- •1. Угрозы безопасности иткс
- •1.1 Иткс как сложная информационно-управляющая организационно-техническая система. Источники угроз безопасности иткс
- •2. Задачи защиты информации в иткс
- •Задачи предотвращения утечки, модификации, уничтожения информации
- •3. Технический контроль цифровых каналов связи иткс
- •3.1 Бинарный канал и методы анализа его параметров.
- •4. Технический контроль систем передачи иткс
- •4.2 Измерения магистральных кабелей
- •4.3 Технический контроль структурированных кабельных систем
- •5. Организация технического контроля безопасности иткс
- •5.1 Задачи государственной системы контроля радиочастотного спектра
Задачи предотвращения утечки, модификации, уничтожения информации
Неавторизованная модификация данных или программного обеспечения происходит, когда в файле или программе производятся неавторизованные изменения (добавление, удаление или модификации).
Когда незаметная модификация данных происходит в течение длительного периода времени, измененные данные могут распространиться по ИТКС, возможно искажая базы данных, электронные таблицы и другие прикладные данные. Это может привести к нарушению целостности почти всей прикладной информации.
Если в программном обеспечении были произведены незаметные изменения, то все программное обеспечение ЭВМ может оказаться под подозрением, что приводит к необходимости детального изучения (и возможно переустановки) всего соответствующего программного обеспечения и приложений.
Эти неавторизованные изменения могут быть сделаны в простых командных файлах (например, в пакетных файлах ПК), в сервисных программах, используемых в многопользовательских системах, в главных прикладных программах, или в любом другом типе программного обеспечения. Они могут быть сделаны неавторизованными посторонними лицами, а также теми, кто уполномочен делать изменения в программном обеспечении (хотя изменения, которые они делают, не разрешены).
Эти изменения могут привести к передаче информации (или копии информации) другим пользователям, искажению данных при обработке или нанесению вреда доступности системы или служб ИТКС.
Неавторизованная модификация данных и программного обеспечения может происходить при использовании следующих типов уязвимых мест:
· разрешение на запись, предоставленное пользователям, которым требуется только разрешение на доступ по чтению,
· необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы троянского коня,
· отсутствие криптографической контрольной суммы критических данных,
· механизм привилегий, который позволяет избыточное разрешение записи,
· отсутствие средств выявления и защиты от вирусов.
Подключаемые, с целью расширения своих функций, к глобальным вычислительным сетям ИТКС, вместе с тем являются крайне уязвимыми в отношении возможностей несанкционированного доступа к ним. При этом наиболее распространенным инструментом несанкционированного воздействия на ИТКС являются вредоносные программы. Такие программы разрабатываются как программы вирусного типа. Они в полном объеме обладают ассоциативными, репликативными и изоморфными свойствами компьютерных вирусов, что значительно затрудняет их обнаружение и подавление. Это позволяет квалифицировать вредоносные программы как один из самых серьезных источников угроз информационной безопасности ИТКС.
В результате проведенных к настоящему времени работ в направлении создания теоретических основ и их практической реализации разработан ряд методических и технических решений по проблеме, касающейся первого этапа противодействия вредоносным программам - обнаружение фактов и следов их воздействия на ИТКС. Вместе с тем практически отсутствуют методические и технические решения по вопросам, относящимся ко второму этапу противодействия - устранению угрозы информационной безопасности ИТКС, вызванной воздействием вредоносных программ. Основные функции данного этапа – подавление вредоносной программы, идентификация злоумышленника, анализ последствий воздействия и восстановление информационных процессов в ИТКС могут быть решены путем применения соответствующих анализаторов. С этой целью возникает необходимость обоснования практической возможности контроля за ИТКС в режиме реального времени, без значительных затрат ресурсов системы, с высокой степенью надежности и реализуемости. Для этого целесообразно ориентироваться на аппарат цепочной диагностики воздействий вредоносных программ, обеспечивающий получение трассологической информации о возможном вредоносном воздействии по ряду качественных признаков, проявляющихся при работе вирусоподобных (вредоносных) программ с учетом структуры программного и информационного обеспечения ИТКС.
Входящей информацией для такого анализатора будем считать глобальный адрес операционной системы (ОС) и время проявления вредоносного воздействия, а также оперативную трассологическую информацию о взаимодействии программных средств в ИТКС, содержащуюся в специальном текстовом файле. В результате работы необходимо получить полный адрес источника заражения, а также адреса возможно заражённых файлов и программ (так называемую “карантинную зону”).
Особенностью реализации анализатора является то, что файл оперативной информации представляет собой запись из блоков по N строк. Каждая строка блока несёт определённую информацию о работе программного средства (ПС). Поскольку рассматривается упрощенная система, то определим минимальный объём информации о ПС и выделим его в блок, состоящий из:
разделителя блока;
имени и адреса активного ПС (активным является ПС, выполнивший любые операции в контролируемый период времени);
имени и адреса ПС, в процессе работы которого был вызван запуск активного ПС (либо специальный признак, который указывает, что программа запущена ОС);
времени начала работы активного ПС;
времени окончания работы активного ПС;
разделителя блока, обеспечивающего перенос информации в другой блок.
При использовании сетевого режима работы ИТКС под управлением многозадачной ОС можно ввести более обширные параметры контроля системы, например:
идентификатор пользователя;
идентификатор компьютера;
имена файлов;
внутреннюю структуру файла программы;
идентификаторы перекрёстных ссылок программ во время работы;
запускаемый формат текстового файла и т.п.
Упрощенный алгоритм работы ПС, осуществляющего поиск и выявление “источника заражения”, следующий:
1) получаем сообщение об адресе и времени вредоносного воздействия;
2) открываем для чтения файл оперативной информации (ФОИ);
3) поблочно считываем информацию из ФОИ;
4) в каждом блоке построчно анализируем информацию;
5) находим адрес активной программы (или программ);
6) выясняем имя ПС, запустившего вредоносную программу (программы-распространителя), и время ее запуска.
Считывая ФОИ, выясняем, каким образом запущена вредоносная программа.
Таким образом, можно проследить всю цепочку ПС, начиная с компонент ОС, выявить место вредоносного воздействия и выдать соответствующую информацию.
Аналогично опишем алгоритм создания “карантинной зоны” в ИТКС:
1) получаем сообщение об адресе и времени вредоносного воздействия;
2) открываем для чтения файл оперативной информации (ФОИ);
3) поблочно считываем информацию из ФОИ;
4) формируем сообщение об адресе программы-распространителя и времени ее запуска.
В каждом блоке построчно анализируется следующая информация:
об адресе и времени выполнения активной программы;
об идентификаторе программы-распространителя;
об обстоятельствах запуска программы-распространителя и о всех программах, запущенных программой-распространителем.
Аналогичным образом выявляются все программы, которые на настоящий момент времени могут быть “заражены”.
На основе объединения рассмотренных алгоритмов разработана программа, идентифицирующая путь заражения ИТКС и список ПС, возможно изменённых в результате вредоносного воздействия (“карантинную зону”).
В связи с необходимостью комплексного подхода к обеспечению защиты информации и с разными вариантами распределения функций защиты информации между приложениями и средой, профиль защиты информации рассматривается как отдельный функциональный профиль ИТКС
Комплексный подход предполагает учет таких свойств информационной безопасности ИТКС, как:
-
доступность информационных ресурсов;
-
обеспечение целостности программ и данных;
-
обеспечение защиты от несанкционированного доступа.
Показатели защищенности и правила проверки соответствия ИС требованиям безопасности должны определяться на основе соответствующих руководящих документов Гостехкомиссии России и ФАПСИ.
Для определения функциональной области защиты информации, необходимой при построении профиля, предлагается использовать ту же концептуальную модель ИТКС, имея в виду проекцию матрицы элементов основных функций на плоскость функций защиты информации. Этот подход позволяет определить распределение функций защиты информации между компонентами среды и приложений.