Главная страница
Навигация по странице:

  • Згідно п.1

  • Згідно п.3

  • Реалізація вказаних вище рівнів безпеки ІС від загроз НСД згідно класів порушників ТЗІ повинна узгоджуватись з низкою відповідних організаційно-технічних заходів та засобів захисту.

  • 1.2 Інформаційно-аналітична модель з оцінки базового первинного захисту АС від загроз НСД

  • Відповідно до вимог законів України “Про інформацію”, “Про державну таємницю” та “Про захист інформації в автоматизованих стстемах”

  • Рис.1. Інформаційно-аналітична модель первинного базового захисту АС від загроз НСД. 1 - об`єкт захисту від загроз НСД; 2 - перешкода ТЗІ; 3 - стійкість перешкоди ТЗІ

  • Рис. 2. Почасова діаграма контролю загроз НСД.

  • перешкоди ТЗІ з автоматизованим виявленням та блокуванням загроз НСД

  • Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза


    Скачать 273.05 Kb.
    НазваниеУсі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
    Дата29.03.2022
    Размер273.05 Kb.
    Формат файлаdocx
    Имя файлаУсі лекції ОІБ в одному файлі.docx
    ТипДокументы
    #426234
    страница6 из 15
    1   2   3   4   5   6   7   8   9   ...   15

    Потенційні загрози безпеці інформації АС.

    Типова модель потенційного зловмисника ТЗІ

    Практичний досвід експлуатації комп’ютерних систем в провідних країнах показує, що однією із основних потенційних загроз для інформації за так званим людським фактором слід вважати цілеспрямовані або випадкові деструктивні дії її персоналу, оскільки вони становлять до 75% всіх випадків.

    Взагалі припускається, що порушник ТЗІ може займати позицію, яка дозволяє здійснити як пасивне, так і активне перехоплення.

    В разі пасивного перехоплення порушник ТЗІ тільки стежить за повідомленнями, що передаються по з’єднанню, без втручання в їх потік. Спостереження порушника за даними в повідомленні дозволяє розкрити зміст повідомлення. Зловмиcник ТЗІ може також стежити за заголовками повідомлень, навіть якщо дані йому не зрозумілі, з метою визначення місця розміщення та ідентифікаторів процесів, що приймають участь в передачі даних. Зловмиcник ТЗІ може визначити реквізити, довжину повідомлень або записів, кількість записів і частоту їх передачі для визначення характеру даних, що передаються, тобто провести аналіз потоку повідомлень інформаційної мережі (ІМ).

    Порушник ТЗІ може також здійснювати активне перехоплення, виконуючи множину несанкціонованих дій над повідомленнями, що передаються з’єднанням. Ці повідомлення можуть бути вибірково змінені, знищені, затримані, переупорядковані, здубльовані та введені в з’єднання пізніше. Порушник ТЗІ може створювати фальшиві повідомлення та вводити їх в з’єднання. Такі несанкціоновані дії можна визначити як зміна потоку і змісту повідомлень ІМ.

    Крім того, порушник може затримувати їх. Такі дії можна класифікувати як перервупередачі повідомлень ІМ.

    Вже на початку 80-х років були сформульовані п’ять основних категорій потенційних загроз безпеці даних в обчислювальних мережах, які доцільно використовувати в АС для захисту від таких несанкціонованих дій та атак порушників ТЗІ:

    1) розкриття змісту передаваних повідомлень;

    2) аналіз трафіку, що дозволяє визначити належність відправника і одержувача даних до однієї з груп санкціонованих користувачів мережі, які пов’язані загальною задачею;

    1. зміна потоку повідомлень, що може призвести до порушення режиму роботи будь-якого об’єкту, який керується з віддаленої ПЕОМ (робочої станції);

    1. неправомірна відмова у наданні послуг

    5) несанкціоноване встановлення з’єднання. Важливо знати , кого рахувати порушником ТЗІ. При цьому в ролі потенційного порушника ТЗІ може бути не тільки стороння особа, але і санкціонований користувач ІС, наприклад, навіть адміністратор системи з наступним блокуванням реєстрації своїх дій в ІС. З цих позицій наведені вище п’ять основних категорій потенційних загроз безпеці даних в обчислювальних мережах характерні для моделі поведінки стороннього порушника ТЗІ.

    До помилок людини як частини АС слід віднести помилки людини-оператора, адміністратора-програміста, невірні дії обслуговуючого персоналу. Помилки людини розподіляються на логічні ( невірно прийняті рішення), сенсорні (невірно сприйнята оператором інформація) та оперативні або моторні (невірна реалізація рішення). Інтенсивність помилок людини може коливатись в досить широких межах: від 1-2% до 15-40% і вище стосовно загальної кількості операцій, що виконуються при рішенні прикладної програми. рівню помилок персоналу як частини АС. При цьому імовірність помилок залежить від загальної кількості кнопок в ряду, кнопок, які треба натиснути одночасно, відстані між краями кнопок тощо.

    Концептуально помилки людини як ланки, що приймає рішення, визначаються неповною адекватністю розуміння ним реальної ситуації та властивістю людини діяти за раніше визначеною програмою. Другою важливою особливістю людини є прагнення до побудови спрощеної моделі оцінюваної ситуації загроз НСД, саме тому вилучення з неї суттєво важливих ситуацій призводить до подальших помилок в наборі обов’язкових функцій захисту від спрощених загроз НСД.

    Оскільки час та місце факту умисної загрози НСД передбачити неможливо, доцільно прогнозувати узагальнену інформаційно-аналітичну модель поведінки потенційного порушника ТЗІ в найбільш загрозливих ситуаціях, а саме:

    1) порушник може з’явитися в будь-який час та в будь-якому місці периметру безпеки ІС;

    2) кваліфікація та освіченість порушника ТЗІ можуть бути на рівні розробника даної системи;

    3) інформація щодо принципів роботи системи, у тому числі і таємна, порушнику ТЗІ відома;

    4) для досягнення своєї мети порушник ТЗІ вибиратиме найбільш слабкішу ланку в захисті;

    5) порушником ТЗІ може бути не тільки стороння особа, але і санкціонований користувач системи;

    6) порушник діє один.

    Дана формалізована інформаційно-описова модель порушника ТЗІ дозволяє визначитись з вихідними даними для організаційно-технічних заходів захисту, накреслити концептуальні основи для їх експертної оцінки і подальшої реалізації.

    Згідно п.1 необхідно створити навколо об’єкта захисту постійно діючий замкнений контур або оболонку захисту у вигляді деякої низки перешкод ТЗІ.

    Згідно п.2 властивості перешкоди ТЗІ, що являє собою механізм або засіб захисту, повинен по мо жливості бути відповідним очікуваній кваліфікації та освіченості порушника ТЗІ;

    Згідно п.3 для входу в АС санкціонованого користувача необхідна мінлива таємна інформація, яка відома тільки йому.

    Згідно п.4 підсумкова стійкість захисного контуру (оболонки) ТЗІ визначається їх найслабкішою ланкою.

    Згідно п.5 при наявності декількох санкціонованих користувачів доцільно забезпечити розмежування їх доступу до інформації в відповідності з повноваженнями та виконуваними функціями, тим самим забезпечується реалізація основного концептуального принципу найменшої освіченості користувача ІС з метою скорочення втрати, якщо матиме місце безвідповідальність (халатна помилка) одного з них. Звідси також слідує, що розрахунок стійкості захисту повинен здійснюватись для двох можливих вихідних позицій порушника ТЗІ: за межами контрольованої території та в її межах.

    Згідно п.6 як вихідною передумовою також вважаємо, що порушник ТЗІ один, оскільки захист від групи порушників – завдання окремого етапу досліджень. Але це не виключає можливості захисту пропонованими методами та засобами і від такого роду ситуацій, хоча подібна задача значно складніша. При цьому під групою порушників ТЗІ слід розуміти групу фахівців, які виконують одну задачу ТЗІ під спільним керівництвом.

    Але для різних за призначенням і принципами роботи АС, видів і обмеженості оброблюваної в них інформації найбільш “загрозлива” модель поведінки потенційного порушника ТЗІ також може бути різною. Наприклад, для військових систем (систем національної гвардії, цивільної оборони) це рівень розвідника-професіонала, для комерційних – рівень кваліфікованого користувача. Очевидно, що для захисту інформації від більш кваліфікованого і освіченого (проінформованого) порушника ТЗІ потрібно буде розглянути більшу кількість потенційних каналів НСД та використати більшу кількість засобів захисту з вищими показниками стійкості ТЗІ.

    Реалізація вказаних вище рівнів безпеки ІС від загроз НСД згідно класів порушників ТЗІ повинна узгоджуватись з низкою відповідних організаційно-технічних заходів та засобів захисту. Рівень безпеки захисту для кожного класу забезпечується експертною оцінкою та реалізацією стійкості окремих засобів і контуру (оболонки) захисту від цілеспрямованих загроз НСД по розрахунковим формулам, виведення яких надається у наступному розділі.

    1.2 Інформаційно-аналітична модель з оцінки базового первинного захисту АС від загроз НСД

    Згідно вимог нормативних документів з питань ТЗІ України однією із важливіших задач керівництва комплексною системою ТЗІ є контроль, перевірка та експертна оцінка ефективності використованих організаційно-технічних заходів захисту. Досягається це реалізацією комплексу заходів, серед яких проблема створення інформаційно-аналітичних моделей захисту від загроз несанкціонованого доступу (НСД) до інформації займає досить суттєве місто. Такі моделі дозволяють не тільки дати оцінку використовуваних заходів захисту, але і прогнозувати наслідки прояву нових загроз НСД, які постійно змінюються та удосконалюються. В розділі розглядається базова первинна інформаційно-аналітична модель експертної оцінки виявлення та блокування загроз НСД до інформації ІС.

    Відповідно до вимог законів України “Про інформацію”, “Про державну таємницю” та “Про захист інформації в автоматизованих стстемах” основним об’єктом захисту є інформація з обмеженим доступом, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі - інформація з обмеженим доступом, ІзОД).

    Носії різних видів інформації АС здебільшого знаходяться в виділених приміщеннях, за винятком телекомунікаційних засобів, які можуть розміщуватись як в приміщеннях, так і на великих територіях. Але в усіх випадках навколо них, як об’єктів захисту, створюються так звані перепони ТЗІ (фізичні, режимні, організаційні, апаратні, технічні, програмні, віртуальні і т. ін.).

    Таким чином, об’єкт захисту знаходиться, так би мовити, в замкненій та однорідній оболонці, яка зветься перепоною ТЗІ. Стійкість захисту залежить від властивостей перепони. Принципову роль грає здатність перепони протистояти спробам подолання її порушником ТЗІ. Властивість об’єкту захисту - здатність приваблювати його власника та потенційного порушника ТЗІ. Привабливість об’єкту захисту полягає в вагомості, ступеню обмеженості, цінності його інформації. Ця властивість об’єкта захисту широко використовується при експертній оцінці захищеності інформації в будь-яких інформаційних системах. З цих позицій можна сформулювати два концептуальних правила достатності стійкості ТЗІ від її порушника:

    1) стійкість створеної перепони ТЗІ достатня, якщо вартість очікуваних витрат на її подолання потенційним порушником ТЗІ перевищує вартість інформації що підлягає захисту;

    2) стійкість створеної перепони ТЗІ достатня, якщо витрати часу на її подолання потенційним порушником ТЗІ перевищують час життєвого циклу (старіння,цінності) інформації, що підлягає захисту;

    У загальному найпростіша модель базового первинного (одноланкового і однорівневого) захисту будь-якого об’єкту від загроз НСД може бути формалізовано представлена у вигляді, наведеному на рис. 1.

    Якщо позначити імовірність неподолання системи захисту інформації (СЗІ) через Рсзі, термін життєвого циклу (старіння, цінності) інформації через tж, очікуваний термін подолання перешкоди порушником через tп, імовірність обходу перешкоди порушником через Робх, то для випадку старіння інформації умову достатності захисту одержимо у вигляді наступних відношень:

    Рсзі = 1, якщо tжп і Робх = 0. (1.1)

    Робх, що дорівнює нулю, відображає необхідність замкнення перешкоди навколо об’єкта захисту. Якщо tж >tп, а Робх = 0, тоді

    Рсзі = (1 – Рпод), (1.2)

    де Рпод – імовірність подолання перешкоди порушником за термін, менший tж.

    Для реального випадку, коли tж>tп і Робх = 0, стійкість захисту можна надати у вигляді:

    Рсзі = (1 – Рпод)(1 – Робх), (1.3)

    де Рпод = 0, якщо tжп; Рпод>0, якщо tж>tп.

    Однак ця формула справедлива для випадку, коли порушників двоє, тобто коли один переборює перешкоду, а другий її обходить. Але в вихідній моделі поведінки потенційного порушника допускаємо, що розглядається поодинокий порушник і йому відома стійкість перешкоди та складність шляхів її обходу. Оскільки одночасно по двом шляхам він долати перешкоду не зможе, він вибере один з них – найбільш простіший, тобто по схемі “або”. Тоді формульне вираження стійкості захисту в цілому для даного випадку буде відповідати формулі:

    Рсзі = (1 – Рпод) U (1 – Робх), (1.4)

    де U – знак “або”.

    Таким чином, стійкість перешкоди після визначення і порівняння величин (1 – Рпод) і (1 – Робх) буде дорівнюватись найменшому значенню однієї із них.

    В якості прикладу первинного захисту, що вираховується по формулі (1.4), може бути кріптографічний захист інформації, де величина Рпод може визначатись шляхом оцінки імовірності підбору коду ключа, з допомогою якого можна дешифрувати закриту даним способом інформацію. Цю величину можна визначити по формулі:

    Рпод = n/As, (1.5)

    де Рпод – імовірність подолання перешкоди порушником за термін, менший tж.

    де n – кількість спроб підбору коду;

    А - кількість символів у вибраному алфавіті коду ключа;

    S - довжина коду ключа в кількості символів.

    Величина Робх буде залежить від відібраного метода шифрування, способу застосування, повноти перекриття змісту інформації, існуючих методів кріптоаналізу, а також способу зберігання дійсного значення коду ключа та періодичності його зміни на нове значення, якщо інформація, закрита даним способом, постійно зберігається у її власника. Можливі і інші обставини, що впливають на імовірність обходу кріптографічного захисту.

    Вибір та визначення конкретної величини Робх спочатку можна проводити експертним шляхом на основі досвіду фахівців. Величина Робх повинна приймати значення від 0 до 1. При Робх = 1 захист втрачає усякий зміст.

    Можливо також, що у однієї перешкоди можуть бути декілька шляхів обходу. Тоді формула (1.5) приймає вид:

    Рсзі = (1 – Рпод) U (1 – Робх1) U (1 – Робх2)U... U(1 – Робх-к), (1.6)

    де к – кількість шляхів обходу перешкоди, тобто стійкість перешкоди дорівнюється найменшому значенню, що одержано після визначення та порівняння величин:

    (1 – Рпод), (1 – Робх1), (1 – Робх2), (1 – Робх-к). (1.7)

    При масованих атаках ТЗІ, тобто при можливій одночасності подолання первинної перешкоди ТЗІ і використання усіх каналів її обходу, формулу (1.6) можна подати у вигляді (максимальна загроза НСД через первинну перешкоду ТЗІ):

    Рсзі = 1- Рпод Робх-к, (1.8)

    де Рсзі оцінюється ймовірністю неподолання та необходу перешкоди ТЗІ ні по одному із каналів НСД.

    В тому разі, коли інформація, що підлягає захисту, не старіє або періодично оновлюється, тобто коли виконується нерівність tж>tп постійно або ж коли забезпечити tп>tж по якимсь причинам неможливо, звичайно використовується постійно діюча перешкода ТЗІ, яка володіє властивостями виявлення та блокування доступу порушника ТЗІ до об’єкту захисту. В якості такого захисту можуть бути використані людина або спеціальна автоматизована система виявлення під управлінням адміністратора безпеки (автоматизована перепона ТЗІ).

    Рис.1. Інформаційно-аналітична модель первинного базового захисту АС від загроз НСД. 1 - об`єкт захисту від загроз НСД; 2 - перешкода ТЗІ; 3 - стійкість перешкоди ТЗІ

    Рис. 2. Почасова діаграма контролю загроз НСД.

    Очевидно, що параметри цієї перепони будуть впливати на її стійкість.

    Здатність перепони виявляти та блокувати загрози НСД повинна враховуватись при експертній оцінці її стійкості шляхом введення в формулу (1.6) замість (1 – Рпод) величини Рвбл – імовірності виявлення та блокування загроз НСД.

    Принцип роботи автоматизованої перепони ТЗІ заснований на тому, що в ній блоком управління здійснюється періодичний контроль датчиків виявлення порушника ТЗІ. Результати контролю спостерігаються адміністратором безпеки. Періодичність опитування датчиків автоматом може досягати тисячних долей секунди та менше. В цьому випадку очікуваний час подолання перешкоди порушником значно перевищує період опитування датчиків. Саме тому такий контроль часто вважають постійним. Але для виявлення порушника адміністратором безпеки, що керує автоматом контролю, тільки малого періоду опитування датчиків недостатньо. Необхідний ще й термін на виробку сигналу тривожної сигналізації, тобто термін спрацювання автоматизованої перешкоди, оскільки він часто значно перевищує період опитування датчиків і, тим самим, збільшує термін виявлення порушника ТЗІ. Практика показує, що звичайно сигналу такої тривожної сигналізації достатньо для призупинення дій порушника ТЗІ, якщо цей сигнал до нього дійшов. Але оскільки фізичний або логічний доступ до об’єкту захисту поки що відкритий, подальші дії адміністратора безпеки (охорони) зводяться до визначення місця та організації блокування доступу порушника ТЗІ, на що також потрібний час.

    Таким чином, умову стійкості перешкоди ТЗІ з автоматизованим виявленням та блокуванням загроз НСД можна формалізувати співвідношенням:

    од + tспр + tвм + tбл) / tп < 1, (1.9)

    де Тод - період опитування датчиків авоматизованої перешкоди ТЗІ;

    tспр - термін спрацювання тривожної сигналізації;

    tвм - термін визначення місця загрози НСД;

    tбл - термін блокування загрози НСД;

    tп - термін подолання перешкоди порушником ТЗІ.

    Якщо означимо суму (Тод + tспр + tвм + tбл) через Tвбл, одержимо співвідношення:

    Tвбл / tп < 1, (1.10)

    де Tвбл - термін виявлення і блокування загрози НСД.

    Процес контролю НСД та несанкціонованих дій порушника ТЗІ щодо його терміну наведено на мал. 1.4. З аналізу діаграми слідує, що порушник ТЗІ може бути невиявленим у двох випадках:

    а) коли tп < Т;

    б) коли Т < tп < Tвбл .

    В першому разі потребується додаткова умова попадання інтервалу часу tп в інтервал Т, тобто необхідна синхронізація дій порушника ТЗІ з частотою опитування датчиків виявлення загроз НСД. Для вирішення цієї задачі порушнику ТЗІ потрібно потайно підключити вимірювальну апаратуру в момент виконування НСД до інформації, що являє собою досить складну задачу для стороннього порушника. Саме тому вважаємо, що свої дії з частотою опитування датчиків автоматизованої перешкоди ТЗІ він синхронізувати не зможе і може розраховувати лише на деяку імовірність успіху, яка визначається в імовірності попадання відрізка часу tп в проміжок часу між моментами (запитами, імпульсами) опитування датчиків ТЗІ, рівний Т.

    Згідно визначенню геометричної імовірності одержимо формулу для визначення імовірності успіху порушника ТЗІ в наступному вигляді:

    Рпод = (Т - tп) / Т = 1 - tп /Т (1.11)

    Тоді імовірність виявлення несанкціонованих дій порушника буде визначатися:

    Рвбл = 1 - Рпод, (1.12)

    або Рвбл = tп /Т. (1.13)

    При tп >Т порушник ТЗІ буде виявленим достеменно, тобто Рвбл = 1.

    В другому разі, коли Т < tп < Твбл, імовірність успіху порушника буде визначатись по аналогії з попереднім співвідношенням:

    Рпод= 1 - tп / Твбл. (1.14)

    Імовірність виявлення та блокування несанкціонованих дій порушника ТЗІ:

    Рвбл = (1 - Рпод), (1.15)

    Рвбл = tп / Твбл. (1.16)

    При tпвбл спроба НСД не має сенсу, оскільки вона буде виявлена достеменно. В цьому разі Рвбл = 1.

    Таким чином, розрахунок стійкості базової первинної перешкоди ТЗІ з властивостями виявлення та блокування загроз НСД можна виконати за формулою:

    Рсзі = Рвбл U (1 – Робх1) U (1 – Робх2) U (1 – Робхj), (1.17)

    де j – кількість шляхів обходу цієї перешкоди;

    U – знак “або”.

    Слід відмітити, що ця формула справедлива також і для організаційного заходу захисту у вигляді періодичного контролю заданого об’єкта адміністратором безпеки. При цьому вважаємо, що виявлення, визначення місця НСД та його блокування відбувається одночасно – в момент контролю об’єкта адміністратором безпеки, тобто tспр = tвм = tбл = 0, Твбл = Т, де Т – період контролю адміністратором безпеки об’єкта захисту. Імовірність виявлення та блокування дій порушника буде визначатись формулою (1.13).

    Для більш повного представлення стійкості перешкоди у вигляді автоматизованої системи виявлення та блокування загроз НСД необхідно враховувати надійність її функціонування та шляхи можливого обходу її порушником ТЗІ.

    Імовірність відмови системи визначається за звісною формулою:

    Рвідм (t) = е-t, (1.18)

    де  - інтенсивність відмов групи технічних засобів, що складають систему виявлення та блокування загроз НСД;

    t - розглядуваний інтервал терміну функціонування системи виявлення та блокування НСД.

    З врахуванням можливої відмови автоматизованої системи контролю стійкість такої перешкоди ТЗІ буде визначатись за формулою:

    Рсзі-к= Рвбл (1 -Рвідм) U (1 – Робх1) U (1 – Робх2)U... U(1 – Робхj), (1.19)

    де Рвбл і Рвідм визначаються відповідно за формулами (1.16) і (1.18).

    Величина Робх і кількість шляхів обходу визначаються експертним шляхом на основі аналізу принципів побудови автоматизованої системи контролю та блокування загроз НСД.

    Одним із можливих шляхів обходу автоматизованої системи виявлення та блокування загроз НСД може бути можливість потайного відключення порушником цієї системи (наприклад, шляхом обривання або замкнення контрольних ланок, підключення імітатора контрольного сигналу, зміни програми збору сигналів і т.і.) Імовірність такого роду подій визначається у межах від 0 до 1 методом експертних оцінок на основі аналізу принципів створення і роботи системи. При відсутності можливості несанкціонованого відключення системи величина його імовірності дорівнює нулю.

    На основі викладеного підводимо деякі підсумки і робимо концептуальний висновок про те, що первинні захисні перепони доцільно використовувати двох видів: контрольовані і неконтрольовані адміністратором безпеки (оператором). Стійкість неконтрольованої перешкоди оцінюється за формулою (1.6), контрольованої – за формулою (1.19). Аналіз даних формул дозволяє сформулювати таке узагальнене концептуальне правило захисту будь-якого об’єкту ТЗІ від загроз НСД: стійкість захисної перепони ТЗІ від загроз НСД є достатньою, якщо очікуваний термін подолання її порушником ТЗІ є тривалішим за термін життєвого циклу (старіння, обмеженості, цінності) захищуваної інформації або триваліший терміну виявлення та блокування несанкціонованого доступу до неї та її носіїв при відсутності шляхів потайного обходу цієї перешкоди.

    В більшості випадків на практиці захисна оболонка об’єкта ТЗІ складається із декількох "з`єднаних" між собою первинних перешкод ТЗІ з різною стійкістю та декількох рівнів або контурів ТЗІ.

    В більшості випадків на практиці захисний контур (оболонка) складається із декількох "з`єднаних" між собою перепон з різною стійкістю. Модель такого багатоланкового захисту з декількох ланок наведено на рис. 3.
    1   2   3   4   5   6   7   8   9   ...   15


    написать администратору сайта