Создание комплексной системы информационной безопасности выделенного объекта

Сформулируем свойства информации, которые определяют ее ценность. Фундаментальными свойствами защищенной информации являются конфиденциальность, целостность, доступность  и наблюдаемость.

Конфиденциальность определяется как свойство информации, которое  состоит в том, что она не может  быть доступной для ознакомления пользователям и/или процессам, не имеющим на это соответствующих  полномочий.

Целостность информации –  это свойство, которое состоит  в том, что она не может быть доступной для модификации пользователям  и/или процессам, не имеющим на это  соответствующих полномочий. Целостность  информации может быть физической и/или  логической.

Доступность информации –  это свойство, которое состоит  в возможности ее использования  по требованию пользователя, имеющего соответствующие полномочия.

Наблюдаемость – это свойство информации, которое состоит в  том, что процесс ее обработки  может беспрерывно находиться под  контролем органа, руководящего защитой.

В подразделе 1.2 были даны общие  понятия относительно угроз. Ниже угрозы рассмотрены в контексте нарушения  основных свойств защищенной информации.

Под угрозами понимаются пути реализации действий, которые считаются  опасными. Например, угроза снятия информации и перехват излучения с дисплея  ведет к потере конфиденциальности, угроза пожара ведет к нарушению  целостности и доступности информации, угроза разрыва канала передачи информации может привести к потере доступности.

Угрозы могут осуществляться:

·     по техническим каналам, которые включают акустические, оптические, радио-, радиотехнические и другие каналы утечки;

·     по каналам специального влияния путем формирования полей и сигналов с целью разрушения системы защиты или нарушения целостности информации;

·     благодаря НСД путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоления средств защиты для использования информации или навязывания ложной информации,  применением закладных устройств  или программ, использованием компьютерных вирусов.

Все потенциальные угрозы НСД к  информации АС делятся на преднамеренные и случайные. Аналогично делятся на преднамеренные и случайные  все потенциальные каналы несанкционированного доступа или влияния на информацию, которая подлежит защите. Таким образом, потенциальные угрозы и соответствующие потенциальные каналы несанкционированного доступа (ПКНСД) и потенциальные каналы несанкционированного влияния (ПКНСВ) тесно связаны между собой и дополняют друг друга.

Рассмотрим общую природу  проявления ПКНСД  на примере обобщенной модели АС.

Если абстрактную АС рассматривать  как объект защиты от угроз НСД, то в этом случае ее типичными потенциальными каналами угроз НСД могут быть следующие элементы:

·     серверы банков данных, серверы доступа и пр.;

·     рабочие места компьютерной сети, сетевых станций, мобильных  станций  и др.;

·     элементы телекоммуникационного оборудования (FDDI–кольцо, маршрутизаторы, коммутаторы, концентраторы, репитеры, коммутированные каналы связи, конечные устройства);

·     бесперебойные блоки питания АС;

·     системы записи языковой информации;

·     копировально-множительные средства АС;

·     системы защиты информации АС;

·     терминалы пользователей АС;

·     терминалы администраторов АС;

·     терминалы операторов АС;

·     средства отображения информации АС;

·     средства документирования информации  АС;

·     средства загрузки программного обеспечения АС;

·     физические и виртуальные носители информации (ПЗУ, ОЗУ, бумажные, магнитные, лазерные, магнитооптические и прочие носители информации);

·     внутренние каналы связи АС;

·     внешние каналы связи АС.

Учитывая, что нарушитель ТЗИ может использовать  как указанные выше штатные, так и другие физические каналы доступа, определим основные ПКНСД, через которые могут осуществляться потенциальные угрозы путем получения нарушителем ТЗИ несанкционированного  доступа к аппаратным, телекоммуникационным и программным средствам АС как машинных носителей информации, которая подлежит защите.

Потенциальными  объектами атак  нарушителя ТЗИ в АС могут быть:

1.   Все вышеперечисленные штатные аппаратные средства  АС при использовании их санкционированными пользователями не по назначению и за  пределами своих полномочий.

2.   Все вышеперечисленные штатные аппаратные средства при использовании их посторонними лицами.

3.   Технологические пульты управления.

4.   Внутренний монтаж аппаратуры.

5.   Линии связи (коммуникаций)  между аппаратными средствами АС.

6.   Побочные электромагнитные излучения и наводки аппаратных и телекоммуникационных средств обработки и передачи информации АС, побочные наводки информации в сети электропитания и заземления аппаратуры АС, побочные наводки информации по цепям вспомогательных инженерных и других посторонних коммуникаций в отдельных помещениях и на территории АС.

7.   Отходы обработки информации в виде бумажных, магнитных и других носителей в мусорной корзине.

8.   Программное обеспечение АС.

9.   Другие возможные потенциальные каналы несанкционированного доступа и несанкционированного влияния.

Угрозы информации при  разработке модели угроз удобно рассматривать  с точки зрения их любого нежелательного действия и возможного нарушения  свойств защищенности информации, указанных  в начале раздела. С этой точки  зрения в информационных системах различают  следующие классы угроз информации:

·     нарушение конфиденциальности;

·     нарушение целостности;

·     нарушение доступности или отказ в обслуживании;

·     нарушение наблюдаемости или управляемости.

Таким образом, угроза –  это потенциально возможное неблагоприятное  воздействие на информацию, которое  приводит к нарушениям хотя бы одного из приведенных свойств. 

 

Угрозы  конфиденциальности

Анализ развития теории и  практики информационных систем показывает, что на сегодняшний день определяются следующие основные пути нарушения  конфиденциальности :

·        потеря контроля над системой защиты информации;

·        каналы утечки информации.

Все другие пути нарушения  конфиденциальности так или иначе  сводятся к ним.

Если СЗИ перестает  адекватно функционировать, то становится вероятной реализация НСД к информации. Потеря управления СЗИ может быть реализована вследствие приведенных  в первом разделе причин и источников нарушений безопасности. На практике следует рассматривать их комбинации. Они могут быть также причиной возникновения скрытых каналов  утечки информации.

Канал утечки информации –  это способ получения информации за счет использования путей передачи информации, которые присутствуют в  информационной системе, но не контролируются или не наблюдаются СЗИ. Каналы утечки характеризуют ситуацию, когда проектировщики не смогли предупредить НСД, или СЗИ  не в состоянии рассматривать  такой доступ как запрещенный.

Среди каналов утечки выделяют каналы с памятью и временные  каналы. Канал с памятью реализуется  путем прямой или косвенной записи информации в определенную область  памяти одним процессом и прямым или косвенным чтением данной области другим процессом. Графически канал с памятью можно изобразить следующим видом

 ,

то есть пользователь U₁ активизирует процесс S, который может получить доступ на чтение (r) общего с пользователем U₂ ресурса О, причем U₂ имеет доступ на запись (w) в О, а U₁ может читать (r) из S.

Пример 1. От U₂ в каталог О записаны имена файлов. Даже если U₁, активизируя процесс S, не имеет доступа к самым файлам, он располагает информацией о файловой системе пользователя U₂. Следовательно, имеется утечка части информации: или конкретный файл есть, или его нет – 1 бит.

Защита от утечки информации по данному каналу основана на выборе правильной политики безопасности, а  также на возможностях контроля информационных потоков и вывода информации.

Другим каналом с памятью  является канал типа "сбор мусора", то есть утечка информации осуществляется путем считывания остаточной информации в объектах после работы пользователя или процесса. Защита обеспечивается очисткой объекта после работы или  перед ее началом, а также с  помощью шифрования информации, которая  размещается в объектах.

Временной канал утечки –  это канал, который разрешает  передавать информацию от одного процесса к другому путем модуляции  первым процессом некоторых временных  характеристик информационной системы, которые могут наблюдаться другим процессом. Графически временной канал  можно изобразить следующей схемой

 ,

где U₁ – злоумышленник, U₂ – пользователь, работающий с конфиденциальной информацией, S_ц – субъект, которым оперирует пользователь U₂, следовательно, информация о нем представляет интерес для злоумышленника U₁, S_m – субъект, процесс которого модулируется информацией процесса S_ц; S – процесс пользователя U₁, который разрешает наблюдать за процессом S_m.

Пропускная способность  временного канала определяется той  частью ценной информации о процессе S_ц, которую можно получить путем модуляции процесса S_m.

Пример 2. Пусть пользователь U₂ с помощью процесса S_ц использует принтер для печати результатов очередного цикла обработки информации. Процесс S_m определяется работой принтера, который является общим ресурсом U₁ и U₂ с приоритетом для U₂. Тогда процесс S регулярно с заданной частотой посылает запрос на использование принтера и, конечно, получает отказ, если S_цпечатает очередной цикл информации. Следовательно, в единицах частоты запроса пользователь U₁ получает информацию о периодах работы процесса S_ц с ценной информацией, то есть, имеется канал утечки. Защита от таких каналов основана на контроле информационных потоков в системе.

Пример 3. Перехват информации в канале связи служит примером временного канала утечки. Здесь реализуется непосредственный (даже без модуляции) доступ к процессу обработки (передачи) ценной информации. Защитой от таких каналов являются криптографические средства.

Побочные каналы утечки по излучению, питанию или акустике также являются временными каналами утечки. В данном случае защита достигается  с помощью экранирования, зашумления, фильтрации.

Кроме использованных ранее  схем графического изображения каналов  утечки возможно их более сложное  формальное моделирование с помощью  аппарата математической логики. 

 

Угрозы  целостности

Язык описания угроз целостности  информации аналогичен языку описания угроз конфиденциальности. Однако между  угрозами этим свойствам есть принципиальное различие. Так, для конфиденциальности основная угроза – это незаконное ознакомление с информацией, то есть на саму информацию активное воздействие  отсутствует. Таким образом, для  описания данной угрозы достаточно понятия  канала утечки. Для целостности же основная угроза – это незаконная модификация информации, то есть активное воздействие на информацию со стороны  нарушителя. Следовательно, вместо обычного канала утечки удобнее ввести понятие  канала воздействия на целостность. Формально это сводится к замене доступа на чтение (r) доступом на запись (w).

Тогда, воспользовавшись формализмом, представленным в предыдущем подразделе, справедливо следующее выражение  для определения канала воздействия  на целостность:

 ,

где  _– подмножество доступов, после которых возможна модификация информации. Следовательно, в некоторый момент времени существуют определенные виды доступа к другим объектам, которые возможны для некоторого пользователя. Данные доступы считаются неблагоприятными.

Примером возникновения  канала воздействия на целостность  является использование программы  «троянский конь». Такая программа, кроме документированных функций, может осуществлять скрытые действия от имени того, кто ее активизирует, в пользу разработчика программы (злоумышленника). Как правило, «троянский конь» используется для модификации защищенной информации.

Нарушение целостности может  возникнуть вследствие создания случайных  или намеренных критических ситуаций, заражения вирусами и т.п. Все  приведенные в первом разделе  причины и их источники могут  создать нарушение целостности  информации.

Среди механизмов защиты от нарушений целостности выделяются следующие:

·        своевременное регулярное копирование ценной информации;

·        введение избыточности в саму информацию, то есть применение  кодирования информации, позволяющее контролировать ее целостность;