Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfПодкуп. Способы склонения к сотрудничеству подбираются под конкретного человека, который попал в поле зрения органов разведки и которого предполагается заставить сотрудничать (завербовать). Наиболее распространенным и менее опасным для злоумышленника способом склонения к сотрудничеству является подкуп. Подкупленный человек может стать постоянным и инициативным источником информации.
Сотрудничество под угрозой. Другие способы склонения к сотрудничеству связаны с насильственными действиями злоумышленников. Это - психическое воздействие, угрозы личной безопасности, безопасности родных, имущества, а также преследования и шантаж, принуждающие сотрудника фирмы нарушить свои обязательства о неразглашении тайны. Если в результате предварительного изучения личностных качеств сотрудника фирмы, его жизни и поведения выявляются компрометирующие данные, то возможен шантаж сотрудника с целью склонения его к сотрудничеству под угрозой разглашения компрометирующих сведений. Зарубежными спецслужбами иногда создаются для приезжающих в их страну специалистов различного рода провокационные ситуации с целью получения компрометирующих материалов для последующего шантажа.
Выпытывание. Выпытывание - способ получения информации от человека путем постановки ему вопросов. Способы выпытывания разнообразны: от скрытого выпытывания до выпытывания под пыткой. Скрытое выпытывание возможно путем задавания в ходе беседы на конференции, презентации и или любом другом месте вроде бы невинных вопросов, ответы на которые для специалиста содержат конфиденциальную информацию.
Применяется скрытое выпытывание в устной или письменной форме при фиктивном найме сотрудника конкурирующей фирмы на более высокооплачиваемую или интересную работу. Причем приглашение доводится до сотрудника в форме, не вызывающей подозрение: через знакомых, в объявлении в средствах массовой информации об имеющейся вакансии по специальности сотрудника, но с существенно более высокой заработной платой и т. д. После получения в беседе с претендентом нужной информации ему под различными предлогами отказывают в приеме на работу.
Выпытывание под пыткой характерно для криминальных элементов, которые не утруждают себя применением скрытых, требующих длительной подготовки, способов добывания информации.
Арсенал методов доступа к конфиденциальной информации достаточно велик, однако в их основе лежат перечисленные методы.
181
12.5 Компьютерная разведка
Компьютерная разведка – целенаправленная деятельность по добыванию с помощью СВТ и ПО разведывательной информации, обрабатываемой в информационно-вычислительных сетях и (или) СВТ, а так же информации об особенностях их построения и функционирования.
Целью компьютерной разведки является добывание сведений о предмете, конечных результатах, формах и способах деятельности субъектов, являющихся пользователями информационно-вычислительной сети и используемом аппаратном и программном обеспечении, протоколах управления и информационного взаимодействия и используемых средствах и методах защиты информации.
Компьютерная разведка – новейший вид технической разведки. Ее появление связано с развитием в современной военной науке концепции информационной войны. Например, в США выпущены два полевых устава FM-100-5 и FM-100-6, излагающие основы информационной войны
иинформационной операции. Цель информационной войны – обеспечение своему государству информационного господства, которое в наш век – век информации представляется необходимым условием того, чтобы военно-экономический потенциал государства смог привести к реальной победе.
Важнейшая роль в достижении информационного господства отводится виртуальной разведке - разведке, ведущейся в информационных потоках. которые в гигантских количествах производятся всеми государственными и частными организациями, а также отдельными индивидуумами. Компьютерную разведку ещё называют виртуальной разведкой.
Виртуальная разведка включает в себя три основных направле-
ния:
–разведку в информационно-вычислительных компьютерных се-
тях,
–разведку в бумажных и электронных средствах массовой информации,
–разведку в непериодических изданиях, в том числе, в открытых
ит.н. «серых» (т.е. не имеющих грифа секретности, но не предназначенных для массового распространения - отчетах о НИР, аналитических справках, деловой переписке, диссертациях и т.п.).
Виртуальная разведка представляет собой целый комплекс взаимосвязанных действий оперативного и технического характера. Важ-
182
нейшей технической компонентой виртуальной разведки является компьютерная разведка – целенаправленная деятельность по добыванию с помощью средств вычислительной техники и программного обеспечения разведывательной информации, обрабатываемой в ин- формационно-вычислительных .сетях и/или отдельных средствах вычислительной техники.
Компьютерную разведку разделяют на добывающую и обрабатывающую. В полевом уставе США FM 100-6 приводится иерархия ситуационной осведомленности представляющая собой пирамиду, в основании которой лежат данные. На втором уровне находится информация, получаемая путем обработки данных. Изучение информации приводит к формированию знаний (следующий уровень осведомленности), а знания посредством суждения способствуют пониманию (верхний уровень). Задача добывающей разведки состоит в получении данных, а обрабатывающей - в преобразовании данных в информацию и приведение ее в форму, удобную для пользователя.
Добывающая разведка бывает предварительной и непосредственной. Задача предварительной разведки - получение сведений о самой автоматизированной системе противника, обрабатывающей защищаемую информацию. Цель предварительной разведки - подобрать данные, необходимые для последующего проникновения в АС противника.
Цели предварительной разведки достигаются путем добывания открытых и закрытых сведений.
К открытым сведениям можно отнести данные:
–о характере и режиме работы АСОД объекта разведки;
–квалификации его персонала;
–составе и структуре самой АСОД, используемом программном обеспечении;
–протоколах управления и взаимодействия;
–средствах и методах защиты информации, используемых в АС. Для получения этих сведений нет необходимости прибегать к
приемам оперативной работы (подкупу персонала, краже документации и т.п.). Эти сведения, как правило, не являются закрытыми и могут быть получены при перехвате сетевого трафика интересующей АС либо при попытке установить сетевое соединение непосредственно с самой АС, когда по характеру получаемого отклика можно сделать соответствующие выводы.
Установление первичного контакта с АС противника, как правило, еще не дает доступа к интересующей информации. Для этого необходимо получить дополнительные сведения закрытого характера.
183
К таким (закрытым) сведениям относятся:
–пароли, коды доступа;
–информация о принятых в АС правилах разграничения доступа;
–сетевые адреса вычислительных средств противника.
Для получения подобных сведений существуют разнообразные программные средства. К ним относятся, например, программыдемоны, перехватывающие все команды, вводимые в АС. Другим средством являются снифферы -программы, считывающие первые 128 бит каждого файла, в которых нередко помещается служебная информация о самом файле и об АС. Существуют также специальные программы подбора паролей. Успеху подобных программ способствуют многочисленные ошибки в современном программном обеспечении, что. по-видимому, объясняется ею сложностью и относительной новизной. Помимо ключей, интерес представляет перехват кусков зашифрованного текста с заранее известным содержанием. Это позволяет выделить из шифрограммы секретный ключ, который используется для дальнейшего криптоанализа всего текста. Сведения, собранные об АС противника подобным образом, открывают путь к добыванию информации, интересующей заказчика, т.е. к ведению непосредственной разведки.
На стадии непосредственной разведки, как и на всех остальных, добываются не только закрытые, но также «серые» и открытые сведения. Роль открытых сведений в достижении общей ситуационной осведомленности о противнике достаточно велика.
Важнейшим достоинством перехвата открытых сведений при ведении компьютерной разведки является то, что эти сведения могут быть получены без нарушения принятых в АС правил разграничения доступа к информации. Сбором и анализом открытых сведений в сетях официально снимается множество организаций, которые за определенную плату выполняют заказы на поиск той или иной информации. Любой пользователь сети Интернет может самостоятельно вести поиск и анализ требуемой информации с помощью известных поисковых серверов, таких как Google, Rambler и др. При необходимости получить сведения закрытого характера организуется непосредственная атака на объект с использованием данных предварительной разведки.
Добывание закрытых сведений всегда связано с несанкционированным доступом к информации противника и имеет своим следстви-
ем утечку информации. Получение закрытых сведений осуществляется как в самой АС объекта, так и в информационно-вычислительных сетях, внешних по отношению к АС (рисунок 12.5)
184
Добывание закрытых сведений
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Во внешних ИТКС |
|
|
В АС (ИС) объекта |
|||||
|
|
|
|
|
|
|
|
|
Чтение электронной почты
Изменение
маршрутизации
Фальсификация сервера-адресата
Внедрение в АС объекта ПО с недекларированными возможностями
Проникновение в АС объекта из внешних сетей через сетевые периферийные устройства
Проникновение в АС объекта через несетевые периферийные устройства
Рисунок 12.5 – Способы добывания закрытых сведений
Во внешних сетях перехватываются те сообщения, которые объект разведки пересылает внешним адресатам, либо. в случае виртуальной сети, те сообщения, которые циркулируют между отдельными сегментами АС.
Можно выделить следующие способы перехвата закрытых сведений во внешних сетях:
–изменение маршрутизации при пересылке сообщений, что позволяет отправлять информацию через «свой» сервер, на котором производится перехват и запись данных;
–чтение электронной почты, которая как правило является легкой добычей и на сервере отправителя, и на сервере получателя;
–фальсификация сервера-адресата, что в случае успеха позволяет выманить у отправителя ту или иную закрытую информацию.
Программное проникновение в АС объекта с целью ведения разведки может осуществляться несколькими способами. Отдельную
185
группу таких способов составляет проникновение через несетевые периферийные устройства (клавиатуру, дисководы и т.п.). Набор методов проникновения достаточно широк и определяется квалификацией взломщика и степенью совершенства установленных на объекте систем защиты от несанкционированного доступа. Считается, что абсолютно надежных систем защиты на сегодняшний день не существует. Например, известны приемы нарушения нормальной работы криптографических микросхем в системах разграничения доступа, начиная от нагревания и облучения и кончая применением моделей стимуляции направленных ошибок, которые позволяют получить секретные ключи, хранящиеся в памяти этих микросхем. Принципиальное отличие проникновения через несетевые периферийные устройства от остальных методов заключается в том, что для его выполнения необходимо физическое присутствие злоумышленника на объекте вычислительной техники. Это позволяет защищающейся стороне применить хорошо отлаженный механизм организационно-технических мер защиты. Вокруг объекта создается контролируемая территория, на которой не допускается присутствие посторонних людей; к работам в АС допускается ограниченный круг лиц; ведется тщательный учет и анализ всех производимых в АС работ; учитываются используемые носители, информации и т.п.
Наиболее многочисленная и динамично развивающаяся группа способов программного проникновения в АС противника - это проникновение из внешних сетей.
Можно выделить два основных пути такого проникновения:
–проникновение с использованием паролей и идентификаторов, найденных в результате предварительной разведки;
–а также поиск ошибок (т.н. «люков», «черных ходов», «лазеек»)
впрограммном обеспечении, используемом в АС.
При применении указанных способов проникновения, недостаточно лишь добраться до винчестера противника и «скачать» с него несколько гигабайт данных. Необходимо восстановить удаленные файлы противника, тщательно разобраться в полученном объеме сведений. Эту функцию выполняет обрабатывающая разведка. Специальные программы позволяют определить тип фрагмента когда-то удаленного файла (текстовый, графический, исполняемый и т.п.) и восстановить содержавшуюся в нем информацию: сопоставить и логически увязать имеющиеся файлы: устранить дублирование информации: отобрать по ключевым словам и ассоциированным понятиям только ту информацию, которая в данный момент необходима заказчику.
186
Обработке подвергаются данные, полученные как в отдельном средстве вычислительной техники, так и в информационновычислительных сетях, при этом сеть представляет дополнительные возможности по обработке. Посредством анализа трафика можно контролировать гигантские потоки сведений, производить отбор, накопление и обработку не всех данных подряд, а только тех, которые представляют интерес для конечного потребителя. Для ведения экспрессанализа в сети созданы специальные программы, т.н. ноуботы - «программные продукты, перемещающиеся от компьютера к компьютеру с возможностью размножения, которые отслеживают состояние дел и передают сводную информацию по каналам обмена данными.
С помощью средств компьютерной разведки можно не только анализировать конкретные данные, циркулирующие во всей сети, безотносительно к их источнику, но и отслеживать деятельность конкретных организаций и отдельных лиц.
Особо следует подчеркнуть, что обработке подвергаются не только закрытые, но и открытые сведения. Соответствующий анализ открытых источников позволяет синтезировать информацию закрытого характера. По оценке специалистов изучение 10000 открытых документов позволяет при некоторых условиях получить 1 документ высшей степени секретности.
В связи с высокой степенью угрозы безопасности информации, обрабатываемой в информационно-вычислительных сетях, все большее количество пользователей сети применяют для защиты своей информации шифрование. По этой причине одной из задач обрабатывающей компьютерной разведки является проведение элементов криптоанализа.
Криптоанализ – наука о раскрытии алгоритмов шифрования, подборе ключей и восстановлении информации из зашифрованного со-
общения. Поскольку в криптоанализе широко используются компьютерные методы обработки информации, то отчасти его можно отнести к обрабатывающей технической разведке. Не следует считать компьютерной разведкой способы несанкционированного копирования лицензионных программных продуктов и взламывания их защиты, если целью этих действий является не получение информации, а нарушение авторского права и незаконный доступ к услугам.
187
Контрольные вопросы и задания
1.Какие задачи решают разведывательные службы зарубежных
стран?
2.Какие организации образуют структуру разведывательного сообщества США?
3.Какие страны имеют мощные разведывательные службы?
4.Перечислите основные области, представляющие интерес для коммерческой разведки.
5.В чём суть агентурной разведки?
6.Что представляет собой техническая разведка и каковы её преимущества?
7.Как классифицируются наземные средства добывания инфор-
мации?
8.Какие способы НСД к конфиденциальной информации применяет агентурная разведка?
9.В чём суть компьютерной разведки, и какова её цель?
10.Какие способы добывания закрытых сведений используются при компьютерной разведке?
188
Глава 13 ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ
13.1 Понятие и общая классификация объектов защиты информации
Понятие объекта защиты информации. Одним из элементов проектирования системы защиты информации в организации является определение объектов защиты.
Объект – любая часть, элемент, устройство, подсистема, функциональная единица, аппаратура или система, которые можно рассматривать в отдельности (Международный стандарт CEI IEC 50 (191). Надежность и качество услуг).
Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Стандартами и специальными нормативными документами по защите информации к объектам защиты информации также относятся:
–защищаемая информационная система;
–защищаемый объект информатизации;
–хранилища носителей информации ограниченного доступа.
Состав основных объектов защиты информации. Состав ос-
новных объектов защиты информации представлен на рисунке 13.1.
Объекты защиты информации
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Защищаемая |
|
|
|
Носитель защи- |
|
|
Информационный |
||||||
информация |
|
|
|
щаемой информа- |
|
|
|
процесс |
|||||
|
|
|
|
|
ции |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Защищаемая |
|
Хранилища но- |
|
|
Защищаемый объ- |
||||||||
информационная |
|
сителей |
|
|
ект информатиза- |
||||||||
система |
|
ИОД |
|
|
|
ции |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 13.1 – Объекты защиты информации
189
Основные объекты защиты информации соответствуют основным объектам обеспечения информационной безопасности организации приведенным в главе 4.
Состав защищаемой информации, её особенности и характеристики, а также носители защищаемой информации, их классификация и характеристики, рассмотрены в главе 7. Носители защищаемой информации являются конечными объектами защиты.
Защищаемые информационные процессы. Информационные про-
цессы – это процессы обработки информации с использованием информационных технологий и технических средств. Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, тиражирования, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Требования к защищённости информационных процессов реализуются через требования к защищённости информационных и информационнотелекоммуникационных технологий, средств вычислительной техники, информационных систем, объектов информатизации.
Защищаемая информационная система. Защищаемая информа-
ционная система - информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
Защищаемые объекты информатизации. Защищаемый объект информатизации (ЗОИ) – объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
Классификация объектов информатизации. Состав типового объекта информатизации, как объекта защиты, приводится в стандарте ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. В соответствии с этим стандартом объект информатизации это совокупность:
–информационных ресурсов;
–средств и систем обработки информации, используемых в соответствии с заданной информационной технологией;
–средств обеспечения объекта информатизации;
–помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Исходя из логики составляющих защищаемого объекта информатизации, существующих нормативных документов и стандартов в области защиты информации можно выделить два основных вида защищаемых объектов информатизации (рисунок 13.2).
190