 |
Основные определения и критерии классификации угроз
|
|
|
|
Классификация угроз безопасности
Под угрозой безопасности информации, понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы можно классифицировать по нескольким критериям:
- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
- по критерию информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
- по компонентам КС, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
- по расположению источника угроз (внутри/вне рассматриваемой КС).
По способу осуществления угрозы КС принято делить следующим образом:
| УГРОЗЫ БЕЗОПАСНОСТИ | |||||
| Естественные - составляющие элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека | магнитная буря, приводящая к отказу электронных устройств; стихийные бедствия – пожар, наводнение, землетрясение, ураганы, удары молнии, обвалы и т.п. По статистике, на долю огня, воды и т.п. (последствия - перебой электропитания или разрушение элементов КС) приходится 13% потерь, нанесенных информационным системам | ||||
| Искусственные - вызваны деятельностью человека | Непреднамеренные (случайные) | - ошибки в ПО - выход из строя аппаратных средств - неправильные действия пользователей (особенно администрации) | |||
| Преднамеренные | преследуют цель нанесения ущерба как пользователям КС, так и непосредственно инфраструктуре КС | активные | имеют целью нарушение нормального процесса функционирования КС посредством целенаправленного воздействия на аппаратные, программные и информационные составляющие, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ЭВМ или ОС, искажение системной информации, данных БД. Источниками могут быть программные вирусы, непосредственные воздействия нарушителей (атаки) и т.п.. Атака – это попытка реализовать угрозу | ||
| пассивные | несанкционированное использование информационных ресурсов без влияния на КС, например, прослушивание каналов передачи информации | ||||
|
|
|
Классификация угроз по критерию информационной безопасности - доступность, целостность, конфиденциальность
Доступность
Самые частые и самые опасные (с точки зрения размера ущерба) угрозы доступности - непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Очевидно, что самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.
Другие угрозы доступности классифицируются по компонентам КС, на которые они нацелены:
- отказ пользователей;
- внутренний отказ информационной системы;
- отказ поддерживающей инфраструктуры.
Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.
В ГОСТ Р 51272-99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положение» вводится следующее понятие вируса:
n Программный вирус – это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить, уничтожить или похитить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
|
|
|
выделим следующие характиристики вредоносного ПО:
- вредоносная функция;
- способ распространения;
- внешнее представление.
По механизму распространения различают:
- вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
- "черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).
Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на путешествия по сети.
| Основные угрозы целостности На второмместе по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен общий ущерб в размере 882 миллионов долларов. Можно предположить, что реальный ущерб был намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты; не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно УГРОЗЫ ИБ К наиболее распространенным угрозам относятся: 1. Ошибки пользователей. Самыми частыми и опасными являются непреднамеренные ошибки пользователей, операторов, системных администраторов и другого персонала, обслуживающего ИС. Считается, что 65% потерь – следствие таких ошибок. Способ борьбы с ними – это максимальная автоматизация работы персонала и строгий контроль за правильностью совершаемых действий 2. Кражи и подлоги. (~ 1 млрд $ ежегодно). В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, ознакомленные с защитными мерами. Мотивы – разные. Администрации необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались. Т. о. любая внутренняя угроза является гораздо опасней внешней. 3. Угрозы, исходящие от окружающей среды. Аварии, сбои, стихийные бедствия, гражданские беспорядки. На долю этих угроз приходится 13% потерь, наносимых ИС. 4. Хакеры 5. Программные вирусы – там, где работают, а не играют, число зараженных компьютеров составляет менее 1% |
|
|
|
- Модели безопасности многопользовательских компьютерных систем
ОПРЕДЕЛЕНИЯ
Политика безопасности (Security Policy). Совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.
Модель безопасности (Security Model). Формальное представление политики безопасности.
Дискреционное или произвольное, избирательное управление доступом (Discretionary Access Control). Управление доступом, основанное на заданном администратором множестве разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>).
Мандатноe или нормативное, управление доступом (Mandatory Access Control). Управление доступом, основанное на совокупности правил предоставления доступа. определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от грифа секретности информации и уровня допуска пользователя.
Ядро безопасности {Trusted Computing Base. TCB). Совокупность аппаратных, программных и специальных компонент ВС. реализующих функции защиты и обеспечения безопасности.
Объект - пассивный компонент системы, единица ресурса системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление).
Доступ к ресурсу - получение субъектом возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.
|
|
|
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Разграничение доступа к ресурсам системы - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.
Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.
МОДЕЛИ БЕЗОПАСНОСТИ
Политика безопасности (Security Policy). Совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.
Основу политики безопасности системы составляет логический способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, соответствует названию политики безопасности. Логическое управление доступом – это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов, а также их доступность - путем запрещения обслуживания неавторизованных пользователей.
На сегодняшний день создан ряд типовых моделей управления доступом, которые можно использовать при разработке системы безопасности, из них лучше всего изучены:
- избирательная/дискреционная/произвольная (Discretionary Access Control) или матричная модель
- полномочная/мандатная/принудительная (Mandatory Access Control) или модель уровней безопасности
- смешанная модель – атрибутные схемы (Attribute-Based Access Control - ABAC)
1. Произвольное управление доступом (дискреционное) - это метод разграничения доступа к объектам, основанный на учете идентификатора субъекта или группы, в которую входит субъект. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Первая попытка (успешная) построения и использования матричной модели была предпринята при разработке защищенной ОС ADEPT-50 по заказу министерства обороны США.
Поведение этой модели описывается простыми правилами:
- пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей
- пользователю разрешен доступ к консоли (терминал или ПК, выступающий в роли устройства ввода команд для ЭВМ, удаленной ЭВМ, локальной сети и т. п.), если он входит в подмножество пользователей, закрепленных за данной консолью
- пользователю разрешен доступ к файлу, если:
- пользователь входит в подмножество допущенных к файлу пользователей
|
|
|
- режим доступа задания пользователя включает режим доступа к файлу
- уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла
Отношение “субъекты-объекты” можно представить в виде матрицы доступа, в строках которой перечислены субъекты, а в ячейках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа и дополнительные условия (например, время и место действия).
Фрагмент матрицы, может выглядеть, например, так:
 объекты
субъекты
| Файл | Программа | Линия связи | Реляционная таблица |
| пользователь1 | prwс системной консоли | x | rw с 8:00 до 18:00 | |
| пользователь2 | а |
p- (pass permission) разрешение на передачу прав другим пользователям
r – (read) чтение
w- (write) запись
x – (eXecute) выполнение
a – (add) добавление
Модель Лэмпсона (~1970), усовершенствованная позднее Грэхемом и Деннингом. Основу их модели составляет матрица (таблица) доступа A (m×n), в которой столбцы O1,O2,…On представляют объекты доступа, а строки S1,S2,…Sm – субъекты доступа. Элемент таблицы A[Si,Oj] содержит список видов доступа T1,T2,…Tk,..Tl, который определяет привилегии доступа субъекта Si по отношению к объекту Oj.
Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом. Таким образом, субъект Si получит соответствующий доступ Tk к объекту Oj только в случае, если составной элемент матрицы A[Si,Oj] содержит значение Tk.
O1…………………….Oj………………On
| S1 | ||||
| Si | A[Si,Oj]={T1,T2Tk,..Tl} | |||
| Sm |
Harrison, Ruzo и Ullman (1976) - Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одному столбцу для каждого субъекта и объекта. Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.
| Субъекты | Объекты | Субъекты | ||||
| Чтение Запись | Чтение | --------- | Запись | Чтение | ||
| Чтение | Чтение Исполне-ние | Чтение Запись | Чтение | --------- | ||
| Чтение Запись | Исполне-ние | Чтение | Запись | --------- |
------------------------------------------------------------------------------------------------------------------
Модель матрицы доступа может быть дополнена набором функций перехода. Элементы матрицы доступа в этом случае содержат указатели на специальные процедуры, которые должны выполняться при обращении субъекта к объекту. Решение о доступе принимается на основании результатов выполнения процедур. Например:
- решение о доступе в данный момент основывается на анализе предыдущих доступов к другим объектам;
- решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав доступа других субъектов):
- решение о доступе основывается на значении определенных переменных, например, на значении системного времени.
Размерность матрицы доступа зависит от количества субъектов и объектов в системе и может быть достаточно большой. К тому же, матрицу, ввиду ее разреженности (большинство ячеек – пустые) неразумно хранить в виде двумерного массива. Для уменьшения размерности матрицы могут применяться различные методы:
|
|
|
