Белов Е.Б., Лось В.П и др. Основы информационной безопасности

Подождите немного. Документ загружается.

жить к этому все свое умение, то профессионалы достигают результатов

гораздо быстрее.

Подбор соучастников. Подбор соучастников основан на подслуши-

вании разговоров в барах, фойе отелей, ресторанах, такси, подключении

к телефонам и телексам, изучении содержимого потерянных портфелей

и документов. Большую и полезную информацию можно извлечь, если

представляется возможность подсесть к группе программистов, например

в баре. Этот способ часто используют репортеры и профессиональные

агенты.

Извлечение информации из периодических изданий. Взломщики

могут почерпнуть много полезной информации из газет и других перио-

дических изданий.

Перехват сообщений электронной почты. Обычно для подключе-

ния к электронной почте используется бытовой компьютер с модемом

для связи с государственной телефонной сетью.

Телефонный канал доступа в такую систему обычно свободен, хотя

в последнее время системные операторы требуют установки устройств

регистрации пользователей электронной почты. Вплоть до недавнего

времени многие справочные системы были оснащены блоками, через ко-

торые взломщики могли извлекать большие объемы данных, а также

идентификаторы и пароли пользователей.

Недавние случаи арестов и судебного преследования кракеров

в США и Великобритании позволили выявить, насколько усложнились

способы извлечения информации. Сейчас нет ничего необычного в том,

что блоки, установленные кракерами, могут быть зашифрованы и только

отдельные члены преступных группировок могут считывать с них ин-

формацию.

Завязывание знакомств. Для установления контактов с целью полу-

чить информацию о вычислительной системе или выявить служебные

пароли взломщики могут использовать разнообразные приемы. Напри-

мер, знакомясь, они представляются менеджерами; используют вопрос-

ники, раздавая их в фойе фирмы и детально расспрашивая сотрудников

о компьютерной системе; звонят оператору ЭВМ в обеденное время

с просьбой напомнить якобы забытый пароль; прогуливаются по зданию,

наблюдая за доступом к системе; устанавливают контакты с незанятыми

в данный момент служащими охраны, которым посетители при входе в

здание фирмы должны предъявлять идентификационный код или пароль.

Более злонамеренным, но, возможно, и более успешным является ме-

тод «охоты за мозгами», когда на фирму приходит человек, якобы же-

лающий работать системным программистом или инженером по линиям

связи, и просит дать ему консультацию. Удивительно, как много инфор-

мации может передать вовне служащий, не имеющий перспективы роста,

но считающий себя достойным более важной и высокооплачиваемой

должности; он может раскрыть коды пользователей, пароли, указать сла-

бые места в сетях связи.

Анализ распечаток. Некоторые взломщики получили доступ к ЭВМ

просто изучая распечатки, и это один из наиболее эффективных и наименее

рискованных путей получения конфиденциальной информации. Много-

численные фирмы все еще теряют информацию со своих компьютерных

систем, во-первых, ошибочно думая, что она не содержит конфиденци-

альной информации, и, во-вторых, ошибочно полагая, что все черновые

распечатки добросовестно уничтожаются. Именно таким способом

взломщики смогли получить весьма полную картину организации ком-

пьютерной системы, используя выброшенные распечатки и невостребо-

ванные протоколы работы системы, которые сотрудникам вычислитель-

ного центра представлялись безобидными бумажками.

Перехват сообщений в каналах связи. Долгое время считалось, что

о перехвате сообщений может идти речь лишь в связи с деятельностью

военных или секретных служб. Благодаря тому что число фирм, осна-

щенных вычислительной техникой, постоянно растет, перехват сообще-

ний стал весьма реальной угрозой и для коммерческого мира. Спектр

возможных перехватов весьма широк - перехват устных сообщений с ис-

пользованием радиопередатчиков, микрофонов и микроволновых уст-

ройств; подслушивание сообщений, передаваемых по телефону, телексу

и другим каналам передачи данных; контроль за электромагнитным излу-

чением от дисплеев; перехват спутниковых или микроволновых передач.

Установкой радиопередатчиков, микрофонов и микроволновых уст-

ройств или прослушиванием линий связи обычно занимаются профес-

сиональные взломщики, а также предприимчивые любители и специали-

сты по связи. В последнее время число случаев установки таких уст-

ройств возросло. Излюбленными точками бесконтрольного доступа

являются телефонные линии.

Существует риск при использовании трехуровневых систем связи,

поскольку абонент не в состоянии контролировать работу инженеров

и доступ в здание и к оборудованию. Передача данных с коммутацией

пакетов или с использованием широкополосных линий связи со скоро-

стями в тысячу и миллионы бод вызывает интерес у взломщиков и может

быть перехвачена, чтобы выкрасть передаваемые сообщения, модифици-

ровать их содержимое, задержать или удалить.

Не следует недооценивать тех трудностей, которые возникают при

перехвате больших потоков слабосвязанной информации и при попытках

объединить ее в нечто напоминающее исходное сообщение. Для этого

может потребоваться достаточно мощный мини-компьютер, устройство

для выделения сигналов отдельных каналов и терминал, на который по-

ступают двоичные цифровые сигналы; хотя это весьма сложно, но воз-

можно.

Кражи. Администраторы и менеджеры фирм получили возможность

брать работу домой или при необходимости связываться и передавать

информацию по телефонным каналам в банк данных фирмы. Коммивоя-

жеры могут совершать сделки, используя терминалы в номерах отелей,

или получать доступ к информации непосредственно из салона автомо-

биля. Это создает почву для осуществления краж в домах, автомобилях,

отелях с целью получить информацию для последующего вхождения

в вычислительную систему.

Взятки и вымогательство. Преступный мир традиционно играет на

человеческих слабостях и несчастьях, таких, как чрезмерное увлечение

азартными играми, семейные неурядицы, трудноразрешимые финансо-

вые проблемы, долги, оплата медицинских счетов и т. п.

Часто посещая бары, казино, скачки, информаторы, нанятые краке-

рами, быстро выявляют людей, готовых идти на контакт. К сожалению,

большинство фирм не предусматривает ни штата сотрудников по безо-

пасности, ни каких-либо дисциплинарных процедур, чтобы обнаружить,

помешать или снизить риск от действий служащих, попавших под влия-

ние кракеров.

Получив необходимый объем предварительной информации, компь-

ютерный кракер делает следующий шаг - осуществляет непосредствен-

ное вторжение в систему. Используемые им при этом средства будут за-

висеть от количества информации, имеющейся в его распоряжении. Что-

бы осуществить несанкционированное вхождение в систему, кракеру

требуется знать номер телефона или иметь доступ к линии связи, иметь

протоколы работы, описания процедур входа в систему, код пользователя

и пароль. Если кракер не знает телефонного адреса порта, он должен ли-

бо узнать его, завязывая знакомства, либо воспользоваться автонабирателем.

Реальный пример проникновения кракера в информационную систе-

му ВВС США приведен с подробностями в журнале «Computer World»

(1994. № 37) в статье «Арестован хакер, вторгшийся в компьютерную

сеть ВВС США».

Прихожу домой.

Ем, пью, сплю за ваш счет.

Работаю круглосуточно.

Объявление

5. Методы и модели оценки уязвимости информации

Уязвимость информации есть событие, возникающее как результат

такого стечения обстоятельств, когда в силу каких-то причин используе-

мые в автоматизированных системах обработки данных средства защиты

не в состоянии оказать достаточного противодействия проявлению дес-

табилизирующих факторам и нежелательного их воздействия на защи-

щаемую информацию. Модель уязвимости информации в автоматизиро-

ванных системах обработки данных в общем виде показана на рис. 2.15.

Рис. 2.15. Общая модель воздействия на информацию

Данная модель детализируется при изучении конкретных видов уяз-

вимости информации: нарушения физической или логической целостно-

сти, несанкционированной модификации, несанкционированного полу-

чения, несанкционированного размножения.

При детализации общей модели основное внимание акцентируется

на том, что подавляющее большинство нарушений физической целостно-

сти информации имеет место в процессе ее обработки на различных уча-

стках технологических маршрутов. При этом целостность информации

зависит не только от процессов, происходящих на объекте, но и от цело-

стности информации, поступающей на его вход. Основную опасность

представляют случайные дестабилизирующие факторы (отказы, сбои

и ошибки компонентов автоматизированных систем обработки данных),

Дестабилизирующие

факторы

Средства

защиты

Внешние

Внутренние

Входные потоки

Внутренние потоки

Выходные потоки

которые потенциально могут проявиться в любое время, и в этом отно-

шении можно говорить о регулярном потоке этих факторов. Из стихий-

ных бедствий наибольшую опасность представляют пожары, опасность

которых в большей или меньшей степени также является постоянной.

Опасность побочных явлений практически может быть сведена к нулю

путем надлежащего выбора места для помещений автоматизированной

системы обработки данных и их оборудования. Что касается злоумыш-

ленных действий, то они связаны главным образом с несанкционирован-

ным доступом к ресурсам автоматизированной системы обработки дан-

ных. При этом наибольшую опасность представляет занесение вирусов.

В соответствии с изложенным общая модель процесса нарушения

физической целостности информации на объекте автоматизированной

системы обработки данных представлена на рис. 2.16.

Регулярные потоки

Потенциально возможные

Рис. 2.16. Общая модель процесса нарушения

физической целостности информации

С точки зрения несанкционированного получения информации прин-

ципиально важным является то обстоятельство, что в современных авто-

матизированных системах обработки данных оно возможно не только пу-

тем непосредственного доступа к базам данных, но и многими путями,

не требующими такого доступа. При этом основную опасность

представляют злоумышленные действия людей. Воздействие случайных

факторов непосредственно не ведет к несанкционированному получению

информации, оно лишь способствует появлению каналов

несанкционированного получения информации, которыми может

воспользоваться злоумышленник. Структурированная схема

потенциально возможных злоумышленных действий в автоматизи-

Отказы

Сбои

Ошибки

Стихийные

бедствия

Злоумышленные

действия

Побочные

явления

Вход

ВХ

(Ц)

Выход

ВЫХ

(Ц)

Объект автоматизированной

системы обработки информации

ленных действий в автоматизированных системах обработки данных для

самого общего случаю представлена на рис. 2.17.

Злоумышленные действия Внешняя неконтролируемая зона

Рис. 2.17. Структурированная схема потенциально

возможных злоумышленных действий в автоматизированных

системах обработки данных

Обозначенные на рис. 2.17 зоны определяются следующим образом.

1. Внешняя неконтролируемая зона - территория вокруг автоматизиро-

ванной системы обработки данных, на которой персоналом и средст-

вами автоматизированной системы обработки данных не применя-

ются никакие средства и не осуществляются никакие мероприятия

для защиты информации.

2. Контролируемая зона - территория вокруг помещений автоматизи-

рованной системы обработки данных, которая непрерывно контро-

лируется персоналом или средствами автоматизированной системы

обработки данных.

3. Зона помещений автоматизированной системы обработки данных -

внутреннее пространство тех помещений, в которых расположена

система.

4. Зона ресурсов автоматизированной системы обработки данных -

та часть помещений, откуда возможен непосредственный доступ

к ресурсам системы.

5. Зона баз данных - та часть ресурсов системы, с которой возможен

непосредственный доступ к защищаемым данным.

Злоумышленные действия с целью несанкционированного получения

информации в общем случае возможны в каждой из перечисленных зон.

Контролируемая зона

Зона расположения помещений

Зона ресурсов

Зона баз данных

нарушитель должен

Получить доступ в соответствующую зону; во время нахождения нару-

шителя в зоне в ней должен проявиться (иметь место) соответствующий

канал несанкционированного получения информации; соответствующий

канал несанкционированного получения информации должен быть дос-

тупен нарушителю соответствующей категории; в канале несанкциони-

рованного получения информации в момент доступа к нему нарушителя

должна находиться защищаемая информации.

Рассмотрим далее трансформацию общей модели уязвимости с точки

зрения несанкционированного размножения информации. Принципиаль-

ными особенностями этого процесса являются:

• любое несанкционированное размножение есть злоумышленное дей-

ствие;

• несанкционированное размножение может осуществляться в органи-

зациях-разработчиках компонентов автоматизированной системы об-

работки данных, непосредственно в автоматизированной системе об-

работки данных и сторонних организациях, причем последние могут

получать носитель, с которого делается попытка снять копию как за-

конным, так и незаконным путем.

Попытки несанкционированного размножения информации у разра-

ботчика и в автоматизированной системе обработки данных есть один

из видов злоумышленных действий с целью несанкционированного ее

получения и поэтому имитируются приведенной моделью. Если же носи-

тель с защищаемой информацией каким-либо путем (законным или неза-

конным) попал в стороннюю организацию, то для его несанкционирован-

ного копирования могут использоваться любые средства и методы,

включая и такие, которые носят характер научных исследований и опыт-

но-конструкторских разработок.

В процессе развития теории и практики защиты информации сфор-

мировалось три методологических подхода к оценке уязвимости инфор-

мации: эмпирический, теоретический и теоретико-эмпирический.

5.1. Эмпирический подход к оценке уязвимости

информации

Сущность эмпирического подхода заключается в том, что на основе

длительного сбора и обработки данных о реальных проявлениях угроз

информации и о размерах того ущерба, который при этом имел место,

чисто эмпирическим путем устанавливаются зависимости между потен-

циально возможным ущербом и коэффициентами, характеризующими

При этом для несанкционированного получения информации необходимо

одновременное наступление следующих событий:

частоту проявления соответствующей угрозы и значения имевшего при

ее проявлении размера ущерба.

Наиболее характерным примером моделей рассматриваемой разно-

видности являются модели, разработанные специалистами американской

фирмы IBM. Рассмотрим развиваемые на этих моделях подходы.

Исходной посылкой при разработке моделей является почти очевид-

ное предположение: с одной стороны, при нарушении защищенности ин-

формации наносится некоторый ущерб, с другой - обеспечение защиты

информации сопряжено с расходованием средств. Полная ожидаемая

стоимость защиты может быть выражена суммой расходов на защиту

и потерь от ее нарушения. Совершенно очевидно, что оптимальным ре-

шением было бы выделение на защиту информации средств минимизи-

рующих общую стоимость работ по защите информации.

Для того чтобы воспользоваться данным подходом к решению про-

блемы, необходимо знать (или уметь определять), во-первых, ожидаемые

потери при нарушении защищенности информации, а во-вторых, зависи-

мость между уровнем защищенности и средствами, затрачиваемыми

на защиту информации.

Решение первого вопроса, т. е. оценки ожидаемых потерь при нару-

шении защищенности информации, принципиально может быть получе-

но лишь тогда, когда речь идет о защите промышленной, коммерческой

и им подобной тайны, хотя и здесь встречаются весьма серьезные труд-

ности. Что касается оценки уровня потерь при нарушении статуса защи-

щенности информации, содержащей государственную, военную и им по-

добную тайну, то здесь до настоящего времени строгие подходы к их по-

лучению не найдены. Данное обстоятельство существенно сужает

возможную область использования моделей, основанных на рассматри-

ваемых подходах.

Для определения уровня затрат R

, обеспечивающих требуемый уро-

вень защищенности информации, необходимо по крайней мере знать, во-

первых, полный перечень угроз информации, во-вторых, потенциальную

опасность для информации для каждой из угроз и, в-третьих, размеры за-

трат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне

затрат на защиту состоит в том, что этот уровень должен быть равен

уровню ожидаемых потерь при нарушении защищенности, достаточно

определить только уровень потерь. Специалистами фирмы IBM предло-

жена следующая эмпирическая зависимость ожидаемых потерь от i-й уг-

розы информации:

где S

- коэффициент, характеризующий возможную частоту возникнове-

ния соответствующей угрозы; V

- коэффициент, характеризующий зна-

чение возможного ущерба при ее возникновении. Предложенные специа-

листами значения коэффициентов следующие:

значения коэффициента S

Ожидаемая (возможная) частота

появления угрозы

Предполагаемое

значение S

Почти никогда

1 раз в 1000 лет

раз в 100 лет

раз в 10 лет 3

раз в год

1 раз в месяц (примерно, 10 раз в год)

1-2 раза в неделю (примерно 100 раз в год) 6

3 раза в день (1000 раз в год)

возможные значения коэффициента V

Значение возможного ущерба

при проявлении угрозы, долл.

Предполагаемое значение V

100

1000

10 000

100 000

1 000 000

10 000 000

Суммарная стоимость потерь определяется формулой

Таким образом, если бы удалось собрать достаточное количество

фактических данных о проявлениях угроз и их последствиях, то рассмот-

ренную модель можно было бы использовать для решения достаточно

широкого круга задач защиты информации, причем нетрудно видеть, что

модель позволяет не только находить нужные решения, но и оценивать

их точность.

По России такая статистика в настоящее время практически

отсутствует. В США же, например, сбору и обработке указанных данных

большое внимание уделяет целый ряд учреждений (Станфордский иссле-

довательский институт и др.). В результате уже получены достаточно

представительные данные по целому ряду угроз, которые могут быть по-

ложены в основу ориентировочных расчетов и для других стран.

5.2. Система с полным перекрытием

Естественным продолжением моделей оценки угроз автоматизиро-

ванных систем обработки данных являются модели нейтрализации этих

угроз, т. е. модели защиты. Наиболее общей моделью защиты является

модель с так называемой системой с полным перекрытием.

При построении данной модели в качестве исходной взята естествен-

ная посылка, состоящая в том, что в механизме защиты должно содер-

жаться по крайней мере одно средство для перекрытия любого потенци-

ально возможного канала утечки информации. Методика формального

описания такой системы заключается в следующем:

• составляется полный перечень объектов системы, подлежащих защите;

• составляется полный перечень потенциально возможных угроз ин-

формации, т. е. возможных вариантов злоумышленных действий;

• определяется количественная мера соответствующей угрозы для со-

ответствующего объекта;

• формируется множество средств защиты информации в вычисли-

тельной системе;

• определяется количественная мера возможности противодействия.

Если она превышает уровень угрозы, то система защиты достаточна.

Очевидно, что если множество М таково, что устраняются все ребра

графа, то такая система является системой с полным перекрытием.

Одной из разновидностей теоретически строгих моделей являются

модели систем разграничения доступа к ресурсам автоматизированной

системы обработки данных.

В самом общем виде существо этих моделей может быть представле-

но следующим образом. Автоматизированная система обработки данных

является системой множественного доступа, т. е. к одним и тем же ее ре-

сурсам (техническим средствам, программам, массивам данных) имеет

законное право обращаться некоторое число пользователей (абонентов).

Если какие-либо из указанных ресурсов являются защищаемыми, то дос-

туп к ним должен осуществляться лишь при предъявлении соответст-

вующих полномочий. Система разграничения доступа и должна стать тем