Конфиденциальность, целостность и доступность данных

Безопасная информационная система — это система, которая, во-первых, защи­щает данные от несанкционированного доступа, во-вторых, всегда готова предос­тавить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по опре­делению обладает свойствами конфиденциальности, доступности и целостности.

□ Конфиденциальность {confidentiality) — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

□ Доступность {availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным.

□ Целостность {integrity) — гарантия сохранности данными правильных значе­ний, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на Web-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, то конфиден­циальность в данном случае не требуется. Однако требования целостности и до­ступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению цело­стности данных, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести такие изменения в помещенный на Web-сервере прайс-лист, которые снизят кон­курентоспособность вашего предприятия, или испортить коды свободно распро­страняемого вашей фирмой программного продукта, что безусловно скажется на ее деловом имидже.

Не менее важным в данном примере является и обеспечение доступности дан­ных. Затратив немалые средства на создание и поддержание сервера в Интер­нете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких зло­намеренных действий может служить «бомбардировка» сервера IP-пакетами с неправильным обратным адресом, которые в соответствии с логикой работы это­го протокола могут вызывать тайм-ауты, а в конечном счете сделать сервер не­доступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определе­ны не только по отношению к информации, но и к другим ресурсам вычисли­тельной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность «незаконного» использования кото­рых может привести к нарушению безопасности системы. Например, неограни­ченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может при­вести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интер­претировать так, что доступ к устройству имеют те и только те пользователи, ко­торым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает не­обходимость. А свойство целостности может быть определено как свойство неиз­менности параметров настройки данного устройства. Легальность использования сетевых устройств важна не только постольку, поскольку она влияет на безопас­ность данных. Устройства могут предоставлять различные услуги: распечатку тек­стов, отправку факсов, доступ в Интернет, электронную почту и т. п., незаконное потребление которых, наносящее материальный ущерб предприятию, также яв­ляется нарушением безопасности системы.

Любое действие, которое направлено на нарушение конфиденциальности, цело­стности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется ата­кой.

Риск — это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно прове­денной атаки. Значение риска тем выше, чем более уязвимой является сущест­вующая система безопасности и чем выше вероятность реализации атаки.

Классификация угроз

Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каждый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мо­ниторинга сетевого трафика, появляются новые вирусы, находятся новые изъяны в существующих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят пре­граду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее попытаемся сделать некоторые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотруд­ников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы про­граммных и аппаратных средств системы. Так, например, из-за отказа диска, кон­троллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопас­ности так тесно переплетаются с вопросами надежности, отказоустойчивости тех­нических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершен­ствования, использования резервирования на уровне аппаратуры (RAID-масси­вы, многопроцессорные компьютеры, источники бесперебойного питания, кла­стерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее со­стояние приложений и устройств. Так, умышленные угрозы возникают в резуль­тате деятельности хакеров и явно направлены на нанесение ущерба предпри­ятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

□ незаконное проникновение в один из компьютеров сети под видом легально­го пользователя;

□ разрушение системы с помощью программ-вирусов;

□ нелегальные действия легального пользователя;

□ «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в сис­теме безопасности с использованием недокументированных возможностей опе­рационной системы. Эти возможности могут позволить злоумышленнику «обой­ти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование «чу­жих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Осо­бенно опасно проникновение злоумышленника под именем пользователя, наде­ленного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользо­ватели сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы мак­симально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных про­грамм, которые работают путем перебора слов из некоторого файла, содержаще­го большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что чело­век выбирает в качестве пароля легко запоминаемые слова или буквенные соче­тания.

Еще один способ получения пароля — это внедрение в чужой компьютер «троянского коня».

«Троянский конь» - резидентная программа работающую без ведома хозяи­на данного компьютера и выполняющую действия, заданные злоумышленником.

В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути­литу или игру, а производит действия, разрушающие систему. По такому прин­ципу действуют и программы-вирусы, отличительной особенностью которых яв­ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол­няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя — этот тип угроз исходит от ле­гальных пользователей сети, которые, используя свои полномочия, пытаются вы­полнять действия, выходящие за рамки их должностных обязанностей. Напри­мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до­ступ к которой администратору сети запрещен. Для реализации этих ограниче­ний могут быть предприняты специальные меры, такие, например, как шифрова­ние данных, но и в этом случае администратор может попытаться получить дос­туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по­ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

Подслушивание внутрисетевого трафика — это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три­виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль­ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило­метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш­ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави­сит от того, используются собственные, арендуемые каналы или услуги общедос­тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне­те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас­ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про­никновения в компьютер. Это представляет постоянную угрозу для сетей, под­соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об­мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос­татки, злоумышленники все чаще предпринимают попытки несанкционирован­ного доступа к информации, хранящейся на узлах Интернета.