книги / Основы информационной безопасности
..pdfОткрытые предназначены для передачи неконфиденциальной информации.
Закрытые, или защищенные каналы передачи – это каналы, в которых предусмотрены возможности защиты передаваемой информации от несанкционированного ее съема.
Возможными каналами преднамеренного несанкционированного доступа к информации при отсутствии защиты в автоматизированной информационной системе могут быть:
–штатные каналы доступа к информации (терминалы пользователей, отображения и документирования информации, носители информации, средства загрузки программного обеспечения, внешние каналы связи) при их незаконном использовании;
–технологические пульты и органы управления; внутренний монтаж аппаратуры;
–линии связи между аппаратными средствами;
–побочное электромагнитное излучение, несущее информацию;
–побочные наводки на цепях электропитания, заземления аппаратуры;
–вспомогательные и посторонние коммуникации, размещенные вблизи компьютерной системы.
Для предотвращения возможной утечки информации и нарушения ее целостности на объектах ее обработки разрабатывается и внедряется системазащитыинформации, реализующаяразличныеспособы, средства и методы защиты информации.
Вопросы для самоконтроля к главе 7
1.Что понимают под каналом утечки информации?
2.Назовите основные причины утечки информации.
3.Перечислите основные каналы утечки информации. Кратко охарактеризуйте их.
291
ГЛАВА 8
СТРАТЕГИИ, МОДЕЛИ И СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
8.1. Стратегии обеспечения информационной безопасности
Стратегия – это общая, рассчитанная на перспективу, руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.
Организация обеспечения информационной безопасности в самом общем виде может быть определена как поиск оптимального компромисса между требованиями к ее обеспечению и необходимыми для этих целей ресурсами.
Потребности в обеспечении информационной безопасности обуславливаются прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования
иопределяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта
иего компонентов и другими параметрами.
Размер ресурсов на обеспечение информационной безопасности может быть ограничен определенным пределом либо определяется условием обязательного достижения ее требуемого уровня. В первом случае информационная безопасность должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень информационной безопасности, а во втором – чтобы требуемый уровень информационной безопасности обеспечивался при минимальном расходовании ресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная постановка оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.
292
Первая– процессыинформационнойбезопасностинаходятсявзначительной зависимости от большого числа случайных и труднопредсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.
Вторая – организационные меры, связанные с действием человека. Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню информационной безопасностиистепенисвободыдействийприееорганизации. Значенияпервого критерия лучше всего выразить множеством тех угроз, относительно кото-
рыхдолжнабытьобеспеченаинформационнаябезопасность:
1)от наиболее опасных из известных (ранее появившихся) угроз;
2)ото всех известных угроз;
3)ото всех потенциально возможных угроз.
Второй критерий выбора стратегий обеспечения информационной безопасности сводится к тому, что организаторы и исполнители процессов обеспечения информационной безопасности имеют относительно полную свободу распоряжения методами и средствами обеспечения информационной безопасности и некоторую степень свободы вмешательствавархитектурноепостроениесистемыобработкиинформации, атакже в организацию и обеспечение технологии ее функционирования.
Практически можно выделить три основные стратегии, представленные в табл. 8.2.
|
Стратегии защиты информации |
Таблица 8.2 |
|
|
|
||
|
|
|
|
Учитываемые |
Влияние на системы обработки информации |
||
угрозы |
Отсутствует |
Частичное |
Полное |
|
|
|
|
Наиболее |
оборонительная |
|
|
опасные |
стратегия |
|
|
|
|
|
|
Все известные |
|
наступательная |
|
|
стратегия |
|
|
|
|
|
|
|
|
|
|
Все потен- |
|
|
упреждающая |
циально |
|
|
|
|
|
стратегия |
|
возможные |
|
|
|
|
|
|
|
|
|
|
|
293
Так, выбирая оборонительную стратегию, подразумевают, что принедопущении вмешательства впроцессфункционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использования технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.
Если стратегия обеспечения информационной безопасности – это множество процедур, технологий и требований к конкретной системе, то модель информационной безопасности – это абстрактное описание поведения целого класса систем без рассмотрения конкретных деталей их реализации. Модели безопасности являются полезным инструментарием при разработке определенных стратегий.
Стратегия информационной безопасности может быть представлена в неформальном и формальном виде.
Для неформальных стратегий широкое распространение получило описание правил доступа субъектов к объектам в виде таблиц. Такие таблицы подразумевают, что субъекты и объекты, а также типы доступа для данной системы определены. Это позволяет составить таблицу в виде отдельных колонок для различных типов доступа и для соответствующих отношений, которые должны соблюдаться между субъектом и объектом по данному типу доступа.
Преимуществом такого способа представления системы безопасностиявляетсято, чтоонагораздолегчедляпониманиямалоквалифицированными пользователями и разработчиками, чем формальное описание, так как для ее восприятия не требуется специальных математических знаний. Это снижает уровень помех, создаваемых безопасностью в использовании данной системы. Основным недостатком является то, что притакойформепредставлениясистемыбезопасностигораздолегчедопуститьлогическиеошибки, аболеесложныевыражениябудетзатруднительно представить в табличной форме. Использование неформальных примечаний для разрешения такого рода проблем только увеличивает
294
вероятность появления ошибки. Особенно это справедливо для политик безопасностинетривиальныхсистем, подобныхмногопользовательским операционным системам. В результате разработчики (а в дальнейшем и пользователи) безопасных компьютерных систем начали применять формальные средства для описания системы безопасности.
Чаше всего в основе формальных систем безопасности лежат модели безопасности. Преимуществом формального описания является отсутствие противоречий в системах безопасности и возможность теоретического доказательства безопасности системы присоблюдении всех условий стратегии и политики безопасности.
8.2. Основные виды моделей обеспечения информационной безопасности
Модели безопасности могут быть разделены на группы:
–разграничения доступа и мандатные модели;
–контроля целостности;
–отказа в обслуживании;
–анализа безопасности программного обеспечения (ПО);
–взаимодействия объектов вычислительной сети (ВС).
Наиболее важными характеристиками множества субъектов и объектов системы информационной безопасности, по которым они могут быть классифицированы, являются модели разграничения доступа. Их можно объединить в три основные группы моделей доступа:
–предоставления прав;
–вероятностные;
–основанные на принципах теории информации К. Шеннона. Модели предоставления прав могут быть двух типов: дискретного
имандатного доступа.
Модели дискретного доступа предоставляют пользователю право доступа к объекту, которое неформально может быть описано как «билет». Владение «билетом» разрешает доступ к некоторому объекту, указанному в билете, при осуществлении дискретного подхода к нему.
Модели дискретного доступа с различными модификациями основаны на следующих идеях. Система защиты представляется в виде некоторого декартова произведения множеств, составными частями которых являются части системы защиты, например субъекты,
295
объекты, уровни доступа, операции и т. д. В качестве математического аппарата выбирается аппарат теории множеств.
Одной из первых моделей безопасности была модель АДЕПТ-50. Достоинством моделей дискретного доступа является относительная простота. В качестве примера реализации данного типа моделей можнопривеститакназываемуюматрицудоступа, строкикоторойсоответствуютсубъектамсистемы, астолбцы– объектам; элементыматрицы характеризуют правадоступа. Кнедостаткам относится статичность модели. Это означает то, что модель не учитывает динамику изменений состояния информационной системы и не накладывает ограничений на ее
состояние.
Модели дискретного доступа обеспечивают хорошо гранулированную защиту, но обладают рядом недостатков. В частности, в системах существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Так, троянская программа может выглядеть как вполне хороший продукт, но реально она может оказаться даже более опасной, чем можно было бы ожидать.
Длятогочтобы понять, как может работать такой«троянский конь», вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются операционной системой. Троянские программы рассчитанынадовериепользователейккомпьютернойсистеме, когдаонинициирует встроенную последовательность операций и доверяет полученным результатам. При этом нарушитель может написать версию троянской программы, которая, будучи запущенной, от имени пользователя-жерт- вы передаст его информацию пользователю-нарушителю.
Мандатный доступ накладывает ограничения на передачу прав доступа от одного пользователя к другому. Это позволяет разрешить проблему «троянских коней». Классической моделью мандатного доступа, лежащей в основе построения многих систем и породившей остальные модели, является модель Белла – Лападула (БЛМ). Модель Белла – Лападула до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Она явля-
296
ется базисной для построения систем мандатного доступа. Идеи, заложенные в БЛМ, могут быть использованы при построении различных систем безопасности. Основным положением этой модели является то, что все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретных). Для предотвращения утечки информации к неуполномоченным субъектам этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности.
Модель защищенности сети дает описание требования безопасности для построения защищенной сети.
Предполагается, что имеется множество защищенных и незащищенных станций, связанных в сеть. При этом компонентами сети являются хосты, устройства ввода/вывода и устройства вывода (принтеры). Каждый компонент сети имеет классификацию защищенности, а пользователь сети – уровень благонадежности:
Модель сети содержит следующие предположения безопасности.
1.На хостах сети существует надежная схема пользовательской аутентификации. Каждый пользователь и процесс в сети имеет уникальный идентификатор.
2.Только пользователь с ролью «офицер безопасности сети» может присваивать классы безопасности субъектам и компонентам сети
ироли пользователям.
3.Все сущности сети имеют сравнимые классы безопасности:
4.Имеет место надежная передача данных по сети.
5.В сети реализована надежная криптозащита.
Вероятностные модели исследуют вероятность преодоления системы защиты за определенное время. К достоинствам моделей данного типа можно отнести числовую оценку стойкости системы защиты, а к недостаткам – изначальное допущение того, что система защиты может быть вскрыта. Задачей таких моделей является минимизация вероятности преодоления системы защиты. К ним относятся игровая модель и модель системы безопасности с полным перекрытием.
Игровая модель системы защиты строится по следующей технологии. Разработчик создает первоначальный вариант системы защиты. После этого злоумышленник начинает его преодолевать. Если к определен-
297
ному моменту времени, в который злоумышленник преодолел систему защиты, у разработчика нет нового варианта, то система защиты преодолена, а если нет – процесс продолжается. Данная модель описывает процесс эволюции системы защиты в течение времени.
Модель системы безопасности с полным перекрытием предполагает, что система должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему.
В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов сопряжен с некоторой величиной ущерба, и он может (или не может) быть определен количественно.
С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Перечисление потенциальных злоумышленных действий по отношению ко всем объектам позволяет сформировать набор угроз, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.
Основное преимущество данного типа моделей состоит в возможности численного получения оценки степени надежности системы защиты процессов переработки информации. Данный метод не специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами аналогичных моделей.
При синтезе систем защиты процессов переработки информации данный подход полезен тем, что позволяет минимизировать накладные расходы (ресурсы вычислительной системы) для реализации заданного уровня безопасности. Модели данного типа могут использоваться при анализе эффективности внешних по отношению к защищаемой системе средствзащитыпроцессовпереработкиинформации. Примеромиспользованияданноймоделиявляетсяанализнаееосновевероятностивскры-
298
тия за конечный временной промежуток средств защиты, предлагаемых для системы MS DOS. Для систем защиты, построенных на основании других моделей, эта модель может применяться для анализа эффективности процедуры идентификации/аутентификации. При анализе систем защиты процессов переработки информации модели данного типа позволяют оценить вероятность преодоления системы защиты и степень ущерба системе в случае преодоления системы защиты.
Модели, основанные на принципах теории информации К. Шеннона, определяют ограничения на отношение ввода/вывода системы, которыечастодостаточныдляреализациисистемы. Информационные(потоковые) моделиневмешательстваиневыводимостиявляютсярезультатом применения шенноновской теории информации к проблеме безопасности систем. Метод, реализующий приведенные спецификации, должен определять разработчик. Теория данных математических моделей бурно развивается в настоящее время.
Модель невмешательства базируется на понятии «невмешательство». Невмешательство – это ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого.
Модель невыводимости определяется терминами «пользователь» и «информация», связанными с одним из двух возможных уровней секретности (высоким и низким). Система считается невыводимо безопасной, если пользователи с низкими уровнями безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности. Другимисловами, втакихсистемахутечкаинформациинеможетпроизойти в результате посылки высокоуровневыми пользователями высокоуровневой информации к низкоуровневым пользователям. Интуитивно это определение относится не к информационным потокам, а к разделению информации. Однако такое определение безопасности не предохраняет информацию высокоуровневых пользователей от просмотра низкоуровневыми пользователями. Оно просто требует, чтобы низкоуровневые пользователи не были способны использовать доступную им информацию для получения высокоуровневой информации (это объясняет понятие невыводимости в моделях).
299
Модели контроля целостности информации в системе – это модели, аналогичные БЛМ (модели Биба, Кларка – Вилсона), используемые для синтеза механизмов контроля целостности информации в системе. Эти модели сформулированы в виде набора неформальных правил, и их можно назвать технологиями контроля целостности.
Модели защиты при отказе в обслуживании – это модели, описывающие процедуры выполнения запросов в период отказа в обслуживании.
Монитор пересылок безопасных вычислительных систем служит промежуточным звеном при запросе услуг пользователями.
Такой промежуточный монитор пересылок позволяет рассмотреть запросыуслугвтерминахпростоймодели, вкоторойпользователиявляютсялибозарегистрированными, либонезарегистрированными, обеспечиваются запрашиваемой услугой или получают отказ. В случаях, когда зарегистрированным пользователям не предоставляется запрашиваемая услуга, имеет место отказ в обслуживании (ОБО).
В понятия предоставления или отказа в обслуживании должно быть включено время. Включение времени в простую модель запроса услуг основано на том, что каждая услуга должна быть связана с некоторым периодом времени, называемом максимальным временем ожидания, которое определяется как длина промежутка времени после запроса услуги, в течение которого считается приемлемым предоставление этой услуги. Максимальное время ожидания рассматривается как период времени, в течение которого запрашиваемая услуга не устаревает, но если после запроса услуга обеспечивается в течение слишком долгого времени, то может случиться так, что ее нельзя будет использовать.
Модель анализа безопасности программного обеспечения
Решение задачи анализа информационной безопасности программ в первую очередь требует создания теоретических основ анализа безопасности программного обеспечения, состоящих из концептуальной модели вычислительной системы и обобщенной модели разрушающего программного средства, что позволит осуществить формальную постановку задачи анализа безопасности программного обеспечения и предложить основные пути ее решения.
Наиболее перспективным с точки зрения анализа безопасности представляется объектно-ориентированный подход, рассматривающий
300