Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfСпособы воздействия на СОИ:
•в интерактивном (on-line) режиме (например, атака на систему с помощью интерпретатора команд). Атака оказы вается более длительной по времени и, может быть обна ружена, но воздействие является более гибким;
•в пакетном (off-line) режиме (например, с помощью виру сов). Атака является кратковременной, трудно диагности руемой и более опасной, но требует большой предвари тельной подготовки, так как необходимо предусмотреть все возможные последствия вмешательства.
Объекты атаки:
•СОИ в целом (для этого используются «маскарад», перехват или подделка пароля, взлом или доступ к СОИ через сеть);
•объекты СОИ (программы в оперативной памяти или на внешних носителях, сами устройства системы, каналы пе редачи данных и т. д., с целью получения доступа к содер жимому носителей информации или нарушения их функ циональности);
•субъекты СОИ — процессы и подпроцессы пользователей (цели: приостановка; изменение привилегий или характе ристик; использование злоумышленником привилегий или характеристик и т. д.);
•каналы передачи данных — передаваемые по каналу связи пакеты данных и сами каналы (цели: нарушение конфи денциальности, подмена или модификация сообщений, на рушение целостности информации, изменение топологии и характеристик сети, нарушение доступности сети и т. д.).
Состояние объекта атаки:
•хранение (диск или другой вид носителя информации на ходится в пассивном состоянии) и воздействие осуществ ляется с использованием доступа;
•передача по линиям связи между узлами сети или внутри узла;
•обработка (объектом атаки является процесс пользователя).
Используемые средства атаки:
•использование стандартного программного обеспечения (ПО);
•использование специально разработанных программ (по этому в защищенных системах рекомендуется не допускать добавление программ в СОИ без разрешения администра тора безопасности системы).
Каналы несанкционированного получения информации в СОИ (КНПИ)
Под КНПИ понимаются такие дестабилизирующие факто ры, следствием проявления которых может быть получение (или опасность получения) защищаемой информации лицами или процессами, не имеющими на это законных полномочий.
Перечни основных типов каналов несанкционированного доступа к информации выглядят следующим образом.
Каналы, проявляющиеся безотносительно к обработке инфор мации и без доступа злоумышленника к элементам ЭВТ:
•хищение носителей информации на заводах, где произво дится ремонт ЭВТ;
• подслушивание разговоров лиц, имеющих отношение
кСОИ;
•провоцирование на разговоры лиц, имеющих отношение
кСОИ;
•использование злоумышленником визуальных средств;
•использование злоумышленником оптических средств;
•использование злоумышленником акустических средств.
Каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам СОИ (в основном — по бочные электромагнитные излучения и наводки, ПЭМИН):
•электромагнитные излучения устройств отображения ин формации;
•электромагнитные излучения процессоров;
•электромагнитные излучения внешних запоминающих уст ройств;
•электромагнитные излучения аппаратуры связи;
•электромагнитные излучения линий связи;
•электромагнитные излучения вспомогательной аппаратуры;
•паразитные наводки в коммуникациях водоснабжения;
•паразитные наводки в системах канализации;
•паразитные наводки в сетях теплоснабжения;
•паразитные наводки в системах вентиляции;
•паразитные наводки в шинах заземления;
•паразитные наводки в цепях радиофикации;
•паразитные наводки в цепях телефонизации и диспетчер ской связи;
•паразитные наводки в сетях питания по цепи 50 Гц;
•подключение генераторов помех;
•подключение регистрирующей аппаратуры;
•осмотр отходов производства, попадающих за пределы кон тролируемой зоны.
Каналы, проявляющиеся безотносительно к обработке инфор мации с доступом злоумышленника к элементам СОИ, но без изменения последних:
•копирование бланков с исходными данными;
•копирование магнитных носителей;
•копирование с устройств отображения;
•копирование выходных документов;
•копирование других документов;
•хищение производственных отходов.
Каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам СОИ, но без изменения
последних:
•запоминание информации на бланках с исходными дан ными;
•запоминание информации с устройств наглядного отобра жения;
•запоминание информации на выходных документах;
•запоминание служебных данных;
•копирование (фотографирование) информации в процессе обработки;
•изготовление дубликатов массивов и выходных доку ментов;
•копирование распечатки массивов;
•использование программных ловушек;
•маскировка под зарегистрированного пользователя; ис пользование недостатков систем программирования;
•использование недостатков операционных систем;
•использование зараженности программного обеспечения вирусом.
Каналы, проявляющиеся безотносительно к обработке инфор
мации с доступом злоумышленника к элементам СОИ с изменени ем последних:
•подмена/хищение бланков;
•подмена/хищение магнитных носителей;
•подмена/хищение выходных документов;
•подмена/хищение аппаратуры;
•подмена элементов программ;
•подмена элементов баз данных;
•хищение других документов;
•внедрение в программы блоков типа «троянский конь», «бомба» и т. п.;
•чтение остаточной информации в ЗУ после выполнения санкционированных запросов.
Каналы, проявляющиеся в процессе обработки информации
сдоступом злоумышленника к объектам СОИ с их изменением:
•незаконное подключение к аппаратуре;
•незаконное подключение к линиям связи;
•снятие информации на шинах питания устройств отобра жения;
•снятие информации на шинах питания процессоров;
•снятие информации на шинах питания аппаратуры связи;
•снятие информации на шинах питания линий связи;
•снятие информации на шинах питания печатающих уст ройств;
•снятие информации на шинах питания внешних запоми нающих устройств;
•снятие информации на шинах питания вспомогательной аппаратуры.
Основные направления борьбы сугрозами безопасности СОИ
Для оценки степени защищенности СОИ используются стандарты, разработанные для компьютерных систем (или авто матизированных систем — АС) вообще. Отметим две наиболее часто применяемые в РФ системы стандартов такого рода.
«Оранжевая книга». Наиболее известным стандартом безо пасности компьютерных систем является упоминавшийся выше документ под названием «Критерии безопасности доверен ных/надежных компьютерных систем» («Оранжевая книга»). Со гласно «Оранжевой книге» все защищенные компьютерные сис темы делятся на семь классов (А1 — гарантированная защита, В1, В2, ВЗ — полное управление доступом, С 1, С2 — избира тельное управление доступом, D — минимальная безопасность).
Согласно «Оранжевой книге» политика безопасности должна включать в себя по крайней мере следующие элементы:
•произвольное управление доступом;
•безопасность повторного использования объектов;
•метки безопасности;
•принудительное управление доступом;
•идентификация и аутентификация;
•безопасность повторного использования объектов.
Руководящие документы Гостехкомиссии. В 1992 г. Гостехко
миссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем. В документе «Средства вычислительной техники. Защита от несанкционированного доступа к информа ции. Показатели защищенности от несанкционированного дос тупа к информации» установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляются к классу 7, самые высокие — к классу 1. Требова ния этих классов в основном соответствуют аналогичным требо ваниям «Оранжевой книги».
Идейной основой набора Руководящих документов является «Концепция защиты СВТ и АС от НСД к информации», которая излагает систему взглядов, основных принципов, которые закла дываются в основу проблемы защиты информации от несанк ционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.
В Концепции различаются понятия с р е д с т в в ы ч и с л и
т е л ь н о й |
т е х н и к и (СВТ) |
и а в т о м а т и з и р о в а н н о й |
с и с т е м ы |
(АС). Различие двух |
направлений порождено тем, |
что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. В Концепции формулируются следующие основные принципы защиты от НСД к информации:
•защита СВТ обеспечивается комплексом программно-тех нических средств;
•защита АС обеспечивается комплексом программно-тех нических средств и поддерживающих их организационных мер;
•защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функ
ционирования, в том числе при проведении ремонтных и регламентных работ;
•программно-технические средства защиты не должны су щественно ухудшать основные функциональные характери стики АС (надежность, быстродействие, возможность из менения конфигурации АС).
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделя ется четыре уровня этих возможностей, причем в рамках «сво его» уровня считается, что нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты. Классификация является иерархической, т. е. каждый следующий уровень включает в себя функциональ ные возможности предыдущего:
•первый — самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксированно го набора, реализующих заранее предусмотренные функ ции по обработке информации;
•второй уровень определяется возможностью создания и за пуска собственных программ с новыми функциями по об работке информации;
•третий определяется возможностью управления функцио нированием АС, т. е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее обо рудования;
•четвертый уровень определяется всем объемом возможно стей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в со став СВТ собственных технических средств с новыми функ циями по обработке информации.
Вкачестве главного средства защиты от НСД к информации
вКонцепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями СРД являются:
•реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным и устройствам создания твердых копий;
•изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
•управление потоками данных с целью предотвращения за писи данных на носители несоответствующего грифа;
•реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.
Кроме того, Концепция предусматривает наличие обеспе чивающих средств для СРД, которые выполняют следующие функции:
•идентификацию и опознание (аутентификацию) субъектов
иподдержание привязки субъекта к процессу, выполняе мому для субъекта;
•регистрацию действий субъекта и его процесса;
•предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
•реакцию на попытки НСД, например, сигнализацию, бло кировку, восстановление после НСД;
•тестирование;
•очистку оперативной памяти и рабочих областей на маг нитных носителях после завершения работы пользователя с защищаемыми данными;
•учет выходных печатных и графических форм и твердых копий в АС;
•контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.
Сервисы безопасности. Кроме перечисленных понятий, свя занных с политикой безопасности, при рассмотрении защиты информации в распределенных системах и сетях часто использу ется представление о с е р в и с а х б е з о п а с н о с т и , обычно включающих такие, как:
•идентификация/аутентификация;
•разграничение доступа;
•шифрование;
•протоколирование/аудит;
•контроль целостности и защищенности;
•обнаружение отказов и оперативное восстановление;
•экранирование и туннелирование.
Отметим, что перечисленные направления обеспечения ин формационной безопасности и их группы фигурируют в различ ных источниках под наименованиями «политики безопасности», «механизмы безопасности», «сервисы безопасности» и т. д., хотя речь часто идет об одних и тех же вещах, типа «криптографиче ского закрытия».
Ниже будут рассмотрены конкретные примеры и разновид ности угроз безопасности и направления борьбы с ними, незави симо от того, являются они элементами «политики», «механиз ма» или «сервиса» безопасности.
2.2. Программно-технические угрозы информационной безопасности ПК
jpH k |
К основным разновидностям вредоносного воздействия |
ж і д Р |
относятся воздействие на информацию (уничтожение, |
® |
искажение, модификация) и воздействие на систему (вы |
вод из строя, ложное инициирование действия, модификация содержания выполняемых функций, создание помех в работе). Англоязычное наименование этих феноменов — malware (бук вально — «нехорошие изделия») или badware (от инициативы Stopbadware.org) — говорит само за себя. Stopbadware.org опреде ляет приложение как «badware» (обозначается картинкой, приве денной в начале данного абзаца), если оно:
•действует обманным путем или приводит к необратимым последствиям;
•приводит к потенциально нежелательным результатам без того, чтобы:
—вначале информировать пользователя об этом понятно и доходчиво;
—затем получить его согласие.
Защита от злонамеренных (вредоносных) программных средств (ЗПС) для ПК имеет особое значение по ряду причин, а именно:
•актуальность для всех без исключения пользователей ПК независимо от того, конфиденциальная или открытая ин формация ими обрабатывается;
•заражение ЗПС представляет угрозу повышенной опасно сти для ПК, чему особенно способствует высокий дина мизм обмена информацией как по каналам связи (в сетях ЭВМ), так и посредством гибких дисков;
•защита ПК от ЗПС требует особого профессионализма, по скольку многие из них носят специфический индивидуаль ный характер, а их нейтрализация и устранение сопряжены с программными манипуляциями нередко весьма сложного и даже изощренного характера.
Классификация программных закладок и их общие характеристики
К сожалению, всеобъемлющая и научно обоснованная клас сификация закладок пока не разработана, однако исходя из це лей защиты от вредоносного воздействия закладок, их целесооб разно классифицировать по следующей совокупности критериев:
•характеру вредоносного воздействия на ПК;
•способу реализации;
•способу проникновения в ПК;
•способности к саморазмножению.
Основные значения первого критерия могут быть представле ны в следующем виде:
•уничтожение или искажение программ и/или массивов данных;
•формирование каналов несанкционированного получения информации;
•вывод ПК из числа действующих, т. е. приведение его в та кое состояние, при котором он не может осуществлять свои основные функции;
•вредоносное инициирование выполнения предусмотрен ных в ПК функций (например, ложная подача команды на остановку производства в автоматизированных системах управления технологическими процессами);
•создание препятствий в выполнении функций ПК (напри мер, блокировка отображения информации на экране дис плея, выдачи на печать и др.).
Возможные значения второго критерия (способ реализации) могут быть представлены следующим перечнем:
•аппаратный;
•программный;
•организационный.
Первые два способа реализации, вообще говоря, являются основными, однако в общем случае можно предположить воз можность создания также организационных закладок. Напри мер, в инструкции об уничтожении информации, находящейся в ЭВМ, в злоумышленных целях можно предусмотреть преждевре менное ее уничтожение или, наоборот, сохранение той инфор мации, которую надлежало бы уничтожить. В инструкции по ис пользованию криптографических средств злоумышленно можно
внести такие положения, выполнение которых может дать крип тоаналитику дополнительную информацию, облегчающую крип тоанализ шифротекста. Нетрудно предположить возможность создания ряда других организационных закладок.
По способу проникновения в ПК (третий критерий класси фикации) закладки могут быть разделены на следующие группы:
•злоумышленно создаваемые в процессе производства аппа ратуры ЭВТ и компонентов ее программного обеспечения;
•неосознанно вносимые персоналом или пользователями ПК в процессе ее функционирования;
•злоумышленно вносимые в процессе функционирования ПК;
•злоумышленно создаваемые в процессе ремонта аппарату ры или обновления ПК.
Наконец, по способности к размножению (четвертый крите рий классификации) закладки естественным образом делятся на две разновидности:
•саморазмножающиеся;
•несаморазмножающиеся.
Втабл. 2.1 приводится альтернативная классификация про граммных средств, опирающаяся на различные уровни нежела тельных последствий их функционирования и информированно сти пользователей об этих последствиях.
Таблица 2.1. Матрица классов программных средств
Осознание |
іедст- |
Негативные последствия работы программных средств |
|
||
вий пользе |
ілями |
Незначительные |
Средние |
Высокие |
|
Высокое |
|
Легальные ПС |
Нежелательные ПС |
| | | р И М М а у |
j |
;Среднее |
|
[«Полупрозрачные» ПС |
«Непрошенные» ПС |
М Ь м р ш а » * |
1 |
, Низкое |
|
|
|
|
|
Обозначения в таблице:
— легальные ПС с низкими негативными последствиями и высокой информиро ванностью пользователя
j — шпионские программы со средней информированностью пользователя или
1средними негативными последствиями
— вредоносные программы с низкой информированностью пользователя или не приемлемыми последствиями
Известные |
в настоящее время закладки осуществляются |
а п п а р а т н ы м |
или п р о г р а м м н ы м путем. |