Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Методы и средства защиты компьютерной информации
173
диоэлектронных средств. Монитор может оказаться самым слабым звеном, которое сведет на нет все меры безопасности, принятые во всех остальных частях АСОИ.
Применение в АСОИ импульсных сигналов прямоугольной формы и высокочастотной коммутации приводит к тому, что в спек- тре излучений будут компоненты с частотами вплоть до СВЧ. Хотя энергетический спектр сигналов убывает с ростом частоты, но эф- фективность излучения при этом увеличивается, и уровень излуче- ний может оставаться постоянным до частот нескольких гигагерц.
Резонансы из-за паразитных связей могут вызывать усиление излу- чения сигналов на некоторых частотах спектра.
Методы и средства защиты информации от побочного элек-
тромагнитного излучения и наводок информации
В целях защиты секретной информации от утечки за счет по- бочного электромагнитного излучения и наводок производится из- мерение уровня опасных сигналов. Замеры производят в нескольких точках на разных расстояниях от источника с помощью специаль- ной аппаратуры. Если уровень сигнала на границе установленной зоны превысил допустимые значения, применяют защитные меры.
Защитные меры могут носить различный характер в зависи- мости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной вычислительной системы.
Такими мерами могут быть:
 усовершенствование аппаратуры с целью уменьшения уровня сигналов;
 установка специальных фильтров;
 применение генераторов шума;
 использование специальных экранов;
 другие меры.
В числе этих мер большие надежды возлагаются на примене- ние в линиях и каналах связи волоконно-оптических кабелей, кото- рые обладают следующими преимуществами:
 отсутствием электромагнитного излучения во внешнюю среду;
 устойчивостью к внешним электромагнитным излучениям;
 большой помехозащищенностью;
 скрытностью передачи;
 малыми габаритами (что позволяет прокладывать их с суще- ствующими линиями);
 устойчивостью к воздействиям агрессивной среды.

Основы информационная безопасность
174
С точки зрения защиты информации волоконно-оптические ка- бели имеют еще одно преимущество: подключение к ним с целью пе- рехвата передаваемых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения. Однако за- мена одного кабеля другим связана с введением электрооптических и оптико-электрических преобразователей, на которые и перекладывает- ся проблема обеспечения безопасности информации.
5.8. Методы и средства защиты информации
от случайных воздействий
В целях защиты функционирования АСОИ от случайных воз- действий применяются средства повышения надежности аппарату- ры и программного обеспечения, а для защиты информации – сред- ства повышения ее достоверности. Для предотвращения аварийной ситуации применяются специальные меры.
Проблема надежности автоматизированных систем решается тремя путями:
 повышением надежности деталей и узлов;
 построением надежных систем из менее надежных элементов за счет структурной избыточности (дублирование, утроение эле- ментов, устройств, подсистем и т. п.);
 применением функционального контроля с диагностикой от- каза, увеличивающего надежность функционирования системы.
Задачами функционального контроля (ФК) системы являются: своевременное обнаружение сбоев, неисправностей и программных ошибок, исключение их влияния на дальнейший процесс обработки информации и указание места отказавшего элемента, блока про- граммы с целью последующего быстрого восстановления системы.
Существующие методы функционального контроля вычисли- тельных систем могут быть разделены на программный, аппарат- ный и комбинированный (сочетание программного с аппаратным).
Сравнительная характеристика методов ФК учитывает сле- дующие факторы:
 надежность обнаружения;
 возможность исправления ошибок после сбоев без вмешатель- ства оператора;

Методы и средства защиты компьютерной информации
175
 время, затрачиваемое на устранение случайных ошибок;
 количество дополнительного оборудования;
 способы применения (параллельно или с прерыванием обра- ботки информации);
 влияние контроля на быстродействие вычислительной систе- мы или ее производительность;
 указание места неисправности с необходимой точностью.
Программный контроль делится на программно-логический, алгоритмический и тестовый.
Наиболее распространенная форма программно-логического
контроля – это двойной счет со сравнением полученных результатов.
Алгоритмический контроль заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по со- кращенному алгоритму с достаточной степенью точности.
Программно-логический контроль позволяет надежно обна- руживать сбои, и для его осуществления не требуется дополнитель- ного оборудования, Однако при нем более чем вдвое снижается производительность АСОИ, не обнаруживаются систематические сбои, нельзя указать место отказа и тем более сбоя, требуется допол- нительная емкость памяти для программы вычислений. При алго- ритмическом контроле производительность АСОИ выше, в осталь- ном он обладает теми же недостатками и, кроме того, имеет ограни- ченное применение, так как не всегда удается найти для основного алгоритма сокращенный, который был бы значительно короче ос- новного.
Тестовый контроль применяется для проверки работоспо- собности комплекса средств автоматизации при помощи испыта- тельных программ.
Тестовый контроль в отличие от программно-логического проверяет не процесс переработки информации, а пребывание
АСОИ или ее части в работоспособном состоянии. Кроме того, тес- товый контроль не всегда обнаруживает сбои и во время проверки не может решать задачи по рабочей программе.
В настоящее время широкое применение находят методы ап- паратного схемного контроля и комбинированный метод.
Аппаратный контроль в отличие от программного может обеспечивать указание о наличии сбоя или неисправности непо- средственно в момент его возникновения. Аппаратный контроль в
АСОИ делится на контроль по модулю; контроль при дублировании

Основы информационная безопасность
176 оборудования и контроль при троировании оборудования с исполь- зованием мажоритарных элементов.
Контроль по модулю основывается на следующих принципах.
Из теории чисел известно, что целое положительное число можно представить в виде сравнения:


M
r
А
a
mod

(1)
(считается: А сравнимо с остатком r
a
модуля М), которое устанавли- вает следующее соотношение между числами A, r
a
, и М:
a
r
Ml
A


где А, М, l, r
a
– целые числа;
А – любое контролируемое n-разрядное число;
М –модуль, или делитель;
l – частное;
r
a
– остаток от деления А на модуль М (контрольный код числа А).
При данном методе контроля каждому контролируемому члену придается еще тдополнительных разрядов, в которые запи- сывается контрольный код, т. е. остаток r
a
. Если записать все числа в виде сравнения (1), то после этого их можно будет складывать, пере- множать, а результаты записывать в виде подобных сравнений:


M
r
A
P
1
i
a
P
1
i
i
i
mod





, (2)


M
r
A
P
1
i
a
P
1
i
i
i
mod





. (3)
Выражения (2) и (3) означают, что сумма (произведение) чисел сравнима с суммой (произведением) остатков этих чисел по модулю М.
Техническая реализация контроля по модулю заключается в разработке специальных схем, которые в технической литературе получили название «сверток». Эффективность контроля повышает- ся с увеличением модуля. Однако с увеличением М непропорцио- нально возрастает количество дополнительного оборудования и ус- ложняются схемы контроля. Широкое распространение в вычисли- тельных схемах получил контроль по модулю 2.
Дублирование оборудования позволяет путем сравнения вы- ходных сигналов обнаружить отказ аппаратуры. Высокая эффек-

Методы и средства защиты компьютерной информации
177
тивность такого контроля основывается на том, что вероятность од- новременного отказа двух одинаковых элементов исчезающе мала.
Недостатком этого метода является не всегда имеющаяся возмож- ность определить, какой из каналов является исправным, и поэтому, чтобы процесс функционирования оставался исправным, приходит- ся одновременно в каждом из каналов применять методы контроля, например контроль по модулю.
Троирование оборудования с элементами «голосования» по- зволяет наряду с увеличением вероятности безотказной работы уве- личить и достоверность функционирования при помощи мажори- тарных элементов. Данный метод требует, разумеется, увеличения объемов оборудования.
В настоящее время существует много разнообразных мето- дов контроля, имеющих в зависимости от конкретных требований и условий различную степень применяемости. Некоторые из этих методов являются специализированными для определенных ти- пов устройств и систем. Другие – приспособлены для проверки определенных видов операций и применяются в различных типах устройств.
Поскольку результат воздействия на информацию зависит от количества ошибок в данный момент времени, рассмотрим вероят- ность появления этих событий.
Ввод, хранение и обработка информации в АСОИ осуществ- ляются при помощи кодов чисел и слов по определенному алгорит- му. Появление сбоев приводит к тому, что в коде может возникнуть одиночная или групповая ошибка (двухкратная, трехкратная и т. д.). Ошибка может считаться одиночной, если она возникла в одном разряде кода числа или слова.
Считая ошибки в каждом разряде кода независимыми, можно определить вероятность появления ошибки і-й кратности при из- вестной вероятности искажения одного разряда двоичного кода. В этом случае ошибки в каждом из разрядов подчиняются биноми- альному распределению вероятностей. Вероятность появления од- нократной ошибки в n-разрядном двоичном коде может быть опре- делена из выражения


1
n
1
g
1
ng
P



где q– вероятность появления ошибки в отдельном разряде в течение одной операции.

Основы информационная безопасность
178
Вероятность появления двухкратной ошибки:

  
2
n
2
2
g
1
g
2
1
n
n
P




Вероятность появления ошибок і-й кратности:


1
n
i
i
n
i
g
1
g
C
P



Однако оценка значения Р
i аналитическим путем связана с трудностями, которые зависят от причин, вызывающих сбои. Полу- чение статистического материала о сбоях каждого разряда также является проблемным вопросом. Поэтому Рi может быть получено по более удобной формуле
on
p
on
p
i
t
n
e
i
t
n
P




!
, где t оп
– длительность одной операции;
p

– интенсивность отказов оборудования, участвующего в передаче и хранении каждого разряда двоичного кода.
С увеличением кратности ошибки вероятность ее появления уменьшается. Вероятность появления ошибки с кратностью і = 4 пренебрежимо мала. Для оценки эффективности аппаратного кон- троля необходимо знать вероятность обнаружения (пропуска) оши- бок различной кратности при выбранном методе контроля. В связи с этим общая вероятность пропуска ошибки
i
np
M
n
1
n
i
np
P
P
P
.
.



где Р
i
– вероятность появления ошибки і-й кратности;
P
м.пр.i
– вероятность пропуска ошибки i-й кратности при выбранном методе аппаратного контроля.
Способность средств ФК обеспечить своевременно (до начала последующей обработки) обнаружение и блокировку ошибок за- данной кратности определяет уровень достоверности контроля об- работки информации. Существенную роль для качества ФК играет плотность распределения его средств обнаружения ошибок по всей
«площади» контролируемой вычислительной системы, т. е. полнота

Методы и средства защиты компьютерной информации
179
ее охвата функциональным контролем. В связи с этим при создании вычислительных систем используются следующие показатели каче- ства ФК:
1) время обнаружения и локализации отказов аппаратуры с точностью до съемного элемента:
m
t
T
m
1
i
обн
обн
i



, где т – число экспериментов; i – номер эксперимента;
i
обнi
– время обнаружения отказа в i-м эксперименте;
2) полнота контроля функционирования вычислительной системы:
o
K
n
K



, где
k

– суммарная интенсивность появления отказов составных час- тей, охваченных контролем;
0

– суммарная интенсивность отказов всех составных частей вычис- лительной системы;
3) достоверность контроля:
np
обн
Д
n
n
K

, где n обн
– общее число отказов, обнаруженных данной системой функционального контроля; n
пр
– общее число отказов проведения ФК при условии появления или искусственного введения отказов в каждом опыте.
Одним из основных условий эффективного функционирова- ния автоматизированной системы является обеспечение требуемого уровня достоверности информации. Под достоверностью информа- ции в АСОИ понимают некоторую функцию вероятности ошибки, т. е. события, заключающегося в том, что реальная информация в системе о некотором параметре не совпадает в пределах заданной точности с истинным значением.

Основы информационная безопасность
180
Необходимая достоверность достигается использованием раз- личных методов, реализация которых требует введения в системы обработки данных информационной, временной или структурной избыточности. Достоверность при обработке данных достигается путем контроля и выявления ошибок в исходных и выводимых дан- ных, их локализации и исправления. Условие повышения достовер- ности – снижение доли ошибок до допустимого уровня. В конкрет- ных АСОИ требуемая достоверность устанавливается с учетом не- желательных последствий, к которым может привести возникшая ошибка, и тех затрат, которые необходимы для ее предотвращения.
Методы контроля при обработке информации в АСОИ клас- сифицируют по различным параметрам:
 по количеству операций, охватываемых контролем, – единичный
(одна операция), групповой (группа последовательных операций), ком- плексный (контролируется, например, процесс сбора данных);
 по частоте контроля – непрерывный, циклический, периоди- ческий, разовый, выборочный, по отклонениям;
 по времени контроля – до выполнения основных операций, одновременно с ними, в промежутках между основными операция- ми, после них;
 по виду оборудования контроля – встроенный, контроль с помощью дополнительных технических средств, безаппаратный;
 по уровню автоматизации – «ручной», автоматизированный, автоматический.
 Различают системные, программные и аппаратные методы контроля достоверности.
Системные методы включают:
 оптимизацию структуры обработки;
 поддержание характеристик оборудования в заданных пределах;
 повышение культуры обработки;
 обучение и стимулирование обслуживающего персонала;
 создание оптимального числа копий и (или) предысторий программ исходных и текущих данных;
 определение оптимальной величины пакетов данных и скоро- сти первичной обработки, процедур доступа к массивам данных и др.
Программные методы повышения достоверности информа- ции состоят в том, что при составлении процедур обработки данных в них предусматривают дополнительные операции, имеющие мате-

Методы и средства защиты компьютерной информации
181
матическую или логическую связь с алгоритмом обработки данных.
Сравнение результатов этих дополнительных операций с результа- тами обработки данных позволяет установить с определенной веро- ятностью наличие или отсутствие ошибок. На основании этого сравнения, как правило, появляется возможность исправить обна- руженную ошибку.
Аппаратные методы контроля и обнаружения ошибок могут выполнять практически те же функции, что и программные. Аппа- ратными методами обнаруживают ошибки быстрее и ближе к месту их возникновения, а также ошибки, недоступные для программных методов.
Все перечисленные методы контроля обработки данных бази- руются на использовании определенной избыточности. При этом различают методы контроля со структурной, временной и инфор- мационной избыточностью.
Структурная избыточность требует введения в состав АСОИ дополнительных элементов (резервирование информационных мас- сивов и программных модулей, реализация одних и тех же функций различными программами, схемный контроль в технических сред- ствах АСОИ и т.д.).
Временная избыточность связана с возможностью неодно- кратного повторения определенного контролируемого этапа обра- ботки данных. Обычно этап обработки повторяют неоднократно и результаты обработки сравнивают между собой. В случае обнаруже- ния ошибки производят исправления и повторную обработку.
Информационная избыточность может быть естественной и искусственной. Естественная информационная избыточность отра- жает объективно существующие связи между элементами обработ- ки, наличие которых позволяет судить о достоверности информа- ции. Искусственная информационная избыточность характеризует- ся введением дополнительных информационных разрядов в цифро- вом представлении обрабатываемых данных и дополнительных операций в процедуре их обработки, имеющих математическую или логическую связь с алгоритмом обработки данных. На основании анализа результатов дополнительных операций и процедур обра- ботки данных, а также дополнительных информационных разрядов выявляется наличие или отсутствие ошибок определенного типа, а также возможности их исправления.
В зависимости от характера информации, особенностей алго- ритмов системы, а также от задач, стоящих перед ее адресатами,

Основы информационная безопасность
182 можно определить следующие зависимости содержания информа- ции от ошибок при ее передаче:
 смысловой объем информации в сообщении уменьшается пропорционально числу искаженных разрядов в кодовой комбина- ции данного сообщения;
 искажение одного или нескольких разрядов приводит почти к полной потере остальной части информации, содержащейся в смы- словом отрезке информации в сообщении.
Проанализируем способность средств функционального кон- троля и повышения достоверности информации к защите от слу- чайных разрушений, модификации и утечки информации.
Известно, что отказы, сбои в аппаратуре и ошибки в программ- ном обеспечении могут привести к нарушению функционирования вычислительной системы, к разрушению и изменению информации на ложную. Анализ принятого в современных автоматизированных системах представления информации в цифровом виде показывает, что на один байт приходится одна буква, цифра или символ. Одно сло- во может занимать в русском языке от 1 до 20 букв. Каждой букве, циф- ре и символу присвоены двоичные коды. Таблица кодов составлена так, что пропадание или появление одной 1 в разрядах приводит к измене- нию одной буквы (символа, цифры) на другую. При этом можно ут- верждать, что в этом случае имеет место однократная ошибка, которая относительно легко обнаруживается простыми средствами аппаратно- го контроля (например, контролем по модулю 2). В случае же появле- ния двухкратной ошибки в байте измениться могут два разряда. Кон- троль по модулю 2 этого не обнаруживает, что уже может привести к незаметному изменению одной буквы на другую. В русском языке су- ществуют слова, которые меняют свой смысл на другой при замене од- ной буквы другой. Это и есть модификация информации. При трех- кратной ошибке вероятность этого события, естественно, увеличивает- ся. Правда, вероятность появления трехкратной ошибки меньше по сравнению с двухкратной, но это слабый аргумент, так как ее величина при большом количестве аппаратных средств, интенсивности и накоп- лении их отказов может быть весьма ощутимой на большом отрезке времени работы вычислительной системы.
Если рассматривать искажение информации (без ее модифи- кации) как разрушение информации, условием его возникновения может считаться однократная ошибка, несмотря на то, что пропада- ние одной буквы не всегда ведет к потере информации.

Методы и средства защиты компьютерной информации
183
Для возникновения случайной утечки информации при ее обработке в вычислительной системе необходимо, чтобы в результа- те случайных воздействий был перепутан адрес получателя или в правильный адрес была введена другая информация, для него не предназначенная. В первом случае, например, заменилась одна из букв другой (модификация), во втором – адресация ячеек памяти
ОЗУ, из которого считывалась информация до ее передачи получа- телю (тоже модификация).
Таким образом, можно полагать, что в нашем случае утечка информации – это частный случай ее модификации. Следователь- но, средства функционального контроля в принципе защищают информацию от случайных разрушений, модификации и утечки.
Рассматривая вероятность появления этих событий при отсутствии функционального контроля, заметим, что для разрушения инфор- мации (какой-то ее части) достаточно однократной ошибки, для мо- дификации и утечки необходимы дополнительные условия. Для наступления события, выражающегося в случайной распечатке или отображении информации на средствах, не предназначенных для этой цели, необходимо, чтобы из потока ошибок появилась такая, при которой какая-либо команда изменилась на команду «печать» или «отображение», и по санкционированной команде информация была бы взята не по тому адресу из памяти или была направлена не на то техническое средство системы. Возможны и другие ситуации.
Для наступления события, выражающегося в модификации инфор- мации, необходимо, чтобы из потока ошибок появилась такая ошибка или группа ошибок, благодаря которым действительная информация изменилась бы на ложную, была бы не обнаружена и подверглась бы дальнейшей обработке.
Вероятность указанных событий зависит от многих факторов, но, анализируя приведенные относительные условия их наступле- ния, можно дать им некоторую сравнительную оценку. Вероятность разрушения информации от случайных воздействий больше, чем ее модификации, а вероятность модификации информации больше вероятности ее утечки. Эта оценка необходима для выработки под- хода к функциональному контролю с позиций защиты информа- ции, который выражается в предъявлении к средствам функцио- нального контроля дополнительных требований, выполнение кото- рых может потребовать дополнительных средств. Дополнительные требования заключаются в реализации уменьшения вероятности модификации и утечки информации существующими средствами

Основы информационная безопасность
184 повышения надежности и достоверности информации. Для выпол- нения этой задачи в настоящее время применяются специальные системотехнические решения:
 изоляция областей доступа к информации;
 специальная организация работы с данными, хранящимися в памяти вычислительной системы.
Изоляция областей доступа к информации вычислительной системы осуществляется также в целях поддержки разграничения санкционированного доступа.
В целях исключения несанкционированного обмена между пользователями рекомендуется при проектировании сводить к ми- нимуму число общих для них параметров и характеристик меха- низма защиты. Несмотря на то, что функции операционной систе- мы и системы разрешения доступа перекрываются, система разре- шения доступа должна конструироваться как изолированный про- граммный модуль, т. е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет про- граммировать систему разрешения доступа как автономный пакет программ с последующей независимой отладкой и проверкой. Дан- ный пакет программ должен размещаться в защищенном поле па- мяти, чтобы обеспечить системную локализацию попыток проник- новения извне. Всякая попытка проникновения со стороны, в том числе операционной системы, должна автоматически фиксировать- ся, документироваться и отвергаться, если вызов не предусмотрен.
Естественно, что реализация обособленного механизма защиты потребует увеличения объемов программ. При этом может возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.
Информация, содержащаяся в вычислительной системе, мо- жет быть поделена между пользователями, что требует размещения ее в непересекающихся областях, отведенных для ее хранения. В ка- ждой из этих областей хранится совокупность информационных объектов, подлежащих в равной степени защите. В процессе экс- плуатации системы необходимо обеспечить надежное разграниче- ние доступа к информации. Для этой цели помимо организации доступа с помощью системы паролей в систему при проектировании закладываются дополнительные меры по изоляции областей досту- па, нарушение которых по причине отказов и программных ошибок не приводило бы к несанкционированному доступу к информации.

Методы и средства защиты компьютерной информации
185
В случае наличия в системе общего поля памяти, которое не- обходимо для решения поставленных задач, схемы защиты допус- кают обмен информацией между пользователями. Тогда применя- ются списковые и мандатные схемы защиты. Списковые схемы – те, в которых система охраны снабжается списком всех лиц, имеющих право доступа к информации (для получения права доступа доста- точно предъявить свой идентификатор). Мандатные схемы – те, в которых система охраны реализует только один вид мандата, а поль- зователь должен иметь набор мандатов для доступа к каждому из необходимых ему объектов.
В списковой схеме при каждом обращении просмотр списка повторяется, т. е. доступ сопряжен с процедурой ассоциативного поиска. В мандатных схемах пользователь сам решает, какой объект ему нужен, и выбирает необходимый мандат или некоторое их ко- личество из тех, к которым он допущен.
Анализ изложенного позволяет отметить следующие особен- ности требований к средствам ФК и повышению достоверности с позиций защиты информации от НСД:
 определенная целенаправленность мероприятий по ФК и по- вышению достоверности, выраженная в увязке технического пред- ставления информации с ее смыслом и содержанием;
 определение зависимости безопасности информации от крат- ности ошибок при ее обработке.
Наибольшую опасность составляют многократные ошибки, приводящие к модификации самой информации и команд, осуще- ствляющих ее обработку. При этом уровень безопасности информа- ции находится в прямой зависимости от количества одновременно возникающих ошибок. Способность средств функционального кон- троля к их обнаружению и определяет уровень безопасности ин- формации. Поскольку вероятность появления четырехкратной ошибки относительно мала, то вероятность обнаружения двух- и трехкратных ошибок и будет мерой безопасности информации от отказов аппаратуры. Сложнее эта проблема с программными ошиб- ками, заложенными еще на этапе проектирования программного обеспечения.
Анализ приведенных средств ФК и повышения достоверности информации, а также специальных технических решений показыва- ет, что с увеличением количества байтов в слове вероятность его мо- дификации от случайных воздействий уменьшается, так как увели-

Основы информационная безопасность
186 чивается кодовое расстояние по отношению к другим словам, ко- мандам, сообщениям. В этом смысле наименее устойчивы короткие слова и особенно цифры. Приведенный метод защиты от переадре- сации памяти одному адресу присваивает дополнительную специ- альную процедуру и код, что, естественно, уменьшает вероятность случайного формирования такой процедуры и обращений по этому адресу других процедур и команд. Поэтому в целях повышения безопасности информации, а следовательно, и надежности вычис- лительной системы следует пересмотреть методы кодирования сим- волов, команд и адресов (включая адреса устройств и процессов) на предмет увеличения кодового расстояния между ними и уменьше- ния вероятности превращения одной команды или адреса в другие, предусмотренные в данной системе для других целей. Это позволит не разрабатывать некоторые сложные специальные программы. ко- торые не устраняют причины и условия появления случайных со- бытий, а лишь обнаруживают их, да и то не всегда и в неподходящее время, т. е. когда событие уже произошло и основная задача по его предупреждению не выполнена.