В. 5. Направления формализации процессов защиты информации, матричные и многоуровневые модели доступа
В. 4. Виды угроз ИПО.
Угрозы безопасности ИПО, от которых необходимо обеспечить защиту объектов, включают утечку информации, составляющую тайну вследствие использования нарушителем имеющихся уязвимостей (каналов утечки) и нежелательные воздействия на информацию и/или ее носитель исходящие из ИУ.
Возникновение и реализация угроз безопасности информации происходят при:
· возникновении условий, порождающих источники угроз безопасности информации;
· появлении потенциальных источников угроз;
· появлении реальных источников угроз (трансформация потенциальных источников угроз в реальные угрозы);
· возникновении факторов, способствующих реализации угрозы утечки информации, несанкционированных и/или непреднамеренных воздействий на информацию;
· реализации угрозы, т. е. наступлении события, заключающегося в утечке информации, несанкционированном и/или непреднамеренном воздействии на информацию;
· нанесении ущерба объекту защиты и/или другим объектам вследствие утечки информации, несанкционированных и/или непреднамеренных воздействий на информацию.
Таким образом, угроза реализуется в виде цепочки или сети условий и факторов (частных угроз) и их последствий. Возникшие последствия реализации частной угрозы, в свою очередь, также могут становиться угрозой, содержащей условия и факторы для возникновения более отдаленных негативных последствий.
Утечка информации может происходить по различным каналам в результате ее разглашения, добывания информации агентурной и технической разведками, несанкционированного доступа к информации.
Нежелательные воздействия на информацию и/или ее носитель подразделяются на воздействия несанкционированные (преднамеренные) и непреднамеренные, которые могут приводить к уничтожению, искажению, блокированию, подделке информации, хищению или утрате ее носителя. Защите от этих воздействий подлежит как информация, составляющая тайну, так и открытая информация. Угрозы утечки информации могут реализовываться субъектами, имеющими право на доступ к информации и не обладающими таким правом.
Под каналом утечки данных в рассматриваемом случае будем понимать потенциальную возможность такого доступа к данным, которая обусловлена архитектурой к технологической схемой функционирования АСУ, а также существующей организацией работы с данными.
Все каналы утечки данных в АСУ можно разделить на косвенные и прямые.
Косвенными называется такие каналы утечки данных, использование которых для НСД не требует непосредственного доступа к данным и техническим устройствам АСУ. Косвенные каналы утечки данных возникают вследствие:
- недостаточной звукоизоляции и светозащищенности помещений;
- недостаточной защищенности технических средств АСУ от электромагнитных излучений;
- просчетов в организации применения морально-этических, законодательных и организационных методов и средств защиты информации.
Прямые каналы утечки данных требуют непосредственного доступа к данным и техническим средствам АСУ и, в свою очередь, подразделяются на каналы утечки с модификацией данных и без модификации данных.
Наличие прямых каналов утечки данных обусловлено недостаточной защищенностью технических и программных средств АСУ, недостатками ОС, СУБД, языков программирования и другого математического обеспечения, а также просчетами в организации процесса работы с данными, недостатками законодательства и др.
Косвенные каналы утечки данных могут быть использованы нарушителем, если имеют место следующие стратегии:
- применение подслушивающих устройств;
- применение дистанционного фотографирования;
- перехват электромагнитных излучений;
- хищение носителей данных;
- хищение производственных отходов (перфолент, перфокарт, распечаток программ и т.д.).
Прямые каналы утечки данных позволяют нарушителю несанкционированно подключиться к аппаратуре и выполнить действия по анализу и модификации хранимых, обрабатываемых и передаваемых данных. Для воздействия на данные, а также в целях организации нормальной работы сети нарушитель может осуществить следующие действия:
- получить доступ к терминалу;
- работать за пользователя АСУ;
- подменить пользователя;
- подобрать пароль.
Нежелательные воздействия на АСУ можно подразделить на преднамеренные (несанкционированные) и непреднамеренные. Анализ опыта проектирования, изготовления и эксплуатации АСУ показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АСУ. Причинами непреднамеренных воздействий при эксплуатации АСУ могут быть:
• аварийные ситуации из-за стихийных бедствий и отключений электропитания;
• отказы и сбои аппаратуры;
• ошибки в программном обеспечении;
• ошибки в работе обслуживающего персонала и пользователей;
• помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия связаны с целенаправленными действиями нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д.Действия нарушителя могут быть обусловлены следующими мотивами:
- недовольством служащего своей карьерой;
- сугубо материальным интересом;
- любопытством;
- конкурентной борьбой;
- шпионажем;
- стремлением самоутвердиться любой ценой и т.п.
По цели воздействия различают три основных типа угроз безопасности АСУ:
- угрозы нарушения конфиденциальности информации;
- угрозы нарушения целостности информации;
- угрозы нарушения работоспособности системы (отказы в обслуживании).
Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации.
- хищение (копирование) информации и средств её обработки;
- утрата (неумышленная потеря, утечка) информации.
При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в компьютерной системе |ли передаваемой от одной системы к другой.
Угрозы нарушения целостности информации, хранящейся компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению.
- модификация (искажение) информации;
- отрицание подлинности информации;
- навязывание ложной информации.
Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (например, таким изменением является периодическая коррекция некоторой базы данных).
Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АСУ, либо блокируют доступ к некоторым ее ресурсам.
- блокирование информации;
- уничтожение информации и средств её обработки.
Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным.
Нарушения конфиденциальности и целостности информации, а также доступности и целостности определенных компонентов и ресурсов АСУ могут быть вызваны различными опасными воздействиями на АСУ.
По месту возникновения угрозы можно охарактеризовать следующим образом: рис3.2.
Рис.3.2
Формы атак
В общем случае программное обеспечение любой информационной системы состоит из трех основных компонентов: операционной системы, сетевого программного обеспечения (СПО) и системы управления базами данных (СУБД). Поэтому все попытки взлома защиты ИС на уровне программного обеспечения можно разделить на три группы:
1. атаки на уровне систем управления базами данных;
2. атаки на уровне операционной системы:
- кража пароля;
- сканирование жестких дисков компьютера;
- сборка «мусора»;
- превышение полномочий;
- отказ в обслуживании;
3. атаки на уровне сетевого программного обеспечения:
- прослушивание сегмента локальной;
- перехват сообщений на;
- создание ложного;
- навязывание;
- отказ в обслуживании.
В. 5. Направления формализации процессов защиты информации, матричные и многоуровневые модели доступа
Под политикой безопасности (ПБ) понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы.
При разработке и проведении политики безопасности
в жизнь целесообразно соблюдать следующие принципы:
1) невозможность миновать защитные средства;
2) усиление самого слабого звена;
3) недопустимость перехода в открытое состояние;
4) минимизация привилегий;
5) разделение обязанностей;
6) многоуровневая защита;
7) разнообразие защитных средств;
8) простота и управляемость информационной системы;
9) обеспечение всеобщей поддержки мер безопасности.
Избирательное управление доступом – метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит.
Мандатное управление доступом – концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности.
Основой избирательной политики безопасности является избирательное управление доступом, которое подразумевает, что:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).
Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Такая модель получила название матричной.
Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.
Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что:
- все субъекты и объекты системы должны быть однозначно идентифицированы;
- каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
Матричные и многоуровневые модели доступа
Метод управления доступом опирается на выбранную модель доступа. В настоящее время наибольшее распространение получили матричные и многоуровневые модели доступа. Указанным моделям соответствуют дискретное (избирательное) и мандатное управление доступом.
Рассмотрим так называемую матричную модель защиты (или модель дискреционного управления доступом), получившую на сегодняшний день широкое распространение. В её основе лежит модель Харрисона-Руззо-Ульмана.При использовании матричной модели доступа условия доступа каждого субъекта 's' к каждому объекту 'о' определяются содержимым элемента матрицы доступа или матрицы установления полномочий М.
Каждый элемент Mij матрицы доступа М определяет права доступа i-гo субъекта к j-му объекту (читать, писать, выполнять, нельзя использовать и т.п.). Пример матрицы доступа приведен в Таблице 1.
Элементы в матрице доступа, приведенные в Таблице 1, имеют следующие значения: г- чтение, w- запись, х- выполнение.
Таблица 1
Субъекты | Объекты | ||
О1 | On | ||
S1 | r | w | w |
S2 | rw | rw | - |
… | |||
Sm | х | xrw | xw |
Ресурсам многоуровневой модели приписываются степени секретности, а субъектам - степени допуска. Наличие или отсутствие разрешения доступа субъекта к ресурсу является функцией степени допуска данного субъекта и степени секретности данного ресурса.
Разделение по уровням секретности опирается на теорию алгебраических решеток. Данные могут передаваться между ресурсами, если удовлетворяются следующие аксиомы (здесь буквами а, b и c будем обозначать идентификаторы ресурсов, а буквами х, у, z - их уровни секретности):
1) данные могут передаваться ресурсом самому себе;
2) данные могут передаваться от ресурса а к ресурсу с,, если они могут передаваться от ресурса а к ресурсу b, а от ресурса b к ресурсу с , т.е. если x≤yиy≤z, то x≤z;
3) если справедливы неравенства, x≤yиy≤x то х=у.