Основные подходы к классификации угроз информационной

безопасности. Информационные, программно-математические,

физические и организационные угрозы, классификация угроз, их

характеристики и оценка. Возможные последствия реализации угроз

информационной безопасности.

Под угрозой безопасности данных будем понимать потенциально существующую возможность случайного или преднамеренного действия (или бездействия), в результате которого может быть нарушена безопасность данных.

Несанкционированный доступ к данным - это злоумышленное или случайное действие, нарушающее технологическую схему обработки данных и ведущее к получению, модификации или уничтожению данных. Несанкционированный доступ (НСД) к данным может быть пассивным (чтение, фотографирование и т.п.) и активным (модификация, уничтожение).

Нарушитель - это субъект, осуществляющий НСД к данным. Противник (злоумышленник) - субъект, осуществляющий преднамеренный НСД к данным.

Нарушение безопасности:

ï случайные воздействия природной среды (ураган, землетрясение, пожар, наводнение и т.п.);

ï целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов ИВС, использование прямых каналов утечки данных);

ï внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная профессиональная и морально - психологическая подготовка персонала и т.д.).

Под каналом утечки данных следует понимать потенциальную возможность НСД, которая обусловлена архитектурой, технологической схемой функционирования ИВС, а также существующей организацией работы с данными.

Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устройствам ИВС. Косвенные каналы утечки возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с данными и предоставляют нарушителю возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и производственных отходов ( листингов машинных программ и т.п.).

Прямые каналы утечки данных, требуют непосредственного доступа к техническим средствам ИВС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты ОС, СУБД, математического и программного обеспечения, а также просчетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключаться к аппаратуре ИВС, получать доступ к данным и выполнять действия по анализу, модификации и уничтожению данных.

При использовании прямых каналов утечки нарушитель может осуществлять следующие действия:

1. Cчитывать данные из файлов (элементов БД) других пользователей.

2. Cчитывать данные из запоминающих устройств после выполнения разрешенных запросов.

3. Kопировать носители данных.

4. Выдавать себя за зарегистрированного пользователя, чтобы использовать его полномочия или снять с себя ответственность за НСД.

5. Представить собственные несанкционированные запросы, как запросы операционной системы.

6. Получать защищенные данные с помощью специально организованной серии разрешенных запросов.

7. Модифицировать программное обеспечение.

8. Преднамеренно включать в программы специальные блоки для нарушения безопасности данных.

9. Отказаться от факта формирования и выдачи данных.

10. Утверждать о получении данных от некоторого пользователя, хотя на самом деле данные были сформированы самим нарушителем.

11. Утверждать о передаче данных какому либо пользователю, хотя на самом деле данные не передавались.

12. Отказаться от факта получения данных, которые на самом деле были получены.

13. Изучить права доступа пользователей (даже если сами данные остаются закрытыми).

14. Несанкционированно расширять свои полномочия; несанкционированно изменять полномочия других

пользователей.

При подключении к магистральной линии связи нарушитель может осуществить следующие действия с передаваемыми данными:

1. Раскрыть содержание передаваемых данных.

2. Выполнить анализ потока данных.

3. Изменить поток данных.

4. Прервать передачу потока данных.

5. Осуществить инициирование ложного соединения.

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Источником могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администраторов ИВС и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) ИВС и в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы направлены на несанкционированное использование информационных ресурсов ИВС, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является например, попытка получения информации, циркулирующей в каналах передачи данных ИВС, путем их прослушивания.

Активные угрозы имеют своей целью нарушить нормальный процесс функционирования ИВС посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относятся: разрушение или радиоэлектронное подавление линий связи ИВС, вывод из строя ЭВМ или ее операционной системы, искажение сведений в пользовательских базах данных или системной информации ИВС и т.п. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам безопасности относят: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ИВС, ошибочное использование ресурсов ИВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.

Службы безопасности:

ï аутентификация (подтверждение подлинности);

ï обеспечение целостности;

ï засекречивание данных;

ï контроль доступа;

ï защита от отказов.

Последние две службы едины (инвариантны) по отношению к дейтаграммным и виртуальным сетям.

Служба аутентификации применительно к виртуальным сетям называется службой аутентификации одноуровневого объекта. На этапе установления соединения она обеспечивает подтверждение (опровержение) того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщении данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок отправлен именно тем объектом, с которым установлено соединение.

Службы целостности можно классифицировать:

1. По виду сетей, в которых они применяются (виртуальные, дейтаграммные).

2. По действиям, выполняемым при обнаружении аномальных ситуаций.

3. По степени охвата передаваемых данных ( блоки в целом либо их элементы, называемые выборочными полями).

Служба целостности соединения с восстановлением используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по соединению, а также их последующее восстановление.

Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах, а в ограниченном числе случаев - кроме того, вставок и повторов. Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм.

Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных.

Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу образовавшими его объектами. Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме. Служба засекречивания выборочных полей выполняет функции применительно к элементам дейтаграмм или блоков, пересылаемых по виртуальному соединению.

Служба засекречивания потока данных (трафика), нейтрализует возможность получения сведений об абонентах ИВС и характере использования сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам ИС, длиной передаваемых сообщений, отправителями и получателями, а также интенсивностью информационного обмена.

Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов ИВС. Контроль доступа в общем случае может быть избирательным, то есть распространяться только на некоторые виды доступа к ресурсу (например, на обновление информации в базе данных), либо полным, относиться к ресурсу в целом независимо от характера его использования.

Службы защиты от отказов направлены на нейтрализацию угрозы отказа от информации со стороны ее отправителя и /или получателя.

Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствам и (в виде данных), которые исключает попытки отправителя отрицать факт передачи указанной информации или ее содержание. Аналогично, служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами, исключающими попытки получателя отрицать факт ее получения или ее содержание.

Механизмы безопасности. Шифрование обеспечивает реализацию и используется в ряде других служб. Шифрование может быть симметричным и асимметричным. Первое из них основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования - другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ. Для использования механизмов шифрования в ИВС необходима организация специальной службы генерации ключей и их распределения между абонентами ИВС.

Кроме шифрования предусматриваются следующие механизмы безопасности:

1. Цифровая (электронная) подпись.

2. Контроль доступа.

3. Обеспечение целостности данных.

4. Обеспечение аутентификации.

5. Подстановка трафика.

6. Управления маршрутизацией.

7. Арбитраж, или освидетельствование.

С наступлением информационного этапа развития человечества, стремительного движения вперед информационных технологий, когда практически любая информация сразу же при появлении становиться достоянием огромного количества людей, особую значимость приобретают вопросы защиты информации, не предназначенной для широкой огласки и распространения.

Определим безопасность как степень защищенности данных от негативного воздействия каждого из этапов информационного процесса некоторого субъекта, реализующего свои цели и интересы в пространстве материального мира.

При этом под информационным процессом понимаются все действия, так или иначе связанные с преобразованием информации в жизнедеятельности активного субъекта при его работе с ИС, подключенной к внешней сети передачи данных. Такими действиями могут быть: получение им сигналов из внешнего мира, выделение из них информации (то есть интерпретацию сигналов в некоторые данные, имеющие для него содержательное значение), хранение и обработка информации, принятие новой информации на основе новых знаний об окружающем мире, а также получение новой информации о решениях своих действий.

На каждом из этапов информационного процесса преобразование информации происходит в условиях действия различных факторов, стремящихся нарушить его естественное положение, то есть нарушить бесконфликтное течение заранее известных последовательных этапов информационного процесса.

Факторы, нарушающие нормальное выполнение этапов информационного процесса (объективных и субъективных), принято называть угрозой информационной безопасности (УИБ).

Известно большое количество определений УИБ [1–5], которые, несмотря на отличие в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.

Практически все исследователи, раскрывая виды возможных нарушений основных свойств информации, приводят один и тот же перечень: к угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации; к угрозам доступности — блокирование информации; к угрозам целостности — модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.

При подключении ИС к внешним сетям передачи информации возникающие УИБ могут быть направлены на: информационные ресурсы, процессы, процедуры и программы обработки информации внутри ИС; информацию, передаваемую по сети передачи данных; коммуникационные узлы ИС; нарушение функционирования электронной почты (рис. 1) [6, 7].

analiz_1_05_2013_1

Последствием воздействия угроз является нарушение безопасности системы. Рассмотрим также и последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты ИС.

В целом, последствия могут быть связаны с «несанкционированным вскрытием», «обманом», «разрушением» и «захватом» (рис. 2).

analiz_1_05_2013_2

Рассмотрим существующие подходы к классификации УИБ [8–10] и определим их основные принципы.

1. Подход «Оранжевой книги» и «Общих критериев»

Подход заключается в сведении всех УИБ к трем основным классам — угрозам нарушения конфиденциальности, доступности и целостности. Данная классификация построена, в первую очередь, для оценки степени обеспечения ИБ в ИС. Соответственно, вопросы противодействия рассматриваются с точки зрения именно «оценки», а не «рекомендаций» для построения защищенных ИС.

Основным недостатком такого подхода является то, что одна и та же реальная угроза либо не подходит ни под один из классификационных признаков, либо, наоборот, удовлетворяет нескольким.

2. Промышленный подход

Потребность обеспечения требуемой ИБ в ИС корпоративного масштаба с разветвленной СПД вынудила появление новых коммерческих предложений и, соответственно, новых коммерческих продуктов в виде программных, аппаратных и программно-аппаратных комплексов защиты информации. В связи с этим некоторыми коммерческими организациями в целях построения реальных промышленных коммерческих продуктов были разработаны несколько типов классификаций.

Особенности этого подхода рассмотрим на примере классификации, разработанной специалистами компании DSECCT (Россия) [10], которая является наиболее характерным для данного подхода к классификации.

Изначально, для удобства создания конечного продукта, при разработке классификации специалистами этой компании во главу угла поставлен принцип попадания угроз только под один классификационный признак. Назовем его принципом «однозначности». При этом появляется возможность формализации и программно-аппаратной реализации однозначного противодействия всем угрозам, попадающим под один классификационный признак.

Так, в вышеуказанной классификации использованы пять уровней, различающие УИБ: по характеру, виду воздействия, источнику возникновения, объекту воздействия в целом и частному объекту воздействия. Следует отметить, что подобная классификация относится только к угрозам, имеющим технологический характер (1-й уровень классификации). Для угроз же организационного характера имеется 4 уровня. При этом 2-й уровень определяет объект, 3-й — вид и 4-й — цель воздействия угрозы.

В этом подходе больше внимания уделено угрозам технологического характера. Кроме того, в данной классификации выпадают воздействия локального нарушителя, направленные на каналы связи, на протоколы, на оборудование и линии связи.

3. Антивирусный подход [9]

Этот подход обусловлен тем, что на сегодняшний день наибольшая доля УИБ приходится на вирусные угрозы и является разновидностью промышленного подхода. Наиболее ярким примером такого подхода является классификация УИБ, разработанная создателем одной из самых популярных антивирусных программ Е. Касперским и опубликованная в журнале JetInfo [9].

При таком подходе классификация УИБ сводится к анализу и определению различных классов вирусов, глобальных сетевых атак и спама, т.е. рассматриваются основные разновидности угроз программного характера. Угрозы технического и организационного характера остаются вне поля зрения.

4. Подход Вихорева [8]

Основным принципом этого подхода является идентификация всех возможных источников УИБ, идентификация и сопоставление с источниками УИБ всех возможных факторов (уязвимостей), присущих объекту защиты, и сопоставление УИБ идентифицированным источникам и факторам. Другими словами, классификация УИБ проводится на основе анализа взаимодействия логической цепочки: «источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака)».

При этом под последствием понимается именно совершенная атака, направленная на нарушение ИБ, а не степень причиненного ущерба в результате ее совершения. С другой стороны, именно степень или величина причиняемого ущерба является наиболее существенной движущей силой, побуждающей принимать меры предосторожности для обеспечения гарантированного уровня ИБ информационных ресурсов не только при подключении ИС к внешним СПД, но и при построении замкнутых автономных компьютерных систем.

Именно отсутствие классификации по величине и степени возможного причиняемого ущерба и является основным недостатком этого подхода.

Резюмируя вышесказанное можно сделать следующие выводы:

существует большое количество способов классификации УИБ, которые сводятся к следующим основным разновидностям подходов:

• подход «Оранжевой книги» и «Общих критериев»;

• промышленный подход;

• антивирусный подход;

• подход Вихорева.

Каждый из существующих подходов, обладая несомненными положительными сторонами, тем не менее, имеют свои недостатки, которые не позволяют выбрать один из них в качестве универсального метода, в частности:

• основным недостатком подхода «Оранжевой книги» и «Общих критериев» является то, что одна и та же реальная угроза либо не подходит ни под один из классификационных признаков, либо, наоборот, удовлетворяет нескольким;

• промышленный подход используется для продвижения на рынке того или иного конкретного продукта и делает упор на его сильные стороны, приуменьшая значение факторов, по которым данный продукт является слабым. Например, классификация, разработанная специалистами компании DSECCT, в которой больше внимания уделено угрозам технологического характера, но в ней слабо отражены угрозы на каналы связи, протоколы, оборудование и линии связи;

• при антивирусном подходе классификация УИБ сводится к анализу и определению различных классов вирусов, спама и глобальных сетевых атак, т.е. рассматриваются основные разновидности угроз программного характера. В то же время угрозы технического и организационного характера остаются вне поля зрения;

• отсутствие классификации по величине и степени возможного причиняемого ущерба является основным недостатком подхода Вихорева.

Следовательно, постановка цели построения современного «Электронного правительства», расширение спектра задач, решаемых с применением современных ИТ, активное развитие сетевых технологий при современном состоянии актуализирует задачу разработки системного подхода к классификации угроз информационной безопасности, агрегирующего в себе положительные стороны существующих подходов и устраняющего их недостатки.