Иванов М.А. КМЗИ сети
.pdfмационной безопасности. Высочайшая степень автоматизации, к которой стремится человечество, широкое внедрение дешевых компьютерных систем массового применения и спроса делают их чрезвычайно уязвимыми по отношению к деструктивным воздействиям, ставят современное общество в зависимость от степени безопасности используемых информационных технологий.
Появление персональных компьютеров расширило возможности не только пользователей, но и нарушителей. Важнейшей ха-
рактеристикой любой компьютерной системы, независимо от ее сложности и назначения, становится безопасность циркулирующей в ней информации.
Информационная безопасность давно стала самостоятельным направлением исследований и разработок. Однако, несмотря на это, проблем не становится меньше. Это объясняется появлением всё новых компьютерных технологий, которые не только создают новые проблемы информационной безопасности, но и представляют, казалось бы, уже решенные вопросы совершенно в новом ракурсе. Кроме того, появление новых компьютерных технологий, новых математических методов дают в руки нарушителей и создателей разрушающих программных воздействий (РПВ) все новые и новые возможности [29].
Главная причина трудоемкости решения задачи обеспечения безопасности информации (ОБИ) в современных условиях – всё большее отстранение пользователей от процессов управления и обработки информации и передача его полномочий программному обеспечению (ПО), обладающему некоторой свободой в своих действиях и поэтому очень часто работающему вовсе не так, как предполагает пользователь.
Как отмечается в [11, 22, 25, 28, 30], трудоемкости решения задачи защиты информации также способствуют:
увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютерной техники; сосредоточение в единых базах данных информации различного назначения и принадлежности; расширение круга пользователей, имеющих доступ к ресур-
сам компьютерной системы и находящимся в ней массивам данных;
21
усложнение режимов функционирования технических средств компьютерной системы; увеличение количества технических средств и связей в КС;
повсеместное использование зарубежной элементной базы и ПО; повсеместное распространение сетевых технологий, объе-
динение локальных сетей в глобальные; появление новых транспортных средств передачи данных;
появление общедоступной, не находящейся ни в чьем владении сети Интернет, практически во всех сегментах которой отсутствуют какие-либо контролирующие или защитные механизмы; бурное развитие ПО, в большинстве своем не отвечающего
минимальным требованиям безопасности; наличие различных стилей программирования, появление
новых технологий программирования, затрудняющих оценку качества используемых программных продуктов; невозможность в современных условиях при осуществлении кредитно-финансовой деятельности (сферы, чрезвычайно привлекательной для злоумышленников) обойтись без активного взаимного информационного обмена среди субъектов этой деятельности.
Предмет защиты. Ценность информации является критерием при приятии любого решения о ее защите. Известно [4] следующее разделение информации по уровню важности:
жизненно важная незаменимая информация, наличие которой необходимо для функционирования компьютерной системы, организации и т.п.; важная информация – информация, которая может быть за-
менена или восстановлена, но процесс восстановления очень труден или связан с большими затратами; полезная информация – информация, которую трудно вос-
становить, однако компьютерная система или организация могут эффективно функционировать и без нее; несущественная информация.
Ценность информации обычно изменяется со временем и зависит от степени отношения к ней различных групп лиц, участвующих в процессе обработки информации [4]:
22
источников или поставщиков информации; держателей или обладателей, собственников информации;
владельцев систем передачи, сбора и обработки информации; законных пользователей или потребителей информации;
нарушителей, стремящихся получить информацию, к которой в нормальных условиях не имеют доступа.
Отношение этих групп лиц к значимости одной и той же информации может быть различным: для одной важная, для другой – нет. Например:
важная оперативная информация, такая, например, как список заказов на данную неделю или график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка; персональная информация, например медицинская, имеет значительно бόльшую ценность для источника (лица, к которому относится информация), чем для держателя или нарушителя; информация, используемая руководством для выработки
решений, например о перспективах рынка, может быть значительно более ценной для нарушителя, чем для источника или ее держателя, который уже завершил анализ этих данных.
Существует деление информации по уровню секретности, конфиденциальности. Признаками секретной информации является наличие, во-первых, законных пользователей, которые имеют право владеть этой информацией, во-вторых, незаконных пользователей (нарушителей, противников), стремящихся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям – во вред. Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные понятия: государственная тайна, военная тайна, коммерческая тайна, юридическая тайна, врачебная тайна и т.п.
Угрозы безопасности и методы защиты информации в КС.
Цель создания систем безопасности – предупреждение или оперативное устранение последствий умышленных (преднамерен-
ных) и случайных деструктивных воздействий, следствием которых могут быть разрушение, модификация или утечка инфор-
23
мации, а также дезинформация. В том случае, если объект атаки противника какой-то из компонентов системы (аппаратные средства или ПО) можно говорить о прерывании, когда компонент системы становится недоступен, теряет работоспособность или попросту утрачивается в результате обычной кражи; перехвате и (или) модификации, когда противник получает доступ к компоненту и (или) возможность манипулировать с ним; подделке, когда противнику удается добавить в систему некий компонент или процесс (разрушающее программное воздействие), файлы или записи в них [28].
Эффективная система ОБИ должна обеспечивать [22]: секретность всей информации или наиболее важной ее части; аутентичность субъектов и объектов информационного взаимодействия;
правильность функционирования компонентов системы в любой момент времени, в том числе отсутствие недекларируемых возможностей (НДВ); своевременный доступ пользователей к необходимой им информации или компонентам системы;
защиту авторских прав, прав собственников информации, возможность разрешения конфликтов; разграничение ответственности за нарушение правил информационных взаимоотношений;
оперативный контроль правильности реализации алгоритма управления, в том числе контроль хода выполнения программ; непрерывный анализ защищенности процессов управления,
обработки и передачи информации.
Как будет показано далее, при создании электронных платежных систем, помимо перечисленных функций, необходимо обеспечивать неотслеживаемость информации, например для обеспечения анонимности участников финансовых транзакций.
Следует отметить два важных факта. Во-первых, как уже отмечалось выше, в зависимости от объекта защиты возможна различная расстановка приоритетов среди перечисленных свойств системы безопасности. В случае защиты государственных секретов наивысший приоритет имеет секретность информации. При
24
защите же, например, банковской платежной системы наиболее важными свойствами следует признать обеспечение своевременного доступа пользователей к необходимым им ресурсам системы и достоверность информации. Во-вторых, имеет место трудноразрешимое противоречие между эффективным выполнением системой своих основных функций и степенью обеспечения в ней необходимого уровня безопасности. Чем более высокие требования предъявляются к безопасности системы, тем большее количество ее ресурсов оказывается задействованным для обеспечения этих требований, соответственно тем неудобнее пользователям, работающим в этой системе. И наоборот, чем больше ресурсов выделяется для эффективной работы пользователей, тем меньше их остается для решения задачи обеспечения безопасности.
Назначение средств обеспечения секретности и конфиденциальности – защитить информацию от пассивных атак. При этом иногда устанавливается несколько уровней защиты в зависимости от важности содержимого сообщений.
Конфиденциальную информацию можно разделить на предметную и служебную, к последней относятся, например, пароли пользователей. Раскрытие служебной информации особенно опасно, поскольку последствием этого будет являться получение НСД ко всей информации, включая предметную.
В случае единичного сообщения назначение средств обеспечения аутентичности – проверка того, что источник данного сообщения – именно тот субъект, за которого выдает себя отправитель. При интерактивном взаимодействии эти средства, вопервых, должны гарантировать, что оба участника информационного взаимодействия аутентичны (т.е. действительно те, за кого себя выдают), а во-вторых, не должны допускать несанкционированного влияния на информационный обмен какой-либо третьей стороны.
Различают статическую и динамическую целостность данных. В тех случаях, когда злоумышленник вводит неверные (искаженные или фальсифицированные) данные или изменяет данные, имеет место статическое нарушение целостности. Потенциально уязвимы с точки зрения нарушения целостности не только
25
данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.
Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, дублирование или внесение дополнительных сообщений.
Назначение средств защиты целостности – гарантировать то, что принятые сообщения в точности соответствуют отправленным и не содержат изъятий, дополнений, повторов и изменений в порядке следования фрагментов. Может контролироваться целостность как частей сообщения, так и сообщения в целом, а также потока сообщений. Дополнительной функцией соответствующих средств (помимо основной – оперативного обнаружения нарушений целостности), может стать и восстановление искаженной информации [9].
Назначение средств управления доступом – исключить из процессов информационного взаимодействия незаконных участников (субъектов и объектов) и предотвратить выход законных участников за пределы своих полномочий. В процессе аутентификации субъекта выделяют три стадии: идентификация (проверка подлинности идентификаторов субъекта), собственно аутентификация и авторизация (проверка того, какие права предоставлены данному субъекту, какие ресурсы он может использовать, какие действия может совершать и пр.).
Аутентификация пользователей (субъектов) может быть основана на следующих принципах [25]:
предъявлении пользователем пароля; предъявлении пользователем доказательств, что он обладает
секретной ключевой информацией, в том числе возможно хранящейся на смарт-карте; предъявлении пользователем некоторых признаков, неразрывно связанных с ним;
установлении подлинности пользователя некой третьей, доверенной стороной.
Если сообщение было отправлено не внушающим доверия отправителем, получатель должен иметь возможность доказать, что сообщение действительно отправлено. И наоборот, если сообщение отправлено не внушающему доверия получателю, от-
26
правитель должен иметь возможность доказать, что сообщение этим адресатом получено.
Назначение соответствующих средств обеспечения доступности – обеспечить своевременный доступ пользователей к необходимой им информации и ресурсам информационной системы. Задача обеспечения доступности – комплексная, для ее решения применяются как методы защиты от НСД, так и специализированные методы защиты от разрушающих программных воздействий (РПВ) [29].
Очень часто имеет место взаимодействие различных аспектов информационной безопасности. НСД к служебной информации, например, может являться предпосылкой для последующего нарушения целостности или доступности.
Конфиденциальность, целостность и доступность информации могут быть нарушены как в результате преднамеренных действий злоумышленника, так и в результате объективных воздействий со стороны среды.
Причинами случайных деструктивных воздействий, которым подвергается информация в процессе ввода, хранения, обработки, вывода и передачи, могут быть [22]:
отказы и сбои аппаратуры; помехи на линиях связи от воздействий внешней среды;
ошибки человека как звена системы; ошибки разработчиков аппаратного и (или) программного обеспечения; аварийные ситуации.
К методам защиты от случайных воздействий можно отнести: помехоустойчивое кодирование; контролепригодное и отказоустойчивое проектирование;
процедуры контроля исправности, работоспособности и правильности функционирования аппаратуры; самоконтроль или самотестирование; контроль хода программ и микропрограмм.
Преднамеренные угрозы связаны с действиями нарушителя (злоумышленника), который при этом может воспользоваться как штатными (законными), так и другими каналами доступа к информации в КС (рис. В.1). При этом согласно [22] в результате действий нарушителя, которым может являться как незакон-
27
ный, так и законный пользователь, информация подвергается следующим угрозам:
кража носителей информации и оборудования; несанкционированное копирование программ и данных; уничтожение или несанкционированная модификация информации или ПО; несанкционированный доступ (НСД) к секретной или кон-
фиденциальной информации (хранимой или передаваемой по каналам связи); представление себя в качестве другого лица с целью укло-
нения от ответственности, либо отказа от обязательств, либо с целью использования прав другого лица для:
отправки фальсифицированной информации; искажения имеющейся информации; НСД с помощью фальсификации или кражи идентификационных данных или их носителей;
фальсифицированной авторизации транзакций или их подтверждения;
приведение компонентов системы в неработоспособное состояние или состояние неправильного функционирования; уклонение от ответственности за созданную информацию; фальсификация источника информации или степени ответственности, например заявление о получении некоторой информации от другого абонента, хотя на самом деле информация была создана самим нарушителем; фальсификация времени отправки (получения) или самого факта отправки (получения) информации;
отказ от факта получения или передачи сообщения, в частности отказ от факта получения или передачи сообщения в определенный момент времени; расширение своих полномочий нарушителем, например на
получение доступа, создание информации, ее распространение и т.п.; несанкционированное создание учетных записей или изме-
нение (ограничение или расширение) полномочий других пользователей;
28
использование скрытых каналов передачи данных, например сокрытие наличия некоторой тайной информации в другой информации (стеганографическое скрытие информации); появление побочных каналов утечки секретной информации, например о промежуточных результатах работы криптоалгоритмов; внедрение в линию связи между другими абонентами в ка-
честве активного тайного ретранслятора; дискредитация защищенного протокола информационного
взаимодействия, например путем разглашения сведений, которые согласно этому протоколу должны храниться в секрете; изменение функций ПО (обычно с помощью добавления скрытых функций);
провоцирование других участников информационного взаимодействия на нарушение защищенного протокола, например путем предоставления неправильной информации; препятствование взаимодействию других абонентов, например путем скрытого вмешательства, вызывающего отказ в обслуживании или прекращение легального сеанса как якобы нелегального и пр.; разрыв связи и дальнейшая работа с системой под видом законного пользователя;
приведение системы в состояние, требующее незапланированных затрат ресурсов (например, на обслуживание поступающих сообщений и запросов, ведение оперативного контроля, восстановление работоспособности, устранение попыток нарушения безопасности и т.п.); фальсификация сообщений (например, выдача себя за дру-
гого пользователя; санкционирование ложных обменов информацией; навязывание ранее переданного сообщения; приписывание авторства сообщения, сформированного самим нарушителем, другому лицу и т.п.); нарушение протокола обмена информацией с целью его дискредитации;
имитация работы системы, анализ поведения интересующего компонента или анализ трафика с целью получения ин-
29
формации об идентификаторе пользователя, поиска каналов утечки информации, каналов скрытого влияния на объект, правилах вступления в связь и т.п.
Возможные каналы доступа к информации |
||||
Внешние каналы связи |
|
|
||
|
|
|
|
|
Штатные каналы |
|
Каналы несанкционированного доступа |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
Все перечисленные штатные средства |
|
|
|
|
при их использовании законными |
|
|
|
|
пользователями не по назначению |
|
|
|
|
или за пределами своих полномочий |
|
|
|
|
|
|
Терминалы |
|
|
|
|
|
|
|||
|
Все перечисленные штатные средства |
|||
пользователей |
|
|||
|
|
|
при их использовании |
|
|
|
|
||
Терминал |
|
незаконными пользователями |
||
|
|
|
||
администратора |
|
|
|
|
|
|
|
||
|
Технологический пульт управления |
|||
|
|
|
||
|
|
|
||
Терминал |
|
и контрольно-испытательная аппаратура |
||
|
|
|
||
оперативного контроля |
|
|
|
|
|
Внутренний монтаж аппаратуры |
|||
|
|
|
||
Средства отображения |
|
|
|
|
|
|
|
||
информации |
|
Линии связи между устройствами системы |
||
|
|
|
|
|
|
|
|
|
|
Средства загрузки ПО |
|
Побочное электромагнитное излучение |
||
|
|
|
|
|
|
|
|
|
|
Носители информации |
|
Побочные наводки информации |
||
|
|
|
|
|
|
|
|
|
|
Внешние каналы связи |
|
Отходы обработки информации |
||
|
|
|
|
|
Рис. В.1. Каналы доступа к информации в КС
На рис. В.2 показаны виды атак на протоколы информационного обмена.
30