Интернет безопасность. Интернет безопасность лекция. 3. Угрозы информационной безопасности. Построение систем

57 соответствующими средствами, которые также включаются в состав защитной оболочки. В результате будет построена замкнутая виртуальная оболочка защиты информации [5].
Степень защиты определяется полнотой перекрытия каналов утечки информации и возможных путей обхода средств защиты, а также прочностью защиты. Согласно принятой модели поведения нарушителя прочность защитной оболочки определяется средством защиты с наименьшим значением прочности из числа средств, составляющих эту оболочку.
Под прочностью защиты (преграды) понимается величина вероятности ее непреодоления нарушителем.
Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки доступа при отсутствии путей обхода этой преграды.
Защитная оболочка должна состоять из средств защиты, построенных по одному принципу (контроля или предупреждения НСД) и размещаемых на каналах
НСД одного типа
(технически контролируемых или неконтролируемых). На контролируемых каналах нарушитель рискует быть пойманным, а на неконтролируемых он может работать в комфортных условиях, не ограниченных временем и средствами. Прочность защиты во втором случае должна быть значительно выше. Поэтому целесообразно в автоматизированной системе иметь отдельные виртуальные защитные оболочки: контролируемую и превентивную.
Кроме того, необходимо учитывать применение организационных мероприятий, которые в совокупности могут образовать свою защитную оболочку.
Стратегия и тактика защиты от преднамеренного НСД заключается в применении на возможных каналах НСД к информации АС средств контроля, блокировки и предупреждения событий. Средства контроля и блокировки устанавливаются на возможных каналах НСД, где это возможно технически или организационно, а средства предупреждения (превентивные средства) применяются там, где такие возможности отсутствуют.
При расчете прочности средства защиты учитывается временной фактор, позволяющий получить количественную оценку его прочности – ожидаемую величину вероятности непреодоления его потенциальным нарушителем.
Рассмотрим варианты построения защитной оболочки и оценку ее прочности [5].
В простейшем случае предмет защиты помещен в замкнутую однородную защитную оболочку (рис. 3.1).

58
Рис. 3.1. Модель однозвенной защиты
Прочность защиты зависит от свойств преграды. Считается, что прочность созданной преграды достаточна, если стоимость ожидаемых затрат на ее преодоление потенциальным нарушителем превышает стоимость защищаемой информации.
Если обозначить вероятность непреодоления преграды нарушителем через Р
н
, вероятность преодоления преграды нарушителем через Р
п
, то согласно теории вероятности
Р
н
+
Р
п
= 1.
В реальном случае у преграды могут быть пути ее обхода. Обозначим вероятность обхода преграды нарушителем через Р
о
. Нарушитель, действующий в одиночку, выберет один из путей: преодоление преграды или обходной вариант. Тогда, учитывая несовместность событий, формальное выражение прочности преграды можно представить в виде
Р
н
= min {(1 –
Р
п
) , (1 –
Р
о
)}.
Рассмотрим наиболее опасную ситуацию, когда нарушитель знает и выберет путь с наибольшей вероятностью преодоления преграды. В таком случае можно предположить, что прочность преграды определяется вероятностью ее преодоления или обхода потенциальным нарушителем по пути с наибольшим значением этой вероятности. То есть в случае действий единственного нарушителя прочность защиты определяется ее слабейшим звеном.
У преграды может быть несколько путей обхода. Тогда последнее выражение примет вид
Р
н
= min {(1 –
Р
п
), (1 –
Р
о1
), (1 –
Р
о2
), (1 –
Р
о3
), ... (1 – –
Р
оk
)},
где k – количество путей обхода. предмет защиты преграда

59
Для случая, когда нарушителей более одного и они действуют одновременно (организованная группа) по каждому пути, это выражение с учетом совместности действий будет выглядеть так:
Р
н
= (1 –
Р
п
)
∙ (1 – Р
о1
)
∙ (1 – Р
о2
)
∙ (1 – Р
о3
) ... (1 -
Р
оk
).
Данная формула применима для неконтролируемой преграды.
Рассмотрим особенности расчета соотношений для контролируемой преграды. Когда к предмету защиты, имеющему постоянную ценность, необходимо и технически возможно обеспечить контроль доступа, обычно применяется постоянно действующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты.
Для анализа ситуации рассмотрим временную диаграмму процесса контроля и обнаружения НСД, приведенную на рис. 4.2.
Рис. 3.2. Временная диаграмма процесса контроля и обнаружения НСД:
Т – период опроса датчиков; Т
об
– время передачи сигнала и обнаружения НСД;
Т
б
– время блокировки доступа; Т
нр
– время нарушения
Из рис. 4.2 следует, что нарушитель может быть не обнаружен в двух случаях: а) когда время нарушения меньше периода опроса датчиков: Т
нр
<
Т;
б) когда Т < Т
нр
<
Т
об
+ Т
б
В случае а) требуется дополнительное условие – попадание интервала времени t в интервал Т, т. е. необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения.
Формально эту задачу можно представить следующим образом. Есть последовательное множество событий в виде контрольных импульсов с расстоянием Т между ними и есть определенное множество элементарных событий в виде отрезка длиной Т
нр
, который случайным образом накладывается на первое множество. Задача состоит в определении вероятности попадания отрезка Т
нр на контрольный импульс, если Т
нр
<
Т.
0
t

60
Если обозначить вероятность попадания отрезка на контрольный импульс, то есть вероятность обнаружения нарушения, через Р
1
, то
Р
1
=




≥
<
T
Т
Т
Т
Т
Т
нр нр нр
,
1
,
В случае б), когда Т < Т
нр
<
Т
об
+ Т, НСД фиксируется наверняка и вероятность обнаружения действий нарушителя будет определяться соотношением между Т
нр и (Т
об
+ Т
б
).
Величина ожидаемого Т
нр зависит от многих факторов:
• характера поставленной задачи нарушения,
• метода и способа нарушения,
• технических возможностей и квалификации нарушителя,
• технических возможностей автоматизированной системы.
Поэтому можно говорить о вероятностном характере величины Т
нр.
Если обозначить вероятность обнаружения и блокировки НСД через Р
2
, то б
об нр
2
Т
Т
Т
Р
+
=
Для более полного формального представления прочности преграды в виде автоматизированной системы обнаружения и блокировки НСД необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.
Вероятность отказа системы определяется по формуле
Р
отк
(t)
= е
-
λt
,
где λ – интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД;
t – рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.
Исходя из наиболее опасной ситуации, считаем, что отказ системы контроля и НСД могут быть совместными событиями. Поэтому, с учетом этой ситуации формула прочности контролируемой преграды примет вид
Р
н
= min{
Р
2
(1 –
Р
отк
), (1 –
Р
о1
), (1 –
Р
о2
), (1 –
Р
о3
), ... (1 -
Р
оk
)},

61 где Р
о и количество путей обхода k определяются экспертным путем на основе анализа принципов построения конкретной системы контроля и блокировки НСД.
В случае, если ценность информации падает с течением времени, за условие достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. В качестве такой защиты может быть использовано криптографическое преобразование информации. Возможными путями обхода криптографической преграды могут быть криптоанализ исходного текста зашифрованного сообщения или доступ к действительным значениям ключей шифрования при хранении и передаче.
На практике в большинстве случаев защитный контур (оболочка) состоит из нескольких соединенных между собой преград с различной прочностью
(рис. 3.3).
Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна и замок на двери.
Формальное описание прочности многозвенной оболочки защиты почти полностью совпадает с однозвенной, т. к. наличие нескольких путей обхода одной преграды, не удовлетворяющих заданным требованиям, потребует их перекрытия другими преградами, которые в конечном итоге образуют многозвенную оболочку защиты.
Рис. 3.3. Модель многозвенной защиты
Прочность многозвенной защиты из неконтролируемых преград, построенной для противостояния одному нарушителю, определяется по формуле
Р
зи
= min{
Р
сзи1
,
Р
сзи2
,
Р
сзиi
, (1 –
Р
о1
), (1 –
Р
о2
), (1 –
Р
о3
), ... (1 –
Р
оk
)}, где Р
сзиi
– прочность i-й преграды;
Р
0k
– вероятность обхода преграды по k-мy пути. предмет защиты преграда
3 преграда
1 преграда
2

62
Прочность многозвенной защитной оболочки от одного нарушителя равна прочности ее слабейшего звена. Это правило справедливо и для защиты от неорганизованной группы нарушителей, действующих самостоятельно.
Прочность многозвенной защиты, построенной из неконтролируемых преград для защиты от организованной группы квалифицированных нарушителей, рассчитывается следующим образом:
Р
зи0
=
Р
сзи1
∙ Р
сзи2
∙ …Р
сзиi
∙ (1 – Р
о1
)
∙ (1 – Р
о2
)
∙ (1 – Р
о3
) ... (1 -
Р
оk
).
Прочность многозвенной защиты от организованной группы нарушителей равна произведению вероятностей непреодоления потенциальным нарушителем каждого из звеньев, составляющих эту защиту.
Расчет прочности многозвенной защиты с контролируемыми преградами аналогичен.
Расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград должны быть раздельными, поскольку исходные данные для них различны и, следовательно, на разные задачи должны быть разные решения – две разные оболочки защиты одного уровня.
Если прочность слабейшего звена защиты удовлетворяет предъявленным требованиям оболочки защиты в целом, возникает вопрос об избыточности прочности на остальных звеньях данной оболочки. Отсюда следует, что экономически целесообразно применять в многозвенной оболочке защиты равнопрочные преграды.
Если звено защиты не удовлетворяет предъявленным требованиям, преграду в этом звене следует заменить на более прочную или данная преграда дублируется еще одной преградой, а иногда двумя и более преградами.
Дополнительные преграды должны перекрывать то же количество или более возможных каналов НСД, что и первая.
В этом случае, если обозначить прочность дублирующих друг друга преград соответственно через Р
д1
,
Р
д2
,
Р
д3
,..Р
дi
, то вероятность преодоления каждой из них определяется как вероятность противоположного события: (1 –
Р
д1
), (1 –
Р
д2
), (1 –
Р
д3
), ...(1 –
Р
дi
).
Считаем, что факты преодоления этих преград нарушителем – события совместные. Это позволяет вероятность преодоления суммарной преграды нарушителем представить в виде
Р
п
= (1 –
Р
д1
)
∙ (1 – Р
д2
)
∙ (1 – Р
д3
) ... (1 –
Р
дi
).
В ответственных случаях при повышенных требованиях к защите применяется многоуровневая защита, модель которой представлена на рис. 3.4.

63
Рис. 3.4. Модель многоуровневой защиты
При расчете суммарной прочности многоуровневой защиты суммируются прочности отдельных уровней.
3.6.
Построение
систем
защиты
от
угрозы
конфиденциальности. Причины и виды утечки
информации
Нарушение конфиденциальности происходит в результате утечки информации. Защита информации от утечки – это деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.
Основными причинами утечки информации являются [3]:
• несоблюдение персоналом норм, требований, правил эксплуатации
АС;
• ошибки в проектировании АС и систем защиты АС;
• ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что здесь лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р 50922–96 рассматриваются три вида утечки информации:
• разглашение;
• несанкционированный доступ к информации; предмет защиты уровни защиты (оболочки)

64
• получение защищаемой информации разведками
(как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Согласно [7] несанкционированный доступ к информации – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. Под НСД понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
3.7.
Классификация каналов утечки информации
Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может быть в пределах контролируемой зоны, охватывающей АС,
или вне ее.
При выявлении каналов утечки информации необходимо рассматривать всю совокупность элементов системы, включающую основное оборудование
технических средств обработки информации (ТСОИ), оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т. п.
Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей информации, необходимо учитывать и
вспомогательные технические средства и системы (ВТСС), такие как технические средства открытой телефонной, факсимильной, громкоговорящей связи, системы охранной и пожарной сигнализации, электрофикации, радиофикации, часофикации, электробытовые приборы и др.
В качестве каналов утечки большой интерес представляют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения с установленными в них основными и вспомогательными

65 техническими средствами, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.
Следует помнить о внутренних каналах утечки информации, связанных с действиями администрации и обслуживающего персонала, с качеством организации режима работы, тем более что обычно им не придают должного внимания. Из них в первую очередь можно отметить такие каналы утечки, как хищение носителей информации, съем информации с ленты принтера и плохо стертых дискет, использование производственных и технологических отходов, визуальный съем информации с дисплея и принтера, несанкционированное копирование и т. п.
Каналы утечки информации по физическим принципам можно разделить на следующие группы [6]:
• акустические (включая и акустопреобразовательные). Связаны с распространением звуковых волн в воздухе или упругих колебаний в других средах;
• электромагнитные (в том числе магнитные и электрические);
• визуально-оптические (наблюдение, фотографирование). В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т. п.;
• материально-вещественные (бумага, фото, магнитные носители, отходы и т. п.);
• информационные. Связаны с доступом к элементам ТКС, носителям информации, самой вводимой и выводимой информации, к программному обеспечению, а также с подключением к линиям связи.
На практике применяется также деление каналов утечки на технические
(к ним относятся акустические, визуально-оптические и электромагнитные) и информационные.