Создание комплексной системы информационной безопасности выделенного объекта

·        введение избыточности в процесс обработки информации, то есть использование аутентификации, позволяющее контролировать целостность файлов, сообщений и программ;

·        введение системной избыточности, то есть, по военной терминологии, повышение "живучести" системы. 

 

Угрозы доступности

В соответствии с определением доступности, лицо, используя  ресурсы информационной системы (ИС) по правилам политики безопасности, должно получить информацию в необходимом  ему виде, месте и своевременно.

Доступность в  ИС обеспечивается правильным использованием ресурсов, стойкостью к отказам отдельных  компонентов, возможностью их эффективной  замены («горячая» замена), способностью к восстановлению после сбоев.

В большинстве  случаев доступность информации в ИС определяется работоспособностью самой ИС, то есть ее отсутствие следует  считать основной угрозой. Можно  выделить следующие направления  повседневной деятельности в ИС для  поддержания ее работоспособности:

· поддержка пользователей, то есть консультации и разного рода помощь пользователям;

· поддержка ПО, то есть контроль за ПО, которое используется в ИС;

· конфигурационное управление, которое разрешает контролировать изменения в программной конфигурации;

· резервное копирование;

· управление носителями, обеспечивающее физическую защиту носителей;

· документирование;

· регламентные работы.

Поскольку результатом  действия любой угрозы доступности  является ее отсутствие или отсутствие любых каналов доступа, то формально  это можно выразить следующим  образом

 ,

то есть в некоторый  момент времени ни один вид доступа  некоторого пользователя невозможен к  любым объектам. Следует отметить, что в данном случае именно отсутствие каналов доступа (в отличие от конфиденциальности и целостности) считается опасным. 

 

Угрозы  наблюдаемости

В отличие от конфиденциальности или целостности, где наличие  каналов утечки является отрицательным  обстоятельством, наблюдаемость вменяет  в обязанность иметь каналы наблюдения, т.е. каналы, с помощью которых  можно получить доступ на чтение к  определенному множеству процессов  и объектов, если считать, что доступ на чтение из объекта обеспечивает возможность его наблюдать. Графически это можно изобразить следующим  образом:

 ,

то есть пользователь U₁ активизирует процесс S, что может получить доступ на чтение (r) к определенному множеству процессов и объектов  . Следует также обратить внимание на то, что доступ на чтение (r) есть довольно сильным требованием, поскольку для наблюдаемости достаточно более слабого доступа (который, например, разрешал бы только определять – было событие или нет).

Действие любой угрозы наблюдаемости сводится к невозможности  ее реализовать или к отсутствию любых каналов доступа, который  формально выражается следующим  образом

 ,

где  - подмножество доступов, которыми возможно наблюдать за процессами или объектами, т.е. у пользователя в некоторый момент времени отсутствует  возможность наблюдать за любыми объектами.

Таким образом, угрозы наблюдаемости  сводятся к нарушению или даже уничтожению каналов наблюдения, а главная задача наблюдаемости  в ИС – их поддержка. Она реализуется  с помощью следующих услуг: регистрация (аудит), идентификация и аутентификация, достоверный канал, распределение  обязанностей, целостность комплекса  средств защиты, самотестирование, идентификация и аутентификация при обмене, аутентификация отправителя, аутентификация получателя.

Наиболее распространенной практикой реализации наблюдаемости  являются протоколирование и аудит. Протоколирование – это сбор и  накопление информации о событиях, которые происходят в ИС. Аудит  – это анализ накопленной информации. Протоколирование и аудит организуются для выполнения следующих целей:

·     обеспечение отчетности пользователей и администраторов;

·     обеспечение возможности реконструирования последовательности событий;

·     выявление попыток нарушения информационной безопасности;

·     представление информации для выявления и анализа проблем информационной безопасности. 

 

2.4. Разработка  модели нарушителя 

 

Рассмотрим случай, когда  нарушитель реализует угрозы в сетевой  среде, и предположим, что он может  несанкционированно проникнуть в любую  точку сети, через которую может  проходить вся информация, которая  его интересует. Например, в межсетевых условиях нарушитель может приобрести вид шлюза в некоторой  промежуточной сети, которая обеспечивает лишь один путь между двумя процессами, являющиеся концами соединения, которыми интересуется нарушитель.          

В этом случае несмотря на  то, что сеть-источник (А) и сеть-адресат (Г) защищенные, нарушитель может влиять на соединение, поскольку оно проходит  через шлюз, который соединяет сети Б и В. Вообще допускается, что нарушитель может занимать позицию, которая дает возможность осуществлять как пассивной, так и активный перехват.

В случае пассивного перехвата нарушитель ТЗИ только следит за сообщениями, которые передаются по соединению, без вмешательства в их поток. Наблюдение нарушителя за данными в сообщении (например, прикладного уровня модели OSI) дает возможность раскрыть содержание сообщения. Нарушитель может также следить за заголовками сообщений, даже если данные ему непонятны, с целью определения местонахождения и идентификаторов процессов,  которые принимают участие в передаче данных. Он может определить реквизиты, длину сообщений или записей, количество записей  и частоту их передачи для определения характера данных, которые передаются, то есть провести анализ трафика сообщений.

Нарушитель ТЗИ может  также осуществлять активный перехват, выполняя ряд несанкционированных действий над сообщениями, которые передаются по соединению. Эти сообщения могут быть выборочно  изменены, уничтожены, задержаны, переупорядочены, продублированы в более позднее время. Он может создавать фальшивые сообщения и вводить их в соединения. Такие несанкционированные действия можно определить как изменение потока и содержания сообщений.   

Кроме того, нарушитель может  уничтожать все сообщения или  задерживать их. Такие действия  можно классифицировать как прерывание передачи сообщений.

В последнее время в  мире проведен ряд исследований с  целью выявления потенциальных  каналов НСД к информации в  вычислительных сетях. При этом рассматривались  не только возможности нарушителя, который получил санкционированный  доступ к сетевому оборудованию, но и влияние, обусловленное ошибками ПО или свойствами сетевых протоколов. Несмотря на то, что работа в данном направлении активно продолжается, уже в начале 1980-х годов было, сформулировано пять основных категорий  потенциальных угроз безопасности данных в вычислительных сетях:

1.   Раскрытие содержания передаваемых сообщений.

2.   Анализ трафика, что дает возможность определить принадлежность отправителя и получателя данных к одной из групп санкционированных пользователей сети, которые связанные общей задачей;

3.   Изменение потока сообщений, которое может привести к нарушению режима работы любого объекта, который управляется с удаленного компьютера (рабочей станции);

4.   Неправомерный отказ в предоставлении услуг.

5.   Несанкционированное установление соединения.

Данная классификация  не противоречит приведенному в разделе 3 перечню потенциальных угроз  свойствам защищенности информации в АС, но она детализирует их  для информационно-вычислительных сетей. Угрозы 1 и 2 связаны с нарушением конфиденциальности, угрозы 3 и 5 – с нарушением целостности, а угроза 4 – с нарушением доступности.

На основе проведенного анализа  можно формализовать типичную модель вариантов злоумышленного поведения нарушителя в информационно-вычислительной сети:

1.            Получить НСД к информации, которая подлежит защите.

2.            Выдать себя за другого пользователя, чтобы снять с  себя ответственность, или же использовать его полномочия с целью формирования ложной информации, изменения санкционированной информации, санкционирования обмена ложной или его подтверждения;

3.            Отказаться от факта формирования переданной информации.

4.            Утверждать, что информация получена от санкционированного пользователя, хотя она сформирована самым нарушителем.

5.            Утверждать, что получателю в установленный срок была прислана информация, которая на самом деле не передавалась (или передавалась отсылалась в другое время).

6.            Отказаться от факта получения информации, которая на самом деле была получена, или утверждать о другом времени ее получения.

7.            Несанкционированно изменить полномочия других санкционированных пользователей (расширить или ограничить, вывести или ввести других лиц и др.).

8.            Несанкционированно расширить свои полномочия  доступа к информации, которая подлежит защите, и ее обработки.

9.            Скрыть факт наличия некоторой информации в другой информации (тайная передача одной информации в другой).

10.         Подключиться к линиям связи  между другими пользователями в роли активного ретранслятора;

11.        Узнать, кто, когда и к  какой информации получает доступ (даже если информация, которая подлежит защите, остается недоступной для нарушителя).

12.        Заявить о сомнительности протокола обеспечения информацией через раскрытие определенной информации, которая в соответствии с условиями протокола обмена должна оставаться ограниченной.

13.        Модифицировать программное обеспечение путем изъятия или предоставления новых функций;

14.        Преднамеренно изменить протокол обмена информацией с целью его нарушения или подрыва доверия к нему.

15.        Мешать обмену сообщениями между другими санкционированными пользователями путем введения препятствий с целью нарушения аутентификации сообщений.

Представленные выше формализованные  варианты стратегии поведения нарушителя ТЗИ в информационных сетях свидетельствуют  о том, насколько важно знать, кого считать нарушителем. При этом в роли потенциального нарушителя ТЗИ  может быть не только постороннее  лицо, но и санкционированный пользователь АС, например, администратор системы  с последующим блокированием  регистрации своих действий в  системе. Данные случаи целесообразно  анализировать по отдельности. Приведенные  выше пять основных категорий потенциальных  угроз безопасности в информационно-вычислительных  сетях характерны для модели поведения постороннего нарушителя. Тогда из числа приведенных угроз 1-15 к этим пяти категориям угроз следует добавить угрозы 1, 10, 11, 15.

Анализ угроз свидетельствует  о том, что защиту от них целесообразно  концептуально разделить на два  уровня: защита от пользователей и  защита от угроз воздействия по ПКНСД  к элементам сети, с которыми работают пользователи. В этом случае к уровню элементов сети принадлежат потенциальные  угрозы НСД 2, 7, 8, 13, 14. Уровень взаимоотношений  пользователей принято называть уровнем доверия одного пользователя к другому. Для обеспечения гарантий такого  доверия нужны специальные средства и критерии оценки их эффективности. 

 

3. Планирование  мероприятий по обеспечения защиты  по   

видам угроз 

 

 

  К мероприятиям обеспечения  защиты информации относят: препятствие, управление доступом, маскировку, регламентацию, принуждение и побуждение.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов АС организации. Управление доступом включает следующие функции защиты:

·        идентификацию пользователей, персонала и ресурсов АС (присвоение каждому объекту персонального идентификатора);

·        аутентификацию объекта или субъекта по предъявленному им идентификатору;

·        проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

·        разрешение и создание условий работы в пределах установленного регламента;

·        регистрацию обращений к защищаемым ресурсам;

·        реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка – метод защиты информации в автоматизированной информационной системе путем ее криптографического преобразования.

Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение – такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных иэтических норм.