книги / Основы информационной безопасности
..pdfкоманд, либо часть, узел аппаратуры (hardware), либо компьютерную программу (software), либо все это вместе, но в любом случае процесс шифрования/дешифрования единственным образом определяется выбранным специальным ключом. Для того чтобы обмен зашифрованными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне. Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, так чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
Шифрование может быть симметричным и асимметричным. Симметричноешифрованиеосновываетсянаиспользованииодногоитогоже секретного ключа для шифрования и дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования – другой, являющийся секретным; при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием используют и другие механизмы безопасности:
–цифровую (электронную) подпись;
–контроль доступа;
–обеспечение целостности данных;
–обеспечение аутентификации;
–постановку трафика;
–управление маршрутизацией;
–арбитраж, или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают в себя две процедуры: формирование подписи отправителем и ее опознавание (верификацию) полу-
251
чателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем вобоихслучаяхиспользуетсясекретный ключотправителя. Втораяпроцедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов автоматизированной информационной технологии (программ ипользователей) надоступкресурсамсети. Придоступекресурсучерез соединениеконтрольвыполняетсякаквточкеинициации, такивпромежуточных точках, а также в конечной точке.
Механизмы обеспечения целостности данных применяют как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако такой механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
Механизм обеспечения аутентификации включает в себя одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.
Механизмы постановки трафика, называемые также механизмами заполнения текста, используют для реализации засекречивания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этимнейтрализуетсявозможностьполученияинформациипосредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким обра-
252
зом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.
Механизмыарбитражаобеспечиваютподтверждениехарактеристик данных, передаваемых между объектами автоматизированной информационной технологии (АИТ), третьей стороной (арбитром). Для этого вся информация, отравляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики. В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
6.4. Категории и уровни информационной безопасности
Безопасность любого компонента информационной системы складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности. Принято считать, что вне зависи-
мости от конкретных видов угроз или их проблемно-ориентирован- ной классификации информационная безопасность систем обработки информации обеспечена, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной ее модификации) и доступности (возможности за разумное время получить требуемую информацию).
Доступность. Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т. п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Имеются в виду продажа железнодорожных и авиабилетов, банковские услуги и т. п.
253
Доступность информации – свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.
Доступность компонента означает, что имеющий соответствующие полномочия субъект может влюбое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
Целостность. Информация в информационных системах должна существовать в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). При этом субъектов интересует обеспечение более широкого свойства – достоверности информации, котороескладывается изадекватности(полнотыиточности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако рассмотрение вопросов обеспечения адекватности информации выходит далеко за рамки проблемы обеспечения информационной безопасности.
Целостность компонента системы предполагает, что он может быть модифицировантолькосубъектом, имеющимдляэтогосоответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) идинамическую (относящуюся к корректному выполнению сложных действий (транзакций)).
Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности – анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:
–ввести неверные данные;
–изменить данные.
254
Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы.
Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительныхсообщений(сетевых пакетовит. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.
Целостностьинформации– свойствоинформации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). При этом субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности.
Целостность компонента системы предполагает, что он может быть модифицировантолькосубъектом, имеющимдляэтогосоответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Конфиденциальность. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации. К сожалению, при практической реализации мер по обеспечению конфиденциальности современных информационных систем возникают серьезные трудности, в основном связанные с тем, что сведения о технических каналах утечки информации являются закрытыми, поэтому большинство пользователей лишены возможности составить полное представление о потенциальных рисках и степени их серьезности. Программные разработки охватывают лишь часть распространенных компьютерных платформ.
Конфиденциальность информации – субъективно определяе-
мая (приписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющихдоступкданнойинформации, иобеспечиваемаяспособностью системы (среды) сохранять указанную информацию в тайне от субъек-
255
тов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.
Иногда выделяют и другие свойства, например достоверность информации. Под достоверностью информации в информационном хранилище обычно понимают ее адекватность предметной области, которой соответствует данное информационное хранилище. Скорее все же достоверность относится не столько к предмету информационной безопасности, сколько определяет ценность хранимой информации, достоверность поддерживается соответствующей организацией работы информационной системы.
Можно сказать, что безопасность информационных систем – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нарушить доступность, целостность или конфиденциальность информации, а защита информации – это комплекс мер, направленных на обеспечение информационной безопасности.
Таким образом, целью защиты информационной системы является предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на ее компоненты, а также обеспечение конфиденциальности, целостности и доступности информации.
Далее мы остановимся подробнее на всех трех составляющих информационной безопасности, на угрозах этим составляющим и на способах защиты от этих угроз.
6.5. Угрозы конфиденциальности, целостности и доступности
Под угрозой безопасности информации будем понимать действие или событие, которое может привести к нарушению достоверности, целостности или конфиденциальности хранящейся, передаваемой или обрабатываемой информации. Обратим внимание, что мы говорим о защите не только хранящейся в информационной базе информации,
256
но и информации, которая передается по каналам связи или обрабатывается программным обеспечением.
Дадим определение некоторым понятиям, которые часто используются при анализе безопасности информационных систем.
Атака – попытка реализовать угрозу. Злоумышленник – тот, кто осуществляет атаку. Источник угрозы – потенциальный злоумышленник.
Окно опасности – промежуток времени от начала возникновения возможности использовать слабое место в защите до момента, когда это слабое место будет ликвидировано.
Один из возможных подходов к классификации угроз информационным системам фактически был изложен в предыдущем подразделе.
Угрозы, таким образом, можно поделить на три класса: угрозы доступности информации, угрозы целостности информации и угрозы конфиденциальности информации (рис. 6.4).
Угрозы конфиденциальности данных и программ. Угроза нару-
шения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа
кней. В терминах информационной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ
кнекоторой информации ограниченного пользования, хранящейся в ин-
Рис. 6.4. Виды угроз информации
257
формационной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности используется термин «утечка».
Угрозы конфиденциальности данных и программ реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки, при этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера. Такой съем информации представляет собой сложную техническую задачу и требует привлечения квалифицированных специалистов. С помощью приемного устройства, выполненного на базе стандартного телевизора, можно перехватывать информацию, выводимую на экраны дисплеев компьютеров с расстояния в тысячу и более метров. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за процессом обмена сообщениями без доступа к их содержанию.
Угрозы целостности данных, программ, аппаратуры. Угроза на-
рушения целостности включает в себя любое умышленное изменение информации, хранящейся в информационной системе или передаваемой изоднойсистемывдругую. Когдазлоумышленникипреднамеренноизменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).
Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой. Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (невер-
258
ной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений, целостность аппаратуры нарушается приееповреждении, похищенииилинезаконномизмененииалгоритмов работы.
Угрозы доступности данных возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.
Угрозы отказа от выполнения трансакций, которые возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системныхадминистраторовидругихлиц, обслуживающих информационные системы.
Иногдатакиеошибкииявляютсясобственноугрозами(неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65 % потерь – следствие непреднамеренных ошибок.
Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.
Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль.
Угрозы доступности в зависимости от воздействия их на компоненты информационной системы можно классифицировать по следующим признакам:
–отказ пользователей;
–внутренний отказ информационной системы;
259
– отказ поддерживающей инфраструктуры.
Применительно к пользователям рассматриваются следующие угрозы:
–нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и прирасхождениимеждузапросамипользователейифактическими возможностями и техническими характеристиками);
–невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.);
–невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п.).
Основными источниками внутренних отказов являются:
–отступление (случайное или умышленное) от установленных правил эксплуатации;
–выход системы из штатного режима эксплуатации в силу случайныхилипреднамеренныхдействийпользователейилиобслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);
–ошибки при конфигурировании или переконфигурировании системы;
–отказы программного и аппаратного обеспечения;
–разрушение данных;
–разрушение или повреждение аппаратуры.
Поотношениюкподдерживающейинфраструктуреможнорассматривать следующие угрозы:
–нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
–разрушение или повреждение помещений;
–невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т. п.).
260