Системный анализ. 2009_Ракитов АИ и др_Системный анализ и аналитические исследован. Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40
Скачать 2.27 Mb.
|
Глава 11 БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ 11.1. Основные понятия безопасности информационных систем Рассматривая вопросы безопасности информации в компьютерных системах 88 , можно говорить о наличии некоторых «желательных» состояний данных систем. Эти желательные состояния субъектно-объектной модели 89 описывают «защищенность» системы. «Защищенность» принципиально не отличается от любых других свойств технической системы, например, «надежной работы», и является для системы внешней, априорно заданной характеристикой. Особенностью понятия «защищенность» является его тесная связь с понятиями «злоумышленник» (как обозначение внешней причины для вывода системы из состояния «защищенности») или «угроза» (понятие, обезличивающее причину вывода системы из защищенного состояния). При рассмотрении понятия «злоумышленник» практически всегда выделяется объект его воздействия -часть системы, связанная с теми или иными действиями злоумышленника («объект атаки»). Следовательно, можно выделить три сущности, связанные с нарушением безопасности системы: «злоумышленник» - внешний по отношению к системе источник нарушения свойства «безопасность», «объект атаки» - часть, принадлежащая системе, на которую злоумышленник воздействует, «канал воздействия» - среда переноса злоумышленного воздействия. Интегральной характеристикой, описывающей свойства защищенной компьютерной системы, является политика безопасности (ПБ) - качественное (или качественно- 88. Обсуждая компьютерные системы, будем далее использовать термин •компьютерная система» для обозначения объекта исследования, поскольку термин .автоматизированные системы», принятый в нормативных документах и научных работах по компьютерной безопасности, на сегодняшний день практически всегда описывает системы, содержащие компьютерную технику. 89 Они достаточно подробно рассмотрены в предыдущей главе. количественное) описание свойств защищенности, выраженное в терминах, описывающих систему. Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки. Наиболее часто рассматривается политика безопасности, связанная с понятием «доступ». Доступ - категория субъектно-объектной модели, описывающая процесс выполнения субъектами операций над объектами. Описание политики безопасности включает: 1. Множество возможных операций над объекта ми (например, для объекта «файл» допустимы операции «чтение файла», «уничтожение файла», «переименова ние файла», «редактирование файла», «отсылка файла во внешнюю сеть»). 2. Для каждой пары «субъект - объект» (S,OJ произ водится назначение множества разрешенных операций, являющихся подмножеством всей совокупности воз можных операций. Операции связаны обычно с целевой функцией защищаемой системы (функцией, определяющей назначение системы и совокупность задач, для решения которых она предназначена). Предположим, что в системе есть два субъекта S, и S 2 и два файла F x и F 2 и уже упомянутый список операций «чтение файла» (R), «уничтожение файла» (D), «переименование файла» (N), «редактирование файла» (W), «отсылка файла во внешнюю сеть» (О). Политика безопасности может быть задана в виде таблицы описаний: Таблица 19 s 2 F, R RW Р, RO R Эти описания означают, что первому субъекту для первого файла разрешено только «чтение файла» (R), для второго файла «чтение файла» (R) и «отсылка файла во внешнюю сеть» (О), второму субъекту для первого 350 351 файла разрешено как «чтение файла» (R), так и «редактирование файла» (W). А «уничтожение файла» (D) и «переименование файла» (N) не разрешены ни первому, ни второму субъекту. Можно сформулировать две аксиомы защищенных компьютерных систем. Аксиома 1. В защищенной КС всегда присутствует активный компонент, выполняющий контроль операций субъектов над объектами. Данный компонент фактически отвечает за реализацию политики безопасности. Аксиома 2. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов над объектами. В данном случае мы оперируем качественными понятиями: «контроль», «разрешенная и запрещенная операция*. Для повышения эффективности сформулированных положений две основные аксиомы следует дополнить еще одной 90 . Аксиома 3. Все вопросы безопасности информации в компьютерной системе описываются в терминах «доступа» субъектов к объектам. Важно заметить, что политика безопасности описывает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Точно так нее каждый практический аналитик должен ясно понимать, что конкуренты, которых на языке информационной безопасности называют злоумышленниками, также могут совершенствовать и разнообразить системы и способы несанкционированного доступа к чужим базам данных, могут намеренно засылать «компьютерные вирусы», искажающие информацию, осуществлять различного рода атаки и «взломы» хранилищ информации, которые могут содержать секретные материалы, составляющие коммерческую тайну данной организации. Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процессе изменения свойства 90 Г РУШО А А , Т ИМОНИНА Е Е Теоретические основы зашиты информации - М Яхтсмен, 1996 - 192 с 352 защищаемой системы должны быть дополнены процедурами управления безопасностью. Разумеется, компьютерная система не является живым существом, но, как и многие технические изделия, она обладает своим жизненным циклом. Типовой жизненный цикл защищенной компьютерной системы состоит из следующих стадий: 1. Проектирование КС и проектирование политики безопасности. 2. Моделирование политики безопасности и анализ ее корректности, включающий установление адекватно сти политики безопасности целевой функции КС. 3. Реализация политики безопасности, разработка гарантий ее надежности и неуязвимости. 4. Эксплуатация защищенной системы. Безопасность КС достаточно часто описывается в категориях «достоверности», «конфиденциальности», «целостности» и «доступности». Свойство достоверности понимается как сохранение информацией своих свойств в любой момент времени, начиная с ввода в систему. Свойство доступности заключается в возможности пользования некоторым ресурсом КС и информацией в произвольный момент времени. При этом, разумеется, имеется в виду доступность информации для лиц, имеющих на это разрешение и соответствующие санкции руководителей организации. Это, в первую очередь, относится к менеджерам и аналитикам, а также к лицам, для которых работа с данной КС входит в состав служебных обязанностей. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени. Свойство конфиденциальности понимается как недоступность информации или сервисных услуг КС для лиц, которые не имеют на это соответствующего разрешения или допуска, санкционированного руководством организации. Иногда выделяют также свойство актуальности информации, связанное со свойством доступности, которое заключается в том, что база данных и знаний, явля- 353 ющаяся важнейшей компонентой данной КС, содержит информацию и знания, которые нужны для выполнения тех или иных служебных функций сотрудников. Устаревшие или потерявшие значение данные становятся неактуальными и либо хранятся в архивах в системах компьютерной памяти, либо подлежат удалению из КС. Рассмотрим теперь качественные характеристики и классификацию различных угроз в компьютерной системе. По цели реализации угрозы - нарушение конфиденциальности, целостности, доступности. По принципу и типу воздействия - с использованием физического доступа к элементам компьютерной системы (локальное воздействие) или удаленное воздействие. Пассивное воздействие (с использованием телекоммуникационных каналов передачи информации, как это было рассмотрено в предыдущем параграфе, либо с использованием технических каналов утечки информации) и активное воздействие (с использованием каналов удаленного воздействия). Канал утечки информации состоит из источника информации, канала распространения информации и средства извлечения информации из этого канала. Канал утечки информации связан с пассивным воздействием злоумышленника на объект, т.е. вектор переноса информации направлен от объекта к злоумышленнику, расположенному вовне или внутри системы. Через канал утечки реализуется угроза конфиденциальности информации в КС. Принято выделять следующие каналы утечки информации: Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах КС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Например, работа мониторов с лучом развертки сопряжена с излучением сигнала, полностью повторяющего изображения на компьютерном мониторе на сотни метров, а телефонные провода, выходящие за пределы зда- 354 ния, могут «унести» информацию о других работающих в помещении приборах, например, сканерах. Интересно, что нить накаливания обычной электрической лампочки является очень чувствительным микрофоном. Она модулирует напряжение в присоединенных к ней проводах, и разговор в помещении может быть прослушан достаточно далеко от него без установки в этом помещении микрофонов. Электромагнитный канал в свою очередь делится на следующие каналы: 1.1. Радиоканал (высокочастотное излучение). 1.2. Низкочастотный канал. 1.3. Сетевой канал (наводки на сеть электропитания). 1.4. Канал заземления (наводки на провода заземления). 1.5. Линейный канал (наводки на линии связи между компьютерами). Акустический (виброакустический) канал - связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации КС. Визуальный канал (визуальное восприятие информации на различных носителях). Более общим понятием по сравнению с каналом утечки является канал воздействия на КС. Он может включать изменение компоненты КС, являющееся непосредственной угрозой целостности. Несанкционированный доступ в КС может также иметь как пассивный, так и активный характер, поэтому его корректнее отнести к воздействию на КС. Основными причинами угрожающего воздействия на КС являются: • несоответствие (неадекватность) политики безо пасности реальным условиям жизненного цикла КС; • ошибки управления системой безопасности; • ошибки проектирования системы гарантий; • ошибки программной реализации; • недостоверная работа вычислительной базы (ошиб ки программ, неисправности и сбои оборудования). Перечисленные угрозы на самом деле являются последствиями недооценки влияния внешних и внутренних факторов работы КС. Например, неисправность в обору- 355 довании компьютера может привести к неработоспособности жесткого диска, а сдача в ремонт этого диска - к утечке имеющихся на нем конфиденциальных сведений. Эта ситуация может быть вызвана искусственно - например, инициированный бросок напряжения с неизбежностью вызовет поломку. Защита информации в КС - комплекс организационных, организационно-технических и технических мер, предотвращающих или снижающих возможность образования каналов утечки информации и/или каналов воздействия на КС. К организационным мерам защиты относятся меры общего характера, затрудняющие доступ к ценной информации злоумышленников вне зависимости от особенностей способа обработки информации и каналов утечки. К организационно-техническим мерам относятся меры, связанные со спецификой канала утечки (канала воздействия) и метода обработки информации и не требующие для своей реализации нестандартных приемов, оборудования или программных средств. Технические (программно- технические) меры защиты - меры, жестко связанные с особенностями канала утечки (воздействия) и требующие для своей реализации специальных приемов, оборудования или программных средств. Приведенная классификация весьма важна для работы практических аналитиков. Дело в том, что технические и программно-технические меры защиты часто не видны пользователям и реализуются профессиональными специалистами в области защиты информации на этапе проектирования и монтажа КС. А вот организационные и организационно-технические меры напрямую связаны с повседневной работой защищенной КС. В качестве примера можно привести требование не выносить из здания, где размещена корпоративная аналитическая КС, съемных носителей информации (флеш-памятей), дабы исключить возможность преднамеренной передачи информации или ее съема с менее защищенных домашних компьютеров аналитиков. Дру- гая мера - запретить внос на территорию мобильных телефонов, которые могут порождать акустический канал утечки. Еще один показательный пример - экраны компьютерных мониторов не должны быть развернуты к окнам не только потому, что это вредно для зрения, но и по причине реализации визуального канала утечки (содержание экранов может быть сфотографировано из окон соседних зданий). Учет специфики организационных и организационно- технических мер необходим как для понимания риска работы аналитика, так и для более спокойного отношения к требованиям технических служб. 11.2. Модели безопасности информационных систем. Понятие доступа и монитора безопасности В теории компьютерной безопасности, изучающей защищенные КС, модель КС также рассматривается в виде конечного множества элементов - субъектов и объектов. Угрозы компонентам КС, рассматриваемые в модели потоков или состояний, исходят от субъекта, находящегося в распоряжении злоумышленника, как активного компонента, порождающего потоки и изменяющего состояние объектов в КС, которой пользуется данная организация, государственное или региональное ведомство, корпоративное или частное предприятие и т.п. Такая компьютерная система содержит много ценной информации, сведений, представляющих лакомый кусок для различных злоумышленников: конкурирующих фирм, ведомств недружественных государств и организаций и т.д. Практическому аналитику весьма важно понимать, что угроза информации может исходить только от активной компоненты компьютерной системы, т.е. от субъектов, размещенных в локальном либо во внешнем сегменте КС. Первично же субъекты не активны и существуют в виде объектов - исполняемых файлов и загружаемых библиотек. 356 357 Определим механизм порождения новых субъектов следующим образом: объект О_ называется источником для субъекта S m , если существует субъект S, в результате воздействия которого на объект О в компьютерной системе возникает субъект S m . Субъект S, порождающий новый субъект из объекта О в свою очередь называется активизирующим субъектом для субъекта S m , a S m назовем порожденным объектом. Выше мы ввели обозначение: Create(S ,О)—* S k - из объекта О порожден субъект S k при активизирующем воздействии субъекта S. Create мы назвали операцией порождения субъектов (рис. 21). Create Що]) > Sk Stream ЩСН)> Oj Рис. 21. Порождения субъекта и понятие потока Операция порождения субъектов описывает запуск программ в рамках локального или внешнего сегмента КС. Мы говорили, что первично программа существует в виде объекта, который называется исполняемым модулем. Этот объект мы подвергаем «запуску», при этом на- ходящиеся в нем инструкции для процессора начинают исполняться, и объект становится субъектом. Очевидно, что операция порождения субъектов зависит как от свойств активизирующего субъекта, так и от содержания объекта-источника. Например, файл WinWord является объектом-источником для порождения субъекта-программы текстового редактора. Из архитектуры фон Неймана следует, что с любым субъектом связан (ассоциирован) некоторый объект (или несколько объектов), отображающий его состояние. Например, для программы (субъекта) ассоциированным объектом будет содержание участка оперативной памяти с исполняемым кодом данной программы. Обязательное свойство субъекта КС «быть активным» реализуется в возможности выполнения действия над объектами. При этом необходимо отметить, что пассивный статус объекта КС необходимо требует существования потоков информации от объекта к объекту, причем данный поток инициируется субъектом. Потоком информации между объектом О т и объектом О называется произвольная операция над объектом (Э, реализуемая в субъекте S, и зависящая от О т . Обозначения: Stream(S it OJ—> О - поток информации от объекта О т к объекту О. При этом будем выделять источник (OJ и получателя (приемника) потока {О}. В данном случае рассматривается поток информации между объектами, а не между субъектом и объектом (например, между объектом и ассоциированными объектами либо между двумя объектами), а активная роль субъекта выражается в реализации данного потока. Отметим, что операция Stream может создавать новый объект или уничтожать его. На рис. 22 схематически изображены различные виды потоков. Далее будем для краткости говорить о потоке, подразумевая введенное понятие потока информации. Понятие ассоциированных с субъектом объектов не является искусственной конструкцией. Корректно говорить 358 359 о потоках информации молено лишь между одинаковыми сущностями, т.е. объектами. Кроме того, в ассоциированных объектах отображается текущее состояние субъекта. Отображениями Stream и Create описываются, с точки зрения разделения на субъекты и объекты, все события (изменения субъектов и объектов), происходящие в КС. Q/=NULL От Создание объекта Операция чтения Рис. 22. Примеры потоков в КС Доступом субъекта S, к объекту О } будем называть порождение потока информации между некоторым объектом (например, ассоциированным с субъектом объектом S(OJ) и объектом О. Выделим все множество потоков Р во все моменты времени (все множество потоков является объединением потоков во все моменты дискретного времени компьютерной системы) и произвольным образом разобьем его на два непересекающихся подмножества: N и L, P= NUL. Обозначим: N- подмножество потоков, характеризующее несанкционированный доступ (НСД, указывающий на нарушение безопасности КС), L - подмножество потоков, характеризующих легальный доступ. 360 Дадим некоторые пояснения к разделению множеств L и N. Понятие «безопасности» подразумевает наличие и некоторого состояния «опасности» - нежелательных состояний какой-либо системы (в данном случае КС). Будем считать парные категории типа «опасный - безопасный» априорно заданными для КС и описываемыми политикой безопасности, а результатом применения политики безопасности к КС - разделение на множества «опасных» N VL множество «безопасных» L потоков. Деление на L и N может описывать как свойство целостности (потоки из N нарушают целостность КС) или свойство конфиденциальности (потоки из N нарушают конфиденциальность КС), так и любое другое произвольное свойство. Для разделения всего множества потоков в КС на подмножества L и N необходимо существование активного компонента (субъекта), который: • активизировался бы при возникновении любого потока, • производил бы фильтрацию потоков в соответ ствии с принадлежностью к множествам L или N. Вспомним, что если существует Stream(S i , О\-+ О т и существует Stream (S K , OJ—> О,, то существует и Stream ((S t , S fc ), O)-^>O p т.е. отношение «между объектами существует поток» является транзитивным. Именно в этом смысле будем говорить об участии субъекта (S fc ) в потоке (если О т является ассоциированным объектом субъекта, не тождественного S). Теперь сформулируем понятие монитора безопасности. Это понятие связано с упоминаемой выше задачей фильтрации потоков. Поскольку целью является обеспечение безопасности КС, то и целевая функция монитора - фильтрация с целью обеспечения безопасности. Монитор безопасности объектов (МБО) - субъект, который разрешает поток, принадлежащий только множеству легального доступа L. Под разрешением потока в данном случае понимается выполнение операции над объектом-получателем потока, а под запрещением - невыполнение (т.е. неизменность объекта-получателя потока). Как легко видеть, работа монитора безопасности 361 |