автореферат диссертации по радиотехнике и связи, 05.12.13, диссертация на тему:Защита данных от утечки по скрытым логическим каналам в телекоммуникационных сетях

005012130

Усов Павел Андреевич

ЗАЩИТА ДАННЫХ ОТ УТЕЧКИ ПО СКРЫТЫМ ЛОГИЧЕСКИМ КАНАЛАМ В ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ

Специальность 05.12.13 - "Системы, сети и устройства телекоммуникаций"

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

1 2 [4ДР 2612

Москва - 2011

005012130

Работа выполнена на кафедре "Электронно-вычислительные средства и информатика" Московского авиационного института (национального исследовательского университета).

Научный руководитель: кандидат технических наук, доцент,

Бутко Анатолий Иванович

Официальные оппоненты:

Ведущая организация:

доктор технических наук, профессор, Куприянов Александр Ильич кандидат технических наук, доцент, Медведев Николай Викторович Открытое акционерное общество "Концерн радиостроения "Вега" "

Защита состоится 20 марта 2012 г. в 10 ч. 00 мин. на заседании диссертационного совета Д212.125.02 при Московском авиационном институте (национальном исследовательском университете), расположенном по адресу: 125993, г. Москва, Волоколамское шоссе, д. 4 в зале заседаний Ученого совета.

С диссертацией можно ознакомиться в библиотеке Московского авиационного института (национального исследовательского университета).

Автореферат разослан 17 февраля 2012 г.

Отзывы и замечания по автореферату в двух экземплярах, заверенные печатью, просьба высылать по вышеуказанному адресу на имя ученого секретаря диссертационного совета.

Ученый секретарь диссертационного совета, к.т.н., доцент

Общая характеристика работы

Актуальность темы. При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи для некоторого заранее определенного разработчиками круга угроз.

Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды и Интернет, а также повсеместное внедрение информационных технологий уже не позволяет рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации, сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании традиционных методов обеспечения безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые угрозы безопасности, которые ранее подробно fie изучались или их реализация считалась не возможной.

В настоящее время особенно актуальны обозначенные проблемы при создании территориально распределенных сетей. Так как в итоге указанные проблемы способны проявить себя в виде угроз качественно нового уровня. Такие угрозы характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов сетей между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате, даже небольшое повышение уровня безопасности требует

серьезного совершенствования подходов к методам защиты информации и научном обосновании принимаемых решений.

К таким угрозам качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к локальным системам в контексте обеспечения конфиденциальности, целостности и доступности. Поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов.

Угрозы со стороны скрытых логических каналов направлены на нарушение конфиденциальности информации.

Современные методы защиты и требования нормативных документов, основанные на стратификации множества угроз по уровням секретности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде. При этом решения, найденные с использованием подобных методик, сильно ограничивают функциональные возможности защищаемой сети. Этот факт особенно остро ставит, помимо вышеуказанных, также задачу разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.

Цель работы. Определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарущения конфиденциальности информации в распределенных телекоммуникационных сетях

Решенные задачи. Для достижения обозначенной цели необходимым оказалось решение следующих задач:

• Проведение анализа существующих моделей и методов обеспечения безопасности для уточнения причин, приводящих к организации скрытых логических каналов.

• Проведение поиска скрытых логических каналов в обобщенной модели распределенной телекоммуникационной сети.

• Разработка сценария реализации скрытого логического канала и способа передачи по нему информации.

• Изучение особенностей передачи данных но скрытому логическому каналу, возникающему в телекоммуникационных сетях работающих с перегрузкой и определение характеристик такого капала.

• Проведение анализа нормативных документов и определение уровня угрозы утечек данных по скрытым логическим каналам.

• Изучение принципов управления информационными потоками в современном сетевом оборудовании и создание методики работы эффективного средства защиты.

При решении задачи поиска скрытых логических каналов была разработана обобщенная модель распределенной телекоммуникационной сети и стандартной политики безопасности, на основе которых проводился анализ безопасности связанных систем в целом и их проверки на наличие скрытых логических каналов. Полученные результаты позволили проанализировать принципы несанкционированной передачи информации в обход стандартной политики и на их основе разработать моде;п. скрытого логического капала. Созданная модель скрытого логического канала позволила теоретически обосновать и доказать работоспособность предложенного метода противодействия утечкам, а также определит!) основные подходы к созданию эффективного средства защиты.

В результате проведенных исследований было разработано программное обеспечение, позволяющее осуществить взаимодействие передающего и принимающего процессов для организации скрытого логического канала и передачи по нему данных, а также набор конфигурационных сценариев, реализующих метод

противодействия утечкам по скрытым логическим каналам. Был проведен эксперимент по имитации скрытого логического канала и его парированию. Эксперимент доказал работоспособность созданного средства защиты в условиях его применения в сетях общего доступа. На основе положительных результатов эксперимента были разработаны рекомендации по внедрению методик защиты и использованию в распределенных телекоммуникационных сетях.

Методы исследований. В процессе решения поставленных задач и анализе результатов эксперимента использовались научные методы описания модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.

Достоверность полученных результатов обусловлена использованием в работе широко известных и признанных моделей невыводимое™ и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.

Научная новизна работы заключается в следующем:

• На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях.

• Создана методика исследования и обнаружения скрытых каналов в распределенных системах, основанная на использовании новых информационных моделей певыводимости и невмешательства.

• Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.

Практическая значимость исследования выражается в том, что на основе предложенных п работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целыо определения уровня угрозы со стороны скрытых логических каналов, а также закопченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам п сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, и организациях где реализуются меры противодействия компьютерной или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.

Среди областей применения средства защиты можно отмстить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.

Публикации. По теме диссертационной работы опубликованы 4 печатные работы в журнале "Вопросы защиты информации".

Основные положения выносимые на защиту

• Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD.

• Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности.

• Для парирования угроз несанкционированного доступа по крытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика.

• Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.

Объем и структура работы

Объем работы составляет 161 страниц печатного текста, включая 28 рисунков, 4 таблицы, а также список использованной литературы из 108 наименований. Работа состоит из введения, четырех глав, списка использованной литературы и трех приложений.

Содержание работы

Во введении приводится обоснование актуальности создания средства защиты телекоммуникационных сетей, объединяющих распределенные вычислительные среды, от скрытых логических каналов, сформулированы цель и задачи исследований, определена научная новизна и практическая ценность работы, указан ее общий объем, дана информация о ее структуре и перечислены полученные результаты.

В первой главе производится обзор широко применяющихся в настоящее время методов защиты информации, различных политик разграничения доступа и моделей информационной защищенности. Среди них особое внимание уделяется политикам Харрисона - Руззо - Ульмна, Белла - ЛаПадула, а также моделям невыводимости и невмешательства. Приводятся их концептуальные основы, обоснования и анализируются особенности работы. Кроме этого делаются выводы о целесообразности рассмотрения скрытых логических каналов в контексте рассматриваемых политик безопасности распределенных телекоммуникационных систем.

В настоящее время, защита телекоммуникационных сетей строится с использованием двух основных типов политик разграничения доступа - дискреционных и мандатных. Основное назначение таких политик - это защита от несанкционированного доступа, однако в каждой из политик она реализуется на основе своих принципов. Политики описываются при помощи отношений субъект - объект и двух базовых операций чтения и записи.

Эти политики имеют одно очень важное отличие - в дискреционной политике правами доступа управляет пользователь, а в мандатной сама система. В результате при несанкционированном доступе, в случае использования в ней дискреционной политики, злоумышленнику будет достаточно установки стандартными средствами необходимых ему прав для доступа к требуемой информации. В случае же применения мандатной политики, выполнение декласси-фикации объекта подобным образом окажется невозможным и его перенос па более низкий уровень потребует поиска иных методов, позволяющих действовать в обход системы безопасности.

Соответственно, дискреционная политика разграничения доступа является уязвимой к простым и чрезвычайно популярным сегодня атакам "троянским конем", поскольку вредоносный код, запущенный от имени пользователя, может без ограничений со стороны операционной системы установить все необходимые злоумышленнику права. В системах с мандатным разграничением доступа используется более сложная уязвимость - скрытые логические каналы.

Для анализа скрытых логических каналов в настоящее время применяются две модели - модель невыводимости и модель невмешательства. Первая из них позволяет выявить, имеет ли низкоуровневый субъект возможность определения последовательности операций, исполняемых на высоком уровне, а вторая показывает оказывают ли операции выполняемые на высоком уровне влияние на результат операций исполняемых на низком. С точки зрения этих моделей, информационная система является безопасной от угроз со стороны скрытых логических каналов, когда анализ системы на соответствие обоим моделям дает положительный результат.

В работе, анализ информационной системы на соответствие этим моделям выполняется на основе рассмотрения ее внутренних состояний для субъектов работающих на разных уровнях секретности. Согласно модели Белла - ЛаПа-дула, в такой системе высокоуровневый субъект имеет доступ на чтение всех объектов, в то время как низкоуровневый может читать только объекты доступные для его уровня доступа. Для обоих субъектов определяется множество операций, вызывающих изменение состояния этих объектов.

Так, с точки зрения модели невыводимости, система будет безопасной только тогда, когда выполнение некоторой последовательности команд на высоком уровне не будет изменять ее состояние, фиксируемое на низком уровне или когда наблюдать за изменением ее состояния окажется невозможным. Но если если это условие не выполняется, то высокоуровневый субъект может вмешаться в работу низкоуровневого. Для ликвидации этого эффекта моделью невмешательства предусматриваются специальные нормализующие последовательности команд, исполнение которых удаляет весь нежелательный вывод в системе.

На основании выполненного обзора были сделаны выводы о том, что рассмотрение скрытых логических каналов в распределенных системах использующих дискреционные политики разграничения доступа, построенные на основе модели Харрисона - Руззо - Ульмана, является нецелесообразным. В случае использования в них мандатного контроля на основе модели Белла - ЛаПадула, анализ и обеспечение их безопасности необходимо проводить в соответствии с моделями невыводимости и невмешательства.

Во второй главе проводится анализ основных подходов к созданию распределенных телекоммуникационных сетей и различных способов реализации в них скрытых логических каналов. Большое внимание уделяется рассмотрению классификации и основных характеристик скрытых логических каналов а также причин приводящих к их появлению. Приводятся методы идентификации и парирования скрытых логических каналов в соответствии с требованиями нормативнымх документов по защите информации.

Распределенная информационная система - это связанная совокупность неза-

висимых узлов, линий связи, источников и потребителей информации, совместно реализующих задачи информационного обмена. Так, в зависимости от решаемых задач и характеристик распределенных систем, они будут иметь разные показатели безопасности. При этом, в настоящее время повышение этих показателей до самых высоких уровней неизменно связывается с анализом системы на наличие в пей скрытых логических каналов.

Шум

Рисунок 1 - Схема скрытого логического канала передачи данных

Скрытыми логическими каналами называются такие каналы, которые позволяют производить передачу данных с нарушением применяемой политики безопасности. Как правило, реализация скрыт!,гх логических каналов оказывается возможной за счет использования различных объектов системы, которые изначально не предназначались для передачи информации.

Обобщенная схема скрытого логического канала показана па рис. 1. Она состоит из передатчика и приемника, работающих па разных уровнях секретности, используемых ими кодеров и декодеров, объекта системы, использующегося для обмена блоками информации, и источников шума.

Скрытые логические каналы можно классифицировать но следующим признакам:

• По типу использования разделяемого ресурса - скрытые логические каналы по хранению и скрытые каналы по времени.

• По виду синхронизации - синхронные скрытые логические каналы и квазисинхронные скрытые логические каналы.

• По наличию шума - скрытые логические каналы без шума и скрытые логические каналы с шумом.

• По типу передачи данных - последовательные скрытые логические каналы и параллельные скрытые логические каналы.

• По виду защиты от ошибок - скрытые логические каналы без избыточности и скрытые логические каналы с наличием избыточности.

• По виду защиты от противодействия - скрытые логические каналы без резервирования и скрытые логические каналы с резервированием.

В качестве основных причин приводящих к появлению скрытых логических каналов можно выделить следующие:

1. Значительное повышение сложности технической реализации современных вычислительных систем, приводящей к тому, что исполнение сложных операций начинает приводить к конфликтам при доступе к определенным объектам распределенной системы, которые в таком случае могут быть использованы в роли разделяемых ресурсов.

2. Ошибки или неточности при формулировке политик безопасности, в результате которых появляются пути для "легальной" деклассификации информации, как например в широко известной проблеме системы Z.

3. Намеренное разрешение изначально запрещенных политикой безопасности потоков служебной информации, необходимых для функционирования современных клиент-серверных протоколов.

На основе анализа этих причин были разработаны различные методы поиска и идентификации скрытых логических каналов, наибольшую популярность из которых в виду высокой результативности и эффективности получили методы синтаксического анализа, матрицы разделяемых ресурсов и анализа на невыводимость и невмешательство. При этом исследование информационной системы

12

любым из перечисленных методов заключается в построении се модели и дальнейшем анализе для выявления разделяемых ресурсов и других путей утечки данных.

Защита распределенных систем и парирование всех найденных скрытых логических каналов может выполняться двумя основными способами - удалением всех тех объектов вычислительной системы, которые могут использоваться в роли разделяемых ресурсов, либо функций приводящих к их активации. Однако главным недостатком такого подхода является то, что его применение может оказаться невозможным в случае, когда удаляемые объекты или функции предназначены для решения основных задач защищаемой системы.

Тем не менее, при невозможности изменения структуры и функциональных характеристик информационной системы, для парирования скрытых логических каналов также можно использовать способ основанный на понижении их пропускной способности. В этом случае результат достигается при помощи генерации шума за счет случайного использования объектов, являющихся разделяемыми ресурсами, а также создания задержек при выполнении потенциально опасных операций. Очевидно, что при реализации защиты этим методом, полной ликвидации угрозы утечек информации не происходит.

По результатам изучения особенностей реализации скрытых логических каналов и методов противодействия утечкам информации, был сделан вывод о том, что повышение эффективности борьбы со скрытыми логическими каналами можно достигнуть путем разработки нового метода защиты, лишенного недостатков свойственных общепринятым подходам к этой проблеме. В частности, такой метод должен учитывать специфику реализации канала для минимизации влияния средств защиты на функциональность распределенной системы, а также включать оценку его качества, что позволит сформировать адекватный угрозе комплекс мер противодействия.

В третьей главе подробно рассматриваются факторы, влияющие па пропускную способность скрытых логических каналов, а также различные методы ее теоретической оценки.

Для оценки уровня угрозы, представляемой скрытыми логическими каналами, определяется их максимальная пропускная способность. В настоящее время известно несколько различных методов такого исследования скрытых логических каналов. В соответствии с ними, любой скрытый логический канал рассматривается как канал без шума с пренебрежимо малым временем установления синхронизации между единственными процессами приема и передачи. Изменение состояния разделяемого ресурса для передачи данных производится в соответствии с графом рис. 2.

О/а 1/(1

Рисунок 2 - Граф скрытого логического канала

Пропускная способность канала передачи данных определяется соотношением

о- (О

Г—оо Т

где ЛГ(Т) - число различных сигналов за время Т, в каждом конкретном случае можно определить на основе этого графа. Общее время передачи бита рассчитывается путем суммирования времени, необходимого для выполнения каждой операции, и определяется либо на основе технической документации, либо экспериментально. Эти промежутки времени обозначены на графе переменными а, Ь, с и й.

Также известен метод Миллена, позволяющий решить задачу нахождения С в общем виде, в соответствии с которым она сводится к выражению

С = log2 х, (2)

где х является наибольшим положительным корнем общесистемного уравнения

а;-(»+<0 _ х~* _ ^ + 1 - = 0. (3)

Несмотря на достаточную точность расчета пропускной способности, использование этого метода встречает ряд трудностей. В частности, для обеспечения достоверности полученного результата необходимо выполнить измерение времени выполнения операций с необходимой для этого точностью. Кроме того, при больших степенях х решение общесистемного уравнения также может представлять определенные трудности.

В таком случае, для определения пропускной способности скрытых логических каналов можно использовать более простую методику. В этом случае расчет пропускной способности производится па основе выражения

С =----(4)

где Тс„ - время на переключение задачи и смену контекста операционной системы, а Тг и Т„ рассчитываются по формулам:

Атцр + тио

' 77

т. = ±Ш (в,

■ , п г=1

где п - число возможных комбинаций значений битов и состояний. Соответственно, для двоичного алфавита п=4. Т, и Тг - время, требуемое для передачи и приема одного бита соответственно в каждом из состояний г. Тепу - время восстановления исходного состояния разделяемого ресурса.

В итоге, на основе приведенного в работе сравнения различных методов между собой, в третьей главе был сделан вывод о том, что метод Миллеиа, основанный на положениях теории информации, как правило, даст более точный результат. Это связанно с меньшим числом сделанных допущений и более точными оценками времени передачи бита в каждом из состояний. Однако, принимая во внимание то, что построение обобщенных формальных моделей

распределенных систем также ведется с множеством похожих допущений, для их анализа следует рекомендовать использование упрощенного метода.

В четвертой главе рассматривается обобщенная модель распределенной вычислительной системы, использующей как среду для передачи данных сеть общего пользования. Проводится ее всесторонний анализ на возможные утечки данных, и на основе такого анализа строится модель скрытого логического капала. Определяется круг и уровень угрозы найденной уязвимости. На основе проведенных исследований предлагается эффективный метод парирования скрытых логических каналов и реализация программно-аппаратного комплекса защиты от утечки данных.

Модель любой вычислительной системы можно представить в виде взаимодействующих между собой конечных множеств субъектов и объектов. В распределенных системах эти сущности следует рассматривать на двух различных уровнях - на уровне отдельных компонентов узлов в контексте безопасности локальной системы, и на уровне всей системы целиком, когда в качестве субъектов и объектов выступают уже сами узлы в виде функционально законченных элементов.

Помимо этого, для упрощения проведения дальнейших исследований, построение обобщенной модели распределенной системы выполнялось с учетом следующего. Модель должна:

• Описывать абсолютно все сущности распределенной системы и телекоммуникационной сети в минимальной конфигурации в виде субъектов и объектов, что позволит применить к модели различные методы анализа.

• Обладать полным набором команд, необходимых для передачи информации между элементами модели. При этом команды должны представлять собой полностью описанные последовательности действий, которые можно рассматривать с точки зрения синтаксического анализа.

• Иметь объекты, исполняющие роль переменных внутреннего состояния, которые необходимы для моделей невыводимости и невмешательства.

• Быть безопасной с точки зрения традиционных подходов к защите информации, что является обязательным условием целесообразности проведения исследования скрытых логических каналов.

Рисунок 3 - Обобщенная модель распределенной системы

Построенная с учетом этих требований модель показана на рис. 3. Она состоит из пар субъект-объект, которые выполняют роли взаимодействующих друг с другом процессов. Пара (S,,Oi) представляет собой два обменивающихся информацией узла распределенной системы. Система подключена к сети через систему безопасности представленную парами (52,02) и (53,03). К сети также подключены пользователи, представленные парой субъект-объект (SiA)-Кроме этого, в модели имеется объект Och представляющий собой переменную внутреннего состояния отражающую загрузку канала передачи данных.

Мандатная политика безопасности распределенной системы задана формально и относит ее к высокому уровню секретности, а пользователей сети к низкому, что исключает любую утечку данных к пользователям сети общего доступа. То есть передача данных от любого субъекта распределенной системы (Si ... 53) к объекту (04) запрещается. Это требование выполняется применением методов шифрования, например, при помощи протокола IPSec.

Также в модели определенны операции, необходимые для обмена информацией между субъектам и объектами, перечисленные в таблице 1.

Таблица 1 - Операторы модели распределенной вычислительной системы

Обозначение Наименование Функция

тИе{Зг,Ок) Запись данных Запись блока данных субъектом Б, в объект Ок

ЛеаОД.О*) Чтение данных Чтение блока данных субъектом 5; из объекта Ок

Соппес^иОк) Установка соединения Установка соединения по сети между субъектом Si и объектом Бк

01зсоппесь{3г,0к) Разрыв соединения Разрыв соединения по сети между субъектом и объектом Бк

5епй{Б{,Ок) Удаленная передача данных Передача в сеть блока данных от субъекта ^ для объекта Ок

Сгур^Ок) Шифрование Шифрование блока данных системой безопасности £>;, Ок

Бесгур^БиОк) Дешифрование Дешифрование блока данных системой безопасности 5;, Ок

Для упрощения описания шифрованного обмена информацией между 51 и 52, в модель были введены следующие дополнительные функции выраженные через указанные выше базовые операции:

• БесигеСоппесЦ) - выполняет установку защищенного шифрованного соединения между системами безопасности передающей (£¡2, О2) и принимающей (Яз, О3) стороны;

• БесигеВ1зсоппесЦ) - выполняет разрыв защищенного шифрованного соединения между системами безопасности передающей (£>2, О2) и принимающей (5з, 03) стороны;

• ЗесигеБепйО - выполняет передачу данных по защищенному каналу от к52;

Верность описанной выше политики безопасности по отношению к разрешенному набору операций проверялась ее исследованием на основе метода синтаксического анализа. Для этого была составлена последовательность действий по переносу данных и проведен дальнейший анализ полученных результатов на наличие запрещенных элементов. В результате, операций передачи данных с высокого уровня на низкий обнаружено не было, и следовательно был сделан вывод о корректности политики безопасности и соответственно адекватности построенной модели.

Поиск разделяемых ресурсов в модели проводился на основе БНМ метода, процедура применения которого состоит из следующих шагов.

На первом шаге выполняется поиск и определение всех объектов и операций определенных в исследуемой системе. Очевидно, что в данном случай их множества будут ограничены теми сущностями которые были'определены в модели распределенной системы.

На втором шаге выполняется построение матрицы разделяемых ресурсов и определение операций выполняющих модификацию и чтение состояния объектов. Эти данные можно получить на основе последовательностей, построенных для метода синтаксического анализа. В результате заполнения матрицы символами Я и IV, соответствующие действиям "чтение" и "запись", матрица, показанная в таблице 2, примет на высоком и низком уровне следующий вид:

Таблица 2 - Матрица разделяемых ресурсов

Oi 02 03 o4 och

Write w

Read, w

Connect RW RW w

Продолжение таблицы 2

Disconnect RW RW W

Send RW RW RW

Crypt R.

Decrypt R

SecureConnect RW RW RW

SecureDisconnect RW RW W

SecureSend W RW RW RW

Connect RW W

Disconnect RW W

Send RW RW

На заключительном шаге проводится анализ столбцов матрицы с учетом уровня секретности объектов с целью поиска разделяемых ресурсов. Из матрицы видно, что единственным разделяемым ресурсом является Ол- При этом, на низком уровне он оказывается доступным на чтение при помощи операции Send, а на высоком для записи операциями Connect, Disconnect, Send, SecureConnect, SecureDisconnect и SecureSend.

Среди перечисленных высокоуровневых операций при интенсивном обмене данными наибольшее влияние на разделяемый ресурс Och будет оказывать операция SecureSend. С учетом этого, можно предложить следующий алгоритм реализации скрытого логического канала:

1. Необходимо выполнить установку всех соединений, как в распределенной системе, так и между пользователями. Для этого используется функция SecureConnectQ и операция Connect(Si,0.i).

2. На низком уровне производится организация скрытого логического канала путем поглощения всей доступной пропускной способности сети методом непрерывной передачи данных при помощи последовательности команд Send{Si,Oi).

3. Высокоуровневый субъект S-\ инициирует передачу информации по скрытому логическому каналу путем отправки бита синхронизации. Для чего в течении заранее определенного промежутка времени выполняет функцию SecureSend изменяющую состояние Осп-

4. Низкоуровневый субъект S4 постоянно оценивает свою скорость передачи данных путем измерения времени исполнения операций Send. Во время проведения шага 3, в результате перегрузки, пропускная способность канала снижается. Обнаружив это, он выполняет синхронизацию своего таймера реального времени и ожидает определенный промежуток времени.

5. Далее S\ выполняет передачу бита информации. В зависимости от его значения производятся соответствующие изменения состояния канала при помощи SecureSend изменяющей Och-

6. Прием бита информации низкоуровневым субъектом S4 производится способом показанным в шаге 4 за тем исключением, что в зависимости от полученной скорости передачи информации в данный промежуток времени он регистрирует бит "1" или "О".

7. Для полной передачи байта необходимо произвести повторение шагов 5 и 6.

8. Шаги 5-7 повторяются до полной передачи всей информации.

9. Когда вся информация передана, производится парирование скрытого логического канала, для чего низкоуровневый субъект 54 перестает выполнять команды Send(Si,Oi).

10. В конце производится разрыв всех установленных соединений при помощи функции SecureDisconnectQ и операции Disconnect[84,04].

На этой основе найденный скрытый логический канал можно классифицировать как квазисинхронный последовательный канал по времени без шума и без резервирования.

Для определения круга угроз возможных утечек информации был проведен его анализ на основе моделей невыводимости и невмешательства. Для этого в работе были определены коэффициент!,I влияния операций на загрузку капала передачи данных и на их основе построена диаграмма взаимодействия распределенной системы и пользователя сети.

Коэффициенты влияния рассчитывались с учетом используемых технологий и протоколов. Полученные значения представлены в таблице 3.

Таблица 3 - Коэффициенты влияния операций

Операция: БссигсСоппссЬО 8есигеВ1зсоппес(;() ЗесигеЭепсЦ)

Коэффициент: 10 8 2

Операция: СоппеЩ) Б18соппес(;() вепсЦ)

Коэффициент: 3 4 2

Для проверки модели распределенной системы на невыводимость были проанализированы проверочные последовательности команд разной длины. Анализ показал, что в случае передачи данных по скрытому логическому каналу длинными и короткими случайными последовательностями, модель оказывается полностью невыводимой. Однако при использовании злоумышленником коротких псевдослучайных последовательностей, состоящих из одной операции выполняемой за единицу времени, модель окажется полностью выводимой. Тем не менее, стоит заметить, что в реальных вычислительных сетях общего пользования получение таких условий "молчания" всех подключенных к ней пользователям является чрезвычайно маловероятным.

Построенные проверочные последовательности также были использованы и для проверки модели на невмешательство, которые рассматривались в данном случае как нежелательный ввод в систему. Полученные результаты показаны на рис. 4. Его запрет очевидно приведет к невозможности эксплуатации распределенной системы. Таким образом, в соответствии с описанием модели невмеша-

тельства, этот факт также доказывает нарушение безопасности распределенной системы.

о Secure Connect() S, Connect() SecureSendQ... SecureSend() Send()... SendQ Send()... Send() Secure Disconnect() Disconnect()

ол 41 83

y, y2 t

Рисунок 4 - Скрытый логический канал с точки зрения невмешательства

Обрабатывая полученные результаты можно сделать вывод, что значения Och при анализе на невмешательство значительно превосходят значения полученные при анализе на невыводимость, что позволяет рассматривать именно вмешательство в качестве основной уязвимости.

С целью определения уровня угрозы, возникающей при реализации сценария нарушающего невмешательство, было проведено практическое моделирование взаимодействия двух процессов передающих данные по сети общего доступа. Для этого был разработан пакет программного обеспечения для ОС Linux позволяющий реализовать полнофункциональный скрытый логический канал. Эксперимент проводился в сети полностью соответствующей модели рис. 3.

В ходе эксперимента оценивалась загрузка канала па низком уровне при изменении нагрузки на сеть со стороны высокоуровневого процесса. В результате чего был получен график показанный на рис. 5.

nL 1 0

V

- -1- I ->•

Рисунок 5 - График загрузки канала на низком уровне 23

При этом были измерены промежутки U - к и рассчитано время передачи бита из различных состояний:

"О" - "1" = 250 мс "0" - "0" = 120 мс

"1" . "0" = 175 мс "1" - "1" = 120 мс

Затем на основе выражений (4) - (6) был проведен теоретический расчет максимально возможной пропускной способности скрытого логического канала. В результате

250 175 240

Т* = х+-г+т=166'25

Так как для передачи данных применяется код без возврата к нулю NRZ, то можно принять, что Тт = Ts. И в результате,

1

С =-= 2,989 Бит/с

2-166,25 + 2

В нормативных документах закреплено, что максимально допустимая пропускная способность скрытого логического канала не должна превышать 0,1 Бит/с. Поскольку рассчитанная величина оказалась значительно выше этого минимума, то можно сделать вывод о том, что обнаруженную уязвимость можно рассматривать как критическую.

Анализ возможности организации системы защиты с применением подробно рассмотренных во второй главе способов показал, что ликвидация разделяемого ресурса, представленного каналом передачи данных, из распределенной системы оказывается невозможным, затиумление не дает желаемого эффекта, а генерация задержек оказывается чрезвычайно неэффективной.

Однако из описания информационных моделей невыводимости и невмешательства известно, что защита также может быть построена на основе применения особых нормализующих последовательностей команд, удаляющих неже-

лательный вывод в системе. При этом для их генерации необходимо полностью оценить весь ввод в систему влияющий на 0^.

Из формального описания модели распределенной системы видно, что все данные до их передачи по сети проходят через пару (Зг.Ог), описывающую систему безопасности. Поскольку, в виду особого положения этой системы в модели, через нее выполняются все искомые операции, оценка ввода в систему может быть выполнена простым подсчетом количества передаваемой через нее информации в реальном времени.

Главной особенностью Осд является то, что все исполняемые операции изменяют его значение только в сторону увеличения до максимального значения равного доступной для распределенной системы пропускной способности канала передачи данных Стах. Поэтому, в такой ситуации в качестве "нормального" значения можно принять именно эту величину и формировать нормализующую последовательность на основе сделанной оценки по следующей формуле:

п

= Ошх - (7)

¿=1

Как было показано на рис. 4, вмешательство проявляется в момент смены последовательностей ввода. При этом, когда объем поступающих данных Рн(г) равен С,та, то в соответствии с (7), Х/ги будет равна 0. В случае же низкой активности со стороны распределенной системы, Х/т будет принимать значения, которые средством защиты будут преобразованы в определенное число команд, например, ЗесигеветИ). Следовательно, при исполнении Б (Х/ги) низкоуровневый субъект будет все время получать одинаковые значения пропускной способности, что позволяет сделать вывод о безопасности такой системы.

Схема средства защиты основанного на реализации этого принципа показана на рис. 6. Оно представляет из себя простой генератор сетевых пакетов и сумматор с функциями оценивателя. Основным требованием предъявляемым к этому узлу является оценка полезной пропускной способности и подмешивание в общий поток необходимого числа пакетов от генератора в реальном времени.

Несмотря на кажущуюся сложность практической реализации, в работе было представлено достаточно простое и эффективное решение основанное на свободном программном обеспечении и операционной системе Linux.

Входные данные Е

Генератор В сеть

Рисунок 6 - Схема средства защиты

Высокую точность оценки загрузки канала и высокую скорость реакции системы защиты на изменение последовательностей ввода в распределенной системе удалось достичь за счет применения технологий качества обслуживания (ЗоЭ и алгоритмов ограничения и приоритизации трафика НТВ.

Эти свойства разработанной системы защиты удалось подтвердить в результате эксперимента, методика которого заключалась в имитировании нагрузки на линию связи аналогичной при реализации скрытого логического канала и измерении величины потока от генератора и рабочей станции.

На рис. 7 показаны исходные сигналы, поступающие на средство защиты.

а - данные от распределенной системы; б - Данные от генератора Рисунок 7 - Графики входных сигналов.

Суммирование, а также обработка данных алгоритмом НТВ внутри системы безопасности представлена на рис. 8, где изображены суммированный и общий исходящий потоки данных. Исходящий поток характеризуется постоянной скоростью и состоит из двух частей - высокоприоритной информации от распределенной системы, а также низкоприоритетных данных от генератора.

Цу+У) 2

Цу.у')

т

V

1

/ / и ///

а) 6)

а - суммарный поток; б - данные после обработки Рисунок 8 - Графики сигналов внутри системы безопасности.

При этом, в результате их обработки средством защиты, все пакеты от генератора, не проходящие по пропускной способности, отбрасываются, а остальные начинают дополнять поток от распределенной системы до "нормальной" величины. То есть сигнал от генератора, проходя обработку в буферах средства защиты, превращается в искомую последовательность 5(Х/и|).

В заключении сформулированы основные выводы по проведенным исследованиям и результатам диссертационной работы.

1. В ходе анализа текущего состояния и тенденций развития технологий в области защиты информации было выявлено, что сейчас большую актуальность приобретают проблемы связанные с реализацией уязвимостей качественно нового уровня представленные скрытыми логическими каналами.

2. Обзор методов борьбы со скрытыми логическими каналами показал, что их применение налагает множество ограничений на работу защищаемой распределенной системы, что, как правило, ухудшает ее функциональные возможности и характеристики. Поэтому эффективная защита от скрытых логических каналов может быть реализована только на основе нового метода лишенного недостатков свойственных, общепринятым подходам к этой проблеме.

3. Для изучения скрытых логических каналов была предложена обобщенная субъектно-объектная модель распределенной системы и формальная политика безопасности. На основании ее исследования и построения матрицы разделяемых ресурсов, а также локализации обнаруженных проблем в безопасности, был сделан вывод, что причины появления скрытых логических каналов сводятся к наличию в модели единственного разделяемого ресурса, представляющего со-

бой линию связи сети общего доступа.

4. Определение круга угроз выполнялось на основе анализа моделей распределенной системы и скрытого логического канала с точки зрения информационных моделей певыводимости и невмешательства. При этом, угроза выводимости была охарактеризована как незначительная, поскольку она проявлялась лишь как частный случай. В то же время, вмешательство наблюдалось достаточно отчетливо, поэтому оно и было названо основной угрозой.

5. Для оценки уровня угрозы вмешательства был проведен практический эксперимент, в ходе которого выполнялось моделирование процессов приводящих к этой уязвимости. В результате, собранные данные о временных промежутках, требуемых процессу для изменения состояния канала передачи данных, позволили теоретически вычислить максимальную пропускную способность скрытого логического канала. При этом, угроза была классифицирована как критическая, поскольку рассчитанное значение оказалось значительно выше максимально допустимой стандартами.

6. В качестве средств борьбы с вмешательством была рассмотрена возможность применения стандартных средств и рекомендаций перечисленных в нормативных документах. Однако анализ их практического использования показал, что такая реализация приводит к нарушению нормальной связности между узлами распределенной системы и невозможности выполнения ей своих функций. На этой основе был сделан вывод о необходимости разработки метода защиты лишенного недостатков, ведущих к нарушению функциональности.

7. За основу для разработки средства защиты были взяты информационные модели невыводимости и невмешательства. На основе их применения было выработано "нормальное" условие безопасности, а также способы его достижения из любого состояния информационной системы при произвольной активности ее пользователей. При этом, в процессе разработки методики удалось добился значительных результатов в сокращении негативного влияния на процессы обмена информацией между отдельными узлами.

8. На основе предложенной методики была также выполнена разработка

высокоэффективного средства защиты от скрытых логических каналов. Реализация методики защиты была основана на особенностях реализации обработки пакетов данных в телекоммуникационном оборудовании. Оценка ввода пользователя и формирование "нормализующей" последовательности, требуемой для достижения безопасного состояния, была выполнена при помощи широко используемых методов обеспечения качества обслуживания С^оБ.

9. Использование в разработке средства защиты свободного программного обеспечения позволяет добиться простоты его внедрения, низкой стоимости и высоких эксплуатационных показателей.

В итоге можно заключить, что все поставленные в диссертационной работе задачи были успешно выполнены.

Список публикаций

1. Усов П.А. Некоторые аспекты защиты информации в телекоммуникационных сетях // Вопросы защиты информации №2, 2009

2. Усов П. А. Критика систем защиты от утечек информации на основе фильтров содержимого // Вопросы защиты информации №2, 2010

3. Усов П. А. Построение эффективных информационных диодов // Вопросы защиты информации №2, 2010

4. Усов П.А. Использование БЕЬтих для защиты информации на уровне приложений // Вопросы защиты информации №3, 2010

ч\

Множительный цента МАИ (НИУ) Заказ от08.О2. 2012.г. Тиражу экз.

61 12-5/1889

Московский авиационный институт (национальный исследовательский университет)

На правах рукописи

Усов Павел Андреевич

ЗАЩИТА ДАННЫХ ОТ УТЕЧКИ ПО СКРЫТЫМ ЛОГИЧЕСКИМ КАНАЛАМ В ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ

Специальность 05.12.13 - "Системы, сети и устройства телекоммуникаций"

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель -кандитат технических наук, доцент, А.И. Бутко

Москва - 2011

Содержание

1 Обзор методов обеспечения безопасности 9

1.1 Дискреционный контроль доступа....... ......................12

1.2 Мандатный контроль доступа..........................................23

1.3 Модель контроля целостности Биба..................................27

1.4 Ролевой контроль доступа.......... ..........................31

1.5 Модель невмешательства......... ............................34

1.6 Модель невыводимости.......... ............................39

2 Постановка задачи повышения эффективности борьбы со скрытыми логическими каналами в распределенной среде 42

2.1 Современные подходы к реализации распределенных систем ... 42

2.2 Определение и классификация скрытых логических каналов ... 46

2.3 Основные характеристики скрытых логических каналов ..........53

2.4 Причины возникновения скрытых логических каналов ............54

2.5 Идентификация скрытых логических каналов ......................58

2.6 Парирование скрытых логических каналов утечки данных .... 67

2.7 Требования нормативных документов по защите от скрытых логических каналов........................................................71

3 Принципы исследования скрытых логических каналов 76

3.1 Факторы влияющие на пропускную способность....................76

3.2 Определение пропускной способности скрытых каналов............78

4 Анализ скрытых логических каналов в распределенной среде

и разработка методики защиты 85

4.1 Разработка гибридной формальной субъектно - объектной модели распределенной вычислительной системы............................85

4.2 Построение модели скрытого логического канала в распределенной среде................................................................97

4.3 Исследование модели скрытого логического канала........104

4.4 Разработка метода парирования скрытого логического канала . . 114

4.5 Разработка средства защиты.....................119

4.6 Эксперимент ..............................131

4.7 Внедрение................................134

5 Заключение 138

6 Приложение А 150

6.1 config.h..................................150

6.2 service, h.................................150

6.3 service.с.................................151

6.4 receiver, с.................................154

6.5 transmitter.с...............................157

7 Приложение Б 161

7.1 data...................................161

8 Приложение В 161

8.1 qos....................................161

Введение

При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи и оптимизацию на защиту от некоторого заранее определенного разработчиками перечня угроз.

Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды Интернет, а также повсеместное внедрение информационных технологий в большинство технологических процессов, уже не позволяют рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании классических методов в обеспечении безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые риски, которые ранее не рассматривались как угрозы безопасности или их реализация прежде считалась невозможной.

В настоящее время особенно актуальны обозначенные проблемы при создании распределенных сетей. Так как в результате указанные проблемы проявляются в виде угроз качественно нового уровня. Они характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов систем между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате даже

небольшое повышение уровня защиты требует серьезного совершенствования подходов к обеспечению безопасности и научном обосновании принимаемых решений.

К способам реализации угроз качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к автономным системам в контексте обеспечения конфиденциальности, целостности и доступности локально обрабатываемой информации. И поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов. При этом, получаемые решения по обеспечению безопасности, основанные на использовании классических подходов, во многом являются частными и в виду их ориентации на индивидуальные особенности конкретной телекоммуникационной сети оказываются сложно переносимыми и весьма ограниченными в применении. Это обстоятельство ставит также задачу изменения подхода и к используемым моделям, вынуждая их становиться более масштабными и формальными, но тем не менее сохраняющими высокую степень адекватности в различных аспектах их применения.

Угрозы со стороны скрытых логических каналов направленны на нарушение конфиденциальности информации.

Современные методы защиты и требования нормативных документов, основанные на разделении всего спектра угроз по уровням безопасности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде, при этом сильно ограничивая функциональные возможности защищаемой сети. Это особенно остро ставит, помимо вышеуказанных, также разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.

Целью работы является определение методов и создание средства защиты

от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарушения конфиденциальности информации в распределенных телекоммуникационных сетях.

Предмет исследования - скрытые логические каналы несанкционированного доступа к ресурсам информационных сетей.

Объектом исследования данной работы является распределенная телекоммуникационная сеть.

Методы исследований примененные в данной работе для решения поставленных задач и анализа результатов эксперимента относятся к описанию модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики, теории множеств, теории графов и формальной логики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.

Научная новизна работы заключается в следующем:

• На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях;

• Создана методика исследования и обнаружения скрытых логических каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и. невмешательства;

• Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.

Достоверность результатов исследований обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.

Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной разведки, или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.

Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.

Основные положения выносимые на защиту:

• Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD;

• Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности;

• Для парирования угроз несанкционированного доступа по скрытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика;

• Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.

Структура работы

Работа состоит из четырех глав, введения, заключения, списка литературы и трех приложений.

В главе 1 приведен обзор традиционных методов и технологий защиты информации проведенный на основе [32] и включающий в себя анализ дискреционной, мандатной и ролевой модели контроля и управления доступом, а также обеспечения целостности информации. Кроме этого, был проведен анализ моделей невыводимости и невмешательства используемых для изучения скрытых логических каналов.

В главе 2 был выполнен анализ технологий применяемых при построении современных распределенных вычислительных сетей, выявлены характерные недостатки их защиты. Проведено подробное исследование скрытых логических каналов, рассмотрены различные методы поиска и противодействия скрытым логическим каналам, а также проанализирована эффективность рассмотренных методов. На этой основе была сформулирована задача повышения эффективности защиты распределенных систем.

В главе 3 были рассмотрены специальные методы анализа скрытых логических каналов и расчета их точной пропускной способности необходимой для проведения дальнейших исследований.

В главе 4 была построена и исследована на безопасность модель распределенной вычислительной системы, в которой был проведен поиск скрытых логических каналов. Кроме этого, было проведено специальное исследование найденного скрытого логического канала и определен круг и уровень угроз этой уязвимости, выполнен анализ возможности применения рекомендаций нормативных документов и на основании чего была предложена эффективная методика борьбы со скрытым логическим каналом разработанная на основе моделей

невыводимости и невмешательства, а также предложена реализация средства защиты.

1 Обзор методов обеспечения безопасности

Для того, чтобы понять от чего необходимо защищать информацию, следует ввести понятие угрозы. В соответствии с [33] "угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее".

Относительно вычислительной системы можно сказать, что угроза безопасности информации - это возможное происшествие, преднамеренное или нет, которое может оказать нежелательное воздействие на активы и ресурсы, связанные с этой вычислительной системой. Следовательно, существование угрозы информационной безопасности еще не является достаточным условием нарушения этой безопасности. Тем не менее, факт возможного нарушения требует принятия мер защиты. [32]

Среди угроз, как правило, выделяются три различных типа:

• относящиеся к нарушению конфиденциальности информации;

• относящиеся к нарушению целостности информации;

• относящиеся к нарушению доступности информации.

Угроза нарушения конфиденциальности (раскрытия) информации заключается в том, что информация становится известной не уполномоченному на это лицу. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин "утечка информации".

Вопросы защиты от угрозы раскрытия могут затрагивать не только вопросы защиты от несанкционированного доступа к информации, но и вопросы защиты от угрозы раскрытия самого факта существования информации. В качестве примера можно привести защиту от угрозы раскрытия факта существования финансовой сделки (а не ее содержания).

Таким образом, оценка защиты компьютерной системы от угрозы раскрытия информации требует оценки адекватности методов защиты от этой угрозы и оценки механизмов, реализующих эти методы. [32]

Угроза нарушения целостности информации включает в себя любую возможность несанкционированного изменения информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Целостность информации может нарушится как вследствие ее преднамеренного изменения нарушителем, так и в результате случайной ошибки.

Угроза нарушения целостности в общем случае относится не только к данным, но и к программам. Это позволяет рассматривать угрозу нарушения целостности программного обеспечения (и как один из аспектов угрозу внедрения в него вирусов и троянских программ) как частный вопрос, связанный с угрозами нарушения целостности.

Говоря о целостности информации, необходимо иметь в виду не только проблемы, связанные с несанкционированной модификацией данных, но и вопросы связанные со степенью доверия к источнику, из которого были получены данные (от кого получены данные, как они были защищены до внесения в вычислительную систему, как были внесены и т.д.). Как следствие этого оценка защиты вычислительной системы от угрозы нарушения целостности требует не только оценки адекватности методов защиты от этой угрозы и оценки механизмов, реализующих эти методы, но и оценки степени доверия к происхождению данных, что делает защиту от угроз нарушения целостности гораздо более трудной. [32] Угроза нарушения доступности (отказа в обслуживании) - возможность блокирования доступа к некоторому ресурсу вычислительной системы, которая может быть реализована в результате как умышленных действий нарушителя, так

и совокупности случайных факторов. Блокирование может быть постоянным, так что запрашиваемый ресурс никогда не будет получен авторизованным пользователем, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным (в таких случаях говорят, что ресурс исчерпан). Наиболее частые примеры атак, связанных с отказом служб, включают в себя такое занятие одним или несколькими пользователями ресурсов общего пользования (принтеры или процессоры), при котором другие пользователи не могут с ними работать. Пока эти ресурсы не являются частью некоторого критического приложения, данный тип атаки может не считаться слишком опасным. Однако если доступ к ресурсу должен быть получен своевременно, то атак отказа в обслуживании надо избежать.

Вопросы защиты от угрозы нарушения доступности связаны с вопросами надежности систем. При разработке систем обычно принимается во внимание поведение системы, соответствующее ее норм