Партыка Т.Л., Попов И.И. Информационная безопасность

Подождите немного. Документ загружается.

состояние системы. Здесь воздействие организовывать относительно

трудно, принцип отличается меньшей информативностью и сложностью

обнаружения и устранения. Эти каналы бывают двух типов:

• скрытые каналы с памятью (позволяющие произвести чтение или запись

информации другого процесса непосредственно или с помощью

промежуточных объектов для хранения информации — временная память);

• скрытые временные каналы (один процесс может получать информацию о

действиях другого процесса, используя интервалы между какими-либо

событиями — например, интервал времени между началом и концом

процесса ввода-вывода дает информацию о размере вводимой или

выводимой информации).

По характеру воздействия на АСОД:

• активное воздействие (всегда связано с выполнением пользователем

каких-либо действий, выходящих за рамки его обязанностей и нарушающих

существующую политику безопасности — доступ к определенным наборам

данных, программам, вскрытие пароля и т. д.). В результате изменяется

состояние системы (осуществляется с использованием доступа и/или с

использованием доступа и скрытых каналов);

• пассивное воздействие (осуществляется путем наблюдения каких-либо

побочных эффектов и их анализа — например, подслушивание линии связи

между двумя узлами сети). При этом всегда нарушается только

конфиденциальность информации (так как при нем никаких действий с

объектами и субъектами не производится) и состояние системы не

изменяется.

По причине появления используемой ошибки защиты. Реализация какой-

либо угрозы становится возможной, если в системе имеется

ошибка или брешь в защите. Ошибка может быть обусловлена одной из

следующих причин:

• неадекватность политики безопасности реальной АСОД (разработанная

для данной системы политика безопасности настолько не отражает

реальные аспекты обработки информации, что становится возможным

использование этого несоответствия для выполнения несанкционированных

действий). Модель никогда не может точно соответствовать реальной

системе, но в одних случаях это не может приводить к нарушениям, а в

других — может. Даже такие действия нельзя назвать

несанкционированными, поскольку защита от них не предусмотрена

политикой безопасности и система защиты в принципе не способна их

предотвратить (необходимо разработать новую политику безопасности);

• ошибки административного управления, под которыми понимается

некорректная реализация или поддержка принятой политики безопасности

в данной системе (например, неправильное определение прав доступа к

определенным наборам данных);

• ошибки в алгоритмах программ, в связях между ними и т. д., которые

возникают на этапе проектирования программных продуктов и благодаря

которым их можно использовать совсем не так, как описано в

документации (например, ошибка в программе аутентификации

пользователя системой дает возможность при помощи отдельных действий

пользователю войти в систему без пароля);

• ошибки реализации программ (ошибки кодирования), связей между ними

и т. д., которые возникают на этапе реализации или отладки. Они могут

служить источником недокументированных свойств (например, люки,

которые обнаружить труднее всего).

По способу активного воздействия на объект атаки:

• непосредственное воздействие на объект атаки, в том числе с

использованием привилегий (например, непосредственный доступ к набору

данных, программе, службе, каналу связи и т. д.), воспользовавшись

какой-либо ошибкой (нужно применить контроль доступа);

• воздействие на систему разрешений, в том числе с захватом

привилегий (здесь несанкционированные действия выполняются

относительно прав пользователей, а сам доступ к объекту потом

осуществляется законным образом — например, захват привилегий);

• опосредованное воздействие через других пользователей, в том числе:

• «маскарад», пользователь присваивает себе каким-либо образом

полномочия другого, выдавая себя за него;

• «использование вслепую» (один пользователь заставляет другого

выполнить необходимые действия, которые для системы зашиты не

выглядят несанкционированными, — для этой угрозы может использоваться

вирус, который выполняет необходимые действия и сообщает тому, кто

его внедрил о результате). Для предотвращения подобных действий

требуется постоянный контроль за работой АСОД в целом и со стороны

пользователей за своими наборами данных.

По способу воздействия на АСОД:

• в интерактивном режиме (например, атака на систему при помощи

интерпретатора команд — воздействие оказывается более длительным по

времени и может быть обнаружено, но является более гибким);

• в пакетном режиме (например, с помощью вирусов действие является

кратковременным, трудно диагностируемым, более опасным, но требует

большой предварительной подготовки, так как необходимо предусмотреть

все возможные последствия вмешательства).

По объекту атаки:

• АСОД в целом (для этого используются «маскарад», перехват или

подделка пароля, взлом или доступ к АСОД через сеть);

• объекты АСОД (программы в оперативной памяти или на внешних

носителях, сами устройства системы, каналы передачи данных и т. д. —

получение доступа к содержимому носителей информации или нарушение их

функциональности);

• субъекты АСОД — процессы и подпроцессы пользователей (цели:

приостановка; изменение привилегий или характеристик; использование

злоумышленником привилегий или характеристик и т. д.);

• каналы передачи данных — передаваемые по каналу связи пакеты данных

и сами каналы (нарушение конфиденциальности, подмена или модификация

сообщений, нарушение целостности информации, изменение топологии и

характеристик сети,, нарушение доступности сети и т. д.).

По используемым средствам атаки:

• использование стандартного программного обеспечения (ПО).

• использование специально разработанных программ (поэтому в

защищенных системах рекомендуется не допускать добавление программ в

АСОД без разрешения администратора безопасности системы).

По состоянию объекта атаки:

• хранения (диск или другой вид носителя информации находится в

пассивном состоянии — воздействие осуществляется с использованием

доступа);

• передачи по линиям связи между узлами сети или внутри узла;

• обработки (объектом атаки является процесс пользователя).

Функции и задачи защиты информации

С целью противостояния угрозам и дестабилизирующим факторам

необходимо реализовать совокупность функций и задач защиты

информации.

Функции непосредственной защиты информации

Множество функций непосредственной защиты информации может быть

представлено так:

1. Предупреждение возникновения условий, благоприятствующих

порождению дестабилизирующих факторов.

2. Предупреждение непосредственного проявления дестабилизирующих

факторов.

3. Обнаружение проявившихся дестабилизирующих факторов.

4.1. Предупреждение воздействия на информацию проявившихся и

обнаруженных дестабилизирующих факторов.

4.2. Предупреждение воздействия на информацию проявившихся, но

необнаруженных дестабилизирующих факторов.

5. Обнаружение воздействия дестабилизирующих факторов на защищаемую

информацию.

6.1. Локализация обнаруженного воздействия дестабилизирующих факторов

на информацию.

6.2. Локализация необнаруженного воздействия дестабилизирующих

факторов на информацию.

7.1. Ликвидация последствий локализованного обнаруженного воздействия

на информацию.

7.2. Ликвидация последствий локализованного необнаруженного

воздействия на информацию.

Общее содержание перечисленных функций в общем виде представлено

ниже.

1. Предупреждение возникновения условий, благоприятствующих

порождению (возникновению) дестабилизирующих факторов. Главной целью

данной функции является способствование такому построению архитектуры

АСОД, технологических схем автоматизированной обработки информации и

их обеспечению, чтобы свести к минимуму саму возможность появления

дестабилизирующих факторов во всех потенциально возможных условиях

функционирования АСОД. Иными словами — преследуется упреждающая цель.

2. Предупреждение непосредственного проявления дестабилизирующих

факторов в конкретных условиях функционирования АСОД. Выделением

данной функции также преследуется цель упреждения

возникновения дестабилизирующих факторов, однако в отличие от

предыдущей функции, осуществляемой с целью общего предупреждения,

мероприятия функции 2 предполагается осуществлять для предупреждения

проявления дестабилизирующих факторов в конкретных условиях

жизнедеятельности АСОД.

3. Обнаружение проявившихся дестабилизирующих факторов.

Предполагается осуществление таких мероприятий, в результате которых

проявившиеся дестабилизирующие факторы (или реальная угроза их

проявления) будут обнаружены еще до того, как они окажут воздействие

на защищаемую информацию. Иными словами, это функция непрерывного

слежения за дестабилизирующими факторами.

4. Предупреждение воздействия дестабилизирующих факторов на

защищаемую информацию. Само название функции говорит о ее содержании:

мероприятия, осуществляемые в рамках данной функции, преследуют цель

не допустить нежелательного воздействия дестабилизирующих факторов на

защищаемую информацию даже в том случае, если они реально проявились,

т. е. данная функция является естественным продолжением предыдущей.

Однако осуществление предыдущей функции может быть как успешным

(проявление дестабилизирующих факторов будет обнаружено), так и

неуспешным (проявление дестабилизирующих факторов не будет

обнаружено). С целью же создания условий для надежной защиты

информации в рамках данной функции, вообще говоря, должны быть

предусмотрены мероприятия по предупреждению воздействия

дестабилизирующих факторов на информацию в любых условиях. С учетом

этого обстоятельства функцию предупреждения воздействия целесообразно

разделить на две составные: предупреждение воздействия на информацию

проявившихся и обнаруженных дестабилизирующих факторов и

предупреждение воздействия на информацию проявившихся, но не

обнаруженных дестабилизирующих;

факторов.

5. Обнаружение воздействия дестабилизирующих факторов на, защищаемую

информацию. Нетрудно видеть, что основное содержание мероприятий

данной функции аналогично содержанию мероприятий функции 3 с той

разницей, что если функция 3 есть функция слежения за

дестабилизирующими факторами, то рассматриваемая функция есть функция

слежения за компонентами защищаемой информации с целью своевременного

обнаружения фактов воздействия на них дестабилизирующих факторов. При

этом под своевременным понимается такое обнаружение, при котором

сохраняются реальные возможности локализации воздейст

вия на информацию, т. е. предупреждения распространения его в

нежелательных размерах.

6. Локализация воздействия дестабилизирующих факторов на информацию.

Являясь логическим продолжением предыдущей, данная функция

предусмотрена с целью недопущения распространения воздействия на

информацию за пределы максимально допустимых размеров. Но в рамках

данной функции должны быть предусмотрены мероприятия как на случай

успешного осуществления функции 5 (воздействие дестабилизирующих

факторов на информацию обнаружено), так и на случай неуспешного ее

осуществления (указанное воздействие не обнаружено). Тогда аналогично

функции 4 рассматриваемую функцию также целесообразно разделить на

две составные: локализацию обнаруженного воздействия

дестабилизирующих факторов на информацию и локализацию

необнаруженного воздействия.

7. Ликвидация последствий воздействия дестабилизирующих факторов на

защищаемую информацию. Под ликвидацией последствий понимается

проведение таких мероприятии относительно локализованного воздействия

дестабилизирующих факторов на информацию, в результате которых

дальнейшая обработка информации может осуществляться без учета

имевшего место воздействия. Иными словами, удается восстановить то

состояние защищаемой информации, которое имело место до воздействия

дестабилизирующих факторов. Совершенно очевидно, что механизмы, с

помощью которых могут быть .ликвидированы последствия воздействия, в

общем случае будут различными для случаев локализации обнаруженного и

необнаруженного воздействия. Тогда аналогично предыдущему эту функцию

целесообразно представить в виде двух составных: ликвидация

последствий обнаруженного и локализованного воздействия

дестабилизирующих факторов на защищаемую информацию и ликвидация

последствий локализованного, но не обнаруженного воздействия на

информацию.

Общая классификационная структура задач включает следующие группы.

Первый вид задач — собственно механизмы защиты.

1. Введение избыточности элементов системы. Под избыточностью

понимается включение в состав элементов системы дополнительных

компонентов сверх минимума, который необходим для выполнения ими

всего множества своих функций. Избыточные элементы функционируют

одновременно с основными, что позволяет создавать системы, устойчивые

относительно внешних и внутренних дестабилизирующих воздействий.

Различают избыточность организационную (т. е. введение дополнительной

численности людей), аппаратурную (введение дополнительных технических

устройств), программно-алгоритмическую (введение дополнительных

алгоритмов и программ), информационную (создание дополнительных

информационных массивов), временную (выделение дополнительного

времени для проведения обработки информации) и т. п.

2. Резервирование элементов системы. Резервирование, как

разновидность задач зашиты информации, в некотором смысле

противоположно введению избыточности: вместо введения в активную

работу дополнительных элементов, наоборот — часть элементов выводится

из работы и держится в резерве на случай непредвиденных ситуаций.

Резервироваться могут практически все элементы АСОД, причем различают

два основных вида резервирования, которые получили названия горячего

и холодного. Горячим называется такое резервирование, когда выводимые

в резерв элементы находятся в рабочем состоянии и способны включаться

в работу сразу, т. е. без проведения дополнительных операций

включения и подготовки к работе; холодным — когда резервные элементы

находятся в таком состоянии, что для перевода в рабочее состояние

требуются дополнительные операции (процедуры).

3. Регулирование доступа к элементам системы. Регулирование доступа,

по определению, заключается в том, что доступ на территорию (в

помещение, к техническим средствам, к программам, к массивам (базам)

данных и т. п.) будет предоставлен лишь при условии предъявления

некоторой заранее обусловленной идентифицирующей информации.

4. Регулирование использования элементов системы. Регулирование

использования, по определению, заключается в том, что осуществление

запрашиваемых процедур (операций) производится лишь при условии

предъявления некоторых заранее обусловленных полномочий.

5. Маскировка информации. Заключается в том, что защищаемые данные

преобразуются или маскируются иным способом таким образом, что

преобразованные данные в явном виде могут быть доступными лишь при

предъявлении некоторой специальной информации, называемой ключом

преобразования.

6. Контроль элементов системы. Данный класс задач предполагает целый

ряд проверок: соответствия элементов системы заданному их составу,

текущего состояния элементов системы, работоспособности элементов

системы, правильности функционирования элементов системы, состояния

существенно значимых параметров внешней среды .и т. п.

7. Регистрация сведений. Под регистрацией как классом задач защиты

информации понимается фиксация всех тех сведений о фактах, событиях и

ситуациях, которые возникают в процессе функционирования АСОД, знание

которых необходимо для эффективной защиты информации.

8. Уничтожение информации. Под уничтожением как классом защиты

информации понимается осуществление процедур своевременного

уничтожения (или полного вывода из системы обработки) тех элементов

информации (или других компонентов системы), которые больше не нужны

для функционирования АСОД и дальнейшее нахождение которых в АСОД

может отрицательно .сказаться на защищенности информации. Наиболее

типичной процедурой данного класса является уничтожение так

называемой остаточной информации, т. е. информации, остающейся на

регистрах, полях оперативного ЗУ и других устройствах после решения

соответствующей задачи обработки данных в АСОД. Ненужной может

оказаться информация на отдельных носителях (МЛ, МД), некоторые

программные модули, контрольные распечатки, выданные документы и т.

п.

9. Сигнализация. Одним из важнейших положений концептуального подхода

к защите информации является активность защиты, что обеспечивается

созданием функционально самостоятельной системы защиты и

осуществлением регулярного управления ее функционированием. Во всякой

же системе управления непременно должна быть обратная связь, по

которой будет поступать информация (сигналы) о состоянии управляемых

объектов и процессов. Процедуры генерирования, передачи и отображения

(выдачи) этих сигналов и составляют содержание рассматриваемого

класса задач.

10. Реагирование. Вторым важнейшим признаком активности системы

защиты является наличие возможностей реагирования на проявление

дестабилизирующих факторов с целью предотвращения или по крайней мере

снижения степени воздействия их на информацию. Характерным примером

такого реагирования может служить противодействие попыткам

несанкционированного получения информации злоумышленником.

Рассмотрим теперь общее содержание выделенных классов задач второго

вида, т. е. задач управления механизмами защиты.

1. Планирование защиты — представляет собой процесс выработки

наиболее рациональной (оптимальной) программы предстоящей

деятельности. В общем случае различают долгосрочное (перспективное),

среднесрочное и текущее планирование.

2. Оперативно-диспетчерское управление защитой информации — это

организованное реагирование на непредвиденные ситуации, которые

возникают в процессе функционирования управляемых объектов или

процессов.

3. Календарно-плановое руководство защитой. Основное содержание

данной функции управления заключается в регулярном сборе информации о

ходе выполнения планов защиты и изменении условий защиты, анализе

этой информации и выработке решений о корректировке планов защиты.

4. Обеспечение повседневной деятельности всех подразделений и

отдельных должностных лиц, имеющих непосредственное отношение к

защите информации. Основными решаемыми задачами при этом являются

планирование, организация, оценка текущей деятельности, сбор,

накопление и обработка информации, относящейся к защите, принятие

текущих решений и некоторые другие. Особенно важной является задача

аналитико-синтетической обработки всей накопленной информации,

относящейся к защите информации.

Методы и системы защиты информации

Рассмотренные функции и задачи защиты информации определяют состав и.

структуру методов и систем защиты. Здесь рассматриваются основные

принципы и понятия, касающиеся методов и систем защиты информации,

более подробные сведения о защите информации в компьютерных сетях,

персональных ЭВМ и антивирусных системах рассмотрены в главах 4, 5,

Перечень основных методов защиты информации приведен на рис. 2.7,

2.8.

Одним из основных видов угроз целостности и конфиденциальности

информации, а также работоспособности вычислительных систем являются

преднамеренные угрозы, реализация которых заранее планируется

злоумышленником для нанесения вреда. Этот вид угроз по субъекту

непосредственной реализации можно разделить на две группы [1]:

• угрозы, реализация которых выполняется при постоянном участии

человека;

• угрозы, реализация которых после разработки злоумышленником

соответствующих компьютерных программ выполняется этими программами

без непосредственного участия человека.

Первый тип угроз называют угрозами несанкционированных действий со

стороны людей, а второй — со стороны программ, созданных людьми.

Задачи по защите от реализации угроз каждого из данных типов

одинаковы: :

• преградить несанкционированный доступ к ресурсам вычислительных

систем;

• сделать невозможным несанкционированное использование компьютерных

ресурсов, если доступ к ним все-таки осуществлен;

• своевременно обнаружить факт несанкционированных действий и

устранить причины, а также последствия их реализации. Способы же

решения перечисленных задач по защите от несанкционированных действий

со стороны людей и компьютерных программ существенно отличаются друг

от друга.

Основные функции системы защиты по преграждению несанкционированного

доступа людей к ресурсам вычислительных систем заключаются прежде

всего в идентификации и подтверждении подлинности пользователей при

доступе в вычислительную систему, а также разграничении их доступа к

компьютерным ресурсам.

Важную роль играет также функция корректного завершения сеанса работы

пользователей, предотвращающая возможность реализации угрозы

маскировки под санкционированного пользователя вычислительной

системы. Обычное завершение сеанса работы должно обязательно

проводиться каждым пользователем по окончании его работы.

Принудительное же завершение сеанса работы или блокировка устройств

ввода-вывода должны выполняться по истечении для пользователя

заданного времени отсутствия признаков активности.

Невозможность несанкционированного использования информационных

ресурсов вычислительной системы, если доступ к ним все-таки

осуществлен, достигается прежде всего защитой хранящихся в памяти

компьютера данных и программ от исследования и копирования.

Защита информации от исследования и копирования предполагает

криптографическое закрытие защищаемых от хищения данных, выполняемое

путем их зашифровки. Кроме того, должно быть предусмотрено

уничтожение остаточной информации, а также аварийное уничтожение

данных. Зашифровка информации делает невозможным ее использование без

предварительного расшифровывания, осуществимого только при наличии

пароля (ключа шифрования). Уничтожение остаточных данных в рабочих

областях оперативной и внешней памяти предотвращает возможность их

последующего несанкционированного использования. Аварийное

уничтожение защищаемой от хищения информации необходимо при

обнаружении для этой ин

формации неотвратимой опасности несанкционированного доступа,

например при возникновении отказа в системе защиты.

Защита программ от копирования предотвращает возможность выполнения

несанкционированно скопированной программы на другом компьютере.

Защита программ от исследования позволяет защитить от исследования

алгоритмические и другие детали реализации программы.

Своевременное обнаружение фактов несанкционированных действий

пользователей основано на выполнении таких функций, как периодический

контроль целостности информации, регистрация, сигнализация, а также

контроль правильности функционирования системы защиты.

Периодический контроль целостности конфиденциальной информации

позволяет своевременно обнаружить попытки подлога и потери данных, а

системной — внедрение программных закладок и компьютерных вирусов.

Для своевременного обнаружения фактов несанкционированных действий

регистрация предполагает фиксацию и накопление сведений о всех

запросах, содержащих обращения к защищаемым компьютерным ресурсам,

включая доступ в вычислительную систему и завершение сеанса работы

пользователей. Сигнализация в этом случае состоит в своевременном

уведомлении соответствующих компонентов системы защиты и службы

безопасности об обнаруженных несанкционированных действиях. Без

эффективной реализации функций контроля правильности функционирования

системы защиты невозможно достигнуть высокой эффективности

функционирования не только подсистемы обнаружения несанкционированных

действий пользователей, но и системы защиты в целом

Подтверждение подлинности пользователей и разграничение их доступа к

компьютерным ресурсам

Системой зашиты по отношению к любому пользователю с целью

обеспечения безопасности обработки и хранения информации должны быть

предусмотрены следующие этапы допуска в вычислительную систему:

1) идентификация;

2) установление подлинности (аутентификация);

3) определение полномочий для последующего контроля и разграничения

доступа к компьютерным ресурсам.

Данные этапы должны выполняться и при подключении к вычислительной

системе (ВС) таких устройств, как удаленные рабочие станции и

терминалы.

Идентификация необходима для указания компьютерной системе

уникального идентификатора обращающегося к ней пользователя с целью

последующего выполнения следующих защитных функций:

• установления подлинности и определения полномочий пользователя при

его допуске в компьютерную систему;

• контроля установленных полномочий и регистрации заданных действий

пользователя в процессе сеанса работы после его допуска в ВС;

• учета обращений к компьютерной системе. Сам идентификатор может

представлять собой последовательность любых символов и должен быть

заранее зарегистрирован в системе администратором службы

безопасности.

Контроль доступа к аппаратуре

Внутренний монтаж аппаратуры, технологические органы и пульты

управления должны быть закрыты физически и на них установлены

соответствующие датчики. При вскрытии аппаратуры оповещающие сигналы

должны поступать на центральный пульт сигнализации. С позиций НСД

контроль вскрытия аппаратуры срабатывает тогда, когда возникает одна

из следующих ситуаций.

• изменение внутренних схем;

• подключение постороннего устройства;

• использование технологических пультов и органов управления для

изменения алгоритма функционирования системы;

• загрузка посторонних программ и внесения «вирусов» в систему;

• доступ посторонних лиц к терминалам.

В процессе регистрации администратором в базу эталонных данных

системы защиты для каждого пользователя заносятся следующие элементы

данных:

• фамилия, имя, отчество и, при необходимости, другие характеристики

пользователя;

• уникальный идентификатор пользователя;

• имя процедуры установления подлинности;

• используемая для подтверждения подлинности эталонная информация,

например пароль;

• ограничения на используемую эталонную информацию, например

минимальное и максимальное время, в течений которого указанный пароль

будет считаться действительным;

• полномочия пользователя по доступу к компьютерным ресурсам.

Процесс установления подлинности, называемый еще аутентификацией,

заключается в проверке, является ли пользователь, пытающийся

осуществить доступ в ВС, тем, за кого он себя выдает.

Общая схема идентификации и установления подлинности пользователя при

его доступе в компьютерную систему представлена на рис. 2.9.

Если в процессе аутентификации подлинность пользователя установлена,

то система защиты должна определить его полномочия

по использованию ресурсов ВС для последующего контроля установленных

полномочий.

Основными и наиболее часто применяемыми методами установления

подлинности пользователей являются методы, основанные на

использовании паролей. Под паролем при этом понимается некоторая

последовательность символов, сохраняемая в секрете и предъявляемая

при обращении к компьютерной системе. Ввод пароля, как правило,

выполняют с клавиатуры.

Эффективность парольных методов может быть значительно повышена путем

записи в зашифрованном виде длинных и нетривиальных паролей на

информационные носители, например дискеты, магнитные карты, носители

данных в микросхемах и т. д. В этом случае компьютерная система

должна включать специальные устройства и обслуживающие их драйверы

для считывания паролей с этих информационных носителей, а служба

безопасности должна располагать средствами для формирования носителей

с парольными данными.

Для особо надежного опознавания могут применяться и методы,

основанные на использовании технических средств определения сугубо

индивидуальных характеристик человека (голоса, отпечатков пальцев,

структуры зрачка и т. д.). Однако такие средства требуют значительных

затрат и поэтому используются редко.

Существующие парольные методы проверки подлинности пользователей при

входе в ВС можно разделить на две группы: