YourLib.net
Твоя библиотека
Главная arrow Информатика (Под общ. ред. А.Н. Данчула) arrow 6.2.2. Постановка общей задачи защиты информации в АИС. Угрозы безопасности
6.2.2. Постановка общей задачи защиты информации в АИС. Угрозы безопасности

6.2.2. Постановка общей задачи защиты информации в АИС. Угрозы безопасности

   Актуальность обеспечения безопасности АИС обосновывается следующим:
   —  увеличением объемов автоматизированно обрабатываемой, накапливаемой, хранимой, передаваемой и выводимой информации;
   —  сосредоточением в интегральных базах информации различного назначения и принадлежности;
   —  расширением круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;
   —  широким внедрением режимов разделения времени и реального времени функционирования;
   —  использованием персональных ЭВМ, расширяющих возможности не только пользователей, но и нарушителей.
   Под безопасностью ЛИС понимается такое ее свойство, которое выражается в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (преднамеренных и случайных) воздействиях на нее.
   Природа воздействия может быть самой различной. Безопасность АИС достигается:
   —  обеспечением конфиденциальности обрабатываемой информации (информация должна быть известна только допущенным и прошедшим проверку субъектам системы и пользователям, программам, процессам и т. д.);
   —  целостностью компонентов (ресурсов) системы (свойство компонента быть в семантическом смысле неизменным при функционировании системы);
   —  доступностью компонентов и ресурсов системы (свойство компонента быть доступным для использования авторизиро- ванными субъектами системы в любое время).
   Обычно при постановке задачи обеспечения безопасности АИС необходимо ответить на следующие вопросы:
   От чего нужно защищать систему?
   Что необходимо защищать в системе?
   Посредством каких методов и средств необходимо защищать систему?
   Угрозой называются такие характеристики, свойства системы и окружающей ее среды, которые в соответствующих условияхмогут вызвать появление опасного события. Реализующее угрозу действие некоторого субъекта компьютерной системы (пользователя, программы, процесса и т. д.) называется атакой. Целью любых мер противодействия угрозам является защита владельца и законных пользователей АИС от нанесения им материального или морального ущерба в результате случайных или преднамеренных воздействий на нее.
   Различают внешнюю и внутреннюю безопасность. Внутренняя безопасность обеспечивает надежную и корректную работу системы, целостность программ и данных. Внешняя безопасность обеспечивает защиту от стихийных бедствий и от проникновения злоумышленников извне.
   Для решения задачи защиты информации необходимо определить природу угроз, формы и пути их возможного появления и осуществления в АИС. Многочисленные случаи воздействия на информацию и несанкционированного доступа к ней как множество угроз можно разделить на случайные и преднамеренные воздействия.
   Информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным воздействиям (рис. 6.2). На аппаратном уровне это приводит к физическим изменениям уровней сигналов и, как следствие, изменениям значения цифрового кода. Для их обнаружения применяются средства функционального контроля.
   С усложнением АИС при разработке увеличиваются схемные, системотехнические, структурные, алгоритмические и программные ошибки, количество и характер которых зависят от квалификации разработчиков, условий их работы, наличия опыта и др.

Рис. 6.2. Причины случайного воздействия на АИС 

Рис. 6.2. Причины случайного воздействия на АИС

   Ошибки человека могут подразделяться на: логические (неправильно принятые решения); сенсорные (неправильное восприятие информации); оперативные или моторные (неправильная реализация решения).
   Интенсивность ошибок человека может колебаться в широких пределах. Особенно важное значение проблема борьбы с ошибками человека как звена системы приобретает в автоматизированных системах административного управления.
   К аварийным ситуациям относятся:
   —  отказ функционирования АИС в целом (например, выход из строя электропитания);
   —  стихийные бедствия;
   —  отказ системы жизнеобеспечения на объекте эксплуатации АИС.
   Рассмотрим подробнее преднамеренные угрозы безопасности АИС. Классификацию угроз безопасности будем производить по отдельным признакам:
   1)  по цели реализации угрозы:
   —  нарушение конфиденциальности информации. Информация в АИС имеет большую ценность для ее владельца. Ее несанкционированное использование другими лицами наносит значительный ущерб его интересам;
   —  нарушение целостности информации. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от полной или частичной дезинформации может быть намного больше, чем при нарушении конфиденциальности;
   —  частичное или полное нарушение работоспособности АИС. Так как диапазон услуг, предоставляемых современными АИС, весьма широк, отказ в обслуживании может существенно повлиять на работу пользователя.
   2)  по принципу воздействия на АИС:
   —  с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т. д.). Под доступом понимается воздействие субъекта на объект, приводящее к возникновению информационного потока от объекта к субъекту. При этом происходит взаимодействие субъекта и объекта и, следовательно, изменяется состояние объекта. Воздействие, основанное на этом принципе, проще, более информативно, и от него легче защититься;
   —  с использованием скрытых каналов. Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким образом, который нарушает системную политику безопасности. При этом используются лишь побочные эффекты от взаимодействия двух субъектов, что не оказывает влияния на состояние системы. Здесь воздействие организовывать относительно трудно, угроза отличается меньшей информативностью и сложностью обнаружения и устранения. Эти каналы бывают двух типов:
   —  скрытые каналы с памятью, позволяющие произвести чтение или запись информации другого процесса непосредственно или с помощью промежуточных объектов для хранения информации;
   —  скрытые временные каналы, когда один процесс может получать информацию о действиях другого процесса, используя интервалы между какими-либо событиями; например, интервал времени между началом и концом процесса ввода-вывода дает информацию о размере вводимой или выводимой информации.
   3)  по характеру воздействия на АИС:
   —  активное воздействие всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности, оно осуществляется с использованием доступа и/или с использованием доступа и скрытых каналов. В результате изменяется состояние системы;
   —  пассивное воздействие осуществляется путем наблюдения каких-либо побочных эффектов и их анализа — например, подслушивание линии связи между двумя узлами сети. При этом нарушается только конфиденциальность информации, а состояние системы не изменяется.
   4)  по причине появления ошибки в защите, которая может быть обусловлена одной из следующих причин:
   —  неадекватность политики безопасности реальной АИС. Разработанная для данной системы политика безопасности настолько не отражает реальных аспектов обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Такие действия нельзя назвать несанкционированными, поскольку защита от них не предусмотрена политикой безопасности и система защиты в принципе не способна их предотвратить (необходимо разработать новую политику безопасности);
   —  ошибки административного управления, под которыми понимается некорректная реализация или поддержка принятой политики безопасности в данной системе (например, неправильное определение прав доступа к определенным наборам данных);
   —  ошибки в алгоритмах программ, в связях между ними и т. д., которые возникают на этапе проектирования программных продуктов и благодаря которым их можно использовать совсем не так, как описано в документации. Например, ошибка в программе аутентификации пользователя системой может дать ему возможность при помощи отдельных действий войти в систему без пароля;
   —  ошибки реализации программ (ошибки кодирования), связей между ними и т. д., которые возникают на этапе реализации или отладки. Они могут служить источником недокументированных свойств (например, люки, которые обнаружить труднее всего).
   5)  по способу активного воздействия на объект атаки:
   —  непосредственное воздействие на объект атаки, в том числе с использованием привилегий (например, непосредственный доступ к набору данных, программе, службе, каналу связи и т. д.). Для устранения использованной при атаке ошибки нужно применить контроль доступа;
   —  воздействие на систему разрешений, в том числе с захватом привилегий. Здесь не санкционированы действия относительно прав пользователей, а сам доступ к объекту потом осуществляется законным образом;
   —  опосредованное воздействие через других пользователей:
   —  «маскарад» (пользователь присваивает себе каким-либо образом полномочия другого, выдавая себя за него);
   —  «использование вслепую» (один пользователь заставляет другого выполнить необходимые действия, которые для системы защиты не выглядят несанкционированными). При этой угрозе может использоваться вирус, который выполняет необходимые действия и сообщает тому, кто его внедрил, о результате. Для предотвращения подобных действий требуется постоянный контроль со стороны пользователей за своими наборами данных и работой АИС в целом.
   6)  по способу воздействия на АИС:
   —  в интерактивном режиме; например, атака на систему при помощи интерпретатора команд — воздействие оказывается более длительным по времени и может быть обнаружено, но является более гибким;
   —  в пакетном режиме; например, с помощью вирусов — действие является кратковременным, трудно диагностируемым, более опасным, но требует большой предварительной подготовки, так как необходимо предусмотреть все возможные последствия вмешательства.
   7)  по объекту атаки:
   —  на АИС в целом. Для этого используются «маскарад», перехват или подделка пароля, взлом или доступ к АИС через сеть;
   —  на объекты АИС (программы в оперативной памяти или на внешних носителях, сами устройства системы, каналы передачи данных и т. д.) — получение доступа к содержимому носителей информации или нарушение их функциональности;
   —  на субъекты АИС — процессы и подпроцессы пользователей (цели: приостановка; изменение привилегий или характеристик; использование злоумышленником привилегий или характеристик и т. д.);
   —  на каналы передачи данных — передаваемые по каналу связи пакеты данных и сами каналы (нарушение конфиденциальности, подмена или модификация сообщений, нарушение целостности информации, изменение топологии и характеристик сети, нарушение доступности сети и т. д.).
   8)  по используемым средствам атаки:
   —  использование стандартного программного обеспечения;
   —  использование специально разработанных программ. Поэтому в защищенных системах рекомендуется не допускать добавления программ в АИС без разрешения администратора безопасности системы.
   9)  по состоянию объекта атаки:
   —  состояние хранения (диск или другой вид носителя информации находится в пассивном состоянии — воздействие осуществляется с использованием доступа);
   —  состояние передачи по линиям связи между узлами сети или внутри узла;
   —  состояние обработки (объектом атаки является процесс пользователя).
   Рассмотренный перечень еще раз подтверждает сложность определения возможных угроз и способов их реализации. Не существует и универсального способа защиты, который предотвратил бы любую угрозу. Следовательно, необходимо объединить различные меры защиты для обеспечения безопасности всей АИС в целом.
   Перечислим некоторые наиболее распространенные угрозы безопасности АИС:
   1.  Несанкционированный доступ — получение пользователем доступа к объекту, на который у него нет разрешения.
   2.  Незаконное использование привилегий.
   3.  Атаки «салями» — характерны для банковских систем и основываются на том, что при исчислении процентов нередко получаются дробные числа.
   4.  «Маскарад» — выступление одного пользователя от имени другого (присвоение прав и привилегий).
   5.  «Сборка мусора» — использование остатков информации, образовавшихся при ее перезаписи или удалении на магнитном носителе.
   6.  «Люки» — использование недокументированных точек входа (они вставляются в программы на стадиях разработки или наладки и затем при определенных условиях оказываются лишними и неудаленными) для проникновения в систему.
   7.  «Троянский конь» — вредоносная программа, прямо или косвенно дезорганизующая процесс обработки информации или способствующая ее утечке или искажению. В ней содержится недокументированный (скрытый) модуль, который не вызывает подозрения и в дальнейшем выполняет недопустимые действия.
   8.  Вирус — один из видов вредоносных программ.
   9.  «Червь» — вредоносная программа, которая распространяется через сеть, не оставляя своей копии на магнитном носителе.
   10.  «Жадная» программа — программа, которая монополизирует определенный ресурс системы (сети) и не дает возможность другим программам пользоваться ею.
   В настоящее время интенсивно появляются и другие программные и иные средства, предназначенные для преодоления системы защиты. Следовательно, постоянно приходится разрабатывать соответствующие новые защитные средства.
   Архитектура обеспечения безопасности связи подробно разработана в Международном консультативном комитете по телеграфии и телефонии (МКТТ) в эталонной модели взаимосвязи открытых систем (OS1). Основополагающим документом в области защиты распределенных систем стали рекомендации Х.800 (сервисы безопасности — аутентификация, управление доступом, конфиденциальность и целостность данных, неотка- зуемость — невозможность отказа отправителя от переданного им сообщения и др.).
   Надлежащая стратегия защиты должна быть основана на тех аспектах, которые считает важными высшее звено управления. Стратегия защиты трактуется по принципу: «Что можно и чего нельзя для защиты в процессе работы системы».
   Более качественные характеристики защиты обычно повышают стоимость системы и могут усложнить ее эксплуатацию. Поэтому перед разработкой системы защиты необходимо определить тип угрозы, т. е. произвести оценку угрозы. Выделяют следующие угрозы системе передачи данных:
   —  разрушение информации и / или других ресурсов;
   —  раскрытие информации;
   —  изъятие или потеря информации и/или других ресурсов;
   —  прерывание обслуживания.
   В общих чертах оценка системы включает: определение степени уязвимости системы; оценку стоимости каждой попытки нарушения защиты; расчет потенциальных мер противодействия; выбор оптимального механизма защиты. Полное техническое закрытие системы, как и физическое, невозможно. Задача состоит в том, чтобы сделать стоимость нарушения довольно высокой при приемлемых уровнях риска. Риск есть стоимостное выражение вероятностного события, ведущего к потерям. Для оценки степени риска применяется процедура анализа риска, в результате которой получают оценку ущерба, который может произойти при реализации угрозы безопасности. С изменением состава системы, условий и т. д., что характерно для АИС, требуется производить новый анализ. Поэтому выдвигаются некоторые аргументы (неточность, быстрая изменяемость и отсутствие научной базы) против использования этой процедуры.

 
< Пред.   След. >