Иванов М.А. КМЗИ сети
.pdf
Источник |
Нормальный процесс |
Приемник |
||
информации |
информационного взаимодействия |
информации |
||
|
|
|
|
|
|
|
|
|
|
Пассивная атака – перехват (нарушение секретности информации) Цель – раскрытие содержания сообщения или анализ потока данных
Активная атака – разъединение (нарушение доступности компонента или ресурса информационной системы)
Активная атака – искусcтвенное создание помех (нарушение доступности, создание предпосылок для компрометации защищенного протокола взаимодействия при некорректной реакции на сбои в его работе)
Активная атака – модификация (нарушение целостности)
Активная атака – фальсификация (нарушение аутентичности) Рис. В.2. Виды атак на протоколы информационного взаимодействия
Для каждого типа угроз обычно можно предложить одну или несколько мер противодействия, целью применения которых является уменьшение риска либо за счет уменьшения вероятности осуществления угрозы, либо за счет уменьшения последствий реализации угрозы. В совокупности указанные меры образуют политику безопасности. Основные характеристики каждой меры
31
противодействия – эффективность и стоимость, именно они являются основой для проведения рациональной с экономической точки зрения политики безопасности. При оценке угроз со стороны противника следует учитывать также стоимость их реализации. «Нормальный» противник не будет расходовать на реализацию угрозы больше средств, чем он может получить от последствий ее исполнения. Поэтому одной из целей мер противодействия может стать увеличение цены нарушения безопасности системы до уровня, превышающего оценку достигаемого противником выигрыша. С учетом различных экономических и социальных санкций, которые ждут нарушителя в случае обнаружения его действий, эффективной мерой защиты может являться всего лишь оперативное обнаружение факта реализации угрозы.
Вторая группа методов защиты (рис. В.3) значительно обширнее и включает в себя:
методы защиты от несанкционированного доступа (НСД) к информации; методы защиты от РПВ;
организационные методы защиты, направленные на защиту от НСД, защиту от РПВ, совершенствование защиты и восстановление информации.
Помимо рассмотренных на рис. В.3 можно выделить также следующие методы защиты информации [22]:
законодательные меры; принципы и правила работы в системе, уменьшающие риск
нарушения безопасности, например регулярное создание резервных копий системы или наиболее важных ее компонентов, установление определенной процедуры копирования; формирование этических норм для пользователей, своего рода «кодекса поведения», согласно которому считаются неэтичными любые умышленные или неумышленные действия, которые могут нарушить нормальную работу системы. На рис. В.4 и В.5 показаны соответственно модель системы защиты информационного взаимодействия по каналам связи и
модель системы защиты от РПВ.
Наиболее распространенные угрозы ИБ. Самые частые и самые опасные с точки зрения размера ущерба – непреднамеренные ошибки программистов, законных пользователей, системных администраторов, администраторов безопасности, обслуживающего персонала. Во многих случаях такие ошибки и являют-
32
ся собственно угрозами. По некоторым данным, до 65 % потерь
– следствие непреднамеренных ошибок, причины которых – безграмотность и небрежность в работе [9].
Методы защиты информации от умышленных деструктивных воздействий
Методы защиты от НСД
Обеспечение физической безопасности компонентов системы
Разграничение
доступа
Разделение доступа
Криптографическое
преобразование
Стеганографическое
преобразование
Очистка
освобождающейся
памяти
Методы защиты от РПВ
Межсетевое
экранирование
Обнаружение
вторжений
Анализ защищенности (тестирование
на проникновение)
Внесение
неопределенности
вработу объектов
исредств защиты
Создание ложных объектов атаки
Стегоанализ
Сигнатурный анализ
Эвристический
анализ
Эмуляция
процессора
Мониторинг потенциально опасных действий
Контроль хода выполнения программ
Аудит
Обнаружение
несанкционированных изменений файлов
исистемных областей
сиспользованием контрольных кодов целостности
Организационные методы защиты
Ограничение
доступа
Обязательное сканирование всей входящей информации
Оперативное устранение обнаруженных уязвимостей
Периодическое сканирование дисков
Оперативное обновление баз сигнатур
и эвристических признаков РПВ
Периодическое обновление ключевой информации
Периодический анализ защищенности
Обучение пользователей основам информационной безопасности
Резервное
копирование
Рис. В.3. Классификация методов защиты КС от умышленных деструктивных воздействий
33
Абонент А |
|
|
|
|
|
|
|
Абонент B |
|||||
(отправитель) |
|
|
|
|
|
|
|
(получатель) |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сообщение |
|
|
Доверенная |
|
|
|
|
Сообщение |
|||||
|
|
|
|
|
|
|
третья |
|
|
|
|
|
|
|
Секретная |
|
|
сторона |
|
|
Секретная |
|
|||||
|
информация |
|
|
|
|
|
информация |
|
|||||
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Преобразование, |
|
|
|
|
|
|
|
|
Преобразование, |
||||
обеспечивающее |
|
|
|
|
|
|
|
|
|
|
обеспечивающее |
||
|
|
|
|
|
|
|
|
|
|||||
защиту |
|
|
|
|
|
|
|
защиту |
|||||
|
|
Канал |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
связи |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Противник
Рис. В.4. Модель системы защиты удаленного взаимодействия двух абонентов
|
|
|
|
|
Информационная |
|
|
|
|
||||
|
|
|
|
|
|
Функциональные |
|
||||||
|
|
|
|
|
|
система |
|
|
|||||
|
|
|
|
|
|
|
объекты ИС |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Канал |
|
|
|
«Привратник» |
|
|
|
|
Данные |
|
|||
|
|
|
|
|
|
|
|
|
|
||||
доступа |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Внутренние |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
средства защиты |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Противник: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
хакеры; |
|
|
|
|
|
|
|
|
|
Средства анализа |
|
||
РПВ |
|
|
|
|
|
|
|
|
|
защищенности |
|
||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. В.5. Модель системы защиты от РПВ
34
Самые радикальные способы борьбы с непреднамеренными ошибками – обучение пользователей основам информационной безопасности, максимальная автоматизация и строгий контроль.
Административный уровень информационной безопасно-
сти. К административному уровню ИБ относятся действия общего характера, осуществляемые руководством организации. Главная цель этих мер заключается в разработке программы работ в области ИБ и обеспечении ее выполнения путем выделения необходимых ресурсов и контроля за состоянием дел. Политика безопасности (иначе говоря, стратегия организации в области ИБ) строится на основе анализа рисков, которые признаются реальными для информационной системы организации.
Политику безопасности следует рассматривать на трех уровнях детализации. К верхнему уровню относят решения, затрагивающие организацию в целом. Цели на этом уровне формулируются в терминах «доступность», «аутентичность» и «конфиденциальность».
К среднему уровню относят такие вопросы, касающиеся ИБ, как отношение к передовым (но, скорее всего, недостаточно проверенным) технологиям, подключение к Интернету, применение нелицензионного ПО и т.п.
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Решаются вопросы, касающиеся того, кто имеет право доступа к объектам, поддерживаемым сервисом; при каких условиях можно читать и модифицировать данные; как организовать удаленный доступ к сервису [9].
Управление рисками. Использование информационных систем связано с некоторой совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принимать экономически оправданные меры защиты. Периодическая переоценка рисков необходима для контроля эффективности деятельности в области ИБ и учета изменений обстановки.
С количественной точки зрения уровень риска суть функция вероятности реализации соответствующей угрозы и размера возможного ущерба.
Управление рисками включает в себя (пере)оценку рисков и выбор эффективных и экономичных защитных механизмов для
35
нейтрализации рисков. По отношению к выявленным рискам возможны следующие действия:
ликвидация риска (например, за счет устранения причины); уменьшение риска до допустимого уровня; принятие риска и выработка плана действий при реализации соответствующей угрозы;
переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
выбор анализируемых объектов и уровня детализации их рассмотрения; анализ угроз и их последствий;
выявление уязвимых мест в защите; оценка рисков; выбор защитных мер;
оценка остаточного риска [9].
Процедурный уровень информационной безопасности.
Рассмотрим меры безопасности, которые ориентированы на человека – самое слабое звено любой информационной системы.
На процедурном уровне можно выделить следующие меры: обучение пользователей основам информационной безопасности; управление персоналом путем реализации двух принципов:
разделения обязанностей и минимизации привилегий; физическая защита, основным принципом которой является непрерывность защиты во времени и пространстве; поддержание работоспособности компонентов КС, в том числе поддержание ПО и документации в актуальном состоянии, резервное копирование программ и данных, контроль за проведением регламентных работ; реагирование на нарушение политики информационной
безопасности с целью локализации инцидента и уменьшения наносимого вреда, выявления нарушителя и предупреждения повторных нарушений; планирование восстановительных работ с целью подготовки
к различного рода внештатным ситуациям, уменьшения
36
ущерба в случае их возникновения и сохранение работоспособности КС хотя бы в минимальном объеме [9].
Криптографические методы ОБИ. Анализ угроз безопасно-
сти в КС, тенденции развития информационных технологий дают все основания сделать вывод о постоянном возрастании роли криптографических методов при решении задач аутентификации в распределенных системах, обеспечения секретности данных при их передаче по открытым каналам связи, юридической значимости результатов информационного обмена. В публикациях по теме информационной безопасности криптографической защите уделяется особое внимания, так как специалисты считают ее наиболее надежной, а в некоторых ситуациях единственно возможным механизмом защиты.
Встандартных криптографических протоколах широко используется модель угроз уязвимой среды Долева–Яо, согласно которой злоумышленник может [21, 30]:
перехватить любое сообщение, передаваемое по сети; являться законным пользователем и вступать в контакт с любым другим пользователем; получать сообщения от любого пользователя;
посылать сообщения любому пользователю, маскируясь под любого другого пользователя.
Криптографические методы защиты информации являются предметом исследования современной криптологии, включающую в себя два основных раздела, цели которых прямо противоположны:
1)криптографию, разрабатывающую способы преобразования (шифрования или хеширования) информации с целью ее защиты от злоумышленников, обеспечения ее секрет-
ности, аутентичности и неотслеживаемости;
2)криптоанализ, связанный с оценкой надежности криптосистем, анализом стойкости шифров, разработкой способов их вскрытия.
Внастоящее время стандартный способ доказательства высокой стойкости криптоалгоритмов заключается в формальном доказательстве того факта, что атака на алгоритм эквивалентна решению одной из хорошо известных трудноразрешимых задач. Доказательство представляет собой эффективное математиче-
37
ское преобразование или последовательность преобразований, сводящих атаку на алгоритм к решению задачи-эталона.
Практическая стойкость – свойство алгоритма, доказанное путем формального сведения адаптивных атак к решению трудноразрешимых задач
Современная криптография в значительной степени основана на понятии вычислительной сложности. Задачи разделяются на два класса: разрешимые и трудноразрешимые. Криптографический алгоритм должен быть разработан так, чтобы стать разрешимым для законного пользователя и трудноразрешимым для атакующего. Математическая задача является эффективно разрешимой, если время, необходимое для ее решения, полиномиально зависит от ее размера. Криптографический протокол (процедура обмена данными между участниками) считается эффективным, если количество сеансов (раундов) связи ограничено полиномом малой степени: константой (степень 0) или линейной функцией (степень 1).
Поскольку система ОБИ функционирует во вражеском окружении, при этом даже законный пользователь может иметь злой умысел, ее разработчик должен учитывать множество дополнительных факторов. Выделим следующие [21, 30].
1.Необходимо ясно формулировать все необходимые предположения. Система ОБИ взаимодействует с окружением, которое должно удовлетворять определенным условиям или предположениям. Их нарушение создает предпосылки для проведения атак на КС. Особенно трудно проверить предположение, не сформулированное явно. Иначе говоря, все предположения, на которых основана система ОБИ, должны быть явно указаны.
Например, многие протоколы используют неявные предположения о том, что компьютер может генерировать качественные случайные числа. Однако на практике это часто бывает не так, в результате становится возможной атака на генераторы случайных чисел (low-entropy attack), формирующие ключевую информацию.
2.Необходимо ясно формулировать все предполагаемые услуги по ОБИ, иначе говоря, четко указывать, для решения каких задач предназначен тот или иной алгоритм или протокол. Очень часто требуется уточнение и самих решаемых задач. Например,
38
когда речь о конфиденциальности информации, может, помимо секретности, предполагаться наличие свойств невидимости или анонимности участников и неотслеживаемости информационных потоков.
Неправильная идентификация задач, стоящих перед алгоритмом или протоколом, может привести соответственно к неправильному использованию криптографических примитивов.
3. Необходимо ясно выделять частные случаи математических задач, на которых основывается стойкость алгоритма или протокола. Например, существуют частные случаи трудноразрешимых задач, которые относительно просто решить.
Например, задача факторизации большого составного целого числа в принципе трудноразрешима. Однако факторизация большого составного целого числа n pq , в котором q является
простым числом, следующим за большим простым числом p, вовсе не является трудноразрешимой задачей. Она эффективно решается! Алгебраические структуры, которые используются в криптоалгоритмах и протоколах, такие как группы и поля, имеют специальные варианты, не представляющие никакой вычислительной сложности. Например, элементы, имеющие малый мультипликативный порядок в группе или конечном поле. Другим примером являются вырожденные (суперсингулярные, аномальные) виды эллиптических кривых. Если разработчик алгоритма или протокола не знает о существовании таких особых ситуаций или неточно описал их в спецификации, появляются предпосылки для успешной атаки. Необходимо знать математические особенности решаемой задачи и явно описывать потенциально опасные ситуации.
Ясность и простота описания алгоритма или протокола существенно облегчают его анализ, при этом увеличивается вероятность его правильной реализации и соответственно уменьшается вероятность взлома.
Важной составляющей криптографических исследований является их публичная проверка. Криптографические алгоритмы, протоколы и системы в целом печально известны своей уязвимостью и подверженности ошибкам. После того как результаты криптографических исследований и разработок опубликованы, многочисленные эксперты начинают их испытывать. В результа-
39
те вероятность, что в ходе таких проверок обнаружатся ошибки в проектировании или реализации, допущенные разработчиками, существенно возрастает. Если же алгоритм сохраняется в секрете, его в лучшем случае проверят несколько экспертов. При этом вероятность выявления ошибок снижается. Возможно ситуация, когда разработчик знает о существовании ошибки и может скрытно воспользоваться этим в своих интересах [21, 30].
Современная наука предоставляет все необходимые алгоритмы, методы и средства, позволяющие построить систему защиты, затраты на взлом которой таковы, что у противника с ограниченными финансовыми и техническими возможностями для получения интересующей его информации остаются только два пути – использование, во-первых, человеческого фактора, а вовторых, особенностей конкретной реализации (чаще программной) алгоритмов и протоколов удаленного взаимодействия. Именно такой вывод можно сделать, анализируя примеры реальных успешных атак на КС в защищенном исполнении. Известны лишь единичные случаи взлома с использованием исключительно математических методов. В то же время различных примеров взломов реальных систем так много, что их анализом вынуждены заниматься целые компании.
Система защиты в целом не может быть надежнее отдельных ее компонентов. Иными словами, для того чтобы преодолеть систему защиты, достаточно взломать или использовать для взлома самый ненадежный из ее компонентов. Очень часто причинами ненадежности реальных систем защиты являются особенности программной реализации.
Правило слабого звена. Система безопасности надежна настолько, насколько надежно ее самое слабое звено. Слабое звено всегда рвется первым, прочность остальных звеньев после этого уже не имеет значения. Чтобы повысить безопасность системы, необходимо улучшить ее самое слабое звено (ССЗ), иначе говоря, надо определить, из каких звеньев состоит система безопасности и какое из них самое слабое. Для этого необходимо построить и проанализировать иерархическую древовидную структуру, так называемое дерево атак [30].
С формальной точки зрения укрепление любого звена, кроме самого слабого, – пустая трата времени. На практике это не так:
40