Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Каким бывает ущеpб от пpоникновения




Ромская лабоpатоpия - один из основных исследовательских центpов ВВС США в Нью-Йоpке. В этом центpе идут исследования в области искусственного интеллекта и систем наведения. Лабоpатоpия тесно сотpудничает с научно-исследовательскими институтами и очень зависит от Интеpнета.

С маpта по апpель 1994 года один бpитанский и один неустановленный хакеp совеpшили 150 пpоникновений в ее вычислительную сеть. Они использовали тpоянские кони и анализатоpы пакетов. Они также пpедпpиняли меpы, чтобы скpыть свои следы. Вместо того, чтобы напpямую получить доступ в компьютеpы Ромской лабоpатоpии, они сначала по телефонным каналам подключились к компьютеpу в Южной Амеpике, затем установили соединение с pядом машин на обоих побеpежьях США, а уж потом пpоникли в лабоpатоpию.

Атакующие получили полный доступ к компьютеpам Ромской лабоpатоpии на несколько дней и установили соединение с pядом заpубежных машин. За это вpемя они скопиpовали туда такую важную инфоpмацию, как данные для системы ввода полетных заданий. Маскиpуясь под довеpенных пользователей Ромской лабоpатоpии, они успешно атаковали системы в дpугих пpавительственных сетях, таких как Годдаpдовский центp в НАСА, авиабазу Райта-Паттеpсона и дpугие. Точный ущеpб так и не удалось оценить, а так как один из хакpов так и не был пойман, то куда попали скопиpованные данные, остается загадкой. Оpиентиpовочная стоимость ущеpба составляет 500 тысяч доллаpов.

Вот основные составляющие этой суммы:

-вpемя, на котоpое системы были выведены из pаботы
-вpемя на пpовеpку целостности системы,
-вpемя на заделывание уязвимых мест
-вpемя на восстановление сеpвиса

-ущеpб из-за невозможности исполнять свои обязанности сотpудниками лабоpатоpии из-за неpаботоспособности сети

В эту сумму не вошла стоимость исследовательских данных, похищенных и скомпpометиpованных злоумышленниками. Официальные лица лабоpатоpии заявили, что 3 года исследований и 4 миллиона доллаpов, вложенных в исследовательский пpоект полетных заданий оказались скомпpометиpованы, и убытки были бы еще больше, если бы злоумышленники захотели уничтожить эти данные.

Кpоме того, пpедставители Центpа Инфоpмационной Войны ВВС США заявили, что так как хакеpы pаботали на заpубежную pазведку, то они могли иметь намеpение установить пpогpаммные закладки в пpогpаммы, котоpые были бы активиpованы чеpез много лет, возможно для вывода из стpоя систем упpавления оpужием.

 

Что именно и от чего именно нужно защитить?

Неопределенность постановки задачи ведет к неопределенности ее решения. Для задач защиты компьютерных сред существенно еще и то, что невозможна количественная оценка истинной прочности защиты.

Сегодня концепция безопасности информации в компьютерных системах предполагает защиту вычислительной среды, в которой работают множество <субъектов> (пользователей и процессов) со множеством <объектов> (ресурсов и наборов данных). Эта защита должна обеспечиваться множеством специальных процедур, способных под управлением некоего ядра безопасности реализовать санкционированный доступ <субъектов> к <объектам> и защиту последних от всех внешних и внутренних угроз - возможных несанкционированных действий <субъектов-нарушителей> и случайных процессов.

Сложность решения этой задачи очевидна - исходные данные неопределенны. Неизвестно все: предмет защиты (множество <объектов> доступа); виды и количество угроз; <субъекты> доступа (множество процессов); возможные механизмы взаимодействия <субъектов> с <объектами> (поскольку в самой концепции нет привязки к объектам ее реализации - компьютерным системам). Если число штатных <объектов> и <субъектов> доступа (кроме процессов) в конкретной системе еще как-то можно определить, то виды и количество процессов, возможных преднамеренных (несанкционированных) и случайных воздействий в сетях (особенно в региональных или глобальных) учету не поддаются. Проверить стойкость защиты к каждой ожидаемой угрозе вообще не представляется возможным.

Создаваемая защитная среда носит сугубо декларативный характер, так как нельзя определить ее границы и <плотность>, т. е. отсутствует механизм образования защитной оболочки. На практике защитная среда реализуется в виде набора функций, который определен нормативными документами. Однако в этих документах отсутствуют количественные показатели прочности защиты и используется лукавый термин <защищенность>. Печальный вывод очевиден: в основу проектирования защиты априори закладываются пути ее обхода, а получение аттестата о наличии у вас <самой красивой морковки> не означает, что она у вас вообще есть.

Не сменить ли курс?

Вспомним, что решение любой проблемы как в науке, так и в повседневной жизни начинается с поиска уже готовых решений. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и/или интеллектуальная замкнутая преграда, преодоление которой в достаточной мере не по силам потенциальному нарушителю. Этот принцип используется, например, в системах охранной сигнализации вокруг локальной вычислительной системы. Но в самой вычислительной системе реализовать принцип создания защитной оболочки пока не удалось никому.

Это станет возможным при изменении концептуального подхода к постановке задачи. Следует установить: что, где, от чего и когда требуется защитить? Путь к успеху идет через непростую, но решаемую задачу обобщения множества вычислительных структур вплоть до физического уровня <объектов> - устройств, технических средств, автоматизированных систем обработки информации и физических связей между ними. Затем нужно определить типовые элементы обработки информации с позиций сосредоточения и распределения защищаемых данных, разработать общие и типовые решения для таких элементов и для более сложных структур.

 

Объекты и субъекты

Предметы защиты могут быть весьма различными по ценности и важности, более того - принадлежать разным собственникам. Предметом нашей защиты, по определению, является информация, поэтому следует выделить ее из множества <ресурсов> и защищать последние только тогда, когда обеспечить безопасность самой информации сложно. И даже не все ресурсы, а только те из них, через которые возможен доступ к сведениям, или те, несанкционированный доступ к которым ставит под угрозу право собственника беспрепятственно работать со своими данными.

Но в одной компьютерной системе могут циркулировать разные виды информации, принадлежащие разным собственникам. Например, несколько региональных и глобальных автоматизированных систем управления (АСУ) различного назначения могут использовать одну или несколько связанных между собой вычислительных сетей. По общей сети передаются несколько видов информации, принадлежащих разным АСУ, а также собственные данные этой сети.

Если у сети свой владелец, то он несет ответственность за доверяемую ему информацию перед каждым владельцем АСУ, и уровень доверия и ответственности определяется рамками соглашений, обеспечивающих безопасность данных. Если каждая система принадлежит государственной организации, то за информацию (в рамках своих полномочий и цены этой информации) отвечают должностные лица.

Перед проектированием системы должны быть определены перечень, цена, владельцы, места сосредоточения и циркуляции в ней сведений, подлежащих защите.

Принципиально важным моментом постановки задачи защиты в общем виде является выбор такой типовой структуры системы обработки информации, которая позволила бы распространить ожидаемые результаты решения этой задачи на частные случаи (от ПК до глобальной сети) независимо от аппаратной и программной платформ, на которых они базируются.

Обычно используются два принципа обработки информации - централизованный и распределенный. В соответствии с первым функционируют вычислительные комплексы с централизованной архитектурой, узлы коммутации сообщений, рабочие станции, автоматизированные рабочие места и вспомогательные технические средства (серверы, маршрутизаторы, концентраторы, коммутаторы и др.). Второй принцип применяется в локальных, региональных и глобальных сетях, а также в АСУ соответствующих масштабов. По сути, вычислительная сеть - та же АСУ, только с двухступенчатой иерархией управления.

Системы с централизованной обработкой данных могут являться элементами сети или АСУ. Но элементами последних могут быть и локальные вычислительные сети (ЛВС), в состав которых входят свои системы с сосредоточенной обработкой данных. Более того, несколько таких ЛВС могут быть объединены в одном элементе сети и т. д.

Для решения поставленной задачи сначала рассмотрим более простые структуры - с централизованной и распределенной обработкой данных. Первую назовем комплексом средств автоматизации (КСА), а вторую представим в двух видах - АСУ и сети передачи данных (СПД), абонентами и узлами коммутации которой являются КСА, образующие с помощью оборудования передачи данных и каналов связи упомянутую АСУ.

 

Потенциальные угрозы

Условия сохранения права собственности определяют виды угроз для информации: это утечка, модификация и утрата. Под утечкой информации понимается несанкционированное ознакомление с ней постороннего лица. Модификация - несанкционированное изменение информации на корректную по форме и содержанию, но другую по смыслу. Понятие утрата объединяет и хищение, и искажение с потерей смысла, и уничтожение или недоведение информации до адресата. Все остальные угрозы в конечном итоге сводятся к этим трем. Угрожающие события могут происходить случайно (из-за ошибок пользователей, сбоев или отказов аппаратуры, алгоритмических или программных ошибок, аварийных ситуаций, стихийных бедствий) или создаваться нарушителем преднамеренно.

Нарушителем может стать любой - законный пользователь или постороннее лицо, одиночка или член организованной группы, имеющей доступ к компьютерной системе, человек любой квалификации. Эти исходные данные следует учитывать.

Определим <точки приложения угроз>. Случайные воздействия возможны в любой точке системы, т. е. на всей ее <площади>. Момент воздействия определяется законами случайных чисел. Методы анализа случайных процессов достаточно хорошо исследованы, поэтому соответствующие средства защиты и методы оценки их эффективности уже разработаны.

Преднамеренные действия нарушителя начинаются на периметре системы. Нарушением считается попытка доступа к любой части информации, подлежащей защите. Точно предсказать время и характер его действий нельзя, поэтому целесообразно выбрать наиболее опасную для компьютерной системы модель возможного поведения и <характера> нарушителя:

  • он может появиться в любое время и в любой точке периметра системы;
  • его квалификация и осведомленность будут соответствовать важности защищаемой информации;
  • постоянно хранимая информация, содержащая принципы работы системы (включая секретную), нарушителю известна;
  • для достижения своей цели он выберет наиболее слабое звено в защите;
  • нарушителем может быть не только постороннее лицо, но и законный пользователь системы.

К перечисленным данным целесообразно добавить, что нарушитель действует один, без сообщников, имеющих доступ к конкретной системе. Защита от организованной группы нарушителей - значительно более сложная задача, решить которую можно только после того, как вы разберетесь с простой.

Фундамент защиты

Основу любой системы защиты составляют следующие положения:

1. Обеспечение безопасности информации в компьютерных системах заключается в создании таких условий ее ввода (вывода), хранения, обработки и передачи, при которых гарантируется достаточная степень защиты от утечки, модификации и утраты, а также свободный доступ к данным только их владельца и его доверенных лиц.

2. При проектировании защиты выполняется определенная последовательность действий. Прежде всего, информация, подлежащая защите в заданной компьютерной системе, классифицируется в соответствии с ее характером, степенью важности и временем жизни. Обязательно учитывается место ее размещения. В зависимости от характера и важности информации выбираются квалификация и модель поведения потенциального нарушителя, по которой устанавливаются виды и число возможных каналов несанкционированного доступа (НСД) к информации и ресурсам. На основе их анализа выбираются готовые или создаются новые средства защиты, способные перекрыть эти каналы. Для защиты информации от случайных воздействий анализируется достаточность средств сохранения надежности системы и обеспечения достоверности и резервирования информации.

3. Для создания единого постоянно действующего механизма защиты выбранные средства объединяются с помощью выделенных средств централизованного управления в единую автоматизированную систему безопасности информации (СБИ), которая тоже анализируется для выявления возможных путей обхода защиты. Если таковые обнаруживаются, они перекрываются соответствующими средствами.

4. Стратегия и тактика защиты от преднамеренного НСД заключается в применении средств контроля, блокировки и предупреждения событий. Средства контроля и блокировки устанавливаются на каналах потенциального НСД, если это возможно технически или организационно, а средства предупреждения (превентивные средства) применяются там, где такие возможности отсутствуют.

5. Получить количественную оценку прочности защиты (вероятности ее преодоления) позволяет временной фактор. Если время контроля и передачи сообщения о НСД в центр управления и контроля защиты меньше ожидаемого времени, затрачиваемого нарушителем на преодоление средств блокировки доступа к информации, то вероятность преодоления средства защиты будет равна 1. При обратном соотношении указанных величин прочность защиты меньше 1. Средства предупреждения НСД обеспечивают достаточную прочность, если ожидаемые затраты времени на преодоление преграды будут больше времени жизни информации, подлежащей защите. Время в защите - решающий фактор!

6. При расчете прочности средства защиты следует анализировать его с целью поиска <путей обхода>. Если таковые имеются, данное средство дорабатывается. Если путь обхода данного средства <перекрывается> другим средством, то следует рассчитать его. И так следует поступать до тех пор, пока не будет обеспечено полное перекрытие всех возможных каналов НСД. Именно так можно построить виртуальную оболочку защиты информации.

7.

Защитная оболочка.

Средства защиты, перекрывающие возможные каналы НСД к информации компьютерной системы, образуют защитную оболочку. Степень безопасности системы определяется полнотой перекрытия этих каналов и возможных путей обхода средств защиты.

Прочность защитной оболочки определяется наименьшим значением прочности составляющих ее средств защиты. Защитная оболочка должна быть однородной, т. е. состоять из средств защиты, размещаемых на каналах НСД одного типа и построенных по одному принципу. В компьютерной системе целесообразно иметь виртуальные защитные оболочки двух видов - контролируемую и превентивную. В компьютерной системе с централизованной обработкой данных, например на базе мэйнфрейма, возможны контролируемые и неконтролируемые каналы НСД. К первым относятся терминалы пользователей, средства отображения и документирования информации, ремонтируемая аппаратура, средства загрузки ПО, линии связи между техническими средствами, технологические пульты и органы управления, документы, внешние каналы связи (если данная система является абонентом вычислительной сети). Неконтролируемых источников несколько меньше - носители информации, носители с остатками информации, мусорная корзина, побочное электромагнитное излучение и наводки в сетях питания, заземления и в <посторонних> коммуникациях.

На всех указанных каналах можно установить соответствующие средства защиты, образующие виртуальные защитные оболочки. Например, контролируемую оболочку могут составить система контроля за доступом в помещения, средства идентификации и аутентификации внешних и внутренних пользователей, контроля за вводом/выводом, за доступом к загрузке ПО, за вскрытием аппаратуры, за доступом к документам.

Превентивную защитную оболочку на неконтролируемых каналах создают другие средства, которые обеспечивают шифрование информации (хранимой или транспортируемой на носителях), ее удаление с помощью наложения на исходные данные случайной последовательности символов, гарантированное физическое уничтожение неремонтируемых носителей с остатками данных, уменьшение электромагнитного излучения и активного зашумления полезного сигнала.

К показателям прочности выбранных средств защиты для каждой оболочки следует добавить показатель прочности защиты от НСД при <законном> входе в систему пользователя с помощью пароля. Количество символов пароля и алфавит символов, из которых он выбирается, должны отвечать специальным условиям. Эти условия определяют зависимость длины пароля и набора символов от вероятности проникновения в систему за определенное число (набор) попыток. После каждого такого набора должно вырабатываться сообщение о НСД.

Специалисты наверняка обратят внимание на то, что в данной концепции не указывается на необходимость присутствия в оболочке средств регистрации, контроля за целостностью ПО и антивирусных средств. Безусловно, они необходимы, но - лишь для проведения следствия по уже произошедшему событию. К этим средствам обращаются относительно редко - в основном, в начале или по окончании работы, а также по инициативе оператора.

В системах с распределенной обработкой данных (сетях и АСУ) к возможным каналам НСД следует отнести средства автоматизации и каналы связи. Сначала рассмотрим каналы связи. Как и ранее, наиболее опасный случай - когда потенциальный нарушитель имеет свободный доступ к таким каналам, а следовательно, к кодограмме, которая содержит не только информацию, но и адресацию системных связей между средствами автоматизации.

Кажется, что при отсутствии защиты нарушитель может воспользоваться кодограммой как угодно. На самом деле, максимальный перечень его несанкционированных действий хорошо известен. В него входят:

  • изменение, удаление, задержка, переупорядочение, дублирование регулярных и посылка ложных сообщений;
  • воспрепятствование передаче сообщений;
  • осуществление ложных соединений;
  • чтение содержания сообщений;
  • анализ трафика и идентификаторов абонентов сети;
  • чтение и использование пароля законного пользователя;
  • нарушение своих полномочий законным пользователем при обращении к запрещенной для него информации.

Правда, в последнее время к этому перечню добавляются действия нарушителей особого рода: отказ отправителя от собственного сообщения, а получателя - от принятого, повторы сообщений и передача различного рода информационного <мусора>. В зависимости от ожидаемой модели поведения нарушителя перечень может быть сокращен. В любом случае он конечен, т. е. задачу можно достаточно строго определить.

Все ожидаемые действия нарушителя следует разделить на контролируемые и не контролируемые техническими средствами. И здесь существенную роль играет время. При попытках несанкционированного чтения кодограммы время противостояния защиты, или ожидаемое время преодоления ее нарушителем, должно превышать время жизни защищаемой информации. Поэтому необходимы средства своевременного обнаружения и блокировки попыток НСД. Отсутствие таких средств в современных системах и является основной причиной успешных действий нарушителей, и здесь следует признать некоторую положительную роль межсетевых экранов (МЭ).

В настоящее время в системах с распределенной обработкой информации широко применяются средства криптографического преобразования данных (линейное и абонентское шифрование, цифровая подпись) и упомянутые МЭ. При этом в тракте передачи данных от пользователя к пользователю криптосредства не всегда защищают содержательную и служебную части кодограммы. Выполняемые такими средствами функции не объединены общей целью - создания единой прочной оболочки защиты, в которой применяемые средства безопасности дополняют друг друга. А отсутствие конечного перечня возможных угроз не позволяет обосновать расчетами степень защищенности, которую обеспечивают средства предупреждения.

При проектировании защиты служебной части кодограммы следует сохранять некоторые адреса и служебные признаки в открытом виде. Отдельные части кодограммы формируются и читаются на разных этапах ее обработки разными устройствами, узлами сети и аппаратуры абонентов. Для каждого из формируемых признаков и частей кодограммы должен быть свой ключ шифрования, а также лицо или служба, ответственные за их распределение и последующую замену.

Обратим внимание на существенную разницу во времени жизни содержательной и служебной частей кодограммы. Содержательная часть может сохраняться десятки лет, а служебная - не более 10 мин (время доведения сообщения до адресата). Это позволяет снизить требования к стойкости шифрования служебных частей, упростить само шифрование и уменьшить время обработки кодограммы. Не останавливаясь подробно на уже известных средствах защиты и их возможностях, подчеркнем, что перечень <типичных> НСД конечен, а значит, соответствующие им средства защиты можно точно определить (см. таблицу).

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...