Власова Л.А. Защита информации
Подождите немного. Документ загружается.
располагает полномочиями доступа к ней. Имеет место всякий раз, когда
получен доступ к некоторой секретной информации, хранящейся в
вычислительной системе или передаваемой от одной системы к другой
(«утечка»).
Угроза нарушения целостности.
Любое умышленное изменение информации, хранящейся в ВС или
передаваемой от одной системы в другую.
Угроза отказа служб.
Возникает всякий раз, когда в результате преднамеренных действий,
предпринимаемых другим пользователем или злоумышленником, блокируется
доступ к некоторому ресурсу АС. Реально блокирование может быть
постоянным (запрашиваемый ресурс никогда не будет получен) или оно может
вызывать только задержку запрашиваемого ресурса, достаточно долгую для
того, чтобы он стал бесполезным (ресурс исчерпан).
Данные виды угроз можно считать первичными или непосредственными, так
как если рассматривать понятие угрозы как некоторой потенциальной
опасности, реализация которой наносит ущерб информационной системе, то
реализация вышеперечисленных угроз приведёт к непосредственному
воздействию на защищаемую информацию. В то же время непосредственное
воздействие на информацию возможно для атакующей стороны в том случае,
если система, в которой циркулирует информация, для неё «прозрачна», т.е. не
существует никаких систем защиты или других препятствий.
На современном этапе развития информационных технологий подсистемы
или функции защиты являются неотъемлемой частью комплексов по обработке
информации. Информация не представляется в чистом виде. На пути к ней
имеется хотя бы какая-нибудь система защиты, которую необходимо преодолеть
атакующей стороне. Однако не существует абсолютно стойкой системы защиты,
вопрос лишь во времени и средствах, требующихся на её преодоление.
Исходя из данных условий приемлемой можно считать следующую модель:
защита информационной системы считается преодолённой, если в ходе её
исследования определены все уязвимости системы. Поскольку преодоление
защиты также представляет собой угрозу, то для защищённых систем
рассматривается четвёртый вид угроз – угроза раскрытия параметров АС,
включающей в себя систему защиты.
Угрозу раскрытия можно считать опосредствованной, поскольку
последствия её реализации не причиняют вред обрабатываемой информации, но
11
дают возможность реализовываться непосредственным угрозам.
Отличие защищённых информационных систем от открытых заключается в
том, что для последних угроза раскрытия параметров системы считается
реализованной.
В настоящее время рассматривается достаточно обширный перечень угроз
информационной безопасности АС, которые могут быть классифицированы по
ряду признаков:
1) по природе возникновения (естественные или искусственные);
2) по степени преднамеренности проявления (случайного действия или
преднамеренного);
3) по непосредственному источнику (природная среда, человек,
санкционированные программные средства и несанкционированные программные
средства);
4) по положению угроз (источник угроз вне контролируемой зоны, в
пределах контролируемой зоны, источник имеет доступ к периферийным
устройствам и источник которых расположен в АС);
5) по степени зависимости от активности АС (проявляющиеся независимо
от активности АС и проявляющиеся только в процессе автоматизированной
обработки данных);
6) по степени воздействия на АС (пассивные и активные);
7) по этапам доступа пользователей или программ к ресурсам АС
(проявляющиеся на этапе доступа к ресурсам и проявляющиеся после
разрешения доступа к ресурсам);
8) по способу доступа к ресурсам АС (направленные на использование
прямого стандартного пути доступа к ресурсам и направленные на
использование скрытого нестандартного доступа к ресурсам АС);
9) по текущему месту расположения информации, хранимой и
обрабатываемой в АС (угрозы доступа к информации на внешнем
запоминающем устройстве; угрозы доступа к информации в оперативной
памяти; угрозы доступа к информации, циркулирующей в линиях связи; угрозы
доступа к информации, отображаемой на терминале или печатаемой на
принтере).
2.2. Причины, виды и каналы утечки информации
Основными видами утечки информации являются:
несоблюдение персоналом норм, требований, правил эксплуатации АС;
12
ошибки в проектировании АС;
ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации АС
может быть как умышленным, так и преднамеренным. От ведения
противостоящей стороной агентурной разведки этот случай отличает то, что в
данном случае лицом, совершающим несанкционированные действия, двигают
личные побудительные мотивы. Причины утечки информации тесно связаны с
видами утечки информации.
В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки
информации:
- разглашение;
- несанкционированный доступ;
- получение защищаемой информации разведками (как отечественными,
так и иностранными).
Под разглашением информации понимается несанкционированное доведение
защищаемой информации до потребителей, не имеющих права доступа к
защищаемой информации.
Под несанкционированным доступом понимается получение защищаемой
информации заинтересованным субъектом с нарушением установленных
правовыми документами или собственником владельцем информации прав или
правил доступа к защищаемой информации. При этом заинтересованным
субъектом, осуществляющим несанкционированный доступ к информации,
может быть: государство, юридическое лицо, физические лица.
Получение защищаемой информации разведками может осуществляться с
помощью технических средств (техническая разведка) или агентурными
методами (агентурная разведка),
Канал утечки информации – совокупность источника информации,
материального носителя или среды распространения несущего указанную
информацию сигнала и средства выделения информации из сигнала или
носителя. Одним из основных свойств канала является месторасположение
средства выделения информации из сигнала или носителя, которое может
располагаться в пределах контролируемой зоны, охватывающей АС, или вне её.
Применительно к АС выделяют следующее каналы утечки.
1. Электромагнитный канал.
13
Причиной его возникновения является электромагнитное поле, связанное с
протеканием электрического тока в аппаратных компонентах АС.
Электромагнитное поле может индуцировать токи в близко расположенных
проводных линиях (наводки). Электромагнитный канал в свою очередь делится
на следующие каналы:
- радиоканал (высокочастотное излучение);
- низкочастотный канал;
- сетевой канал (наводки на сеть электропитания);
- канал заземления (наводки на провода заземления);
- линейный канал (наводки на линии связи между компьютерными системами).
2. Акустический (виброакустический) канал.
Связан с распространением звуковых волн в воздухе или упругих колебаний
в других средах, возникающих при работе устройств отображения информации
АС.
3. Визуальный канал.
Связан с возможностью визуального наблюдения злоумышленником за
работой устройств отображения информации АС без проникновения в
помещения, где расположены компоненты систем. В качестве средства
выделения информации в данном случае могут использоваться фото-,
видеокамеры и т.п.
4. Информационный канал.
Связан с непосредственным или телекоммуникационным доступом к
элементам АС, к носителям информации, к самой вводимой и выводимой
информации (и результатам), к программному обеспечению (в том числе к
операционным системам), а также с подключением к линиям связи.
Информационный канал может быть разделён на следующие каналы:
- коммутируемых линий связи;
- выделенных линий связи;
- локальных сетей;
- машинных носителей информации;
- терминальных и периферийных устройств.
2.3. Основные методы реализации угроз информационной
безопасности
К основным направлениям реализации злоумышленником информационных
14
угроз относятся:
непосредственное обращение к объектам доступа;
создание программных и технических средств, выполняющих
обращение к объектам доступа в обход средств защиты;
модификация средств защиты, позволяющая реализовывать угрозы
информационной безопасности;
внедрение в технические средства АС программных или технических
механизмов, нарушающих предполагаемую структуру и функции АС.
К числу основных методов реализации угроз информационной безопасности
АС относятся:
- определение злоумышленником типа и параметров носителей информации;
- получение злоумышленником информации о программно-аппаратной
среде, типе и параметрах средств вычислительной техники, типе и версии
операционной системы, составе прикладного программного обеспечения;
- получение злоумышленником детальной информации о функциях,
выполняемых АС;
- получение злоумышленником данных о применяемых системах защиты;
- определение способа представления информации;
- определение злоумышленником содержания данных, обрабатываемых в
АС, на качественном уровне (применяется для мониторинга АС и для
дешифрования сообщений);
- хищение (копирование) машинных носителей информации, содержащих
конфиденциальные данные;
- использование специальных технических средств для перехвата
побочных электромагнитных излучений и наводок – конфиденциальные данные
перехватываются злоумышленником путём выделения информативных сигналов
из электромагнитного излучения и наводок по цепям питании средств
вычислительной техники, входящей в АС;
- уничтожение средств вычислительной техники и носителей информации;
- хищение (копирование) носителей информации;
- несанкционированный доступ пользователя к ресурсам АС в обход или
путём преодоления систем защиты с использованием специальных средств,
приёмов, методов;
- несанкционированное превышение пользователем своих полномочий;
15
- несанкционированное копирование программного обеспечения;
- перехват данных, предаваемых по каналам связи;
- визуальное наблюдение – конфиденциальные данные считываются с
экранов терминалов, распечаток в процессе их печати и т.д.;
- раскрытие представления информации (дешифрования данных);
- раскрытие содержания информации на семантическом уровне – доступ к
смысловой составляющей информации, хранящейся в АС;
- уничтожение машинных носителей информации;
- внесение пользователем несанкционированных изменений в
программно-аппаратные компоненты АС и обрабатываемые данные;
- установка и использование нештатного аппаратного и (или)
программного обеспечения;
- заражение программными вирусами;
- внесение искажений в представление данных, уничтожение данных на
уровне представления, искажение информации при передаче по линиям связи;
- внедрение дезинформации;
- выведение из строя машинных носителей без уничтожения информации
- выведение из строя электронных блоков накопителей на жёстких дисках
и т. п.;
- проявление ошибок проектирования и разработки аппаратных и
программных компонентов АС;
- обход (отключение) механизмов защиты – загрузка злоумышленником
нештатной операционной системы с дискеты, использование отладочных
режимов программно-аппаратных компонент АС и т.п.;
- искажение соответствия синтаксических и семантических конструкций
языка – установление новых значений слов, выражений и т.п.;
- запрет на использование информации (блокирование) – имеющаяся
информация по каким-либо причинам не может быть использована.
3. ОСНОВНЫЕ НАПРАВЛЕНИЯ ИСПОЛЬЗОВАНИЯ СРЕДСТВ
И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ
3.1. Программные средства обнаружения и отражения угроз
Процесс осуществления атаки на АС включает три этапа. Первый этап,
16
подготовительный, заключается в поиске предпосылок для осуществления той
или иной атаки. На этом этапе ищутся уязвимости, использование которых
приводит к реализации атаки, т. е. ко второму этапу. На третьем этапе атака
завершается, «заметаются» следы и т. д. При этом первый и третий этапы сами
по себе могут являться атаками.
Обнаруживать, блокировать и предотвращать атаки можно несколькими
путями. Первый способ, и самый распространённый, – это обнаружение уже
реализуемых атак. Данный способ функционирует на втором этапе
осуществления атаки. Этот способ применяется в «классических» системах
обнаружения атак:
• серверах аутентификации;
• системах разграничения доступа;
• межсетевых экранах и т. п.
Основным недостатком средств данного класса является то, что атаки могут
быть реализованы повторно. Они также повторно обнаруживаются и
блокируются. И так далее, до бесконечности.
Второй путь – предотвратить атаки ещё до их реализации. Осуществляется
это путём поиска уязвимостей, которые могут быть использованы для
реализации атаки.
И наконец, третий путь – обнаружение уже совершённых атак и
предотвращение их повторного осуществления.
Таким образом, системы обнаружения атак могут быть классифицированы
по этапам осуществления атаки.
1. Системы, функционирующие на первом этапе осуществления атаки и
позволяющие обнаружить уязвимости информационной системы, используемые
нарушителем для реализации атаки. Средства этой категории называются
системами анализа защищенности (security assessment systems) или сканерами
безопасности (security scanners).
Системы анализа защищённости проводят всесторонние исследования
систем с целью обнаружения уязвимостей. Результаты, полученные от средств
анализа защищённости, представляют «мгновенный снимок» состояния защиты
системы в данный момент времени. Несмотря на то что эти системы не могут
обнаруживать атаку в процессе её развития, они могут определить возможность
реализации атак.
Эти системы реализуют две стратегии. Первая стратегия – пассивная,
реализуемая на уровне операционной системы, СУБД и приложений, при
17
которой осуществляется анализ конфигурационных файлов и системного
реестра на наличие неправильных параметров, файлов паролей на наличие легко
угадываемых паролей, а также других системных объектов на нарушения
политики безопасности. Вторая стратегия – активная, осуществляется в
большинстве случаев на сетевом уровне. Она заключается в воспроизведении
наиболее распространенных сценариев атак и анализе реакции системы на эти
сценарии.
2. Системы, функционирующие на втором этапе осуществления атаки и
позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме
реального (или близкого к реальному) времени. Именно эти средства и принято
считать системами обнаружения атак в классическом понимании. Помимо
этого в последнее время выделяется новый класс средств обнаружения атак –
обманные системы.
Обнаружение атак реализуется посредством анализа или журналов
регистрации операционной системы и прикладного программного обеспечения,
или сетевого трафика в реальном времени. Компоненты обнаружения атак,
размещенные на узлах или сегментах сети, оценивают различные действия, в
том числе и использующие известные уязвимости, сравнивая контролируемое
пространство (сетевой трафик или журналы регистрации) с известными
шаблонами (сигнатурами) несанкционированных действий.
Обманные системы могут использовать следующие методы: сокрытие,
камуфляж и дезинформацию. Ярким примером использования первого метода
является сокрытие сетевой топологии при помощи межсетевого экрана.
Примером камуфляжа можно назвать использование Unix-подобного
графического интерфейса в системе, функционирующей под управлением
операционной системы Windows NT. Если злоумышленник случайно увидел
такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС
Unix, а не для ОС Windows NT . Это существенно увеличит время, необходимое
для «успешной» реализации атаки. И наконец, в качестве примера
дезинформации можно назвать использование заголовков, которые бы давали
понять злоумышленнику, что атакуемая им система уязвима.
Системы, реализующие камуфляж и дезинформацию, эмулируют те или
иные известные уязвимости, которых в реальности не существует.
Использование таких систем приводит к следующему.
• Увеличение числа выполняемых нарушителем операций и действий. Так
как невозможно заранее определить, является ли обнаруженная нарушителем
18
уязвимость истинной или нет, злоумышленнику приходится выполнять много
дополнительных действий, чтобы выяснить это. И даже дополнительные
действия не всегда помогают. Например, попытка запустить программу подбора
паролей на сфальсифицированный и несуществующий в реальности файл
приведёт к бесполезной трате времени без какого-либо видимого результата.
Нападающий будет думать, что он не смог подобрать пароли, в то время как на
самом деле программа «взлома» была просто обманута.
• Получение возможности отследить нападающих. За тот период времени,
когда нападающие пытаются проверить все обнаруженные уязвимости, в том
числе и фиктивные, администраторы безопасности могут проследить весь путь
до нарушителя или нарушителей и предпринять соответствующие меры.
3. Системы, функционирующие на третьем этапе осуществления атаки и
позволяющие обнаружить уже совершённые атаки. Эти системы делятся на два
класса – системы контроля целостности, обнаруживающие изменения
контролируемых ресурсов, и системы анализа журналов регистрации.
Системы контроля целостности работают по замкнутому циклу, обрабатывая
файлы, системные объекты и атрибуты системных объектов с целью получения
контрольных сумм; затем они сравнивают их с предыдущими контрольными
суммами, отыскивая изменения. Когда изменение обнаружено, система посылает
сообщение администратору, фиксируя вероятное время изменения.
Существует ещё одна распространённая классификация систем обнаружения
нарушения политики безопасности – по принципу реализации: host-based, т.е.
обнаруживающие атаки, направленные на конкретный узел сети, и network-
based, направленные на всю сеть или сегмент сети. Существуют три основных
вида систем обнаружения атак на уровне узла.
4. Системы, обнаруживающие атаки на конкретные приложения.
5. Системы, обнаруживающие атаки на операционные системы.
6. Системы, обнаруживающие атаки на системы управления базами данных
(СУБД).
3.2. Средства и методы обеспечения целостности информации
Информационная безопасность компьютерных систем обеспечивается рядом
мероприятий, проводящихся в двух основных направлениях:
• обеспечение целостности данных;
• защита информации от несанкционированного доступа.
Целостность данных подразумевает их неизменность (физическую
19
целостность) и непротиворечивость (логическую целостность). Поддержание
неизменности данных включает:
1) защиту от случайного удаления или повреждения в результате действий
пользователя или сбоев в работе программных систем;
2) защиту от разрушающих действий компьютерных вирусов.
Смежным вопросом является разработка методов оценки и обеспечения
надежности функционирования программных информационных систем.
Надёжная АС предполагает:
- точное и своевременное выполнение всех функций;
- отсутствие ошибок в программных и аппаратных средствах;
- наличие функций предупреждения сбоев и отказов при возникновении
ошибок;
- оперативное восстановление работоспособности системы после
возникновения ошибок;
- наличие функций резервирования информации и поддержания
эталонного состояния рабочей среды компьютера.
По данным исследовательского центра DataPro Research, опубликованным в
1998 году, основные причины повреждений электронной информации
распределились следующим образом:
неумышленная ошибка человека – 52% случаев;
умышленные действия человека – 10% случаев;
отказ техники – 10% случаев;
повреждения в результате пожара – 15% случаев;
повреждения водой – 10% случаев.
Как видно, в половине случаев причиной повреждения или потери
информации стали ошибочные действия пользователей, что заставляет
предпринимать дополнительные меры по её защите, даже если
информация не является
конфиденциальной.
Основные мероприятия по защите целостности данных:
резервирование (создание копий) данных;
обеспечение доступа к данным в режиме «только для чтения» (запрет
изменения);
защита данных (файлов и папок) от удаления.
В сетевых операционных системах вопросы защиты целостности данных
20