмову) законного користувача, тобто фактично з

загрозами порушення доступності. Поширення саме цього напрямку

комп’ютерних злочинів відбувається завдяки простоті його реалізації,

можливості анонімного виконання і складності протидії.

Можна виділити наступні напрямки повсякденної діяльності в ІТС для

підтримки її працездатності:

• підтримка користувачів, тобто консультації і різного роду подання їм

допомоги;

• підтримка ПЗ, тобто контроль за ПЗ, яке використовується в ІТС;

• конфігураційне керування, яке дозволяє контролювати зміни в

програмній конфігурації;

• резервне копіювання;

• керування носіями, що забезпечує фізичний захист носіїв;

• документування;

• регламентні роботи.

Доступність в ІТС забезпечуєься правильним використанням наступних

послуг:

• використання ресурсів – дозволяє користувачам керувати процесами

використання послуг і ресурсів;

• стійкість до відмов – покликана гарантувати доступність КС

(можливість використання інформації, окремих функцій або КС в цілому) після

відмови її компоненту;

• гаряча заміна – дозволяє гарантувати доступність КС в п роцесі заміни

окремих компонентів;

• відновлення після збоїв – забезпечує повернення КС до відомого

захищеного стану після відмови в обмірковуванн і.

Означення. Загроза порушення спостереженості за інформацією – це

можливість реалізації певної множини заходів, які не дозволяють фіксувати

діяльність користувачів і процесів, використання об’єктів і/або однозначно

установлювати ідентифікатори причетних до певних подій користувачів і/або

процесів.

Тут слід також звернути увагу на те, що для порушення спостереж еності

обмеження доступу на читання (r) є досить сильною вимогою, оскільки для

спостереженості достатньо і більш слабкого доступу (який, наприклад,

дозволяв би тільки визначати – була подія чи ні).

Найбільш розповсюдженою практикою реалізації спостереженості є

протоколювання та аудит. Протоколювання – це збір і накопичування

інформації п р о події, що в ід бу в аю т ьс я в ІТС. А у ди т – це аналіз накопиченої

інформації. Протоколювання та аудит організуються для виконання наступних

цілей:

• забезпечення звітності користувачів та адміністраторів;

• забезпечення можливості реконструюван ня послідов ності подій;

• виявлення спроб порушення інформаційної безпеки;

• представлення інформації для виявлення та аналізу проблем

інформаційно ї бе зп ек и .

На відміну від конфіденційності або цілісності, де наявність каналів витоку

є негативною обставиною, спостереженість повинна мати канали

спостереження (а також керуван ня), тобто кан али, за доп омо гою яких можна

було б контролювати процес обробки інформації.

Очевидно, що загрози порушення спостереженості зводяться до

ушкодження або навіть знищення каналів спостереження, а головна задача

спостереженості в ІТС – їх підтримувати. Ця задача реалізується за допомогою

наступних послуг [1-4]:

• реєстрація (аудит та протоколювання) – дозволяє контролю вати

несприятливі для КС дії;

• ідентифікація і автент иф ік ац ія – дозволяють СЗІ ви значити і

перевірити особу користувача, який намагається отримати доступ до КС;

• достовірний канал – дозволяє гарантувати, щ о кори стувач взаєм одіє

безпосередньо з СЗІ і ніякий інший користувач або процес не може включитися

у взаємодію;

• розмежування обов'язків – дозволяє понизити імовірність навми сних

або помилкових дій користувача і величину потенційних збитків від таких дій;

• цілісність КСЗ – визначає міру готовності КСЗ захищати себе і

гарантувати безперебійність управління захищеними об'єктами;

• самотестування – дозволяє перевірити, і на підставі ц ього гарантувати

правильність функціонування і цілісність певної безлічі функцій КС;

• ідентифікація і автенти фік ац ія при о б м іні – дозволяє одному об'єкту

ідентифікувати інши й і забезпеч и ти іншо м у іденти ф іку в ати пер ш и й , перш , ніж

почати взаємодію;

• автентифікація відправника – дозволяє забезпечити захист від відмови

від авторства і однозначно встановити приналежність об'єкту певному

користувачу;

• автентифікація одержувача – дозволяє забезпечити захист від відмови

від отримання і однозначно встановити факт отримання об'єкту певним

користувачем.

Запропонована тут формалізація дозволяє в подальшому більш детально

описувати всі відзначені вище загрози і відповідні їм послуги. У свою чергу, це

дає можливість формально оп исати відомі політики безпеки [75-79] і ш ир ш е і

більш ефективно використовувати доказовий метод [80-87] для опису,

дослідження і створен ня сучасних СЗІ. Зокрема, можна отримати необхідні

умови реалізації та підтримки тієї або іншої політики безпеки.

Проте така класифікація загроз не пояснює питання їх походження, а,

отже, вимагає розгляду причин їх вин икненн я. Це питання розглядається в

наступному розділі.

3.3. Дестабілізуючі факторі

Розглянуті раніше означення загроз інформації хоча і дають уявлення про

властивості захищеної інформації та ш ляхи їх забезпечення, проте вони носять

досить абстрактний характер. Дійсно, в процесі розробки захищеної ІТС на

кожному етапі її розробки обов'язково доведеться зіткнутися з проблемою

конкретної реалізації СЗІ, тобто реалізації конкретних захисних механізмів і

заходів. І тут вже йтиметься не про абстрактн і загрози (типу «порушення

конфіденційності»), а про конкретні обставини, які можуть перешкодити

підтримці зазначених властивостей інформації.

Фактично це означає, що на будь-якому об'єкті будь-якої ІТС необхідно

визначити ті обставини, події, чинники (або причин и), які перешкодж атимуть

реалізації конкретних захисних механізмів і заходів, створюючи тим самим

відзначені вище загрози. При цьому вони будуть безпосередньо пов'язані з

цими загрозами і, по суті, будуть їх причинами.

Таким чином, можна вважати, що перераховані раніше загрози можуть

виникати унаслідок здійснення цих чинників і ф актично є їх результатом.

Надалі ці чинники називатимемо дестабілізуючими факторами як це зроблено в

[39], де ДФ фактично ототожнюються із загрозами. Одна к поняття ДФ слід

відокремити від поняття загрози, оскільки воно дозволяє отримати досить

просту, зрозумілу, логічну і наочну схему для створення моделі загроз.

Означення. ДФ – це такі явища або події, які можуть з'являтися на будь-

якому етапі життєвого циклу (ЖЦ) ІТС і наслідком яких м о ж у т ь бути загрози

інформації і/або н ан е сен н я зби т ку ко м п о не н та м І Т С.

Протягом ЖЦ ІТС може виникати багато ДФ і самої різної природи.

Тому, аналогічно [39], на осно ві а нал ізу архітектури, техно лог ії та умов

функціонування ІТС і всіх можливих у принципі ДФ зручно ввести поняття

типу ДФ, що дозволяє класифікувати ДФ за способами їх реалізації. Вважаючи,

що ця класифікація ДФ є вичерпною, виділимо такі типи ДФ (в дужках

подається позначення відповідної множини ДФ):

• кількісна недостатність (Q

) – фізична нестача компонентів ІТС для

забезпечення необхідного рівня захищеності оброблю ваної інфор мації;

• якісна недостатність (Q

) – недосконалість конструкції або організації

компонентів ІТС, унаслідок чого не забезпечується необхідний рівень

захищеності оброблюваної інформації;

• відмова елементів ІТС (R) – поруш ення працездатності елементів, яке

призводить до неможливості виконання ними своїх функцій;

• збій елементів ІТС (T) – тимчасове порушення працездатності елемен тів

ІТС, яке призводи ть до н е п ра в ил ь ного виконання ними у цей момент своїх

функцій;

• помилки елементів ІТС (E

) – неправильне (одноразове або

систематичне) виконання елем ентами ІТС своїх функцій унаслідок

специфічного (постійного і/або тимчасового) їх стану;

• стихійні лих а (D) – неконтрольовані явищ а, що виникають випадково і

призводять до фізичних руйнувань;

• зловмисні дії (V) – дії людей, що спеціально скеровані на поруш ення

захищеності інформації;

• побічні явища (S) – явища, які супутні виконанню елемен том ІТС своїх

функцій.

Перш за все підкреслимо, що подана класифікація ДФ за типами дійсно є

вичерпною (або повною) – будь-яку відому на сьогодні подію завжди можна

віднести до одного з наведених типів. Далі, з цієї класифікації виникає, що ДФ

можуть мати або об'єктивну природу (наприклад, відмови, збої і т.д.), або

суб'єктивну (наприклад, дії зловмисника). В останньому випадку ДФ можуть

бути випадковими або навмисними. Тут слід звернути увагу на те, що

характеристики як об'єктивності/суб'єктивності, так і випадковості/навмисності

часто можуть бути відносними. Так, відмови або збої часто свідомо

ініціюються зловм и сн и ко м , тобто факти чн о тоді вон и мати м у ть суб'єкт ив н у

природу. Інший приклад – свідомо додані ф ункц ії в програмне забезпечен ня

можуть наперед зумовлювати можливість ненавмисних дій (наприклад, при

видаленій відладці або настройці систем).

Подальший аналіз ДФ показує, що важливо класифікувати ДФ також за

джерелами їх вин икненн я. Очевидно, що джерелами ДФ можуть бути як

компоненти ІТС, так і зовнішнє середовище. Виділяються такі джерела ДФ:

• персонал (P) – люди, що мають яке-небудь відношення до

функціонування ІТС;

• технічні засоби (M);

• моделі, алгоритми, програми (A);

• технологія функц іонування (F) – су купн ість засобів, прийомів, правил,

заходів і угод, які використовуються в процесі обробки інформації;

• зовнішнє середовище (E) – сукупність елементів, що не входять до

складу ІТС, але можуть вп лив ати на захи щ еніст ь інфо рм ац ії в ІТС.

Знову слід підкреслити вичерпність (або пов нот у) поданих джерел ДФ –

наведена класифікація цілком покриває все, що на сьогодні існує, тобто для

будь-якої відомої на сьогодні події завжди можна визначити її джерело

виникнення.

Сумісний розгляд типів ДФ і їх джерел показує, що формально може бути

40 різних комбінацій «тип-джерело» ДФ . Проте фактично їх п овинн о бути

менше, оскільки, очевидно, деякі з таких комбінацій не мають практичного

сенсу. Дійсно, наприкл ад, на збої компонентів ІТС жодним чин ом не може

напряму вплинути зовнішнє по відношенню до ІТС середовище. Перераховані

типи і джерела Д Ф зручно звести до таблиці, кожна комірка якої відповідає

множині ДФ певного типу з певного джерела.

Таблиця 1. Класифікація ДФ

Джерела ДФ

Типи ДФ

Персонал

Технічні

пристрої

Моделі,

алгоритми,

програми

Технологія

функціону-

вання

Зовнішнє

середовище

Якісна недостатність

Кількісна недостатність

Відмови

Збої

Помилки

Стихійні лиха

Зловмисні дії

Побічні явища

В кожній комірці таб ли ц і 1 пр о ста в ле н і множини – декартові добутки

відповідних множин типів та джерел ДФ – саме їх комбінації підлягають

розгляду. Відсутність же множин означає, що така комбінація принципово не

може реалізуватися (отже, всього можливих поєднань – 32). Слід ще раз

підкреслити, що в кожній комірці міститься не один якийсь ДФ деякого типу з

деякого джерела, а ціла їх множина.

Помітимо також, що перший стовпець і сьомий рядок таблиці 1 містять

множину ДФ – V

P, яка пов'язана з діяльністю людини. Опис зловмисних дій

(помилкових або навмисних) людини має назву моделі порушника. Цей тип ДФ

принципово відрізняється від всіх інших: якщо все інші ДФ в основному

реалізуються випадково, то зловмисні дії реалізуються за участю людини.

Останні відрізняються як своїми характеристиками і можливостями реалізації,

так і труднощами їх формалізації.

Тепер залишається для кожної конкретної задачі побудови СЗІ сформувати

повні множини ДФ за кожним типом і кожним джерелом, тобто визначити для

кожної комірки свої множини. Звернемо увагу на те, що повнота кожної з

множин ДФ має абсолютний характер у наступному сенсі: хоча б один

невстановлений ДФ може виявитися катастрофічним для всієї інформації в ІТС.

Отже, процес побудови кожної множини ДФ повинен проводитися винятково

ретельно та детально. Для подальшої класифікації ДФ в окремих множ инах

(комірках таблиці 1) можна вико рис тов ува ти до дат ков і їх особлив ос ті і

характеристики. Наприклад, ДФ можуть бути активними або пасивними і т.д.

Таким чином, розглянуто процес формування моделі ДФ, яку м ожна

вважати практичним аспектом побудови моделі загроз. Залишається встановити