Основы теории безопасности компьютерной
ОСНОВЫ ТЕОРИИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ.
Глава 1.
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
1.1. Основные понятия и определения.
Термины и определения установлены государственным стандартом российской федерации ГОСТ Р 50922 – 96«Защита информации основные термины и определения»,дата введения 1.07.97 г.
Область применения
Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.
Стандартизованные термины и их определения
Основные понятия
1. Защищаемая информация - информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
2. Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
3. Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
4. Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
5. Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
6. Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
7. Защита информации от несанкционированного доступа – защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
8. Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
9. Цель защиты информации - желаемый результат защиты информации.
Примечание:
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
10. Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.
Предмет и объект защиты информации
Информация как предмет защиты.
Свойства информации
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
По содержанию, любая информация может быть отнесена к семантической (в переводе с латинского – содержащей смысл) или к информации о признаках материального объекта – признаковой. Признаковая информация определяет наличие семантической информации. Зачастую выгодней скрыть признаки наличия информации чем защищать саму информацию.
Информация не является материальным объектом, информация - это знание, т. е. отражение действительности в сознании человека (причем истинное или ложное отражение - не существенно, важно, что в сознании). В дальнейшем информация может воплощаться в материальные объекты окружающего нас мира. Не являясь материальным объектом, информация неразрывно связана с материальным носителем: это - мозг человека или отчужденные от человека материальные носители, такие, как книга, дискета и другие виды "памяти" (запоминающие устройства) можно утверждать, что ни хранение, ни передача информации без материального носителя невозможны.
Многообразие способов зашиты информации определяется многообразием способов логической организации и физических принципов лежащих в основе распространения и хранения информации.
Защите подлежит не всякая информация, а только та, которая имеет цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: моральные, материальный, военный, политический и т.д. Поскольку в человеческом обществе всегда существуют люди, желающие незаконным путем получить ценную информацию, у ее владельца возникает необходимость в ее защите
Ценность информации является критерием при принятии любого решения о ее защите. Для оценки требуется распределение информации на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по уровню важности:
1) жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
2) важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
3) полезная информация - информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
4) несущественная информация - информация, которая больше не нужна организации.
Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.
Лиц, связанных с обработкой информации можно разделить на следующие группы:
- держатель - организация или лицо - обладатель информации;
- источник - организация или лицо, поставляющие информацию;
- нарушитель - отдельное лицо или организация, стремящиеся получить информацию.
Отношение этих групп к значимости одной и той же информации может быть различно: для одной - важная, для другой - нет. Например: персональная информация, например медицинская, имеет значительно большую ценность для источника (лица, к которому относится информация), чем для держателя ее или нарушителя.
Приведенные категории важности согласуются с существующим принципом деления информации по уровням секретности.
Уровень секретности - это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.
Важно отметить, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести к утечке или потере связанной с ней секретной информации, а такжё к невыполнению автоматизированной системой заданных функций по причине получения ложных данных, которые могут быть не обнаружены пользователем системы.
Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Аналогично сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности. При одинаковой степени важности информации, обрабатываемой в системе обработки данных, информация делится в соответствии с функциональными обязанностями и полномочиями пользователей, устанавливаемыми администрацией организации-владельца АСОД.
В соответствии с описанными принципами деления информацию, обрабатываемую в АСОД, для иллюстрации можно по категориям важности и секретности представить в виде пирамиды, состоящей из нескольких слоев по вертикали. Вершиной пирамиды является наиболее важная информация, а фундаментом - несекретная информация, связанная с обработкой более важной (секретной) информации. Каждый слой данной пирамиды, поделенной на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей (рис.1.1).
У информации в АСОД есть свой жизненный цикл (рис.1.2).
Полученная системой информация оценивается на достоверность и полезность. Часть информации уничтожается, а остальная подготавливается к хранению (систематизируется, преобразуется в удобную для хранения форму, сортируется по массивам хранения).
Объект защиты информации.
Объектом дисциплины ”Методы и средства защиты компьютерной информации”можно считать локальные и глобальные компьютерные системы обработки данных и управления.
Автоматизированные системы обработки информации (АСОД) в настоящее время получили различное воплощение. Примем за основу классификацию, представленную на (рис. 1.3).
Очевидно, что концепция безопасности информации, теория и основные принципы построения ее защиты в них должны быть едиными. Такому подходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах АСОД строятся на базе типовых методов и средств. Поиск подобных методов и средств в обеспечении безопасности информации также является основной задачей при проектировании АСОД.
Случайные угрозы
Информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным воздействиям. В результате таких воздействий на аппаратном уровне происходят физические изменения уровней сигналов в цифровых кодах, несущих информацию.
На программном уровне в результате случайных воздействий может произойти изменение алгоритма обработки информации на непредусмотренный, характер которого тоже может быть различным: в лучшем случае - остановка вычислительного процесса, а в худшем - его модификация. Если средства функционального контроля ее не обнаруживают, последствия модификации алгоритма или данных могут пройти незамеченными или привести также к разрушению информации, а при перепутывании адреса устройства - к утечке информации. При программных ошибках могут подключаться программы ввода-вывода и передачи их на запрещенные устройства.
Причинами случайных воздействий при эксплуатации автоматизированной системы могут быть:
- отказы и сбои аппаратуры;
- помехи на линиях связи от воздействий внешней среды;
- ошибки человека как звена системы;
- схемные и системотехнические ошибки разработчиков;
- структурные, алгоритмические и программные ошибки;
- аварийные ситуации и другие воздействия.
Частота отказов и сбоев аппаратуры увеличивается при выборе и проектировании системы, слабой в отношении надежности функционирования аппаратуры. Помехи на линиях связи зависят от правильности выбора места размещения технических средств АСОД относительно друг друга и по отношению к аппаратуре и агрегатам соседних систем.
При разработке сложных автоматизированных систем увеличивается число схемных, системотехнических, структурных, алгоритмических и программных ошибок. На их количество в процессе проектирования оказывает большое влияние много других факторов: квалификация разработчиков, условия их работы, наличие опыта и др.
К ошибкам человекакак звена системы следует относить ошибки человека как источника информации, человека-оператора, неправильные действия обслуживающего персонала и ошибки человека как звена, принимающего решения.
Ошибки человека могут подразделяться на логические (неправильно принятые решения), сенсорные (неправильное восприятие оператором информации) и оперативные, или моторные (неправильная реализация решения). Интенсивность ошибок человека может колебаться в широких пределах: от 1-2% до 15-40% и выше общего числа операций, выполняемых при решении задачи.
Хотя человек как элемент системы обладает по сравнению с техническими средствами рядом преимуществ (адаптируемостью, обучаемостью, эвристичностью, избирательностью, способностью к работе в конфликтных ситуациях), он в то же время имеет ряд недостатков, основными из которых являются: утомляемость, зависимость психологических параметров от возраста, чувствительность к изменениям окружающей среды, зависимость качества работы от физического состояния, эмоциональность.
Для расчета достоверности выходной информации важны статистические данные по уровню ошибок человека как звена системы. Интенсивность ошибок человека-оператора составляет 2-10-2 - 4-10-3. Вероятность ошибок оператора зависит от общего количества кнопок, количества кнопок в ряду, числа кнопок, которые необходимо нажимать одновременно, и расстояния между краями кнопок.
Немаловажное значение имеют также ошибки человека как звена системы, принимающего решение. Особенно важное значение проблема борьбы с ошибками такого рода приобретает в автоматизированных системах управления административного типа.
К угрозам случайного характераследует также отнести аварийные ситуации, которые могут возникнуть на объекте размещения автоматизированной системы. К аварийным ситуациям относятся:
• отказ функционирования АСОД в целом, например выход из строя электропитания и освещения;
• стихийные бедствия: пожар, наводнение, землетрясение, ураганы, удары молнии, обвалы и т.д.;
• отказ системы жизнеобеспечения на объекте эксплуатации АСОД.
Вероятность этих событий связана прежде всего с правильным выбором места размещения АСОД, включая географическое положение, и организацией противопожарных мероприятий.
Преднамеренные угрозы
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть действия по заданию иностранной разведки, определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т. д.
Проанализируем объект защиты информации на предмет ввода-вывода, хранения и обработки информации и возможностей нарушителя по доступу к информации при отсутствии средств защиты в данной автоматизированной системе.
В качестве объекта защиты выбираем вычислительную систему, которая может быть элементом вычислительной сети или большой АСОД. Для вычислительных систем в этом случае характерны следующие штатные (законные) каналы доступа к информации:
• терминалы пользователей;
• терминал администратора системы;
• терминал оператора функционального контроля;
• средства отображения информации;
• средства документирования информации;
• средства загрузки программного обеспечения в вычислительный комплекс;
• носители информации (ОЗУ, ДЗУ, бумажные носители);
• внешние каналы связи.
Имея в виду, что при отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими каналами доступа, назовем возможные каналы несанкционированного доступа (ВКНСД) в вычислительной системе, через которые возможно получить доступ к аппаратуре, ПО и осуществить хищение, разрушение, модификациюинформации и ознакомление с нею:
• все перечисленные выше штатные средства при их использовании законными пользователями не по назначению и за пределами своих полномочий;
• все перечисленные выше штатные средства при их использовании посторонними лицами;
• технологические пульты управления;
• внутренний монтаж аппаратуры;
• линии связи между аппаратными средствами данной вычислительной системы;
• побочное электромагнитное излучение информации с аппаратуры системы;
• побочные наводки информации по сети электропитания и заземления аппаратуры;
• побочные наводки информации на вспомогательных и посторонних коммуникациях;
• отходы обработки информации в виде бумажных и магнитных носителей, брошенные в мусорную корзину.
Особо следует остановиться на угрозах, которым могут подвергаться каналы и линии связи вычислительной сети.
Предположим, что нарушитель может располагаться в некоторой точке сети, через которую должна проходить вся интересующая его информация. Например, в межсетевых условиях нарушитель может принять вид шлюза в некоторой промежуточной сети, которая обеспечивает единственный путь соединения между двумя процессами, являющимися концами интересующего нарушителя соединения.
Нарушитель может занимать позицию, позволяющую осуществлять пассивный и активный перехват
В случае пассивного перехвата нарушитель только следит за сообщениями, передаваемыми по соединению, без вмешательства в их поток. Наблюдение нарушителя за данными (прикладного уровня) в сообщении позволяет раскрыть содержание сообщений. Нарушитель может также следить за заголовками сообщений, даже если данные не понятны ему, с целью определения места размещения и идентификаторов процессов, участвующих в передаче данных. Нарушитель может определить длины сообщений и частоту их передачи для определения характера передаваемых данных, т. е. провести анализ потока сообщений.
Нарушитель может также заниматься активным перехватом, выполняя множество действий над сообщениями, передаваемыми по соединению. Эти сообщения могут быть выборочно изменены, уничтожены, задержаны, переупорядочены, с дублированы и введены в соединение в более поздний момент времени. Нарушитель может создавать поддельные сообщения и вводить их в соединение. Подобные действия можно определить как изменение потока и содержания сообщений.
Кроме того, нарушитель может сбрасывать все сообщения или задерживать их. Подобные действия можно классифицировать как прерывание передачи сообщений.
Попытки использования записи предыдущих последовательностей сообщений по инициированию соединений классифицируются как инициирование ложного соединения.
Несмотря на то, что изучение каналов несанкционированного доступа продолжается до сих пор, уже давно были сформулированы пять основных категорий угроз безопасности данных в вычислительных сетях:
1) раскрытие содержания передаваемых сообщений;
2) анализ трафика, позволяющий определить принадлежность отправителя и получателя данных к одной из групп пользователей сети, связанных общей задачей;
3) изменение потока сообщений, что может привести к нарушению режима работы какого-либо объекта, управляемого из удаленной ЭВМ;
4) неправомерный отказ в предоставлении услуг(отказ от обсуживания);
5) несанкционированное установление соединения.
Формы атак на информацию.
Атака на АСОД –это реализация угрозы противником, которая заключается в поиске и использовании той или иной уязвимости.
Наибольший ущерб компьютерной информации можно нанести путем физического воздействия на элементы АСОД. Компьютер можно украсть или нанести механические повреждения приводящие к выходу его из строя. Предотвращение этих угроз осуществляется как правило путем организационной и инженерно технической защиты. Наиболее трудной задачей является предотвращение воздействия непосредственно на информацию обрабатываемую в АСОД.
Нарушитель может применять следующие стратегии:
1) получить несанкционированный доступ к секретной информации;
2) выдать себя за другого пользователя, чтобы снять с себя ответственность или же использовать его полномочия с целью формирования ложной информации, изменения законной информации, применения ложного удостоверения личности, санкционирования ложных обменов информацией или же их подтверждения;
3) отказаться от факта формирования переданной информации;
4) утверждать о том, что информация получена от некоторого пользователя, хотя на самом деле она сформирована самим же нарушителем;
5) утверждать то, что получателю в определенный момент времени была послана информация, которая на самом деле не посылалась (или посылалась в другой момент времени);
6) отказаться от факта получения информации, которая на самом деле была получена, или утверждать о другом времени ее получения;
7) незаконно расширить свои полномочия по доступу к информации и ее обработке;
8) незаконно изменить полномочия других пользователей (расширить или ограничить, вывести или ввести других лиц);
9) скрыть факт наличия некоторой информации в другой информации (скрытая передача одной в содержании другой информации);
10) подключиться к линии связи между другими пользователями в качестве активного ретранслятора;
11) изучить, кто, когда и к какой информации получает доступ (даже если сама информация остается недоступной);
12) заявить о сомнительности протокола обеспечения информацией из-за раскрытия некоторой информации, которая согласно условиям протокола должна оставаться секретной;
13) модифицировать программное обеспечение путем исключения или добавления новых функций;
14) преднамеренно изменить протокол обмена информацией с целью его нарушения или подрыва доверия к нему;
15) помешать обмену сообщениями между другими пользователями путем введения помех с целью нарушения аутентификации сообщений.
Анализ возможных стратегий нарушителя в вычислительных сетях говорит о том, насколько важно знать, кого считать нарушителем. При этом в качестве нарушителя рассматривается не только постороннее лицо, но и законный пользователь. Эти задачи следует рассматривать отдельно. С этих позиций приведенные выше пять видов угроз характерны для поведения постороннего нарушителя. Тогда из числа последних угроз можно отнести к пяти упомянутым выше видам следующие угрозы: 1, 10, 11, 15.
Анализ остальных угроз свидетельствует о том, что задачу защиты от них можно условно разделить на задачи двух уровней: пользователей и элементов сети, с которыми работают пользователи сети. К уровню элемента сети можно отнести угрозы под номерами 2, 7, 8, 13 и 14. Уровень взаимоотношений пользователей называется уровнем доверия одного пользователя другому. Все попытки взлома защиты компьютерных систем можно разделить на три группы:
· атаки на уровне систем управления базами данных
· атаки на уровне операционной системы;
· атаки на уровне сетевого программного обеспечения;
Риски атак на информацию.
Последствия, к которым приводит реализация угроз могут быть самыми различными: от невинных недоразумений до потери сотен тысяч рублей и жизней.
Понятие рискавведено для определения вероятного ущерба который будет нанесен организации в случае реализации какой либо или совокупности угроз. Риски являются как бы обратной связью между вероятными угрозами и затратами на организацию всего комплекса средств защиты информации. Основные показатели эффективности защиты рассчитываются исходя из минимизации потерь, а значит компенсации рисков.
Риск-это вероятный ущерб который может быть нанесен организации при реализации угроз. Ущерб это не только вероятные экономические потери, но и моральные, психологические, физические и политические потери, которые по отдельности и в определенной комбинации в определенных условиях могут привести к катастрофическим последствиям особенно в военной области.
Предупреждение последствий и есть основная цель создания системы безопасности информации.
Для построения сбалансированной системы защиты информации необходимо проводить анализ рисков в области информационной безопасности.
Цель процесса оценивания рисковсостоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления системой защиты.
Еще на этапе проектировании АСОД необходимо провести оценку рисков. Эта оценка должна предусматривать определение всей совокупности факторов неопределенности (рисков), возникающих как на этапе проектирования, так и в процессе эксплуатации АСОД, чтобы получить необходимые основания для принятия решения о целесообразности создания системы защиты информации, а также разработку способов управления рисками.
По видам риски можно классифицировать согласно угрозам:
1. риски от угроз случайного характера;
2. риски от преднамеренных угроз
Основной целью является не просто определение наличия и степени риска, но и выработка мер по его снижению. Такой подход позволяет направить дополнительные ресурсы на предотвращение риска или снижение его до приемлемого уровня.
Оценка риска и управление им предполагают проведение комплекса мероприятий, направленных на определение, анализ, устранение риска (снижение до приемлемого уровня)
Основнымиэтапами анализа и оценки рисков являются:
Первый — выявление внутренних и внешних факторов, приводящих к возникновению рисков.
Второй — оценка влияния факторов и ущерба от их проявления, определение ущерба для каждого из возможных видов риска.
Третий — количественная оценка рисков для каждого из возможных вариантов
Четвертый — определение допустимых уровней риска.
Пятый — принятие решения о целесообразности реализации системы защиты информации АСОД (варианта) либо о её корректировке.
Показателем (мерой) рискаможет быть математическое ожидание ущерба от наступления неблагоприятного события (НСД), выраженное в натуральном (например, степень снижения уровня выполнения задач системой, потери личного состава и т.п.) или стоимостном виде (потери вооружения и технических средств).
Математическое ожидание ущерба Мс, связанного с угрозами случайного характера, может быть определено по формуле
MС [W] = (1.3.1)
где i —вариант угрозы;
Рi— вероятность реализации i-го варианта угрозы;
Wi — величина ущерба при реализации i-го варианта угрозы.
Математическое ожидание ущерба, обусловленного преднамеренными угрозами определяется аналогично.
MП [W]= (1.3.2)
где i —вариант угрозы;
Рi— вероятность реализации i-го варианта угрозы;
Wi — величина ущерба при реализации i-го варианта угрозы
Количественные значения величин, входящих в выражения (1.3.1) и (1.3.2), определяются с помощью методов экспертных или экономико-математических оценок, а также математического моделирования.
При неудовлетворительном значении показателей риска следует искать способы его снижения до требуемых значений. Данный подход позволяет формировать вариант развития системы защиты информации с максимально достижимым уровнем эффективности при существующих финансовых ограничениях.
Снижение степени рисков должно обеспечиваться за счет активного управления ими.
ОСНОВЫ ТЕОРИИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ.
Глава 1.