Угрозы информационной безопасности

 

v Анализ уязвимостей системы v Классификация угроз информа- ционной безопасности v Основные направления и методы реализа- ции угроз v Неформальная модель нарушителя v Оценка уязвимо-

сти системы v

 

 

4.1.
анализ уязвимостей системы

 

П

ри построении системы защиты информации обя- зательно нужно определить, что следует защищать и от кого (или чего) следует строить защиту. Опреде-

ление информации, подлежащей защите, было дано выше. За- щищаться следует от множества угроз, которые проявляются через действия нарушителя. Угрозы возникают в случае нали- чия в системе уязвимостей, то есть таких свойств информаци- онной системы, которые могут привести к нарушению инфор- мационной безопасности.

Определение перечня угроз и построение модели нарушите- ля являются обязательным этапом проектирования системы за- щиты. Для каждой системы перечень наиболее вероятных угроз безопасности, а также характеристика наиболее вероятного на- рушителя индивидуальны, поэтому перечень и модель должны носить неформальный характер. Защищенность информации обеспечивается только при соответствии предполагаемых угроз и качеств нарушителя реальной обстановке.

При наличии в системе уязвимости потенциальная угроза безопасности может реализоваться в виде атаки. Атаки при- нято классифицировать в зависимости от целей, мотивов, ис- пользуемого механизма, места в архитектуре системы и место- нахождения нарушителя.

 

Для предупреждения успешных атак необходим поиск и ана- лиз уязвимостей системы. Уязвимости различаются в зависимо- сти от источника возникновения, степени риска, распростра- ненности, места в жизненном цикле системы, соотношения с подсистемами защиты. Анализ уязвимостей — обязательная процедура при аттестации объекта информатизации. В связи с возможностью появления новых уязвимостей необходим их периодический анализ на уже аттестованном объекте.

 

4.2.
Классификация угроз информационной безопасности

 

Угроза — это фактор, стремящийся нарушить работу си- стемы.

В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности, насчитываю- щий сотни пунктов.

Кроме выявления возможных угроз, должен быть проведен анализ этих угроз на основе их классификации по ряду при- знаков. Каждый из признаков классификации отражает одно из требований к системе защиты. При этом угрозы, соответ- ствующие каждому признаку классификации, позволяют уточ- нить требования.

Для защищаемой системы составляют не полный перечень угроз, а перечень классов угроз, определяемых по ряду базовых признаков [3]. Это связано с тем, что описать полное множе- ство угроз невозможно из-за большого количества факторов, влияющих на информацию.

Например, можно предложить классифицировать угрозы по следующим признакам:

1. Природа возникновения: естественные угрозы (связан- ные с природными процессами) и искусственные (вызванные деятельностью человека).

 

2. Степень преднамеренности проявления: случайные или преднамеренные.

3. Источник угроз: природная среда, человек, санкциониро- ванные программно-аппаратные средства, несанкционирован- ные программно-аппаратные средства.

4. Положение источника угроз: в пределах или вне контро- лируемой зоны.

5. Зависимость от активности системы: проявляются только в процессе обработки данных или в любое время.

6. Степень воздействия на систему: пассивные, активные (вносят изменения в структуру и содержание системы).

7. Этап доступа к ресурсам: на этапе доступа, после получе- ния доступа.

8. Способ доступа к ресурсам: стандартный, нестандартный.

9. Место расположения информации: внешние носители, оперативная помять, линии связи, устройства ввода-вывода.

Вне зависимости от конкретных видов угроз было призна- но целесообразным связать угрозы с основными свойствами защищаемой информации.

Соответственно для информационных систем было предло- жено рассматривать три основных вида угроз:

· Угроза нарушения конфиденциальности реализуется в том случае, если информация становится известной лицу, не располагающему полномочиями доступа к ней. Угро- за нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной инфор- мации, хранящейся в информационной системе или пе- редаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности использует- ся термин «утечка».

· Угроза нарушения целостности реализуется при несанкци-

онированном изменении информации, хранящейся в ин- формационной системе или передаваемой из одной си- стемы в другую. Когда злоумышленники преднамеренно

 

изменяют информацию, говорится, что целостность ин- формации нарушена. Целостность также будет наруше- на, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обе- спечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обосно- ванной целью (например, санкционированным измене- нием является периодическая запланированная коррек- ция некоторой базы данных).

· Угроза нарушения доступности (отказа служб) реализуется, когда в результате преднамеренных действий, предпри- нимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислитель- ной системы. Блокирование может быть постоянным — запрашиваемый ресурс никогда не будет получен, или мо- жет вызывать только задержку запрашиваемого ресурса. Данные виды угроз можно считать первичными, или непо-

средственными, т. к. если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой на- носит ущерб информационной системе, то реализация вышепе- речисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей сторо- ны в том случае, если система, в которой циркулирует инфор- мация, для нее «прозрачна», т. е. не существует никаких си- стем защиты или других препятствий. Описанные выше угрозы были сформулированы в 1960-х гг. применительно к открытым UNIX-подобным системам, для которых не предусматривались меры по защите информации.

На современном этапе развития информационных техно- логий подсистемы или функции защиты являются неотъемле- мой частью комплексов по обработке информации. Информа- ция не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угро-

 

жать, атакующая сторона должна преодолеть эту систему. По- скольку преодоление защиты также представляет собой угро- зу, для защищенных систем будем рассматривать ее четвертый вид — угрозу раскрытия параметров системы, включающей в себя систему защиты. На практике любое проводимое мероприя- тие предваряется этапом разведки, в ходе которой определяют- ся основные параметры системы, ее характеристики и т. п. Ре- зультатом разведки является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства. Угрозу раскрытия параметров системы можно рассматривать как опосредованную. Последствия ее реализации не причиня- ют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным, или непосредствен- ным, угрозам, перечисленным выше. Введение данного вида угроз позволяет описывать с отличия защищенных информа- ционных систем от открытых. Для последних угроза разведки параметров системы считается реализованной.

 

4.3.
Основные направления и методы реализации угроз

 

К основным направлениям реализации злоумышленником информационных угроз относятся [3]:

· непосредственное обращение к объектам доступа;

· создание программных и технических средств, выполня- ющих обращение к объектам доступа в обход средств за- щиты;

· модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;

· внедрение в технические средства программных или тех- нических механизмов, нарушающих предполагаемую структуру и функции системы.

4.3. Основные направления и методы реализации угроз

 

К числу основных методов реализации угроз информацион- ной безопасности относятся [3, 5]:

· определение злоумышленником типа и параметров но- сителей информации;

· получение злоумышленником информации о программ- но-аппаратной среде, типе и параметрах средств вычис- лительной техники, типе и версии операционной систе- мы, составе прикладного программного обеспечения;

· получение злоумышленником детальной информации о функциях, выполняемых системой;

· получение злоумышленником данных о применяемых си- стемах защиты;

· определение способа представления информации;

· определение злоумышленником содержания данных, oбpaбaтываемых в системе, на качественном уровне (приме- няется для мониторинга и для дешифрования сообщений);

· хищение (копирование) машинных носителей информа- ции, содержащих конфиденциальные данные;

· использование специальных технических средств для пе- рехвата побочных электромагнитных излучений и наво- док (ПЭМИН);

· уничтожение средств вычислительной техники и носите- лей информации;

· несанкционированный доступ пользователя к ресурсам си- стемы в обход или путем преодоления систем защиты с ис- пользованием специальных средств, приемов, методов;

· несанкционированное превышение пользователем сво- их полномочий;

· несанкционированное копирование программного обе- спечения;

· перехват данных, передаваемых по каналам связи;

· визуальное наблюдение;

· раскрытие представления информации (дешифрование данных);

 

· раскрытие содержания информации на семантическом уровне;

· уничтожение носителей информации;

· внесение пользователем несанкционированных изме- нений в программно-аппаратные компоненты системы и обрабатываемые данные;

· установка и использование нештатного аппаратного и/или программного обеспечения;

· заражение программными вирусами;

· внесение искажений в представление данных, уничтоже- ние данных на уровне представления, искажение инфор- мации при передаче по линиям связи;

· внедрение дезинформации;

· выведение из строя носителей информации без уничто- жения;

· проявление ошибок проектирования и разработки аппа- ратных и программных компонентов;

· искажение соответствия синтаксических и семантических конструкций языка;

· запрет на использование информации.

Перечисленные методы реализации угроз охватывают все уровни представления информации.

 

4.4.
неформальная модель нарушителя

 

Нарушитель — это лицо, предпринявшее попытку выполне- ния запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверж- дения и т. п.) и использующее для этого различные возможно- сти, методы и средства.

 

Злоумышленник — нарушитель, намеренно идущий на нару- шение из корыстных побуждений.

Неформальная модель нарушителя отражает его практиче- ские и теоретические возможности, априорные знания, время и место действия и т. п. Исследовав причины нарушений, мож- но либо повлиять на сами эти причины, либо точнее опреде- лить требования к системе защиты от данного вида нарушений или преступлений.

В каждом конкретном случае исходя из конкретной техно- логии обработки информации может быть определена модель нарушителя, которая должна быть адекватна реальному нару- шителю для данной системы.

Неформальная модель нарушителя разрабатывается при про- ектировании системы защиты и оценке защищенности инфор- мации.

При разработке модели нарушителя определяются:

· предположения о категориях лиц, к которым может при- надлежать нарушитель;

· предположения о мотивах действий нарушителя (пресле- дуемых нарушителем целях);

· предположения о квалификации нарушителя и его тех- нической оснащенности (об используемых для соверше- ния нарушения методах и средствах);

· ограничения и предположения о характере возможных действий нарушителей.

По отношению к системе нарушители могут быть внутрен- ними (из числа персонала системы) или внешними (посторон- ними лицами). Практика показывает, что на долю внутренних нарушителей приходится более 2/3 от общего числа нарушений.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

· руководители различных уровней должностной иерархии.

· пользователи системы;

 

· сотрудники отделов разработки и сопровождения про- граммного обеспечения;

· персонал, обслуживающий технические средства;

· технический персонал, обслуживающий здания (уборщи- ки, электрики, сантехники и др.);

· сотрудники службы безопасности.

 

Посторонние лица, которые могут быть нарушителями:

· посетители;

· клиенты;

· представители организаций, взаимодействующих по во- просам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т. п.);

· представители конкурирующих организаций (иностран- ных спецслужб) или лица, действующие по их заданию;

· лица, случайно или умышленно нарушившие пропуск- ной режим (без цели нарушить безопасность);

· любые лица за пределами контролируемой территории.

Можно выделить три основных мотива нарушений: безот- ветственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользо- ватель целенаправленно или случайно производит какие-ли- бо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетент- ности или небрежности.

Классификация нарушителей

 

По уровню знаний о системе:

1) знание функциональных особенностей, основных зако- номерностей формирования в системе массивов данных и потоков запросов к ним, умение пользоваться штатны- ми средствами;

 

2) обладание высоким уровнем знаний и опытом работы с техническими средствами системы, а также опытом их обслуживания;

3) обладание высоким уровнем знаний в области программи- рования ивычислительной техники, проектирования иэкс- плуатации автоматизированных информационных систем;

4) знание структуры, функций и механизмов действия средств защиты, их сильные и слабые стороны.

По уровню возможностей:

Первый уровень определяет самый низкий уровень возмож- ностей ведения диалога: запуск задач (программ) из фиксиро- ванного набора, реализующих заранее предусмотренные функ- ции по обработке информации.

Второй уровень определяет возможность создания и запу- ска собственных программ с новыми функциями по обработ- ке информации.

Третий уровень определяет возможность управления функ- ционированием системы, т. е. воздействием на базовое про- граммное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяет весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств системы, вплоть до включения в состав собственных технических средств с новыми функциями по об- работке информации.

Классификация является иерархической, т. е. каждый сле- дующий уровень включает в себя функциональные возможно- сти предыдущего.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о информационной системе, в част- ности, о системе и средствах ее защиты.

Классификация по уровню возможностей приводится в ру- ководящем документе Гостехкомиссии «Концепция защиты

 

средств вычислительной техники и автоматизированных си- стем от несанкционированного доступа к информации» в раз- деле «Модель нарушителя в автоматизированной системе».

По времени действия:

· в процессе функционирования (во время работы компо- нентов системы);

· в период неактивности компонентов системы (в нерабо- чее время, во время плановых перерывов в ее работе, пе- рерывов для обслуживания и ремонта и т. п.);

· как в процессе функционирования, так и в период неак- тивности компонентов системы.

По месту действия:

· без доступа на контролируемую территорию организации;

· с контролируемой территории без доступа в здания и со- оружения;

· внутри помещений, но без доступа к техническим сред- ствам;

· с рабочих мест конечных пользователей (операторов);

· с доступом в зону данных (баз данных, архивов и т. п.);

· с доступом в зону управления средствами обеспечения безопасности.

Определение конкретных характеристик возможных нару- шителей в значительной степени субъективно. Модель нару- шителя, построенная с учетом особенностей конкретной пред- метной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть определен с по- мощью характеристик, приведенных выше.

 

4.5.
Оценка уязвимости системы

 

При решении практических задач защиты информации боль- шое значение имеет количественная оценка ее уязвимости.

Ряд специалистов в области информационной безопасности разделяют методы и средства защиты от случайных и от пред- намеренных угроз [6].

Для защиты от случайных угроз используются средства по- вышения надежности функционирования автоматизирован- ных систем, средства повышения достоверности и резервиро- вания информации.

При проектировании защиты от преднамеренных угроз опре- деляются перечень и классификация по характеру, размеще- нию, важности и времени жизни данных, подлежащих защите в заданной информационной системе. В соответствии с харак- тером и важностью этих данных выбираются ожидаемая ква- лификация и модель поведения потенциального нарушителя. Рассмотрим ситуацию, когда угроза реализуется путем несанк- ционированного доступа к информации.

В соответствии с моделью нарушителя в проектируемой системе выявляются виды и количество возможных каналов несанкционированного доступа к защищаемым данным. Дан- ные каналы делятся на технически контролируемые и некон- тролируемые. Например, вход в систему со стороны клавиатуры может контролироваться специальной программой, а каналы связи территориально-распределенной системы — не всегда. На основе анализа каналов выбираются готовые или создают- ся новые средства защиты с целью перекрытия этих каналов.

Для создания единого постоянно действующего механизма защиты средства защиты с помощью специально выделенных средств централизованного управления объединяются в одну автоматизированную систему безопасности информации, ко- торая путем анализа ее состава и принципов построения про-

 

веряется на предмет наличия возможных путей ее обхода. Если таковые обнаруживаются, то они перекрываются соответствую- щими средствами, которые также включаются в состав защит- ной оболочки. В результате будет построена замкнутая вирту- альная оболочка защиты информации [6].

Степень защиты определяется полнотой перекрытия кана- лов утечки информации и возможных путей обхода средств за- щиты, а также прочностью защиты. Согласно принятой модели поведения нарушителя прочность защитной оболочки опреде- ляется средством защиты с наименьшим значением прочности из числа средств, составляющих эту оболочку.

Под прочностью защиты (преграды) понимается величина вероятности ее непреодоления нарушителем.

Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше вре- мени жизни предмета защиты или больше времени обнаруже- ния и блокировки доступа при отсутствии путей обхода этой преграды.

Защитная оболочка должна состоять из средств защиты, по- строенных по одному принципу (контроля или предупрежде- ния несанкционированного доступа) и размещаемых на ка- налах доступа одного типа (технически контролируемых или неконтролируемых). На контролируемых каналах нарушитель рискует быть пойманным, а на неконтролируемых он может работать в комфортных условиях, не ограниченных временем и средствами. Прочность защиты во втором случае должна быть значительно выше. Поэтому целесообразно в информацион- ной системе иметь отдельные виртуальные защитные оболоч- ки: контролируемую и превентивную.

Кроме того, необходимо учитывать применение организа- ционных мероприятий, которые в совокупности могут обра- зовать свою защитную оболочку.

Стратегия и тактика защиты от преднамеренного несанкцио- нированного доступа заключается в применении на возможных

 

каналах доступа к информации средств контроля, блокировки и предупреждения событий. Средства контроля и блокировки устанавливаются на возможных каналах доступа, где это воз- можно технически или организационно, а средства предупреж- дения (превентивные средства) применяются там, где такие воз- можности отсутствуют.

При расчете прочности средства защиты учитывается вре- менной фактор, позволяющий получить количественную оцен- ку его прочности — ожидаемую величину вероятности непрео- доления его потенциальным нарушителем.

Рассмотрим варианты построения защитной оболочки и оценку ее прочности [6].

В простейшем случае предмет защиты помещен в замкну- тую однородную защитную оболочку (рис. 4.1).

Предмет защиты

 

 

Преграда

 

Рис. 4.1. Модель однозвенной защиты

 

Прочность защиты зависит от свойств преграды. Считает- ся, что прочность созданной преграды достаточна, если стои- мость ожидаемых затрат на ее преодоление потенциальным на- рушителем превышает стоимость защищаемой информации.

Если обозначить вероятность непреодоления преграды на- рушителем через Р _н, вероятность преодоления преграды нару- шителем через Р _п, то согласно теории вероятности

Р _н + Р _п = 1.

 

В реальном случае у преграды могут быть пути ее обхода. Обозначим вероятность обхода преграды нарушителем через Р _о. Нарушитель, действующий в одиночку, выберет один из пу- тей: преодоление преграды или обходной вариант. Тогда, учи- тывая несовместность событий, формальное выражение проч- ности преграды можно представить в виде

Р _н = min {(1 — Р _п), (1 — Р _о)}.

Рассмотрим наиболее опасную ситуацию, когда нарушитель знает и выберет путь с наибольшей вероятностью преодоле- ния преграды. В таком случае можно предположить, что проч- ность преграды определяется вероятностью ее преодоления или обхода потенциальным нарушителем по пути с наиболь- шим значением этой вероятности. То есть в случае действий единственного нарушителя прочность защиты определяется ее слабейшим звеном.

У преграды может быть несколько путей обхода. Тогда по- следнее выражение примет вид

Р _н = min {(1 — Р _п), (1 — Р _о1), (1 — Р _о2), (1 — Р _о3), … (1 — Р _{о k})},

где k — количество путей обхода.

Для случая, когда нарушителей более одного и они действуют одновременно (организованная группа) по каждому пути, это выражение с учетом совместности действий будет выглядеть так:

Р _н = (1 — Р _п) (1 — Р _о1) (1 — Р _о2) (1 — Р _о3) … (1 — Р _{о k}).

Данная формула применима для неконтролируемой пре- грады.

Рассмотрим особенности расчета соотношений для кон- тролируемой преграды. Когда к предмету защиты, имеюще- му постоянную ценность, необходимо и технически возможно обеспечить контроль доступа, обычно применяется постоян- но действующая преграда, обладающая свойствами обнаруже-

 

ния и блокировки доступа нарушителя к предмету или объек- ту защиты.

Для анализа ситуации рассмотрим временную диаграмму процесса контроля и обнаружения несанкционированного до- ступа, приведенную на рис. 3.4.

Т

Т

Т об

Т б

Т нр

0                                                                                                                              t

Рис. 4.2. Временная диаграмма процесса контроля и обнаружения НСД:

Т — период опроса датчиков; Т _об — время передачи сигнала и обнаружения НСД; Т _б — время блокировки доступа; Т _нр — время нарушения

 

Из рис. 3.2 следует, что нарушитель может быть не обнару- жен в двух случаях:

а) когда время нарушения меньше периода опроса датчи- ков: Т _нр < Т;

б) когда Т < Т _нр < Т _об + Т _б.

В случае а) требуется дополнительное условие — попадание ин- тервала времени t в интервал Т, т. е. необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения.

Формально эту задачу можно представить следующим об- разом. Есть последовательное множество событий в виде кон- трольных импульсов с расстоянием Т между ними и есть опре- деленное множество элементарных событий в виде отрезка длиной Т _нр, который случайным образом накладывается на пер- вое множество. Задача состоит в определении вероятности по- падания отрезка Т _нр на контрольный импульс, если Т _нр < Т.

 

Если обозначить вероятность попадания отрезка на кон- трольный импульс, то есть вероятность обнаружения наруше- ния, через Р ₁, то

= п Т

м Т   нр, Т

Р 1    н    нр

 

< Т,

о

п 1, Т нр  і T.

В случае б), когда Т < Т _нр < Т _об + Т, несанкционированный доступ фиксируется наверняка и вероятность обнаружения дей- ствий нарушителя будет определяться соотношением между Т _нр и (Т _об + Т _б).

Величина ожидаемого Т _нр зависит от многих факторов:

· характера поставленной задачи нарушения,

· метода и способа нарушения,

· технических возможностей и квалификации нарушителя,

· технических возможностей автоматизированной системы. Поэтому можно говорить о вероятностном характере вели- чины Т _нр. Если обозначить вероятность обнаружения и блоки-

ровки доступа через Р₂, то

 

Р 2 =

Т нр    .

Т об + Т б

Для более полного формального представления прочности преграды в виде системы обнаружения и блокировки несанк- ционированного доступа необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.

Вероятность отказа системы определяется по формуле

Р _отк (t) = е ^{– l t},

где l — интенсивность отказов группы технических средств, со- ставляющих систему обнаружения и блокировки; t — рассма- триваемый интервал времени функционирования системы об- наружения и блокировки.

 

Исходя из наиболее опасной ситуации, считаем, что отказ системы контроля и НСД могут быть совместными события- ми. Поэтому, с учетом этой ситуации формула прочности кон- тролируемой преграды примет вид

Р _н = min{ Р ₂ (1 — Р _отк), (1 — Р _о1), (1 — Р _о2), (1 — Р _о3), … (1 — Р _оk)},

где Р _о и количество путей обхода k определяются экспертным путем на основе анализа принципов построения конкретной си- стемы контроля и блокировки несанкционированного доступа. В случае, если ценность информации падает с течением вре- мени, за условие достаточности защиты можно принять превы- шение затрат времени на преодоление преграды нарушителем над временем жизни информации. В качестве такой защиты может быть использовано криптографическое преобразование информации. Возможными путями обхода криптографической преграды могут быть криптоанализ исходного текста зашифро- ванного сообщения или доступ к действительным значениям

ключей шифрования при хранении и передаче.

На практике в большинстве случаев защитный контур (обо- лочка) состоит из нескольких соединенных между собой пре- град с различной прочностью (рис. 4.3).

 

Предмет защиты

 

Преграда 1

 

Преграда 2

 

Преграда 3

 

Рис. 4.3. Модель многозвенной защиты

 

Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различ-

 

ной прочностью здесь могут служить стены, потолок, пол, окна и замок на двери.

Формальное описание прочности многозвенной оболочки защиты почти полностью совпадает с однозвенной, т. к. нали- чие нескольких путей обхода одной преграды, не удовлетворяю- щих заданным требованиям, потребует их перекрытия другими преградами, которые в конечном итоге образуют многозвен- ную оболочку защиты.

Прочность многозвенной защиты из неконтролируемых пре- град, построенной для противостояния одному нарушителю, определяется по формуле

Р _зи = min{ Р _сзи1, Р _сзи2, Р _{сзи i}, (1 — Р _о1), (1 — Р _о2), (1 — Р _о3), … (1 — Р _{о k})},

где Р _{сзи i} — прочность i -й преграды; Р _{о k} — вероятность обхода преграды по k -мy пути.

Прочность многозвенной защитной оболочки от одного на- рушителя равна прочности ее слабейшего звена. Это правило справедливо и для защиты от неорганизованной группы нару- шителей, действующих самостоятельно.

Прочность многозвенной защиты, построенной из некон- тролируемых преград для защиты от организованной группы квалифицированных нарушителей, рассчитывается следую- щим образом:

Р _зи0 = Р _сзи1 ∙ Р _сзи2 ∙ … Р _{сзи i} (1 — Р _о1) (1 — Р _о2) (1 — Р _о3) … (1 — Р _{о k}). Прочность многозвенной защиты от организованной груп-

пы нарушителей равна произведению вероятностей непреодо- ления потенциальным нарушителем каждого из звеньев, со- ставляющих эту защиту.

Расчет прочности многозвенной защиты с контролируемы- ми преградами аналогичен.

Расчеты итоговых прочностей защиты для неконтролируе- мых и контролируемых преград должны быть раздельными, по-

 

скольку исходные данные для них различны и, следовательно, на разные задачи должны быть разные решения — две разные оболочки защиты одного уровня.

Если прочность слабейшего звена защиты удовлетворяет предъявленным требованиям оболочки защиты в целом, возни- кает вопрос об избыточности прочности на остальных звеньях данной оболочки. Отсюда следует, что экономически целесо- образно применять в многозвенной оболочке защиты равно- прочные преграды.

Если звено защиты не удовлетворяет предъявленным требо- ваниям, преграду в этом звене следует заменить на более проч- ную или данная преграда дублируется еще одной преградой, а иногда двумя и более. Дополнительные преграды должны перекрывать то же количество или более возможных каналов несанкционированного доступа, что и первая.

В этом случае, если обозначить прочность дублирующих друг друга преград соответственно через Р _д1, Р _д2, Р _д3, …, Р _{д i}, то ве- роятность преодоления каждой из них определяется как ве- роятность противоположного события: (1 — Р _д1), (1 — Р _д2), (1 — Р _д3), … (1 — Р _{д i}).

Считаем, что факты преодоления этих преград нарушите- лем — события совместные. Это позволяет вероятность прео- доления суммарной преграды нарушителем представить в виде

Р _п = (1 — Р _д1) (1 — Р _д2) (1 — Р _д3) … (1 — Р _{д i}).

В ответственных случаях при повышенных требованиях к за- щите применяется многоуровневая защита, модель которой представлена на рис. 4.4.

При расчете суммарной прочности многоуровневой защи- ты суммируются прочности отдельных уровней.

 

 

Предмет защиты

 

Уровни защиты (оболочки)

 

 

Рис. 4.4. Модель многоуровневой защиты

 

ВыВОды

· Система защиты информации должна предусматривать защиту от всех видов случайных и преднамеренных воз- действий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий зло- умышленников.

· Имеется широчайший спектр вариантов путей и методов доступа к данным и вмешательства в процессы обработки и обмена информацией. Анализ всех уязвимостей систе- мы, оценка возможного ущерба позволят верно опреде- лить мероприятия по защите информации. Расчет эф- фективности защитных мероприятий можно производить различными методами в зависимости от свойств защища- емой информации и модели нарушителя.

· Правильно построенная (адекватная реальности) мо- дель нарушителя, в которой отражаются его практиче- ские и теоретические возможности, априорные знания, время и место действия и другие характеристики, явля-

 

ется важной составляющей успешного проведения ана- лиза риска и определения требований к составу и харак- теристикам системы защиты.

 

Вопросы для самоконтроля

 

1. На примере нескольких различных угроз покажите, что их осуществление приведет к изменению одного из ос- новных свойств защищаемой информации (конфиден- циальности, целостности, доступности).

2. Приведите примеры систем, для которых наибольшую угрозу безопасности представляет нарушение конфиден- циальности информации.

3. Для каких систем (приведите примеры) наибольшую опасность представляет нарушение целостности инфор- мации?

4. В каких системах на первом месте стоит обеспечение до- ступности информации?

5. В чем различие понятий «нарушение конфиденциально- сти информации», «несанкционированный доступ к ин- формации», «утечка информации»?

6. Определите перечень основных угроз для АС, состоящей из автономно работающего компьютера без выхода в сеть, расположенной в одной из лабораторий университета.

7. Постройте неформальную модель нарушителя для учеб- ной компьютерной лаборатории.

8. Выведите формулу для расчета прочности трехуровневой защитной оболочки.

9. Охарактеризуйте защитные оболочки и перечень преград, применяемые в учебной компьютерной лаборатории.

 

 

Построение систем защиты

от угрозы нарушения конфиденциальности

 

v Определение и основные способы несанкционированного доступа

v Методы защиты от НСд v Организационные методы защиты от НСд

v Инженерно-технические методы защиты от НСд. Построение си- стем защиты от угрозы утечки по техническим каналам v Идентифи- кация и аутентификации v Основные направления и цели использо- вания криптографических методов v Защита от угрозы нарушения

конфиденциальности на уровне содержания информации v