Угрозы и каналы утечки информации в компьютерных системах.

 

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба. Поскольку информационные системы предназначены для обработки информации, то в дальнейшем изло­жении угрозой информационной безопасности АС будем называть возможность информационного воздействия, приводящего к нарушению функциональной стабильности АС, т. е. к изменению целей ее функционирования или снижению эффективности обработки информации.

Компьютерная система сможет удовлетворить информационные потребности пользователей, если помимо прочих необходимых качеств системы будут обеспечиваться некоторые свойства информационной безопасности. Требования к свойствам информационной безопасности могут быть объективной необходимостью, вытекающей из общих законов развития, противоборства и взаимодействия кибернетических систем, или могут быть субъективным мнением владельца информации, который является субъектом информационных отношений.

Выделяют несколько свойств информации или системы, обеспечивающей эти свойства, которые непосредственно относятся к информационной безопасности.

Конфиденциальность информации – это характеристика (свойство) информации, которая указывает на необходимость сохранения ее семантики (смысла) в тайне от всех или некоторых субъектов информационных отношений для обеспечения секретности сведений.

Целостность информации – это характеристика (свойство) информации, которая указывает на необходимость сохранения физической, синтаксической и семантической неизменности информации по отношению к некоторому фиксированно­му состоянию для обеспечения достоверности сведений, необходимых системе при функционировании.

В данном случае рассматривается только один из аспектов достоверности - отсутствие случайных или преднамеренных искажений информации, но не рассматриваются другие, например, адекватность (полнота и точность) информации.

Целостность информации (Information integrity) - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [РД ГТК].

Доступность информации - свойство информационной системы (среды, средств и технологий обработки), обеспечивать субъектам своевременный санкционированный доступ к информации.

Таким образом, в соответствии с существующими подходами, принято считать, что информационная безопасность АС обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной ее модификации) и доступности (возможности за разумное время получить требуемую информацию). Соответственно, для компьютерных систем рассматривают три основных вида угроз.

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней.

В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда полу­чен доступ к некоторой конфиденциальной (секретной) информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Ино­гда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка информации» и говорят о каналах «утечки информации» (например, ГОСТ Р 50922-96).

Угроза нарушения целостности включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую.

Когда злоумышленник преднамеренно изменяет информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка про­граммного или аппаратного обеспечения. Санкционированными изме­нениями являются те, которые сделаны уполномоченными лицами (субъектами) с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).

Угроза доступности (отказа служб) возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется санкционированный доступ к некоторому ресурсу вычисли­тельной системы.

Реально блокирование может быть постоянным, тогда запрашиваемый ресурс никогда не будет получен, или оно может вызы­вать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

Данные виды угроз можно считать первичными, так как если рассматривать понятие угрозы как некоторой потенци­альной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведет к непосред­ственному воздействию на защищаемую информацию. В то же время не­посредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для нее «прозрачна», т. е. не существует никаких систем защиты или дру­гих препятствий. Описанные выше угрозы были сформулированы в 60-х годах для открытых UNIX-подобных систем, где не предпринимались меры по защите информации.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Поэто­му, чтобы реализовать угрозу, например, конфиденциальности, атакующая сторона должна преодолеть эту систему. Не существует абсолют­но стойкой системы защиты, вопрос лишь во времени и средствах, тре­бующихся на ее преодоление.

Исходя из данных условий, примем сле­дующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определен хотя бы один дефект (уязвимость) системы, способный привести к реализации угрозы информационной безопасности. Поскольку преодоление защиты также представляет собой угрозу для защищенных систем, будем рассматривать ее четвертый вид - угрозу рас­крытия параметров информационной системы, в том числе параметров системы защиты информации.

С точки зрения практики любой атаке на систему предшествует этап разведки, в ходе которого определяются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение цели атаки, а также выбор оптимальных средств и методов ее проведения.

Угрозу раскрытия параметров можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо ущерб обрабатывае­мой функциональной информации, но дают возможность реализоваться первичным угрозам через нарушение конфиденциальности информации о параметрах системы. Введение данного ви­да угроз позволяет описывать с научно-методологической точки зрения отличия между защищенными и открытыми информационными системами. Для послед­них угроза раскрытия параметров системы считается реализованной.

Чтобы научно обосновать объективно существующие угрозы информационной безопасности в кибернетических системах и выявить их особенности для компьютерных систем, необходимо провести анализ информационного противодействия систем в конфликтной среде.

Целью информационного воздействия является нарушение функциональной стабильности атакуемой системы и вывод ее за пределы допустимого безопасного для нее состояния. Достижение этой цели может осуществляться двумя стратегиями нападения, которые определяются возможностями противника по информационному воздействию и способностями атакуемой системы к защите от этих воздействий. Рассмотрим две модели информационного противодействия систем в конфликтной среде.

Первая модель описывает ситуацию, когда у противоборствующих систем отсутствуют сведения о внутренних информационных параметрах противника (информационной архитектуре и системе информационной безопасности), но известны параметры информационных входов и выходов.

Рассмотрим информационную сис­тему X.

Под информационной системой будем понимать систему, способную: получать входные данные; обрабатывать данные; изменять собственное внутреннее состояние; выдавать результаты либо изменять свое внешнее состояние.

Для функционирования система X использует модель внешней среды M_S(X) и собственную модель M_X. Одним из параметров модели является объем информационных ресурсов. Под информационными ресурсами понимаются фактиче­ские сведения, хранимые информационной системой и отражающие восприятие системой себя и окружающе­го мира. Говоря другими словами, информационный ресурс - это база знаний информационной системы, которая содержит информационные модели абстрактных и реальных объектов, составляющих внешнюю среду и саму систему.

Рассматриваемой системе X противодействует аналогичная система Y (далее злоумышленник), также функционирующая на основе некоторой собственной модели M_Y и модели внешней среды M_S(Y). Между системами осуществляется информационное противоборство. Отличие информационного противоборства от остальных его видов заключается в том, что имеется только информационное воздействие противоборствующих сторон и только на информационные ресурсы. При информационном противоборстве системы помимо моделей внешней среды и собственных моделей строят модели злоумышленника: M_Y(X) и M_X(Y) для систем X и Y соответственно.

Все получаемые и выдаваемые сведения передаются по информационному каналу. Информационный канал является еще одной составляющей модели информационного противоборства двух систем и описывает совокупность средств и сред, осуществляющих передачу информационных ресурсов. Схема противодействия двух систем с использованием информационного канала показана на рис. 1.2.1.

Исходя из симметричности модели анализ возможных угроз информационной безопасности можно вести относительно любой из систем.

Пусть атакуемой будет система X, атакующей система Y.

В предложенной модели противник (система Y) может воздействовать на атакуемую систему (X) только через ее штатные информационные входы и выходы. При этом внутренняя информационная архитектура (параметры) системы X злоумышленнику неизвестна. В этом случае говорят, что внутренняя структура системы X инкапсулирована и является для злоумышленника «черным ящиком».

 

 

 

Рис. 1.2.1 Модель информационного противодействия систем через информационный канал

 

Целью информационного воздействия в этой ситуации могут являться только модели противника М_Y(X) и внешней среды М_S(X), получаемые системой X на входе, а также та часть собственной модели атакуемой системы М_X, которая передается во внешнюю среду при взаимодействия с другими системами (внешней средой). Таким образом, злоумышленник может воздействовать на данные получаемые системой X, дезинформируя ее о состоянии внешней среды, других взаимодействующих систем и о собственном состоянии, а также на алгоритмы обработки информации, если они будут передаваться по каналу связи. В идеальном случае вход и выход системы может полностью контролироваться злоумышленником, и если алгоритмическая сложность («интеллектуальность») противника выше, чем у атакуемой системы, то подконтрольная система «обречена» на информационное поражение. Такая же участь ждет любую открытую кибернетическую систему, бесконтрольно принимающую и выдающую информацию. Примеров подобных искусственных систем достаточно в любой сфере деятельности человека, например, открытые компьютерные сети без подсистемы защиты информации. Однако, природа не допускает существования открытых систем, отсеивая их в процессе эволюции из-за явной нежизнеспособности, поскольку «Эволюция жизни – это эволюция систем защиты, и не более того!» [Расторгуев С.П. «Информационная война»].

В рассмотренной модели угрозе нарушения конфиденциальности информации соответствует возможность злоумышленника (системы Y) добавлять информационные ресурсы атакуемой системы к собственным информационным ресурсам (т.е. осуществлять съем информации с выхода системы Х), используя для этого прием по информационному каналу. Угрозе нарушения целостности информации соответствует возможность злоумышленника внедрять собственные информационные ресурсы в информационные ресурсы атакуемой системы, используя для этого передачу по информационному каналу (т.е. искажать, модифицировать или подменять входные данные). Угрозе доступности соответствует возможность злоумышленника разорвать существующий информационный канал (т.е. блокировать информационные входы и выходы системы). Угрозе раскрытия параметров системы соответствует возможность злоумышленника получать данные по информационному каналу о внутренней организации информационной структуры атакуемой системы, которые позволят организовать дополнительный несанкционированный и неконтролируемый системой защиты информационный канал с целью реализации первичных угроз.

Рассмотренная модель связана с собственно информационной безопасностью кибернетических систем при их взаимодействии с внешней средой и моделирует возможности информационного воздействия злоумышленника на функциональные алгоритмы и данные для реализации угроз конфиденциальности, целостности, доступности информации и раскрытия параметров системы.

Следовательно, целью обеспечения информационной безопасности является контроль информационного канала, т.е. проверка входной информации на отсутствие явных или скрытых дестабилизирующих воздействий на ресурсы системы и контроль выходных данных на отсутствие сведений об информационных параметрах системы. Отсюда формулируется определение информационной безопасности.

Информационная безопасность (ИБ) – это способность системы обеспечить семантический контроль входной информации на отсутствие дестабилизирующих или недекларированных функций и выходной информации на отсутствие сведений об информационных параметрах системы.

Вторая модель описывает ситуацию, когда злоумышленник уже получил информацию о внутренних информационных параметрах атакуемой системы и может воздействовать на исполнительную подсистему обработки данных по штатным или несанкционированным информационным каналам. Эта стратегия информационного воздействия обусловлена невыполнимостью во многих практических реализациях полной защиты системы от раскрытия внутренней информационной архитектуры (параметров) при взаимодействии по санкционированным или несанкционированным информационным каналам. Атакуемая система перестает быть «черным ящиком» для противника и появляются новые, иногда более эффективные возможности по ее дестабилизации. Направления реализации угроз безопасности информации при наличии у противника сведений о структуре исполнительной подсистемы обработки информации представлены на рис. 1.2.2.

 

 

 

Рис. 1.2.2 Направления реализации угроз безопасности информации при наличии у противника сведений о параметрах системы

 

При раскрытии параметров у злоумышленника появляются возможности, получать оперативную информацию о состоянии атакуемой системы и эффективно прогнозировать свое противодействие, уничтожать или блокировать информацию, дестабилизируя работу системы, подменять или модифицировать информацию с целью получения полного или частичного информационного контроля над атакуемой системой.

Вторая модель описывает ситуацию, связанную с безопасностью информационных процессов. Задача обеспечения безопасности информации является частью проблемы информационной безопасности и решает вопросы предоставления безопасных информационных услуг по обработке данных.

Внутренняя информационная архитектура атакуемой системы может быть раскрыта через имеющийся информационный канал, если семантический контроль входной и выходной информации отсутствует или неэффективен, а также путем образования несанкционированных информационных каналов на физическом, синтаксическом и/или семантическом уровнях взаимодействия.

Сформулируем определение безопасности информации.

Безопасность информации (БИ) – это способность системы обеспечить защищенность своих информационных объектов от несанкционированного взаимодействия между собой и с объектами внешней среды при осуществлении обработки информации.

Безопасность информации (данных) - состояние защищенности информации (данных), обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [РД ГТК].

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п. [«Положение о государственном лицензировании деятельности в области защиты информации»].

Решение задачи защиты информационных процессов может быть обеспечено реализацией защиты на физическом, синтаксическом и семантическом уровнях взаимодействия. Причем, в ситуации возможного частичного контроля противника над системой, т. е. над частью информационных объектов системы, необходима реализация стратегии защиты и политики информационной безопасности, которые позволят минимизировать ущерб при компрометации отдельных компонентов.

 

В любом случае злоумышленнику необходимо иметь доступ к атакуемой системе через информационный канал на одном или нескольких уровнях информационного взаимодействия.

Информационный канал – это совокупность источника и приемника информации, а также средств и методов передачи информации между ними. По признаку легитимности существования информационные каналы разделяют на санкционированные и несанкционированные.

Существование санкционированных информационных каналов разрешено правилами принятой в системе политики безопасности. Предполагается, что они контролируются механизмами подсистемы защиты и поэтому злоумышленник вынужден искать возможности для организации несанкционированного информационного канала с атакуемой системой. Для этого он может создать новый информационный канал через одну из потенциальных точек доступа к системе или воспользоваться существующим информационным каналом в обход механизмов защиты.

Таким образом, несанкционированный информационный канал (НИК) – это неконтролируемый подсистемой защиты информационный канал между нарушителем и атакуемой системой, а также совокупность средств и методов для его образования и обхода механизмов защиты с целью реализации угроз безопасности информации.

Одной из главных целей защиты информации в компьютерных системах является выявление и устранение (закрытие) несанкционированных информационных каналов. Угрозы безопасности информации и направления их реализации одинаковы для любых информационных систем. Однако методы организации несанкционированного доступа, обхода механизмов защиты и реализации угроз безопасности зависят от особенностей применяемых информационных технологий, политики информационной безопасности, архитектуры информационной системы и подсистемы защиты.

Рассмотрим обобщенную функциональную структуру информационной системы и технологические особенности ее элементов, через которые злоумышленник может организовать несанкционированные информационные каналы на одном или нескольких уровнях информационного взаимодействия (см. рис. 1.2.3).

Функциональные элементы любой защищенной информационной системы выполняют определенные информационные функции по обработке и/или защите информации на одном или нескольких уровнях информационного взаимодействия. Каждый функциональный элемент или по-другому информационный объект системы может выполнять одну или несколько типовых информационных функций. Совокупность всех информационных функций объекта называется информационным интерфейсом [S1] и определяет его возможности по взаимодействию с другими объектами системы и информационными объектами окружающей среды при обработке информации, а значит и его свойства безопасности.

Исходя из принципов информационного взаимодействия систем, любая информационная система должна иметь обязательный набор абстрактных и материальных информационных объектов, имеющих информационно-функциональное значение для реализации информационного процесса.

 

 

Рис. 1.2.3 Обобщенная модель функциональной структуры взаимодействующих информационных систем

 

Для любых информационных систем можно выделить следующие категории абстрактных информационных объектов:

функциональные алгоритмы, т. е. модели поведения объектов управления системы и внешней среды, которые используют семантику входных функциональных данных для получения семантики выходных функциональных данных (например, в компьютерной системе функциональные алгоритмы реализуются прикладными программами);

функциональные данные, т. е. модели состояний объектов управления и внешней среды, которые используются функциональными алгоритмами для решения основных задач системы (например, в компьютерных системах функциональными данными являются входные и выходные данные прикладных программ);

алгоритмы исполнительной подсистемы обработки информации, т. е. модели поведения объектов исполнительной подсистемы обработки информации, которые реализуют собственно информационные функции и предоставляют их в качестве информационных услуг (сервисов) функциональным алгоритмам (например, в компьютерных системах алгоритмы исполнительной подсистемы обработки информации реализуются общим и специальным программным обеспечением, а также алгоритмами центрального процессора и других аппаратных устройств);

данные исполнительной подсистемы обработки информации,т. е. модели состояний объектов исполнительной подсистемы обработки информации (например, в компьютерных системах таковыми являются служебная информация, которой обмениваются протоколы взаимодействия различных уровней, криптографические ключи, данные о состоянии различных устройств, регистров и т. п.).

Абстрактные информационные объекты могут храниться, передаваться и реализовывать свои функции, только если они локализованы в системе на физическом уровне, т. е. на носителях информации. Кроме того, часть информационных функций обязательно должна быть реализована на физическом уровне, т.е. в виде материальных структур.

Выделяют следующие категории материальных информационных объектов, с обязательной реализацией их структуры на физическом уровне:

память – информационный объект, представляющий собой однородную физическую структуру, у которой физические элементы и связи между ними однотипны и способны принимать состояния, соответствующие состоянию входных данных, сохранять их во времени и выдавать в том же виде по запросам алгоритмов. Алгоритм памяти реализует на физическом уровне функцию коммутации входов и выходов с элементами памяти в соответствии с адресной информацией, запись, удаление и выборку данных. Память может быть универсальной или специализированной, постоянной или оперативной, одноразовой или многоразовой.

интерпретатор – информационный объект, в котором на физическом уровне реализован алгоритм интерпретации любых абстрактных алгоритмов и входных данных, если они представлены на языке интерпретатора. Интерпретатор может быть универсальным или специализированным. Универсальный интерпретатор способен интерпретировать информацию, поступившую на вход для данных, по командам любого алгоритма некоторого класса, поступившего на командный вход. В универсальном интерпретаторе язык, на котором описан его собственный алгоритм, является функционально полным (в смысле функциональной полноты системы функций) и позволяет описать на этом языке (в случае КС - формализовать) любые сведения из некоторой области знаний. Специализированный интерпретатор способен интерпретировать информацию, поступающую на вход для данных, только по одному или нескольким алгоритмам, которые реализованы на физическом уровне в специализированной памяти, т. е. язык способен описать ограниченный тезаурус предметной области. Любой алгоритм может быть реализован как специализированный интерпретатор;

канал связи – информационный объект, представляющий собой материальную структуру (среду распространения сигнала в пространстве) или сочетание структур, которые способны передавать энергетические сигналы или целые физические объекты (носители информации) на расстояние. Алгоритм управления каналом связи реализует функции формирования структур данных для передачи, согласования временных, пространственных и других параметров приемника и передатчика, и т. п.

Кроме перечисленных функций, которые могут быть реализованы только на физическом уровне, имеются информационные функции, которые также могут быть реализованы в виде материальных объектов или в виде абстрактных объектов, интерпретируемых на физическом уровне интерпретатором:

транслятор – информационный объект, который предназначен для перевода (трансляции) семантики моделей с одного языка описания на другой. Обязательным является реализация на физическом уровне алгоритмов трансляции способных переводить состояния физических объектов в состояния абстрактных моделей и обратно. Остальные трансляторы могут быть реализованы абстрактными модулями. Алгоритмы таких трансляторов могут исполняться универсальным интерпретатором;

маршрутизатор – это информационный объект, предназначенный для распределения потоков передаваемых данных по каналам связи, при наличии более одного канала с реализацией соответствующих функций управления каналами. Функции маршрутизатора необходимы тем системам, у которых имеется более одного канала связи (например, в компьютерных системах функции маршрутизатора выполняют такие устройства как коммутаторы, мультиплексоры, сетевые маршрутизаторы и т. п.).

Рассмотренные выше сущности являются элементами любой информационной системы. Реальные системы состоят из конструктивно выделенных функциональных модулей, поэтому эти системы удобно разделять на абстрактные и физические функциональные модули, которые способны реализовать одну или несколько рассмотренных информационных функций. Например, в автоматизированных системах можно выделить в качестве абстрактных функциональных модулей записи, поля, файлы, каталоги, программы и т. п., а в качестве физических функциональных модулей процессор, магнитные и бумажные носители информации, каналы связи, периферийные устройства, системный блок, в целом ПЭВМ, пользователей и т. п.

Рассмотрим способы организации несанкционированных информационных каналов с функциональными модулями автоматизированной системы на разных уровнях информационного взаимодействия.

Наиболее тяжелой формой информационного поражения является установление злоумышленником полного контроля над системой управления, который возможен только при получении семантического доступа к функциональным алгоритмам и/или алгоритмам обработки данных атакуемой системы. Семантической доступ к алгоритмам системы может быть получен в результате последовательной реализации доступов на физическом и синтаксическом уровнях взаимодействия.

Для определения потенциальных возможностей нарушителя по организации физического доступа к объектам АС необходимо рассмотреть обобщенную модель энергетического взаимодействия информационной системы с внешней средой.

Информационная система не может быть физически абсолютно замкнутой. Она занимает определенное пространство, на границе которого имеется физический контакт с внешней средой. Кроме того, в процессе функционирования системе необходимо обмениваться с внешней средой энергией и информацией. В конкретном случае система может получать из внешней среды и отдавать электроэнергию и другие материальные ресурсы, разрешать вход и выход за границы системы персонала и обрабатываемой информации, отдавать во внешнюю среду отходы результатов деятельности системы и т.п.

Следовательно, нарушитель может получить физический доступ через один или несколько функциональных модулей информационной системы (см. рис. 1.2.4).

Такими модулями являются:

модули, расположенные на границе системы с внешней средой;

каналы связи, проходящие вне контролируемой зоны;

системы электропитания, заземления, жизнеобеспечения и другие;

персонал и носители информации, попадающие за пределы системы.

Технология получения физического доступа к элементам АС может быть различна. В зависимости от специфики этой технологии выделяют следующие способы организации несанкционированных информационных каналов на физическом уровне:

перехват побочных электромагнитных излучений от основных технических средств обработки и передачи информации АС, методом пассивной регистрации сигналов или наведением в технических объектах АС высокочастотных наводок для создания условий возникновения побочных электромагнитных излучений и наводок и повышения энергетики побочного информационного сигнала;

перехват побочных электромагнитных излучений от вспомогательных технических средств и систем жизнеобеспечения (телефонов, телевизоров, приемников, систем часофикации, электропитания, кондиционирования, пожаротушения, отопления и т. п.) через наводки от основных технических средств обработки информации;

перехват акустических и электроакустических колебаний, возникающих от работы печатающих и других механических устройств и от ведения разговоров персоналом АС;

вхождение в легальные (штатные) информационные каналы связи системы, проходящие вне контролируемой зоны;

установление контакта с персоналом АС во время его пребывания вне контролируемой зоны с целью вербовки, негласного сбора сведений и т. п.;

получение доступа к аппаратуре и программному обеспечению АС во время ее нахождения вне контролируемой зоны с целью внесения изменений, способствующих нарушению защиты информации;

проникновение на территорию контролируемой зоны АС с целью ведения визуального наблюдения, хищения носителей информации, закладки устройств перехвата электромагнитных и акустических колебаний и других действий;

сбор отработанных носителей информации с целью выявления на них остаточной, не уничтоженной информации.

Для получения синтаксического доступа к информационным объектам АС нарушителю необходимо знать языки протоколов и интерфейсов, на которых объекты системы обмениваются данными между собой и с внешней средой, а также языки, на которых представлена функциональная информация, обрабатываемая в системе. Если для защиты информации применяются криптографические методы, то нарушителю необходимы знания ключевой информации и характеристики алгоритмов криптографической защиты, или необходим физический доступ к элементам системы, обрабатывающих информацию в открытом виде.

 

 

Рис. 1.2.4. Обобщенная модель физического взаимодействия информационной системы с внешней средой

 

Таким образом, технология получения синтаксического доступа зависит от возможностей нарушителя получить доступ к объектам системы, обрабатывающих информацию только в открытом виде, или к объектам, не защищаемым на синтаксическом уровне.

Объектами информационной системы, которые осуществляют обработку информации только в открытом виде, являются:

интерпретатор (процессор или мозг);

трансляторы, которые преобразуют информацию к виду, подходящему для обработки интерпретатором (например, шифраторы, кодеры, периферийные устройства ввода-вывода информации и другие);

каналы связи между ними (например, шина данных компьютера или электромагнитная волна оптического диапазона между монитором и глазами человека).

Соответственно, выделяют следующие способы организации несанкционированных информационных каналов на синтаксическом уровне:

непосредственный доступ к открытой информации;

криптографический анализ закрытой информации;

опосредованный доступ к закрытой информации через доступ к ключевым данным криптографической системы.

Решив задачи установления физического и синтаксического доступов к информационной системе, нарушитель имеет возможность организовать несанкционированный информационный канал на семантическом уровне и получить частичный или полный контроль над атакуемой системой. Объектами для нападения на семантическом уровне могут быть функциональные алгоритмы и данные, а также алгоритмы и данные исполнительной подсистемы обработки информации.

Существуют следующие способы организации несанкционированных информационных каналов на семантическом уровне:

несанкционированное взаимодействие с функциональными алгоритмами обработки информации через штатные информационные каналы (возникновение такого НИК возможно из-за неправильной политики информационной безопасности в системе);

организация НИК для прямого взаимодействия с функциональными алгоритмами обработки информации без посредничества алгоритмов обработки данных и в обход системы защиты;

перехват управления функциями исполнительной подсистемы обработки данных через взаимодействие по штатным каналам связи в обход механизмов защиты;

перехват управления исполнительной подсистемой обработки данных через взаимодействие по организованным нештатным каналам связи в обход механизмов защиты.

Рассмотренная классификация НИК позволяет реализовать принцип системности при анализе информационной архитектуры защищаемых систем с целью выявления возможных каналов реализации угроз безопасности информации.