Интернет безопасность. Интернет безопасность лекция. 3. Угрозы информационной безопасности. Построение систем
Скачать 343.93 Kb.
|
46 3. Угрозы информационной безопасности. Построение систем защиты от угрозы нарушения конфиденциальности информации. Защита информации от утечки по техническим каналам 3 .1. Анализ уязвимостей системы 3 .2. Классификация угроз информационной безопасности 3. 3. Основные направления и методы реализации угроз 3 .4. Неформальная модель нарушителя 3 .5. Методы оценки уязвимости системы 3.6. Причины и виды утечки информации 3.7. Классификация каналов утечки информации 3.8. Технические каналы утечки информации 3.9. Информационные каналы утечки информации 3.1. Анализ уязвимостей системы При построении системы защиты информации обязательно нужно определить, что следует защищать и от кого (или чего) следует строить защиту. Определение информации, подлежащей защите, было дано выше. Защищаться следует от множества угроз, которые проявляются через действия нарушителя. Угрозы возникают в случае наличия в системе уязвимостей, то есть таких свойств АС, которые могут привести к нарушению информационной безопасности. Определение перечня угроз и построение модели нарушителя являются обязательным этапом проектирования системы защиты. Для каждой системы перечень наиболее вероятных угроз безопасности, а также характеристика наиболее вероятного нарушителя индивидуальны, поэтому перечень и модель должны носить неформальный характер. Защищенность информации обеспечивается только при соответствии предполагаемых угроз и качеств нарушителя реальной обстановке. При наличии в системе уязвимости потенциальная угроза безопасности может реализоваться в виде атаки. Атаки принято классифицировать в зависимости от целей, мотивов, используемого механизма, места в архитектуре системы и местонахождения нарушителя. Для предупреждения успешных атак необходим поиск и анализ уязвимостей системы. Уязвимости различаются в зависимости от источника возникновения, степени риска, распространенности, места в жизненном цикле системы, соотношения с подсистемами защиты АС. Анализ уязвимостей – обязательная процедура при аттестации объекта информатизации. В связи с возможностью появления новых уязвимостей, необходим их периодический анализ на уже аттестованном объекте. 47 3.2. Классификация угроз информационной безопасности Угроза – это фактор, стремящийся нарушить работу системы. В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности АС, насчитывающий сотни пунктов. Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование. Необходимость классификации угроз информационной безопасности АС обусловлена архитектурой современных средств автоматизированной обработки информации. Специфика ее такова, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным описать полное множество угроз. Для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз, определяемых по ряду базовых признаков [3]. Существует следующая классификация угроз информационной безопасности: 1. По природе возникновения. 1.1. Естественные угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, не зависящих от человека. 1.2. Искусственные угрозы информационной безопасности АС, вызванные деятельностью человека. 2. По степени преднамеренности проявления. 2.1. Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. Например, проявление ошибок программно- аппаратных средств АС, некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности, неумышленное повреждение каналов связи. 2.2. Угрозы преднамеренного действия. Например, угрозы, вызванные действиями злоумышленника по хищению информации. 3. По непосредственному источнику угроз. 3.1. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т. п.). 48 3.2. Угрозы, непосредственным источником которых является человек. Например, разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. п.). 3.3. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства. Например, запуск технологических программ, способных при некомпетентном использовании вызывать утрату работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.). 3.4. Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства. Например, нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях), заражение компьютера вирусами с деструктивными функциями. 4. По положению источника угроз. 4.1. Угрозы, источник которых находится вне контролируемой зоны территории (помещения) с расположенной в ней АС. Например, перехват побочных электромагнитных излучений устройств и линий связи, перехват данных, передаваемых по каналам связи; дистанционная фото- и видеосъемка. 4.2 Угрозы, источник которых находится в пределах контролируемой зоны территории (помещения) с расположенной в ней АС. Например, хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.), применение подслушивающих устройств. 4.3. Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам). 4.4. Угрозы, источник которых расположен в АС. Например, некорректное использование ресурсов АС. 5. По степени зависимости от активности АС. 5.1. Угрозы, которые могут проявляться независимо от активности АС. Например, вскрытие шифров криптозащиты информации, хищение носителей информации. 5.2. Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных. Например, угрозы исполнения и распространения программных вирусов. 6. По степени воздействия на АС. 49 6.1. Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС. Например, угроза копирования секретных данных. 6.2. Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС. Например, внедрение аппаратных спецвложений, программных «закладок» и «вирусов» («троянских коней» и «жучков»), т. е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы. 7. По этапам доступа пользователей или программ к ресурсам АС. 7.1. Угрозы, которые могут проявляться на этапе доступа к ресурсам АС. Например, угрозы несанкционированного доступа в АС. 7.2. Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС. Например, угрозы несанкционированного или некорректного использования ресурсов АС. 8. По способу доступа к ресурсам АС. 8.1. Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АС. Например, незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т. д.) 8.2. Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС. Например, вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т. п.), угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС. 9. По текущему месту расположения информации, хранимой и обрабатываемой в АС. 9.1. Угрозы доступа к информации на внешних запоминающих устройствах. Например, угроза несанкционированного копирования секретной информации с жесткого диска. 9.2. Угрозы доступа к информации в оперативной памяти. Например, чтение остаточной информации из оперативной памяти, угроза доступа к системной области оперативной памяти со стороны прикладных программ. 9.3. Угрозы доступа к информации, циркулирующей в линиях связи. Например, незаконное подключение к линиям связи с целью «работы между строк» с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений, перехват всего потока данных с целью дальнейшего анализа. 50 9.4. Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере. Например, угроза записи отображаемой информации на скрытую видеокамеру. Вне зависимости от конкретных видов угроз или их проблемно- ориентированной классификации АС удовлетворяет потребности эксплуатирующих ее лиц, если обеспечиваются конфиденциальность, целостность и доступность информации. Соответственно для автоматизированных систем было предложено рассматривать три основных вида угроз: • Угроза нарушения конфиденциальности реализуется в том случае, если информация становится известной лицу, не располагающему полномочиями доступа к ней. Угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности используется термин «утечка». • Угроза нарушения целостности реализуется при несанкционированном изменении информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных). • Угроза нарушения доступности (отказа служб) реализуется, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоян-ным – запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. Данные виды угроз можно считать первичными, или непосредственными, т. к. если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей стороны в том случае, 51 если система, в которой циркулирует информация, для нее «прозрачна», т. е. не существует никаких систем защиты или других препятствий. Описанные выше угрозы были сформулированы в 60-х гг. применительно к открытым UNIX- подобным системам, для которых не предусматривались меры по защите информации. На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Информация не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид – угрозу раскрытия параметров АС, включающей в себя систему защиты. На практике любое проводимое мероприятие предваряется этапом разведки, в ходе которой определяются основные параметры системы, ее характеристики и т. п. Результатом разведки является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства. Угрозу раскрытия параметров АС можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным, или непосредственным. угрозам, перечисленным выше. Введение данного вида угроз позволяет описывать с научно-методологической точки зрения отличия защищенных информационных систем от открытых. Для последних угроза разведки параметров системы считается реализованной. 3.2. Основные направления и методы реализации угроз К основным направлениям реализации злоумышленником информационных угроз относятся [3]: • непосредственное обращение к объектам доступа; • создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты; • модификация средств защиты, позволяющая реализовать угрозы информационной безопасности; • внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС. К числу основных методов реализации угроз информационной безопасности АС относятся [3]: • определение злоумышленником типа и параметров носителей информации; • получение злоумышленником информации о программно- аппаратной среде, типе и параметрах средств вычислительной 52 техники, типе и версии операционной системы, составе прикладного программного обеспечения; • получение злоумышленником детальной информации о функциях, выполняемых АС; • получение злоумышленником данных о применяемых системах защиты; • определение способа представления информации; • определение злоумышленником содержания данных, o бpaбaтываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений); • хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные; • использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН); • уничтожение средств вычислительной техники и носителей информации; • несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов; • несанкционированное превышение пользователем своих полномочий; • несанкционированное копирование программного обеспечения; • перехват данных, передаваемых по каналам связи; • визуальное наблюдение; • раскрытие представления информации (дешифрование данных); • раскрытие содержания информации на семантическом уровне; • уничтожение машинных носителей информации; • внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные; • установка и использование нештатного аппаратного и/или программного обеспечения; • заражение программными вирусами; • внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи; • внедрение дезинформации; • выведение из строя машинных носителей информации без уничтожения; 53 • проявление ошибок проектирования и разработки аппаратных и программных компонентов АС; • искажение соответствия синтаксических и семантических конструкций языка; • запрет на использование информации. Перечисленные методы реализации угроз охватывают все уровни представления информации. 3.4. Неформальная модель нарушителя Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т. п.) и использующее для этого различные возможности, методы и средства. Злоумышленник – нарушитель, намеренно идущий на нарушение из корыстных побуждений. Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т. п. Исследовав причины нарушений, можно либо повлиять на сами эти причины, либо точнее определить требования к системе защиты от данного вида нарушений или преступлений. В каждом конкретном случае исходя из конкретной технологии обработки информации может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной АС. Неформальная модель нарушителя разрабатывается при проектировании системы защиты и оценке защищенности информации. При разработке модели нарушителя определяются: • предположения о категориях лиц, к которым может принадлежать нарушитель; • предположения о мотивах действий нарушителя (преследуемых нарушителем целях); • предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах); • ограничения и предположения о характере возможных действий нарушителей. По отношению к АС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Практика показывает, что на долю внутренних нарушителей приходится более 2/3 от общего числа нарушений. 54 Внутренним нарушителем может быть лицо из следующих категорий персонала: • пользователи (операторы) системы; • персонал, обслуживающий технические средства (инженеры, техники); • сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты); • технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС); • сотрудники службы безопасности АС; • руководители различных уровней должностной иерархии. Посторонние лица, которые могут быть нарушителями: • клиенты (представители организаций, граждане); • посетители (приглашенные по какому-либо поводу); • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т. п.); • представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию; • лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС); • любые лица за пределами контролируемой территории. Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Даже если АС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Классификация нарушителей По уровню знаний об АС: • знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами; 55 • обладает высоким уровнем знаний и опытом работы с техническими средствами системы, а также опытом их обслуживания; • обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем; • знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны. По уровню возможностей (используемым методам и средствам): Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. Третий уровень определяется возможностью управления функционированием АС, т. е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. Классификация является иерархической, т. е. каждый следующий уровень включает в себя функциональные возможности предыдущего. В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты. Классификация по уровню возможностей приводится в руководящем документе Гостехкомиссии «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» в разделе «Модель нарушителя в АС» [7]. По времени действия: • в процессе функционирования АС (во время работы компонентов системы); • в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т. п.); • как в процессе функционирования АС, так и в период неактивности компонентов системы. По месту действия: • без доступа на контролируемую территорию организации; 56 • с контролируемой территории без доступа в здания и сооружения; • внутри помещений, но без доступа к техническим средствам АС; • с рабочих мест конечных пользователей (операторов) АС; • с доступом в зону данных (баз данных, архивов и т.п.); • с доступом в зону управления средствами обеспечения безопасности АС. Определение конкретных характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть определен с помощью характеристик, приведенных выше. |