Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Преднамеренные угрозы

Преднамеренные угрозы связаны с различными действиями человека, причинами которых может быть достаточно большой спектр его состояний: определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей и т. д. Мы не рассматриваем данные причины состояния человека.

Наша задача — предупреждение, обнаружение и блокировка возможных действий злоумышленника в информационной системе. Потенциальные угрозы с этой стороны будут рассмотрены только в техническом аспекте.

Для постановки более конкретной задачи проанализируем объект защиты информации на предмет ввода-вывода, хранения и обработки информации и возможностей нарушителя по доступу к информации при отсутствии средств защиты в данной автоматизированной системе.

В качестве объекта защиты согласно классификации выбираем компьютерную систему, которая может быть элементом компьютерной сети или большой автоматизированной системы управления. Для компьютерных систем в этом случае характерны следующие штатные (законные) каналы доступа к информации:

  • • терминалы (рабочие станции, персональные компьютеры) пользователей;
  • • терминал (сервер или специализированная рабочая станция) администратора системы;
  • • терминал (рабочая станция) оператора функционального контроля;
  • • средства отображения информации;
  • • средства документирования информации;
  • • средства загрузки программного обеспечения в компьютерный комплекс;
  • • носители информации (оперативное запоминающее устройство, дистанционное запоминающее устройство, устройство резервирования и архивирования, бумажные носители);
  • • внешние каналы связи.

Имея в виду, что при отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими каналами доступа, назовем возможные каналы несанкционированного доступа (ВКНСД) в компьютерной системе, через которые возможно получить доступ к аппаратуре, программному обеспечению и осуществить хищение, разрушение, модификацию информации и ознакомление с нею:

  • • все перечисленные выше штатные средства при их использовании законными пользователями не по назначению и за пределами своих полномочий;
  • • все перечисленные выше штатные средства при их использовании посторонними лицами;
  • • технологические пульты управления;
  • • внутренний монтаж аппаратуры;
  • • линии связи между аппаратными средствами данной компьютерной системы;
  • • побочное электромагнитное излучение информации с аппаратуры системы;
  • • побочные наводки информации по сети электропитания и заземления аппаратуры;
  • • побочные наводки информации на вспомогательных и посторонних коммуникациях;
  • • отходы обработки информации в виде бумажных, магнитных и лазерных носителей, брошенные в мусорную корзину.

Для наглядности на рис. 1 представлены рисунок типового объекта автоматизированной обработки информации с централизованной обработкой данных и потенциальные каналы несанкционированного доступа к информации. Обозначения на рисунке:

  • 1 несанкционированный доступ к терминалам и персональным компьютерам;
  • 2 несанкционированный доступ к средствам отображения информации;
  • 3 несанкционированный доступ к носителям информации;
  • 4 — несанкционированный доступ к средствам загрузки программного обеспечения;
  • 5 — несанкционированный доступ к информации при ремонте и профилактике аппаратуры;
Состав типовой аппаратуры автоматизированной системы обработки информации и данных и возможные каналы

Рис. 1. Состав типовой аппаратуры автоматизированной системы обработки информации и данных и возможные каналы

несанкционированного доступа к информации

  • 6 несанкционированный доступ к внутреннему монтажу аппаратуры;
  • 7 — несанкционированный доступ к линиям связи;
  • 8 несанкционированный доступ к каналам связи;
  • 9 несанкционированный доступ к информации за счет побочного электромагнитного излучения информации;
  • 10 несанкционированный доступ к информации за счет наводок на цепях электропитания и заземления;
  • 11 несанкционированный доступ к информации за счет наводок на цепях вспомогательной и посторонней аппаратуры;
  • 12 несанкционированный доступ к технологическим пультам;
  • 13 доступ к отходам носителей информации.

Очевидно, что при отсутствии законного пользователя, контроля и разграничения доступа к терминалу квалифицированный нарушитель легко воспользуется его функциональными возможностями для несанкционированного доступа к информации путем ввода соответствующих запросов или команд. При наличии свободного доступа в помещения можно визуально наблюдать информацию на средствах отображения и документирования, а на последних похитить бумажный носитель, снять лишнюю копию, а также похитить другие носители с информацией: листинги, магнитные ленты, диски, флэш-носители и т. д. Особую опасность представляет собой бесконтрольная загрузка программного обеспечения в компьютер, в котором могут быть изменены данные, алгоритмы или введена программа «троянский конь» — программа, выполняющая дополнительные незаконные функции: запись информации на посторонний носитель, передачу в каналы связи другого абонента компьютерной сети, внесение в систему компьютерного вируса и т. д. При отсутствии разграничения и контроля доступа к технологической и оперативной информации возможен доступ к оперативной информации со стороны терминала функционального контроля. Опасной является ситуация, когда нарушителем является пользователь компьютерной системы, который по своим функциональным обязанностям имеет законный доступ к одной части информации, а обращается к другой за пределами своих полномочий.

Со стороны законного пользователя существует много способов нарушать работу информационной системы, злоупотреблять ею, извлекать, модифицировать или уничтожать информацию. Для этой цели могут быть использованы привилегированные команды ввода-вывода, отсутствие контроля законности запроса и обращений к адресам памяти запоминающих устройств и т. д. При неоднозначной идентификации ресурсов нарушитель может подавить системную библиотеку своей библиотекой, а модуль, загружаемый из его библиотеки, может быть введен в супервизор- ном режиме. Свободный доступ позволит ему обращаться к чужим файлам и банкам данных и изменить их случайно или преднамеренно.

При техническом обслуживании (профилактике и ремонте) аппаратуры могут быть обнаружены остатки информации на магнитной ленте или дисках, поверхностях дисков и других носителях информации. Стирание информации обычными методами при этом не всегда эффективно. Ее остатки могут быть легко прочитаны. При транспортировании носителя по неохраняемой территории существует опасность его перехвата и последующего ознакомления посторонних лиц с секретной информацией.

Не имеет смысла создание системы контроля и разграничения доступа к информации на программном уровне, если не контролируется доступ к пульту управления компьютера, внутреннему монтажу аппаратуры, кабельным соединениям.

Нарушитель может стать незаконным пользователем системы в режиме разделения времени, определив порядок работы законного пользователя либо работая вслед за ним по одним и тем же линиям связи. Он может также использовать метод проб и ошибок и реализовать «дыры» в операционной системе, прочитать пароли. Без знания паролей он может осуществить «селективное» включение в линию связи между терминалом и головным компьютером (сервером); без прерывания работы законного пользователя может продлить ее от его имени, аннулировав сигналы отключения законного пользователя.

Процессы обработки, передачи и хранения информации аппаратными средствами автоматизированной системы обеспечиваются срабатыванием логических элементов, построенных на базе полупроводниковых приборов, выполненных чаще всего в виде интегральных схем.

Срабатывание логических элементов обусловлено высокочастотным изменением уровней напряжений и токов, что приводит к возникновению в эфире, цепях питания и заземления, а также в параллельно расположенных цепях и индуктивностях посторонней аппаратуры электромагнитных полей и наводок, несущих в амплитуде, фазе и частоте своих колебаний признаки обрабатываемой информации. Использование нарушителем различных приемников может привести к их приему и утечке информации. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность приема сигналов такого рода увеличивается.

Непосредственное подключение нарушителем приемной аппаратуры и специальных датчиков к цепям электропитания и заземления, к каналам связи также позволяет совершить несанкционированное ознакомление с информацией, а несанкционированное подключение к каналам связи передающей аппаратуры может привести и к модификации информации.

Особо следует остановиться на угрозах, которым могут подвергаться каналы и линии связи компьютерной сети.

Предположим, что нарушитель может располагаться в некоторой точке сети, через которую должна проходить вся интересующая его информация. Например, в межсетевых условиях нарушитель может принять вид шлюза в некоторой промежуточной сети, которая обеспечивает единственный путь соединения между двумя процессами, являющимися концами интересующего нарушителя соединения, как показано на рис. 2. В этом случае, несмотря на то, что сеть-источник (А) и сеть-адресат (Г) защищены, нарушитель может воздействовать на соединение, так как оно проходит через шлюз, соединяющий сети Б и В. В общем случае предполагается, что нарушитель может занимать позицию, позволяющую осуществлять пассивный и активный перехват.

В случае пассивного перехвата нарушитель только следит за сообщениями, передаваемыми по соединению, без вмешательства в их поток. Наблюдение нарушителя за данными (прикладного уровня) в сообщении позволяет раскрыть содержание сообщений. Нарушитель может также следить за заголовками сообщений, даже если данные не понятны ему, с целью определения места размещения и идентификаторов процессов, участвующих в передаче данных. Нарушитель может определить длины сообщений и частоту их передачи для определения характера передаваемых данных, т. е. провести анализ потока сообщений.

Нарушитель может также заниматься активным перехватом, выполняя множество действий над сообщениями, передаваемыми по соединению. Эти сообщения могут быть выборочно изменены, уничтожены, задержаны, переупорядочены, сдублированы и введены в соединение в более поздний момент времени. Нарушитель может создавать поддельные сообщения и вводить их в

Схема возможного подключения нарушителя к компьютерной сети

Рис. 2. Схема возможного подключения нарушителя к компьютерной сети

соединение. Подобные действия можно определить как изменение потока и содержания сообщений.

Кроме того, нарушитель может сбрасывать все сообщения или задерживать их. Подобные действия можно классифицировать как прерывание передачи сообщений.

Попытки использования записи предыдущих последовательностей сообщений по инициированию соединений классифицируются как инициирование ложного соединения.

Сформулируем пять основных категорий угроз безопасности информации и данных в компьютерных сетях:

  • 1) раскрытие содержания передаваемых сообщений;
  • 2) анализ трафика, позволяющий определить принадлежность отправителя и получателя данных к одной из групп пользователей сети, связанных общей задачей;
  • 3) изменение потока сообщений, что может привести к нарушению режима работы какого-либо объекта, управляемого с удаленного компьютера;
  • 4) неправомерный отказ в предоставлении услуг;
  • 5) несанкционированное установление соединения.

Данная классификация не противоречит определению термина «безопасность информации» и делению потенциальных угроз на утечку, модификацию и утрату информации.

Угрозы 1 и 2 можно отнести к утечке информации, угрозы 3 и 5 — к ее модификации, а угрозу 4 — к нарушению процесса обмена информацией, т. е. к ее потере для получателя.

В компьютерных сетях нарушитель может применять следующие стратегии:

  • 1) получить несанкционированный доступ к секретной информации;
  • 2) выдать себя за другого пользователя, чтобы снять с себя ответственность или же использовать его полномочия с целью формирования ложной информации, изменения законной информации, применения ложного удостоверения личности, санкционирования ложных обменов информацией или же их подтверждения;
  • 3) отказаться от факта формирования переданной информации;
  • 4) утверждать о том, что информация получена от некоторого пользователя, хотя на самом деле она сформирована самим же нарушителем;
  • 5) утверждать то, что получателю в определенный момент времени была послана информация, которая на самом деле не посылалась (или посылалась в другой момент времени);
  • 6) отказаться от факта получения информации, которая на самом деле была получена, или утверждать о другом времени ее получения;
  • 7) незаконно расширить свои полномочия по доступу к информации и ее обработке;
  • 8) незаконно изменить полномочия других пользователей (расширить или ограничить, вывести или ввести других лиц);
  • 9) скрыть факт наличия некоторой информации в другой информации (скрытая передача одной в содержании другой информации);
  • 10) подключиться к линии связи между другими пользователями в качестве активного ретранслятора;
  • 11) изучить, кто, когда и к какой информации получает доступ (даже если сама информация остается недоступной);
  • 12) заявить о сомнительности протокола обеспечения информацией из-за раскрытия некоторой информации, которая согласно условиям протокола должна оставаться секретной;
  • 13) модифицировать программное обеспечение путем исключения или добавления новых функций;
  • 14) преднамеренно изменить протокол обмена информацией с целью его нарушения или подрыва доверия к нему;
  • 15) помешать обмену сообщениями между другими пользователями путем введения помех с целью нарушения аутентификации сообщений.

Анализ последних возможных стратегий нарушителя в компьютерных сетях говорит о том, насколько важно знать, кого считать нарушителем. При этом в качестве нарушителя рассматривается не только постороннее лицо, но и законный пользователь. По-видимому, эти задачи следует рассматривать отдельно. С этих позиций приведенные выше пять видов угроз характерны для поведения постороннего нарушителя. Тогда из числа последних угроз можно отнести к пяти упомянутым выше видам следующие угрозы: 1, 10, 11, 15.

Анализ остальных угроз свидетельствует о том, что задачу защиты от них можно условно разделить на задачи двух уровней: пользователей и элементов сети, с которыми работают пользователи сети. К уровню элемента сети можно отнести угрозы под номерами 2, 7, 8, 13 и 14. Уровень взаимоотношений пользователей называется уровнем доверия одного пользователя другому. Для обеспечения гарантий этого доверия, очевидно, потребуются специальные средства и критерии оценки их эффективности.

Контрольные вопросы

  • 1. Определите понятие «информация». Приведите классификацию информации по уровню важности для организации. Определите содержание конфиденциальности информации.
  • 2. Опишите основные пути информации в ее жизненном цикле.
  • 3. Что содержит в себе состав информационной базы информационной системы?
  • 4. Каково устройство компьютерного комплекса с прямой связью между компьютером? Что такое многопроцессорный комплекс?
  • 5. Объясните принцип работы системы телеобработки информации и данных.
  • 6. Приведите классификацию информационных сетей.
  • 7. Опишите возможные структуры организации автоматизированных систем управления.
  • 8. Перечислите последствия реализации угроз информационной безопасности.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>