- •Введение
- •Глава 1. Кибервойна, информационный конфликт и программно-аппаратные средства обеспечения информационной безопасности
- •1.1.Понятие информационного конфликта в кибервойне
- •1.Определения основных терминов
- •1.1.2.Понятие информации
- •1.2.Информационные технологии и кибервойны
- •1.2.1.Информационные технологии
- •1.2.2.Технологии кибервойны
- •1.2.2.1.Современное представление информационного конфликта
- •1.2.2.2.Формализованное представление кибервоздействий
- •1.3.Конфликт элементов инфокоммуникационных систем
- •1.4.Анализ конфликта информационных и информационно-управляющих систем
- •1.5.Критерии оценки функционирования инфокоммуникационных систем
- •Глава 2. Функционирование программно-аппаратных средств обеспечения информационной безопасности
- •2.1.Средства информационного воздействия и их признаки
- •2.2.Определение опасности фрагментов кода
- •2.3.Методы управления программно-аппаратными средствами обеспечения информационной безопасности
- •2.3.1.Адаптивное управление
- •2.3.2.Ситуационное управление
- •2.3.2.Рефлексивное управление.
- •2.4.Особенности обнаружения попыток информационных воздействий в системах хранения и обработки данных
- •2.5.Защищенность каналов информационного обмена на основе криптографических методов
- •Библиографический список
- •Оглавление
- •Глава 1. Кибервойна, информационный конфликт и программно-аппаратные средства обеспечения информационной безопасности 11
- •Глава 2. Функционирование программно-аппаратных средств обеспечения информационной безопасности 115
- •394026 Воронеж, Московский просп., 14
2.4.Особенности обнаружения попыток информационных воздействий в системах хранения и обработки данных
Одной из основных особенностей современного этапа развития информационных технологий является существенное увеличение вероятности нарушения их нормального функционирования за счет возникающих в общем информационном пространстве конфликтов за счет разделения их функций управления и/или преднамеренного поражения различными средствами информационных воздействий различного типа. Это обусловлено как увеличением номенклатуры информационных воздействий, так и повышением уровня их разработки, увеличением одновременно выполняемых альтернативных процессов накопления, хранения, обработки и передачи разнородной информации. Если на начальной стадии развития информационных систем основную опасность для отдельных компьютеров представляли вирусные воздействия, то сейчас при защите автоматизированных систем хранения и обработки данных необходимо принимать во внимание весь спектр возможных информационных воздействий, к которым можно отнести рассмотренные выше троянские программы, программы - ловушки, вирусы и их модификации, информационные бомбы, программные и программно-аппаратные недокументированные вставки, системы информационного захвата и появившиеся сравнительно недавно системы психоинформационного воздействия и сетевые вирусы.
Проведение целенаправленных и преднамеренных информационных воздействий (синтез и реализация конфликтного компонента) любого типа обычно строится на основе нескольких взаимосвязанных этапов, одной из основных задач которых является обеспечение скрытности намерений (обеспечение безопасности входа и функционирования в защищенной области). Это в свою очередь зависит от характера решаемой при входе задачи и может быть осуществлено несколькими способами:
маскировкой воздействия (конфликтного компонента) на информационном уровне, когда имитируется выполнение неопасной задачи (при легальном доступе);
маскировкой воздействия (конфликтного компонента) на сигнальном или протокольном уровнях, когда скрывается факт доступа воздействием на параметры информационной среды;
использованием комбинированных средств информационного воздействия (программ-ловушек для определения параметров защиты, вирусных воздействий для снятия или кратковременного снижения уровня защищенности доступа и программ проникновения или систем информационного захвата).
Несмотря на многообразие способов применения средств информационного воздействия типовая схема организации доступа в защищенную область включает ограниченное число компонентов:
анализ информационных структур доступных открытых областей информационного пространства и выявление точек входа в защищенные;
определение типа защиты и выбор и/или разработка способа ее преодоления;
определение алгоритма применения средств информационного воздействия с учетом критериев безопасности;
проведение проверочного запуска макета средств информационного воздействия для выявления дополнительных средств защиты или особенностей доступа (при необходимости на этом этапе разрабатывается соответствующее специальное программное обеспечение или аппаратные средства);
отработка программных и программно-аппаратных средств экстренного безопасного выхода;
проведение входа, доставка и инициирование функционирования средств информационного воздействия в защищенной области.
В соответствии с этим и обнаружение средств информационного воздействия, как показывает анализ практического применения различных средств их обнаружения, также поводится на различных стадиях реализации информационного воздействия и строится на основе:
предварительного этапа, в течение которого проводится сбор данных об объекте предполагаемого воздействия (тип операционной платформы, основные типы прикладного программного обеспечения, система защиты) можно обнаружить несанкционированные системные или файловые запросы;
этапа внедрения средств информационного воздействия, в течение которого производится его доставка в информационное пространство, настройка параметров (адаптация) и/или его инициирование можно обнаружить средство доставки воздействия (носитель воздействия);
этап функционирования средств информационно воздействия, в течение которого реализуется целевая функция информационного воздействия, можно обнаружить явные следы этого воздействия или деструктивные последствия его действий.
На первом этапе производится обнаружение угроз и идентификация намерений проведения информационного воздействия. При этом достаточно редко удается выявить и зафиксировать вообще признаки угрозы и еще реже получить их в явном виде. В качестве признаков подготовки воздействия может выступать интенсификация информационного обмена по одному или нескольким канала связи, появление запросов, явно или неявно связанных с используемой платформой безопасности, особенностей операционной системы и других. Изменение типового баланса переданных и принятых сообщений также может служить признаком проведения предварительного этапа осуществления информационного воздействия.
Обнаружение информационного воздействия (конфликтного компонента) на втором этапе проведения акции и частично на первом характеризуется непосредственным контактом воздействующих информационных структур, то есть производится их обнаружение на этапе проникновения в информационную среду и на начальном этапе их функционирования. В случае пропуска средств воздействия на этих этапах, на третьем обычно пытаются ликвидировать их последствия. Приближенные данные по обнаружению различных средств информационных воздействий на основе обобщения и усреднения их для города Воронежа на различных этапах реализации конфликтного компонента – внедрения, функционирования и ликвидации последствий, полученные на основе доступных данных (проводился анализ 1738 случаев организации воздействий), приведены ниже в табл.4. Несложно заметить, что номер этапа (и, естественно, время обнаружения информационного воздействия и вероятность его пропуска) выявления факта или следов конфликтного компонента с момента его фактического начала заметно увеличивается с повышением уровня разработки информационного воздействия.
На первом этапе достаточно просто и надежно обнаруживаются те конфликтные компоненты, которые так или иначе изменяют параметры информационного пространства (вирусы, трояны и аналогичные) или имеют известные фрагменты (фаги). В этот период обычно делается попытка перед установкой программных продуктов провести анализ их объема и структуры на основе сравнения с предыдущими версиями. Кроме того, в ряде случаев проводится их тестовые запуски, анализ характера возникающих сбоев и неоднозначно трактуемых выполненных информационной или информационно-управляющей системой действий.
Таблица 2.1
Процент обнаружения различных типов конфликтного компонента
Тип информационного воздействия |
I этап |
II этап |
III этап |
Троянские программы |
75 |
5 |
20 |
Программы ловушки |
50 |
30 |
20 |
Информационные бомбы |
30 |
- |
70 |
Вирусы |
70 |
15 |
15 |
Недокументированные вставки |
10 |
60 |
30 |
Системы информационного захвата |
0 |
50 |
50 |
Психоинформационные воздействия |
20 |
50 |
30 |
Однако появление таких видов информационных воздействий, как недокументированные вставки и системы информационного захвата, первые из которых являются частью программного продукта, а вторые сами создают среду своего функционирования, сделало решение задачи обнаружения информационных воздействий на этапе их внедрения весьма проблематичным.
Для обнаружения таких конфликтных компонентов на втором этапе обычно проводят постоянное наблюдение за поведением исследуемых программ, особенно, за устройствами системы информационного обмена. Наряду с этим в качестве одного из эффективных методов можно рассматривать метод активного обнаружения средств информационного воздействия путем определения и последующей имитации инициирующего сигнала или условий их запуска на специализированном программно- аппаратном комплексе, который позволяет проводить автоматизированный анализ текущего состояния основных регистров проверяемой ЭВМ и сравнивать их с эмулируемыми на проверяющей. Одновременно с этим такая схема позволяет реализовать контроль за временем отработки прерываний, количеством тактов, затрачиваемых на обработку информации, принудительно помещенной в регистр данных. При этом проводится (в автоматическом или автономном ручном режимах):
анализ временных характеристик отработки прерываний при различных комбинациях символов в информационных посылках;
анализ различий в циклах считывания информации из входного буфера при различных кодовых комбинаций;
анализ сигнала на системной шине при подаче команд различным внешним устройствам.
Обобщенно, наличие в программном обеспечении дополнительной неконтролируемой функции можно определить на основе программной или аппаратной фиксации нарушения одного из условий
T1(i,j,k) = T2(i,j,k),
R1(i,j,k) = R2(i,j,k),
где Т1,2 – количество тактов, затрачиваемых на обработку i-го символа (i=0...255) в регистре данных j-ым программным прерыванием при k-аппаратном прерывании; R1,2 – состояние основных регистров проверяемой ЭВМ и имитируемых на тестирующей ЭВМ.
Использование такой схемы контроля обеспечивает полную независимость функционирования информационных систем и отсутствие пересечения их информационных пространств. При этом становится возможной реализация и режима определения инициирующих кодов. В этом случае последовательно определяется цепочка нарушений приведенных выше условий, которая в конечном итоге и будет соответствовать инициирующей информационное воздействие посылке.
Существенным недостатком такой системы является невозможность предсказания конечного результата при указанном выше подборе кодовой комбинации, так как в конечном итоге будет выполняться команда, полностью совпадающая с инициирующей конфликтный компонент, действие и функции которой неизвестны. Утешить в этом случае может только полная запись на изолированной контролирующей ЭВМ всей последовательности действий и возможность ее последующего контроля по входным информационным потокам.
Значительно уменьшает объем мероприятий по организации защиты информации прогнозирование действий вероятного оппонента (злоумышленника, нарушителя или другого лица, реализующего процедуру доступа), в частности на основе оценки возможных объектов нападения. Для этого целесообразно рассмотреть основные методы выявления объектов с точки зрения проведения против них информационных воздействий.