Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdfПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ |
' СИСТЕМНЫЙ ПРОГРАММИСТ ч. |
|||
|
Нарушает защиту ПО, |
| |
||
Попытки преодолеть защиту, |
|
|||
|
обеспечивает себе право входа |
!ч |
||
; управление доступом, идентификация |
|
|||
|
в систему, выявляет способы |
|
||
пользователей, управление |
|
|
||
>ч |
защиты |
г |
||
_ ограничениями ________ |
||||
|
|
|
||
ОПЕРАТОР Может заменить защищенный
монитор на незащищенный, выявляет способы защиты
Р адиотерм инал
|
|
|
|
ДОСТУП |
|
|
|
|
|
Попытка получить копию, |
|
|
|
|
|
неточности, вызванные |
|
|
|
|
ИНЖЕНЕР ПО ЭКСПЛУАТАЦИИ |
действиями |
|
|
|
|
пользователей с низким |
||
|
|
г - - - , |
Нарушает защиту технических средств, |
||
РАДИОДОСТУП |
ч |
уровнем полномочий |
|||
|
использует служебные программы для |
||||
Попытка |
! |
|
|
||
|
доступа к файлам и входа в систему , |
|
|||
несанкционированного |
! |
|
|
||
|
|
|
|||
радиодоступа в систему,! |
|
|
|
||
преодоление защиты |
} |
|
|
|
|
Рис. 1.1. Источники возможных угроз безопасности ИТС
Современные модели угроз И Б ИТС, предлагаемые и ре комендуемые большинством официальных структур, включая отечественные, построены на основе моделирования поведения
22
нарушителя и поэтому весьма громоздки, и что самое главное — неадекватны. В погоне за чрезмерной детализацией угроз и по ведения нарушителя (модель нарушителя) можно вообще «уйти в сторону» от решаемой задачи. Дело в том, что никогда нельзя спрогнозировать поступки и действия того или иного возможно го нарушителя. Более того, часто бывает так, что нарушителем становится человек, от которого вообще не ожидали каких-либо противоправных действий.
Очевидно, что сами угрозы могут варьироваться, изменять ся и обновляться, так как в основе таких угроз лежит поведение человека, которое непредсказуемо, но с точки зрения их реали зации (претворения в жизнь) и достижения результата, они все приводят к последствиям, которые могут быть объединены в группы (виды).
Специалисты, занимающиеся проблемой информационной безопасности в сети Интернет, определили четыре вида послед ствий угроз: вскрытие, обман, разрушение, захват (узурпация). Последствием воздействия угроз является нарушение безопас ности ИТС (рис. 1.1). Рассмотрим эти последствия, а также пе речень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы безопас ности ИТС. (Угрожающие действия, являющиеся следствием случайных событий (природных явлений), обозначены «*».)
А. «(Несанкционированное) Вскрытие» (unauthorized dis closure): Обстоятельство или событие, посредством которого субъект получил доступ к охраняемым данным (например кон фиденциальным), не имея на самом деле прав доступа к ним. Следующие угрожающие действия могут стать причиной не санкционированного вскрытия:
А.1. «Разоблачение» (exposure): Угрожающее действие, посредством которого охраняемые данные стали доступны непосредственно субъекту, не имеющему на это право. Оно включает:
А.1.1. «Преднамеренное разоблачение» (deliberate ex posure): Умышленный допуск к охраняемым данным субъекта, не имеющему на это право.
23
А12. «Просмотр остатка данных» (scavenging): Ис следование доступных данных, оставшихся в системе, с целью получения несанкционированного знания охра няемых данных.
А1.3* «Ошибка человека» (human error): Действие или бездействие человека, которое неумышленно повлекло за собой несанкционированное знание субъектом охраняе мых данных.
А.1.4.* «Аппаратно-программная ошибка» (hardware or software error): Ошибка системы, которая повлекла за собой несанкционированное знание субъектом охраняе мых данных.
А.2. «Перехват» (interception): Угрожающее действие, посредством которого субъект имеет непосредственный не санкционированный доступ к охраняемым данным, цирку лирующим между полномочными источниками и получате лями. Оно включает:
А.2.1. «Кража» (theft): Получение доступа к охраняе мым данным путем воровства различных накопителей информации независимо от их физической сущности (например кассеты с магнитной лентой или магнитные диски и др.).
А.2.2. «Прослушивание» (пассивное, wiretapping/passive): Обнаружение и запись данных, циркулирующих между двумя терминалами в системе связи.
А.2.3. «Анализ излучений» (emanations analysis): Непо средственное получение содержания передаваемых в си стеме связи сообщений путем обнаружения и обработки сигнала, излучаемого системой и «переносящего» дан ные, но не предназначенного для передачи сообщений.
А.З. « Умозаключение» (inference): Угрожающее дей ствие, посредством которого субъект получает несанкциони рованный, но не прямой, доступ к охраняемым данным (но не обязательно к данным, содержащимся в передаваемых со общениях) путем осмысления характеристик или «побочных продуктов» систем связи. Оно включает:
24
А.3.1. «Анализ трафика» (traffic analysis): Получение знания охраняемых данных путем наблюдения за изме нением характеристик системы связи, которая транспор тирует данные.
А 3 2 . «Анализ сигналов» (signals analysis): Непрямое получение знания охраняемых данных, передаваемых в системе связи, путем обнаружения и анализа сигнала, излучаемого системой и «переносящего» данные, но не предназначенного для передачи сообщений.
A . 4. «Вторжение»- (intrusion): Угрожающее действие, посредством которого субъект обеспечивает несанкциониро ванный доступ к охраняемым данным путем обмана средств обеспечения безопасности системы. Оно включает:
А.4.1. «Посягательство» (trespass): Получение несанк ционированного физического доступа к охраняемым дан ным путем обмана системных средств защиты информа ции.
А.4.2. «Проникновение» (penetration): Получение несанкционированного логического доступа к охраняе мым данным путем обмана системных средств защиты информации.
А.4.3. «Реконструкция» (reverse engineering): Добыча охраняемых данных путем декомпозиции и анализа кон струкции системного компонента.
А.4.4. «Криптоанализ» (cryptanalysis): Преобразова ние зашифрованных данных в открытый текст (дешиф рование) без априорных знаний о параметрах и алгорит ме процедуры зашифрования.
В. «Обман» (deception): Обстоятельство или событие, кото рое может повлечь за собой получение полномочным субъектом искаженных данных, воспринимаемых им как верные. Следую щие угрожающие действия могут повлечь за собой обман:
B . 1. «Маскарад» (masquerade): Угрожающее действие, посредством которого субъект получает несанкционирован ный доступ к системе или осуществляет злонамеренное дей ствие, выступая в роли полномочного субъекта:
25
В.1.1. «Мистификация» (spoof): Попытка субъекта осуществить несанкционированный доступ в систему под видом полномочного пользователя.
В.1.2. «Устройство для злонамеренных действий» (ma licious logic): С точки зрения «маскарада», любое аппарат но-программное устройство или программное обеспече ние (например «троянский конь»), которое якобы пред назначено для поддержания эффективного и устойчивого функционирования системы, но на самом деле обеспе чивает несанкционированный доступ к системным ресур сам или обманывает пользователя путем выполнения дру гого злонамеренного акта.
В.2. « Фальсификация» (falsification): Угрожающее действие, посредством которого искаженные данные вводят в заблуждения полномочного субъекта:
В.2.1. «Подмена» (substitution): Внесение изменений или замена истинных данных на искаженные, которые служат для обмана полномочного субъекта.
В.2.2. «Вставка» (insertion): Добавление искаженных данных, которые служат для обмана полномочного субъ екта.
В.З. «Отказ» (repudiation): Угрожающее действие, по средством которого субъект обманывает другого путем лож ного отрицания ответственности за какое-либо собственное действие:
В.3.1. «Ложный отказ источника» (false denial o f origin): Действие, посредством которого автор («держа тель») данных отрицает свою ответственность за автор ство (генерирование) этих данных.
В.3.2. «Ложный отказ получателя» (false denial o f re ceipt): Действие, посредством которого получатель данных отказывается от получения этих данных и обладания ими.
С. «Разрушение» (disruption): Обстоятельство или событие, которое препятствует или прерывает корректное функциониро вание системных служб и реализацию необходимых действий. Следующие угрожающие действия могут вызвать разрушение:
26
С.1. «Вредительство» (incapacitation): Угрожающее действие, которое препятствует или прерывает функциони рование системы путем вывода из строя ее компонентов:
С.1.1. «Устройство для злонамеренных действий» (malicious logic): С точки зрения «вредительства», любое аппаратно-программное устройство или программное обеспечение (например «логическая бомба»), умышлен но встраиваемое в систему для нарушения ее работоспо собности или уничтожения ее ресурсов.
С.1.2. «Физическое разрушение» (physical destruction):
Умышленной разрушение системного компонента с це лью препятствия нормальному функционированию си стемы или его прерывание.
С. 1.3* «Ошибка человека» (human error): Действие или бездействие человека, которое неумышленно повлекло за собой выход из строя компонента системы.
С.1.З.* «Аппаратно-программная ошибка» (hardware or software error): Ошибка, которая либо повлекла за со бой повреждение системного компонента, либо привела к прекращению нормального (или полному прекращению) функционирования системы.
С.1.4.* «Природный катаклизм» (naturaldisaster): Лю бое природное явление (например пожар, наводнение, землетрясение, молния или смерч), повлекшее за собой выход из строя компонента системы.
С.2. «Порча» (corruption): Угрожающее действие, кото рое вносит нежелательное изменение в функционирование системы путем вредительского изменения алгоритмов функ ционирования или данных системы:
С.2.1. «Подделка» (tamper): С точки зрения «порчи», умышленное искажение программного обеспечения, дан ных или управляющей информации системы с целью прерывания или препятствования корректному выпол нению системных функций.
С.2.2.«Устройство для злонамеренных действий» (ma licious logic): С точки зрения «порчи», любое аппаратнопрограммное устройство или программное обеспечение
27
(например «компьютерный вирус»), преднамеренно встроенное в систему с целью изменения алгоритмов и процедур функционирования системы или ее данных.
С.2.3* «Ошибка человека» (human error): Действие или бездействие человека, которое неумышленно повлекло за собой искажение алгоритмов и процедур функциониро вания системы или ее данных.
С.2.4.* «Аппаратно-программная ошибка» (hardware or software error): Ошибка, которая повлекла за собой из менение алгоритмов и процедур функционирования си стемы или ее данных.
С.2.5* «Природный катаклизм» (natural disaster):
Любое природное явление (например мощный электро магнитный импульс, вызванный молнией), повлекшее за собой искажение алгоритмов и процедур функциониро вания системы или ее данных.
C. З. «Препятствие» (obstruction): Угрожающее дей ствие, которое прерывает предоставление системных услуг путем воздействия на системные процессы с целью их замед ления или блокировки:
С.3.1. «Помеха» (interference): Прерывание системных процессов и процедур путем блокировки соединений, данных пользователей и управляющей информации.
С.3.2. «Перегрузка» (overload): Прерывание систем ных процессов и процедур путем размещения чрезмерно большого объема «бесполезной» информации (передача вредоносного трафика) в системных компонентах с це лью снижения их функциональной эффективности или их блокировки.
D. «Захват/узурпация» (usurpation): Обстоятельство или событие, в результате которого управление службами систе мы и ее функционирование перешло к незаконному субъекту. Следующие угрожающие действия могут повлечь за собой «за хват»:
D . 1. «Незаконное присвоение» (misappropriation):
Угрожающее действие, посредством которого субъект при-
28
сваивает себе функции несанкционированного логического или физического управления системным ресурсом:
D.1.1. «Кража службы» (theft of service): Несанкцио нированное использование службы субъектом.
D.1.2. «Кража функциональных возможностей» (theft o ffunctionality): Незаконное приобретение действующих аппаратно-программных средств и программного обеспе чения компонентов сети.
D.1.3. «Кража данных» (theft o f data): Незаконное приобретение и использование данных.
D.2. «Злоупотребление» (misuse): Угрожающее дей ствие, которое повлекло за собой выполнение системным компонентом каких-либо функций или процедур обслужи вания, подрывающих безопасность системы:
D.2.1. «Подделка» (tamper): С точки зрения «зло употребления», умышленное искажение программного обеспечения, данных или управляющей информации си стемы с целью принуждения системы выполнять несанк ционированные функции или процедуры обслуживания.
D.2.2. «Устройство для злонамеренных действий» (malicious logic): С точки зрения «злоупотребления», любое аппаратно-программное устройство или про граммное обеспечение, преднамеренно встроенное в систему с целью выполнения или управления несанк ционированными функцией или процедурой обслужи вания.
D.2.3. «Нарушение дозволенности» (violation o fpermis sions): Действие субъекта, которое обеспечивает для него превышение дозволенных системных полномочий путем выполнения несанкционированной функции.
Анализ представленных угроз и последствий их воз действия показывает, что конечными их целями являются (рис. 1.2):
1)информация пользователей, циркулирующая в ИТС, — чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена;
29
2)работоспособность самой ИТС — чтение и искажение (разрушение) управляющей информации и/или наруше ние процедур управления сетевыми (системными) ком понентами или всей сетью (системой).
ОБЪЕКТЫ
БЕЗОПАСНОСТИ
/И ФУНКЦИЯ
/ОБЕСПЕЧЕНИЯ
\БЕЗОПАСНОСТИ
\П ИТС
РЕАЛИЗАЦИЯ
БЕЗОПАСНОСТИ
обеспечения |
обСес^ ечТеВния |
6ёзопасННоптИ |
б е з о п а с е н |
|
НАРУШЕНИЕ |
НАРУШЕНИЕ |
|
ПРОЦЕДУР |
|
управления |
ОБМЕНА |
сетью |
рис. 1.2. Объекты и реализационные аспекты функции обеспечения И Б ИТС
30
1.3. Функция, способы и средства обеспечения ИБ
На сегодняшний день существует несколько точек зрения на обеспечение безопасности информации в ИТС. Это относится к моделям безопасности Международного союза электросвязи (ITU-T, Х.800), Международной организации по стандарти зации (ISO), министерства обороны США (Department of de fense — DOD) и рабочей группы по безопасности IETF (IRTF) сети Интернет. Анализ этих моделей показывает, что любая сеть должна обеспечивать дополнительную(ые) функцию(ии) безопасности (помимо стандартного набора функций для лю бой открытой системы), которая(ые) в свою очередь определяет(ют) объекты сетевой безопасности и ее реализационные аспекты (см. рис. 1.2). Этот рисунок показывает, что функция безопасности «разбивается» на подфункции и реализуется че рез определенный набор способов и средств обеспечения защи ты сети. Каждая подфункция относится к определенному уров ню архитектуры ЭМВОС и включает соответствующую группу способов и средств обеспечения безопасности. При этом одни и те же способы и средства могут применяться на различных уровнях архитектуры ИТС.
Под способом обеспечения информационной безопасности
(СПБ) понимается совокупность приемов или операций, при реализации которых достигается какая-либо цель или решается определенная задача по защите данных.
Под средством обеспечения информационной безопасности
(СРБ) понимается комплекс технических устройств (аппаратнопрограммных, программных и др.), обладающих определенны ми свойствами и реализующими один или несколько способов защиты информации. При этом несколько различных средств могут реализовать один способ обеспечения информационной безопасности.
В соответствии с существующими моделями обеспечения ИБ ИТС, каждый уровень ЭМВОС или Интернет-архитекту ры включает дополнительную(ые) функцию(ии) по обеспече нию не только защиты данных пользователей, но и защиту са мих управляющих функций, которые поддерживают «нор
31