Лекція 12 на тему Захист інформації від несанкціонованого доступу, Поняття загрози інформації з курсу Захист та безпека інформаційних ресурсів, НУДПСУ
« НазадЛекція №12. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Поняття загрози інформаціїПлан
4.3. Поняття загрози інформаціїЗагроза інформації є основним поняттям інформаційної безпеки. З усієї множини способів класифікації загроз найбільш придатної для аналізу є класифікація загроз за результатами їх впливу на інформацію. Як відомо [ ], основними властивостями інформації, що визначають її цінність, є конфіденційність, цілісність, доступність і спостереженість. Отже, з цього погляду в АС розрізняються наступні класи загроз інформації [ ]:
У [ ] зафіксовано, що для забезпечення кожного з відзначених основних властивостей захищеної інформації установлено певний набір послуг. Це дозволяє ввести наступний рівень загроз, трактуючи реалізацію яких-небудь послуг у неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як деякі загрози. Аналіз нормативних документів [ ] показує, що цей рівень може включати наступні загрози:
а) загрози при керуванні потоками інформації (ПКП); б) загрози існування безконтрольних потоків інформації (наявність схованих каналів) (ПКБ); в) порушення конфіденційності при обміні – загрози при експорті/імпорті інформації через незахищене середовище (ПКО);
а) загрози при керуванні потоками інформації (ПЛЦП, ПФЦП); б) неможливість відкату – повернення захищеного об'єкта у вихідний стан (ПЛЦВ, ПФЦВ); в) порушення цілісності при обміні - загрози при експорті/імпорті інформації через незахищене середовище (ПЛЦО, ПФЦО);
а) порушення при керуванні послугами і ресурсами користувача (ПДК); б) порушення стійкості до відмовлень (ПДС); в) порушення при гарячій заміні (ПДГ); г) порушення при відновленні після збоїв (ПДВ);
а) порушення при реєстрації небезпечних дій (ПСР); б) порушення при ідентифікації та автентифікації (ПСІ);
Поставимо тепер питання про практичну реалізацію цих загроз, тобто питання: які причини їхнього виникнення. Як неважко помітити, дані в такий спосіб визначення загроз враховують лише деякі абстрактні небажані впливи на інформацію, що захищається, і фактично не містять ніяких конструктивних аспектів, що істотно утрудняє їх практичне використання. З іншого боку, у [ ] загрози неявно визначаються в такий спосіб «Загрози оброблюваної в АС інформації залежать від характеристик КС, фізичного середовища, персоналу й оброблюваної інформації. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т.п.) чи відмовлення елементів обчислювальної системи, або суб'єктивну, наприклад, помилки чи персоналу дії ЗЛ. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними». Отже, приходимо до висновку, що на будь-якому об'єкті будь-якої АС повинні здійснюватися деякі обставини, події чи фактори, що будуть перешкоджати реалізації конкретних захисних механізмів і заходів, створюючи тим самим відзначені вище загрози. Таким чином, виявляється, що загрози виникають внаслідок здійснення цих факторів, тобто є їх результатом. Надалі ці фактори будемо називати дестабілізуючими (ДФ) [ ]. Як показує подальший аналіз, уведення поняття ДФ цілком логічно виправдане і дозволяє одержати дуже просту, зрозумілу і наочну схему для створення моделі загроз. 4.4. Моделі загроз та порушникаДФ – це такі явища чи події, що можуть з'являтися на будь-якому етапі життєвого циклу (ЖЦ) АС і наслідком яких можуть бути загрози інформації. У продовження ЖЦ АС може виникати багато ДФ і всілякої природи. Тому, аналогічно [ ], на основі аналізу архітектури, технології й умов функціонування АС і всіх можливих у принципі ДФ зручно ввести поняття типу ДФ, що дозволяє класифікувати ДФ за способами їхньої реалізації. Вважаючи, що ця класифікація ДФ є вичерпної, виділимо наступні типи ДФ:
Звідси видно, що ДФ можуть мати об'єктивну природу (наприклад, відмовлення, збої і т.д.) чи суб'єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними. Помітимо, щоправда, характеристика випадковості чи навмисності може бути відносної. Наприклад, у [4] відзначається, що іноді свідомо додані функції в програмне забезпечення можуть заздалегідь визначати можливість ненавмисних дій (приміром, при видаленому налагодженні чи настроюванні систем). Подальший аналіз ДФ показує, що важливо класифікувати ДФ по джерелах їхнього виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються наступні джерела ДФ:
Спільний розгляд типів ДФ і їхніх джерел показує, що формально може бути 40 різних сполучень «тип-джерело» ДФ. Однак фактично їх може бути менше, оскільки, звичайно, деякі з таких сполучень не мають практичного змісту. Дійсно, наприклад, на якісну недостатність компонентів АС для захисту інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести до таблиці, кожна клітка якої відповідає ДФ визначеного типу з визначеного джерела. Таблиця 4.1.
У кожній клітині таблиці 4.1. проставлені номери рядка і стовпця. Відсутність же чисел означає, що таке сполучення принципово не може реалізуватися (отже, усього можливих сполучень – 32). Варто особливо звернути увагу на те, що в дійсності кожна клітка містить не один ДФ деякого типу з деякого джерела, а цілу їх множину. Помітимо також, що перший стовпець і сьомий рядок таблиці 3.1. містять множину ДФ, що пов'язані з діяльністю людини. Опис дій (помилкових чи злочинних) людини є змістом моделі порушника. Цей тип ДФ принципово відрізняється від всіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються за участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ. Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоча б один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС. Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинах таблиці 3.1.) необхідно використовувати додаткові їхні особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними. Розглянемо тепер модель порушника. Згідно з [ ] порушник (user violator) – користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, те цілком зрозуміло, що створення його формалізованої моделі дуже складна задача. Тому, звичайно, мова може йти тільки про неформальну або описову модель порушника. Отже, нижче подається опис можливого для даного класу ІСБ порушника. Порушник – це особа, яка може отримати доступ до роботи з включеними в склад АС засобами. Вона може помилково, унаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки. Зрозуміло, що в кожному конкретному випадку для кожного об’єкта визначаються імовірні загрози і моделі потенціальних порушників – «провідників» цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки необхідно для кожного об’єкта вибрати з декілька можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документу [ ] модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо. При розробці моделі порушника визначаються:
Припускається, що у своєму рівні порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему. Звичайно розглядаються 5 типів порушників. Спочатку їх поділяють на дві групи: зовнішні і внутрішні порушники. Зовнішні порушники включають: * добре озброєну й оснащену силову групу, що діє зовні швидко і напролом; * поодинокий порушник, що не має допуску на об'єкт і намагається діяти потайки й обережно, так як він усвідомлює, що сили реагування мають перед ним переваги. Серед потенціальних внутрішніх порушників можна відзначити: * допоміжний персонал об'єкта, що допущений на об'єкт, але не допущений до житєво важливого центру (ЖВЦ) АС; * основний персонал, що допущений до ЖВЦ (найбільш небезпечний тип порушників); * співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і скоєння акції. Має також розглядатися можливість зговору між порушникам різних типів, що ще більш ускладнює задачу формалізації моделей порушника. Але слід відзначити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС. Серед внутрішніх порушників можна виділити наступні категорії персоналу:
Можна виділити також три основних мотиви порушень: безвідповідальність, самоствердження та з корисною метою. При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У більшості випадків це слідство некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру “користувач – проти системи” заради самоствердження або у власних очах, або в очах колег. Порушення безпеки АС може бути викликано корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо. Усіх порушників можна класифікувати за рівнем знань про АС:
За рівнем можливостей (методам та засобам, що використовуються): * застосовує чисто агентурні методи отримання відомостей; * застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи); * використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути тайком пронесені крізь пости охорони; * застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм). За часом дії: * у процесі функціонування (під час роботи компонент системи); * у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т.д.); * як у процесі функціонування, так і в період неактивності компонент системи. За місцем дії: * без доступу на контрольовану територію організації; * з контрольованої території без доступу до будівель та споруджень; * у середині приміщень, але без доступу до технічних засобів; * з робочих місць кінцевих користувачів (операторів); * з доступом у зону даних (баз даних, архівів і т.д.); * з доступом у зону управління засобами забезпечення безпеки. Враховуються також наступні обмеження і припущення про характер дій можливих порушників:
Визначення конкретних значень характеристик можливих порушників у значній мірі є суб'єктивним. Модель порушника, що збудована з урахуванням особливостей конкретної предметної області і технології обробки інформації, може бути подана перечисленням декількох варіантів його образу. Кожний вид порушника має бути характеризований значеннями характеристик, приведених вище. Всі значення характеристик мають бути оцінені (наприклад за 5-ти бальною системою) і зведені до відповідних форм. Однак при формуванні моделі порушника на її виході обов'язково повинні бути визначена: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення. Слід звернути увагу на те, що всі злочини, зокрема і комп’ютрені, здійснюються людиною. Користувачі АС є її складовою частиною, необхідним елементом. З іншого ж боку вони є основною причиною і рухаючою силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки. Контрольні запитання
З повагою ІЦ “KURSOVIKS”! |