Захист інформації від несанкціонованого доступу
У розділі розглянуто поняття НСД, канали витоку інформації, моделі загроз та порушника, основні причини порушення інформаційної безпеки.
3.1. Методи та види НСД
Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу КС, що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затверджену конфігурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС ЗЛ.
Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному стані системи заходів із захисту інформації.
До основних способів НСД належать:
безпосереднє звернення до об'єктів з метою одержання певного виду доступу;
створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;
модифікація засобів захисту, що дозволяє здійснити НСД;
впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дають можливість здійснити НСД.
Можна виділити такі узагальнені категорії методів захисту від НСД [2]:
технологічні;
правові.
До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями організації. Приклад такого захисту - присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщенні, і контроль доступу до них персоналу. Другу категорію становлять механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад систем ідентифікації і автентифікації або охоронної сигналізації. І остання категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і удосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, об'єднують у собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (установка замків і систем сигналізації) способів захисту.
Серед методів реалізації НСД до інформації в АС виділимо такі.
Обхідний шлях - це блок, вбудований у велику програму, який зазвичай керується простими командами ЕОМ, що дає можливість здійснювати її обробку засобами ОС, а це в свою чергу дає змогу обійти систему захисту або реєстрацію в системному журналі. Звичайно ділянки програми, в яких реалізовано обхідний шлях (люк), вбудовуються в процесі розробки великих програмних комплексів, що призначені для виконання трудомістких функцій. Можливе також виявлення обхідних шляхів, вбудованих в ОС, що допомагає ЗЛ здійснювати НСД.
Троянський кінь - програма, яка реалізує функції знищення файлів і зміни їх захисту. Складний троянський кінь може бути запрограмований таким чином, що при зміні захисту може подавати ЗЛ умовний сигнал про можливість доступу до файлів. Після подачі сигналу троянський кінь деякий час очікує, а потім повертає файл у початковий стан. Отже, такий алгоритм дозволяє програмі ЗЛ будь-які несанкціоновані дії з файлами без їх реєстрації.
Логічна бомба - програма або частина програми, яка реалізує деяку функцію при виконанні певної умови. Логічні бомби використовуються для модифікації або знищення інформації, рідше для крадіжки або шахрайства.
Атака - використання вразливостей ПЗ АС для досягнення цілей, що виходять за межі допуску даного суб'єкта в АС. Наприклад, якщо користувач не має права на читання деяких даних, то він здійснює ряд відомих йому нестандартних маніпуляцій, які або забезпечують йому доступ до них, або завершуються невдачею.
Між рядків - підключення до лінії зв'язку і впровадження ЗЛ у комп'ютерну систему з використанням проміжків часу між діями законного користувача.
Аналіз трафіка - аналіз частоти і методів контактів користувачів в АС. При цьому виявляються правила підключення користувачів до зв'язку, після чого ЗЛ здійснюється спроба НСД під виглядом законного користувача.
Розрив лінії - переключення лінії зв'язку від законного користувача по закінченні його сеансу зв'язку або через розрив лінії; при цьому дана подія не реєструється і АС працює зі ЗЛ, як із законним користувачем.
Маскарад - використання для входу до системи інформації про законного користувача, яка стала відомою ЗЛ.
Підкладення свині - підключення до лінії зв'язку й імітація роботи системи з метою отримання інформації про ідентифікацію користувача. Наприклад, ЗЛ може імітувати «підвисання» системи і процедуру повторного входу до неї. Користувач, нічого не підозрюючи про це, знову вводить свій ідентифікатор і пароль, після чого ЗЛ повертає йому управління з нормально працюючою системою.
Повторне використання ресурсів - зчитування остаточної інформації, що призначена для знищення. Як об'єкти атаки можуть виступати не тільки блоки файлів, а й різного виду буфери, кадри сторінок пам'яті, сектори магнітних дисків, зони магнітних стрічок, реєстри пам'яті і т. д. Для зчитування даних прямо з пам'яті іноді достатньо створити невелику програму, яка робить запит під час виконання динамічного виділення пам'яті великого об'єму. Потім у результаті навмисної помилки ця програма може аварійно завершитися з видачею «посмертного» дампа, який якраз і містить інформацію всіх ділянок пам'яті, яка використовувалася перед цим.
Використання комп'ютерного вірусу - використання набору команд ЕОМ, який виробляє і розповсюджує свої копії в мережах і навмисно виконує дії, що небажані для законних користувачів. Крім того, він характеризується можливістю маскуватися від спроб виявлення. Розрізняють дві основні групи вірусних програм - вірус, що використовується для руйнування електронної пошти або комунікаційної мережі, і вірус, який модифікує чи знищує інформацію або діє на захист АС.
Використання програми-імітатора - імітація роботи того чи іншого елемента мережі і створення у користувача АС ілюзії взаємо* дії з системою з метою, наприклад, перехоплення інформації користувачів. Зокрема, екранний імітатор дозволяє заволодіти паролями або кодами користувачів.
Наведені методи можуть застосовуватися для реалізації таких; найбільш поширених сценаріїв НСД:
перегляд інформації;
копіювання програм та даних;
читання даних з лінії зв'язку;
зміна потоку повідомлень;
закладки;
зміна алгоритмів програм;
зміна апаратної частини АС;
зміна режиму обслуговування або умов експлуатації;
перерва функціонування АС або її компонентів;
перерва потоку повідомлень;
перерва компонент ПЗ;
перерва процесу функціонування або його складових;
фізичне руйнування апаратних засобів мережі;
підробка;
додавання фальшивих процесів і підміна справжніх процесівфальшивими;
додавання фальшивих апаратних засобів;
імітація роботи апаратно-програмних компонент мережі з боку суб'єктів загрози.
Звичайно, можуть використовуватися різні комбінації наведених сценаріїв, що дуже утруднює організацію захисту від НСД.
3.2. Канали витоку інформації
У попередньому розділі розглядалися канали витоку інформації з суто технічного боку. Зараз розглянемо це питання докладніше.
При обробці інформації в АС завжди маємо обмін інформацією між об'єктами АС, отже, можемо говорити про наявність каналів обміну або каналів витоку інформації.
Канал витоку інформації - сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе вказану інформацію, і засобу виділення інформації з сигналу або носія.
З точки зору захисту інформації канали та інформаційні потоки бувають законними або незаконними. Незаконні інформаційні потоки створюють витік інформації і тим самим можуть порушувати конфіденційність даних, тобто через канал витоку реалізуються загрози конфіденційності інформації в АС або НСД до даних. Зрозуміло, що СЗІ повинна контролювати по можливості всі відомі канали витоку. Однак, по-перше, навіть відомі канали іноді важко контролювати, а, по-друге, ще складніше виявити всі існуючі в АС канали витоку. Таким чином, у будь-якій АС можна виділити відкриті канали витоку (тобто канали, які вдалося ідентифікувати і які контролюються засобами захисту) і приховані (covert channel), коли витік відбувається шляхом, який не контролюється засобами захисту.
Отже, далі розглядаємо канали витоку інформації (channel of information leakage) як можливість неконтрольованого поширення інформації, що призводить до несанкціонованого отримання і/або модифікації інформації.
Найбільш загальною класифікацією каналів витоку може бути така:
несанкціонований доступ (НСД) - канал спеціального впливу порушника, який, використовуючи штатні засоби доступу до інформаційних ресурсів, порушує встановлені правила розмежування доступу з метою реалізації будь-яких з основних видів загроз для інформації;
канал спеціального недопустимого регламентом впливу на параметри середовища функціонування, здійснюваного з метою порушення доступності в АС;
канал спеціального впливу нештатними програмними і/або програмно-технічними засобами на елементи обладнання, програми, дані та процеси в АС, що встановлюються в процесі її експлуатації, з метою реалізації будь-яких з основних видів загроз для інформації;
канал спеціального впливу на компоненти АС за допомогою закладних пристроїв і/або програмних закладок, впроваджених у середовище функціонування АС на до експлуатаційних стадіях її життєвого циклу, що здійснюється з метою реалізації будь-яких з основних видів загроз для інформації;
канал витоку інформації, утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень (ПЕМВН) з метою порушення конфіденційності;
канал витоку інформації, утворений за допомогою використання побічних акусто-електричних перетворень інформативних сигналів у кінцевому обладнанні з метою порушення конфіденційності;
канал реалізації будь-яких з основних видів загроз для інформації, утворений за рахунок використання випадкових збоїв та відмов у роботі обладнання;
канал спеціального впливу на компоненти АС за допомогою впровадження комп'ютерних вірусів.
З точки зору способу реалізації можна виділити фізичні та інформаційні канали витоку інформації. Звичайно, всі канали витоку з попередньої класифікації можуть реалізуватися за допомогою фізичних та інформаційних каналів витоку інформації. Зазначимо, що іноді дуже важко віднести конкретний канал до певної групи, тобто наведені класифікації мають досить умовний характер.
Виділяють такі фізичні канали витоку:
Електромагнітний канал. Причиною його виникнення є електромагнітне поле, пов'язане з проходженням електричного струму в технічних засобах АС. Електромагнітне поле може індукувати струми в близько розміщених провідних лініях (наводки). Електромагнітний канал, у свою чергу, ділиться на такі канали: радіоканал (високочастотне випромінювання); низькочастотний канал; мережевий канал (наводки на мережу електроживлення); канал заземлення (наводки на проводи заземлення); лінійний канал (наводки на лінії зв'язку між ПЕОМ).
Акустичний (віброакустичний) канал. Він пов'язаний з розповсюдженням звукових хвиль у повітрі або пружних коливань в інших середовищах, які виникають при роботі засобів відображення інформації АС.
Оптичний канал. Він пов'язаний з можливістю отримання ін формації за допомогою оптичних засобів.
Серед інформаційних каналів витоку найбільш розповсюдженим є канал за пам'яттю (storage covert channel), тобто канал, що виникає за рахунок використання доступу до спільних об'єктів системи (як правило, спільна пам'ять). Графічно канал за пам'яттю можна зобразити так:
Користувач U1 активізує (ехе) деякий процес S, за допомогою якого може отримати доступ на читання (г) до спільного з користувачем U2 ресурсу О, при цьому U2 може писати (w) в О, а U1, може читати з О за допомогою S. Наприклад, у каталог О внесено імена файлів. Доступ до самих файлів для користувача U1 закритий, а доступ до каталогу можливий. Якщо користувач U2 створив закриті файли, то інформація про файлову структуру стала доступною для U1. Отже, виник витік частини інформації, що належить користувачеві U2, зокрема, існування чи неіснування конкретного файла - 1 біт інформації. Захист здійснюється шляхом контролю доступу.
Наступним інформаційним каналом витоку є часовий канал (timing covert channel). Часовий канал є каналом, що передає ЗЛ інформацію не про увесь процес, а тільки про його модулювання цінною закритою інформацією. Графічно часовий канал можна зобразити схемою
Тут U1 - зловмисник; U2 - користувач, що оперує цінною інформацією; Sc - процес, інформація про який цікава для U1; Sm - процес, що модулюється інформацією процесу Sc; S- процес від імені користувача U1, який дозволяє спостерігати процес Sm. Захист організується за допомогою контролю доступу та організаційних заходів.
Відмінність даного каналу витоку від каналу за пам'яттю полягає в тому, що зловмисник отримує не саму конфіденційну інформацію, а дані про операції над нею. Як правило, він використовується з метою подальшого вилучення інформації з каналу за пам'яттю. Отже, часовий канал є слабшим каналом витоку, тобто менш інформативним, порівнюючи з каналом за пам'яттю.
Інформативність такого каналу визначається тою часткою цінної інформації про процес Sc, яка отримується за рахунок його модуляції. Нехай, наприклад, процес Sc використовує принтер для друку чергового циклу обробки цінної інформації. Процес Sm визначається роботою принтера, який є спільним ресурсом U1 і U2. Тоді в одиницях частоти роботи принтера U1 отримує інформацію про періоди обробки процесом Sc цінної інформації, а це уже є витоком інформації.
Іншим каналом витоку інформації за часом є канал зв'язку. За рахунок безпосереднього доступу до процесу обробки (передачі) цінної інформації вона знімається, накопичується і відновлюється. Такий канал перекривається за допомогою криптографії.
Більш загальним поняттям порівняно з каналом витоку є канал дії на АС. Він може включати зміни компонент АС - активну дію - загрозу властивості цілісності. Справа в тому, що основна загроза для конфіденційності - це незаконне ознайомлення з інформацією, тобто на саму інформацію активної дії немає. Виявляється, що для опису такої загрози достатньо поняття каналу витоку. Для цілісності ж основна загроза - це незаконна модифікація інформації, тобто активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність. Основою захисту цілісності є своєчасне регулярне копіювання цінної інформації.
Інший клас механізмів захисту цілісності, який базується на ідеї завадозахищеного кодування інформації (введення надмірності в інформацію), становить основу контролю цілісності. Він будується на автентифікації, тобто підтвердженні справжності, цілісності інформації. Підтвердження справжності зберігає цілісність інтерфейсу, а використання кодів автентифікації дає змогу контролювати цілісність файлів і повідомлень. Введення надмірності в мови і формальне задання специфікації дають можливість контролювати цілісність програм.
Крім того, до механізмів контролю і захисту цілісності інформації слід віднести створення системної надмірності. У військовій практиці такі заходи називають підвищенням «живучості» системи. Використання таких механізмів дозволяє також розв'язувати задачі стійкості до помилок і задачі захисту від порушень доступності.
Додамо, що будь-які канали витоку можуть бути контактними (коли здійснюється безпосередній доступ до елементів АС) або безконтактними (коли відбувається візуальне перехоплення інформації або перехоплення за рахунок випромінювань).
3.3. Поняття загрози інформації
Загроза інформації є основним поняттям інформаційної безпеки. З усієї множини способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатами їх впливу на інформацію. Як відомо [17], основними властивостями інформації, що визначають її цінність, є конфіденційність, цілісність, доступність і спостереженість. Отже, з цього погляду в АС розрізняються такі класи загроз інформації:
порушення конфіденційності (ПК);
порушення цілісності (логічної - ПЛЦ чи фізичної - ПФЦ);
порушення доступності чи відмовлення в обслуговуванні (ПД);
порушення спостереженості чи керованості (ПС).Зафіксовано, що для забезпечення кожної з виділених основних
властивостей захищеної інформації встановлено певний набір послуг.
Це дозволяє ввести наступний рівень загроз, трактуючи реалізацію яких-небудь послуг у неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як деякі загрози. Аналіз нормативних документів [17-20] показує, що цей рівень може включати такі загрози:
• порушення конфіденційності:
а) загрози при керуванні потоками інформації (ПКП);
б) загрози існування безконтрольних потоків інформації (наявність схованих каналів) (ПКБ);
в) порушення конфіденційності при обміні - загрози при експорті/імпорті інформації через незахищене середовище (ПКО);
• порушення цілісності:
а) загрози при керуванні потоками інформації (ПЛЦП, ПФЦП);
б) неможливість відкату - повернення захищеного об'єкта у вихідний стан (ПЛЦВ, ПФЦВ);
в) порушення цілісності при обміні - загрози при експорті/імпорті інформації через незахищене середовище (ПЛЦО, ПФЦО);
• порушення доступності чи відмова в обслуговуванні:
а) порушення при керуванні послугами і ресурсами користувача(ПДК);
б) порушення стійкості до відмов (ПДС);
в) порушення при гарячій заміні (ПДГ);
г) порушення при відновленні після збоїв (ПДВ);
• порушення спостереженості чи керованості:
а) порушення при реєстрації небезпечних дій (ПСР);
б) порушення при ідентифікації та автентифікації (ПСІ);
• несанкціоноване використання інформаційних ресурсів (НВ).Таким чином, при переході до рівня послуг отримано новий рівень загроз - розширений і більш конкретний. Якщо рухатися в цьому напрямку далі, тобто перейти, наприклад, на рівень реалізації кожної з послуг, то можна одержати ще конкретніший набір загроз, оскільки, відповідно до [17], для реалізації кожної з послуг необхідно здійснити ще більш конкретні умови і дії. Тобто фактично відповідно до [17] вийде повний перелік послуг.
Відзначимо деякі важливі особливості наведеної класифікації загроз:
• вона однаково застосовна до кожного з відомих класів АС [17];
до кожної із загроз не прив'язуються які-небудь конкретні фізичні причини їх виникнення;
вона залишається відкритою, тобто кожну із загроз можна конкретизувати далі, одержавши більш докладну і розширену їх множину на новому рівні.
Поставимо тепер питання про практичну реалізацію цих загроз і причини їх виникнення.
Як неважко помітити, дані в такий спосіб визначення загроз враховують лише деякі абстрактні небажані впливи на інформацію, що захищається, і фактично не містять ніяких конструктивних аспектів, що істотно утруднює їх практичне використання. З іншого боку, у [17] загрози неявно визначаються в такий спосіб: «Загрози оброблюваної в АС інформації залежать від характеристик КС, фізичного середовища, персоналу й оброблюваної інформації. Загрози можуть мати або об'єктивну природу, наприклад зміна умов фізичного середовища (пожежі, повені і т. п.) чи відмова елементів обчислювальної системи, або суб'єктивну, наприклад помилки персоналу чи дії ЗЛ. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними».
Отже, доходимо висновку, що на будь-якому об'єкті будь-якої АС можуть здійснюватися певні обставини, події чи фактори, що будуть перешкоджати реалізації конкретних захисних механізмів і заходів, створюючи тим самим відзначені вище загрози. При цьому вони будуть безпосередньо пов'язані з цими загрозами і будуть, власне кажучи, їхніми причинами. Ці обставини, події чи фактори можна охарактеризувати в такий спосіб:
вони об'єктивно існують і можуть реалізуватися в будь-який момент часу на будь-якому об'єкті АС, де обробляється інформація, що підлягає захисту;
вони не зводяться до загроз; один і той самий процес чи подія в одному випадку призводить до загроз, а в іншому не являє собою ніякої небезпеки для інформації;
їх можна явно описати і класифікувати;
для кожного такого фактора існує можливість явно установити, з якими видами загроз він пов'язаний;
для кожного такого фактора існує можливість визначити канали витоку інформації;
виникає можливість здійснювати конкретні дії з метою протидії загрозам.
Таким чином, виявляється, що загрози виникають унаслідок реалізації цих факторів, тобто є їх результатом. Надалі ці фактори будемо називати дестабілізуючими (ДФ). Як показує подальший аналіз, уведення поняття ДФ цілком логічно виправдане і допомагає одержати дуже просту, зрозумілу і наочну схему для створення моделі загроз.
3.4. Моделі загроз та порушника
ДФ - це такі явища чи події, що можуть з'являтися на будь-якому етапі життєвого циклу (ЖЦ) АС і наслідком яких можуть бути загрози інформації. Упродовж ЖЦ АС може виникати багато ДФ різноманітної природи.
Тому, аналогічно [3], на основі аналізу архітектури, технології й умов функціонування АС і всіх можливих у принципі ДФ зручно ввести поняття типу ДФ, що дає підставу класифікувати ДФ за способами їх реалізації. Вважаючи, що ця класифікація ДФ є вичерпною, виділимо такі типи ДФ:
кількісна недостатність - фізична недостача компонентів АС для забезпечення необхідного рівня захищеності оброблюваної інформації;
якісна недостатність - недосконалість конструкції чи організації компонентів АС, унаслідок чого не забезпечується необхідний рівень захищеності оброблюваної інформації;
відмова елементів АС - порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій;
збій елементів АС - тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій;
помилки елементів АС - неправильне (одноразове чи систематичне) виконання елементами своїх функцій унаслідок специфічного (постійного і/або тимчасового) їхнього стану;
стихійні лиха - випадкові неконтрольовані явища, що призводять до фізичних руйнувань;
злочинні дії - дії людей, що спеціально спрямовані на порушення захищеності інформації;
побічні явища - явища, що супроводжують виконання елементом АС своїх функцій.
Звідси видно, що ДФ можуть мати об'єктивну природу (наприклад, відмови, збої і т. д.) чи суб'єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними. Зауважимо, що характеристика випадковості чи навмисності може бути відносною. Наприклад, у [5] відзначається, що іноді свідомо додані в програмне забезпечення функції можуть заздалегідь визначати можливість ненавмисних дій (приміром, при дистанційному налагодженні чи настроюванні систем).
Подальший аналіз ДФ показує, що важливо класифікувати ДФ за джерелами їх виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються такі джерела ДФ:
персонал - люди, що мають яке-небудь відношення до функціонування АС;
технічні засоби;
моделі, алгоритми, програми;
технологія функціонування - сукупність засобів, прийомів, правил, заходів і угод, що використовуються в процесі обробки інформації;
зовнішнє середовище - сукупність елементів, що не входять до складу АС, але здатні впливати на захищеність інформації в АС.
Спільний розгляд типів ДФ і їхніх джерел показує, що формально може бути 40 різних сполучень «тип-джерело» ДФ. Однак фактично їх може бути менше, оскільки, звичайно, деякі з таких сполучень не мають практичного змісту. Справді, наприклад, на якісну недостатність компонентів АС для захисту
Таблиця 1
інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести у таблицю, кожна клітинка якої відповідає ДФ певного типу з певного джерела (див. табл. 1).
У кожній клітинці таблиці 1 проставлено номери рядка і стовпця. Відсутність чисел означає, що таке сполучення принципово не може реалізуватися (отже, усього можливих сполучень - 32). Варто особливо звернути увагу на те, що в дійсності кожна клітинка містить не один ДФ певного типу з певного джерела, а цілу їх множину.
Зауважимо також, що перший стовпець і сьомий рядок табл. 1 містять множину ДФ, що пов'язані з діяльністю людини. Опис дій (помилкових чи злочинних) людини є змістом моделі порушника. Цей тип ДФ принципово відрізняється від усіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються з участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ.
Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоча б один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС. Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинках табл. 1) необхідно використовувати додаткові їхні особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними.
Розглянемо тепер модель порушника. Згідно з [17, 18] порушник (user violator) - користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, то цілком зрозуміло, що створення його формалізованої моделі - дуже складне завдання. Тому, звичайно, мова може йти тільки про неформальну або описову модель порушника. Отже, нижче подається опис можливого для даного класу ІСБ порушника.
Порушник - це особа, яка може отримати доступ до роботи з включеними до складу АС засобами. Вона може помилково, унаслідок необізнаності, цілеспрямовано, свідомо чи несвідомо, використовуючи різні можливості, методи та засоби, здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Зрозуміло, що в кожному конкретному випадку для кожного об'єкта визначаються імовірні загрози і моделі потенційних порушників - «провідників» цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки вимагається для кожного об'єкта вибрати з кількох можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документа [17] модель порушника - це абстрактний формалізований або неформалізований опис порушника.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
При розробці моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він має);
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Припускається, що за своїм рівнем порушник - це фахівець вищої кваліфікації, який має повну інформацію про систему.
Звичайно розглядаються 5 типів порушників. Спочатку їх поділяють на дві групи: зовнішні і внутрішні порушники. Серед зовнішніх порушників виділяють такі:
добре озброєна й оснащена силова група, що діє ззовні швидко і напролом;
поодинокий порушник, що не має допуску на об'єкт і намагається діяти потайки й обережно, оскільки він усвідомлює, що сили реагування мають перед ним переваги.
Серед потенційних внутрішніх порушників можна відзначити:
допоміжний персонал об'єкта, що допущений на об'єкт, але недопущений до життєво важливого центру (ЖВЦ) АС;
основний персонал, що допущений до ЖВЦ (найбільш небезпечний тип порушників);
співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинення акції.
Має також розглядатися можливість змови між порушниками різних типів, що ще більше ускладнює задачу формалізації моделей порушника.
Але слід відзначити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС.
Серед внутрішніх порушників можна виділити такі категорії персоналу:
користувачі (оператори) системи;
персонал, що обслуговує технічні засоби (інженери, техніки);
співробітники відділів розробки та супроводження ПЗ (прикладні та системні програмісти);
технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти АС);
співробітники служби безпеки;
керівники різних рівнів та посадової ієрархії.
Сторонні особи, що можуть бути порушниками:
клієнти (представники організацій, громадяни);
відвідувачі (запрошені з якого-небудь приводу);
представники організацій, що займаються забезпеченням життєдіяльності організації (енерго-, водо-, теплопостачання і т. ін.);
представники конкуруючих організацій (іноземних служб) або особи, що діють за їхнім завданням;
особи, які випадково або навмисно порушили пропускний ре жим (не маючи на меті порушити безпеку);
будь-які особи за межами контрольованої зони.
Можна виділити також три основні мотиви порушень: безвідповідальність, самоствердження та з корисною метою.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково здійснює руйнівні дії, які не пов'язані, проте, зі злим умислом. У більшості випадків - це наслідок некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру «користувач - проти системи» заради самоствердження або у власних очах, або в очах колег.
Порушення безпеки АС може бути викликане корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо.
Усіх порушників можна класифікувати за рівнем знань про АС:
знає функціональні особливості АС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;
має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням;
має високий рівень знань у галузі програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем;
знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.
За рівнем можливостей (методами та засобами, що використовуються):
застосовує суто агентурні методи отримання відомостей;
застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонент системи);
використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути потайки пронесені через пости охорони;
застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналівпередавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).
За часом дії:
у процесі функціонування (під час роботи компонент системи);
у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т. д.);
як у процесі функціонування, так і в період неактивності компонент системи.
За місцем дії:
без доступу на контрольовану територію організації;
з контрольованої території без доступу до будівель та споруд;
усередині приміщень, але без доступу до технічних засобів;
з робочих місць кінцевих користувачів (операторів);
з доступом у зону даних (баз даних, архівів і т. п.);
• з доступом у зону управління засобами забезпечення безпеки.Враховуються також наступні обмеження і припущення про характер дій можливих порушників:
робота з підбору кадрів і спеціальні заходи ускладнюють можливість створення коаліцій порушників, тобто об'єднання (змови) і цілеспрямованих дій з подолання системи захисту двох і більше порушників;
порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших співробітників;
НСД може бути наслідком помилок користувачів, системних адміністраторів, а також хиб прийнятої технології обробки інформації і т. д.
Визначення конкретних характеристик можливих порушників є значною мірою суб'єктивним. Модель порушника, що побудована з Урахуванням особливостей конкретної предметної галузі і технології обробки інформації, може бути подана перелічуванням кількох варіантів його образу. Кожний вид порушника має бути схарактеризований згідно з класифікаціями, наведеними вище. Всі значенню характеристик мають бути оцінені (наприклад, за 5-бальною системою) і зведені до відповідних форм.
Однак при формуванні моделі порушника на її виході обов'язково повинні бути визначені: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення.
Слід звернути увагу на те, що всі злочини, зокрема і комп'ютерні, здійснюються людиною. Користувачі АС є її складовою, необхідним елементом. З іншого ж боку, вони є основною причиною і рушійною силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки.
3.5. Причини порушення безпеки
Сформована практика дослідження випадків порушення безпеки, що приділяє основну увагу методам і засобам подолання захисту, має істотний недолік - відштовхуючись від дій ЗЛ, вона фактично являє собою лише аналіз технології подолання засобів захисту і не дозволяє виявити недоліки засобів забезпечення безпеки [9].
Крім того, подібний підхід відразу розділяє усі випадки порушення безпеки на навмисні, що класифікуються за способами подолання захисту, і ненавмисні, зумовлені помилками, закладеними в самій АС при її розробці та експлуатації. Однак здається цілком прийнятною і дуже прагматична точка зору - важливий сам факт порушення безпеки і ті заходи, яких необхідно вживати для запобігання таким порушенням, а їхня навмисність не має значення. З цього погляду можливість успішних дій зловмисника, як і передумови випадкових порушень, визначена властивостями самої АС - її архітектурою, реалізацією та адмініструванням.
Це означає, що в основі кожного факту порушення безпеки АС лежить відповідна вада засобів захисту, що зумовлює успішне здійснення атаки. Аналіз випадків порушення безпеки повинен ґрунтуватися не стільки на дослідженні методів, використовуваних порушником, скільки на виявленні властивостей АС, що дають змогу йому здійснити свої дії. Інакше кажучи, що стало причиною успішного здійснення порушення безпеки в тому чи іншому випадку?
Аналіз і статистика показують, що всі випадки порушення безпеки АС відбуваються з однієї або кількох наступних причин:
1. Вибір моделі безпеки, що не відповідає призначенню чи архітектурі АС. Модель безпеки повинна відповідати вимогам безпеки, запропонованим для АС. Сьогодні спостерігається певна невідповідність між моделями безпеки та архітектурою АС. Фактично формальні моделі безпеки існують тільки у вигляді теорії, а розробники АС змушені піддавати їх певній інтерпретації, щоб пристосувати до конкретної АС. При цьому доводиться йти на певні компроміси, і може виявитися, що модель безпеки в ході реалізації була істотно спотворена. Це означає, що при виборі моделі безпеки не можна не враховувати специфіки архітектури, інакше, незважаючи на всі переваги моделі, гарантованого нею рівня безпеки досягти не вдасться.
Неправильне впровадження моделі безпеки. Незважаючи на цілком адекватний вибір моделі безпеки, її реалізація і застосування до архітектури конкретної ОС через властивості самої моделі чи ОС були проведені невдало. Це означає, що в ході реалізації були втрачені всі теоретичні досягнення, отримані при формальному доведенні безпеки моделі. Звичайно неправильне впровадження моделі безпеки в систему виражається в недостатньому обмеженні доступу до найбільш важливих для безпеки систем служб і об'єктів, а також у введенні різних винятків з передбачених моделлю правил розмежування доступу типу привілейованих процесів, утиліт і т. д.
Відсутність ідентифікації і/або автентифікації суб'єктів і об'єктів. У багатьох сучасних ОС ідентифікація та автентифікація суб'єктів і об'єктів взаємодії знаходяться на дуже примітивному рівні - суб'єкт (ЗЛ) може порівняно легко видати себе за іншого суб'єкта і скористатися його повноваженнями доступу до інформації.
Відсутність контролю цілісності засобів забезпечення безпеки.У багатьох ОС контролю цілісності самих механізмів, що реалізують функції захисту, приділяється слабка увага. Багато систем допускають прозору для служб безпеки підміну компонентів. З погляду безпеки таке становище є неприпустимим.
Помилки, яких припустилися в ході програмної реалізації засобів забезпечення безпеки. Ця група причин порушення безпеки буде існувати доти, доки не з'являться технології програмування, що гарантують виробництво безпомилкових програм. Оскільки, як відомо, програми завжди мають помилки, то, очевидно, такі технології не з'являться взагалі, і помилки такого роду будуть виникати завжди.
Наявність засобів налагодження і тестування в кінцевих продуктах. Багато розробників залишають у комерційних продуктах так звані „люки”, „діри”, налагоджувальні можливості і т. д. Причини, з яких це відбувається, цілком зрозумілі - програмні продукти стають усе складнішими, і налагодити їх у лабораторних умовах просто неможливо. Отже, для визначення причин збоїв і помилок уже в процесі експлуатації розробникам доводиться залишати у своїх продуктах можливості для налагодження і діагностики в ході експлуатації.
Помилки адміністрування. Наявність найсучасніших засобів захисту не гарантує від можливих порушень безпеки, тому що в безпеці будь-якої системи завжди присутній людський фактор – адміністратор, який керує засобами забезпечення безпеки, може зробити помилку, і всі зусилля розробників будуть зведені нанівець. Помилки адміністрування є досить поширеною причиною порушень безпеки, але часто списуються на помилки розробників засобів захисту.
Наведені причини порушення безпеки зручно подати у вигляді схеми
(рис. 3).
Рис. З