Книги

• Разное
• Экономика
• Право
• История
• Шпоры

реклама

2.3. Побудова раціонального захисту

Необхідно відзначити, що захист системи не може бути абсолютним. Він і не повинен будуватися як абсолютний. Це вимагало б істотного збільшення витрат на її створення й експлуатацію, а також неминуче призвело б до зниження продуктивності системи по основних виробничих функціях. Захист повинен будуватися як раціональний, тобто з оптимальними за деяким критерієм характеристиками, що завжди становить предмет самостійного дослідження.

Загрози інформації, що обробляється в ІС залежать від характеристик (властивостей) ІС, фізичного середовища, персоналу і інформації, що обробляється. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т.п.) або відмова елементів ІС, або суб'єктивну, наприклад, помилки персоналу або дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними. Навмисна спроба реалізації загрози називається атакою.

З всієї безлічі способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатом їх впливу на інформацію. Інформація має ряд властивостей, які безпосередньо визначають її цінність. У контексті проблеми забезпечення безпеки інформації основоположними властивостями інформації є:

конфіденційність,

цілісність,

доступність.

Інформація   зберігає   конфіденційність,   якщо   дотримуються встановлені правила ознайомлення з нею. Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення). Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікації відповідно до встановлених правила на протязі будь-якого певного (малого) проміжку часу. Загрози, реалізація яких призводить до втрати інформацією якої-небудь з названих властивостей, відповідно являють собою загрози конфіденційності, цілісності або доступності.

Загрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата ІС керованості може привести до нездатності ІС забезпечувати захист інформації і, як результат, до втрати певних властивостей інформації, що обробляється.

Головна мета захисту інформації - контроль за доступом до неї. До перегляду, створення, видалення або зміни даних повинні допускатися тільки особи, що мають необхідні повноваженнями.

Захист від небезпек вимагає особливої ретельності. Так, деякі прийоми по запобіганню піратству безсилі протистояти, наприклад, розкраданню, хоча ретельна перевірка може виявити і те, й інше. Для зменшення імовірності виникнення багатьох небезпек можна вжити непогані превентивні заходи. Наприклад, система паролів може зменшити або виключити наслідки недбалості, підміни даних, розкрадання і т. д. з боку несанкціонованих користувачів, але разом з тим вона не зможе протистояти таким же небезпекам, що виходять від легальних користувачів.

Крім того, небезпечна ситуація може мати як випадковий, так і детермінований характер.

Дослідження, яке проводили Executive Information Network, стосується вірогідності виникнення різних загроз безпеки. Відповідно наданому звіту, нещасні випадки та помилки складають 55% усіх загроз безпеки, недобросовісність - 15%, помста - 10%.

Спробуємо класифікувати всі загрози за їх впливом на основні критерії захисту інформації.

Апаратні збої

Загроза: конфіденційності, цілісності, доступності.

Запобігання: неможливе.

Виявлення: в ряді випадків нескладне.

Частота: висока, для оцінки використовується показник MTBF (mean time between failure - напрацювання на відмову).

Апаратний збій може порушити конфіденційність, якщо він відбувається в пристрої управління доступом або відновлення працездатності вимагає зниження рівня захисту.

Апаратний збій може нанести збиток цілісності. У разі відмови жорсткого диска ви ризикуєте втратити інформацію. Але іноді навіть така незначна відмова, як збій однієї з мікросхем пам'яті, може призвести до втрати інформації, якщо він стався, наприклад, під час копіювання.

Доступність також може постраждати від апаратного збою.

Віруси

Загроза: цілісності, доступності.

Запобігання: може бути складним.

Виявлення: звичайно очевидне.

Частота: в 1993 р. в Сполучених Штатах кожна з 500 машин була заражена.

Наслідки: потенційно дуже великі, але на практиці набагато менш сумні.

Диверсії

Загроза: цілісності, доступності.

Запобігання:  вельми ускладнене.

Виявлення:  або дуже простої, або дуже складне.

Частота:  невідома, мабуть, не дуже часто.

Наслідки:  потенційно дуже великі.

Диверсія (sabotage) в більшості випадків виражається в формі фізичного або логічного пошкодження. Якщо злочинець має доступ до комп'ютера, то йому дуже легко нанести фізичне пошкодження. Зловмисник може прострелити, висадити, підпалити, розібрати або утопити комп'ютер. Крім того, він може відключити живлення при виконанні критичної дискової операції. Вживання запобіжних заходів, що гарантують фізичну безпеку системи, допоможе уникнути фізичних диверсій подібного роду.

Випромінювання

Загроза: конфіденційності.

Запобігання: дуже складне, потрібне застосування TEMPEST-подібного захисту. TEMPEST призначається для вивчення і контролю наведених електронних сигналів, що випромінюються обладнанням автоматизованої обробки даних.

Виявлення: неможливе.

Частота: невідома.

Наслідки: потенційно дуже великі.

Випромінювання (emanations), - це випускання електромагнітних сигналів, що є одним з слабких місць в комп'ютерному захисті. Як кабелі, так і пристрої, що підключаються за їх допомогою (комп'ютери, принтери, модеми, монітори, клавіатури, перехідники, підсилювачі і розподільні коробки) випромінюють певні сигнали. Озброївшись чутливою антеною, можна на відстані прочитати дані навіть при незначному рівні випромінювання.

Імітація і моделювання

Загроза: може змінюватися.

Запобігання: неможливе.

Виявлення: по-різному.

Частота: невідома.

Наслідки: потенційно дуже великі.

Готові програмні продукти призначені для використання в добрих Цілях, і, як правило, так вони і використовуються. Однак альтернативне застосування також можливе. Наприклад, один графічний пакет надавав користувачеві можливість ввести приблизні дані, подивитися, який виходить графік, а потім, змінюючи графік, змінити дані. Розкрадач може скористатися таким інструментом для того, щоб побачити, скільки він може викрасти без загрози виявлення пропажі на графіку ефективності виробництва.

Копію  бухгалтерської  програми  можна  використати  для визначення того, скільки проводок треба додати, щоб приховати недостачу.

Крадіжка

Загроза: конфіденційності, цілісності, доступності.

Запобігання: вельми складне.

Виявлення: вельми складне.

Частота: невідома.

Наслідки: потенційно дуже великі.

Цілісність наражається на небезпеку тільки в тому випадку, коли здійснюється крадіжка єдиної копії інформації, наприклад крадіжка архівної стрічки, серверу або комп'ютера, на якому не виконувалося резервне копіювання.

Безпека має на увазі захист апаратного забезпечення, програм і файлів від ненавмисного або умисного пошкодження, однаково як і від крадіжки. З цих трьох небезпек ненавмисне пошкодження має найбільш катастрофічні наслідки, тоді як частіше за все побоюються крадіжки. Звичайно як потенційні грабіжники розглядаються сторонні, але практика показує, що від них може виходити загроза не більше ніж у 5% випадків. Набагато частіше як ненавмисні, так і навмисні пошкодження наносяться службовцями організації.

Крадіжка інформації може залишатися непоміченою. Для службовця немає нічого складного в тому, щоб скопіювати файл на дискету, покласти її в свій кейс і віднести додому.

Логічні бомби

Загроза: цілісність; крім того, може зачіпати доступність і конфіденційність.

Запобігання: практично неможливе.

Виявлення: може бути складним.

Частота: невідома, але швидше усього не дуже часто.

Наслідки: потенційно дуже великі.

Логічна бомба - це модифікація комп'ютерної програми, внаслідок якої дана програма може виконуватися декількома способами в залежності від певних обставин. При перевірці в звичайних умовах бомба ніяк не виявляється, але при певній події програма працює по алгоритму, відмінному від заданого.

Логічні бомби можуть використовуватися для розкрадання. Наприклад, програміст може додати до програми нарахування заробітної плати код, що злегка підвищує його платню (тут приводиться псевдокод, не пов'язаний із застосуванням якої-небудь певної мови програмування):

IF Співробітник = Я THEN Зарплата = Години * Ставки * 1.01 ELSE Зарплата = Години * Ставки.

Така зміна коду може залишатися непоміченою протягом багатьох років.

Крім того, логічні бомби можуть застосовуватися і для видалення файлів. Наприклад, робоча таблиця може містити макрос, що автоматично виконується після настання зазначеної дати.

Така команда може стерти таблицю зазначеного в ній числа або в подальші дні. Причому в усі попередні дні цей макрос може виконуватися безліч разів без будь-яких ознак бомби, що міститься в йому.

Логічні бомби можуть створюватися з єдиною метою - зміна даних випадковим чином. У цьому випадку автор не має ніякої користі зі свого витвору, а лише наносить збиток організації. Наприклад, зміна значення в одному елементі таблиці може зруйнувати результати прогнозів або аналізів, що впливають на майбутнє організації.

Недбалість

Загроза: конфіденційності, цілісності, доступності.

Запобігання: дуже важке.

Виявлення: іноді легко, іноді важко.

Частота: найбільш поширений ризик.

Наслідки: потенційно дуже тяжкі.

Найпоширенішим джерелом нещастя в будь-якій комп'ютерній системі є невмілі пальці. Деякі експерти запевняють, що 50-60% щорічних комп'ютерних втрат стаються внаслідок недбалостей, що іменуються також помилками людини, випадковостями, помилками, виявами некомпетентності.

Для того щоб справитися з недбалістю, треба зменшувати уразливість системи, поліпшувати підготовку фахівців і забезпечувати компетентну технічну підтримку всім користувачам.

Неточна або застаріла інформація

Загроза: цілісності, законності або етиці.

Запобігання: може бути вельми складним.

Виявлення: може бути вельми складним.

Частота: висока.

Наслідки: потенційно дуже великі.

При обговоренні різних видів небезпек, яких зазнає комп'ютерна система, забувають про такий недолік, як недоброякісність інформації. Однак характерною особливістю проблеми захисту є постійна необхідність повного знищення такої інформації. Інформація стає недоброякісною через те, що вона застаріла або були отримані більш точні дані.

 Помилки програмування

Загроза: конфіденційності, цілісності, доступності.

Запобігання, неможливе.

Виявлення, іноді досить складно.

Частота, висока.

Наслідки: потенційно дуже великі.

Збої програмного забезпечення можуть носити самий різний характер. Одна з проблем полягає в тому, що збій в програмі, коректно працюючій в нормальних умовах, може виявитися тільки у разі нештатної ситуації. Звичайно такі помилки не є наслідком злого наміру.

Перевантаження

Загроза: доступності.

Запобігання: вельми ускладнене.

Виявлення: просте.

Частота: невідома, дуже часто зустрічається в нових системах, що рідко використовуються.

 Наслідки: потенційно дуже великі.

При великих навантаженнях зламається все, що може зламатися.

Коли система перевантажується, безпека мережі зазнає ризику. Наприклад, при уповільненні роботи мережі деякі програмісти намагаються зареєструватися одночасно на двох машинах, щоб займатися написанням коду на одній машині в той час, коли на другій виконується інша робота (наприклад, компіляція програми). Для того щоб це забезпечити, адміністратор мережі повинен дозволити реєстрацію одночасно на декількох комп'ютерах. Після цього ніхто не зможе визначити напевно, чи працює за комп'ютером програміст або хтось інший підключився до мережі, використовуючи його пароль. Уповільнення роботи мережі спричиняє зниження безпеки.

Те, що спрацьовує в тестових умовах, може відмовити при підвищеному навантаженні.

Піггібекінг

Загроза: конфіденційності, цілісності, доступності.

Запобігання: вельми ускладнене.

Виявлення: вельми ускладнене.

Інформаційні системи є складними і комплексними, тому вибір навіть раціонального ступеня захищеності є складною проблемою як, наприклад, проблема поліоптимізації або векторної оптимізації. Можливі й спрощені підходи з урахуванням конкретних особливостей завдання. Для ілюстрації нижче наводиться приклад аналізу умов раціонального захисту інформації в базах даних від зловмисного перекручування або псування.

Передбачається, що проблема захисту зібраної регулярно на підприємстві інформації виникає тоді, коли ставиться завдання забезпечення гарантованої схоронності даних, що містяться в базах даних, від осіб, що хочуть її порчі.

Розв’язання задачі раціональної захищеності даних може досягатися, наприклад, за рахунок введення системи паролів, використання криптографічних методів захисту інформації, установлення власних командних процесорів, завантажників, створення й завантаження резидентних програм, що перехоплюють переривання й обробну команду від користувача з наступним її блокуванням, якщо команда виявиться забороненої для даної системи. Можливо також використання установки власного головного завантажувального запису (MBR) на жорсткому диску.

Стосовно умов охорони даних від активних спроб їх викрадення або псування з урахуванням аналізу особливостей завдання визначається наступний перелік заходів по забезпеченню захисту інформації:

аутентифікація користувача по паролю й, можливо, по ключовій дискеті або апаратному ключі;

розмежування доступу до логічних дисків;

прозоре шифрування логічних дисків;

шифрування файлів з даними;

дозвіл запусків тільки строго визначених для кожного користувача програм;

реакція на несанкціонований доступ;

реєстрація всіх спроб несанкціонованого доступу в систему й входу/виходу користувача в систему;

створення багаторівневої організації роботи користувача з розширенням надаваних можливостей при переході на більше високий рівень;

надання користувачеві мінімуму необхідних йому функцій.

Найбільш ефективними системами захисту є ті, розробка яких ведеться паралельно з розробкою інформаційної структури, яку вона захищає. При створенні систем захисту прийнято дотримуватися наступних принципів :

1) постійно діюча заборона доступу; у механізмі захисту системи в нормальних умовах доступ до даних повинен бути заборонений, заборона доступу за відсутності особливих настанов забезпечує високий ступінь надійності механізму захисту;

2) простота механізму захисту; ця характеристика необхідна для зменшення числа можливих неврахованих шляхів доступу;

перекриття всіх можливих каналів витоку, для чого повинні завжди й гарантовано перевірятися повноваження будь-якого звертання до будь-якого об'єкта в структурі даних; цей принцип є основою системи захисту. Задача управління доступом повинна розв’язуватися на загальносистемному рівні, при цьому необхідно забезпечувати надійне визначення джерела будь-якого звертання до даних;

незалежність ефективності захисту від кваліфікації потенційних порушників;

поділ повноважень у сфері захисту й доступу, тобто застосування кількох різних ключів захисту;

надання мінімальних повноважень;

максимальна відособленість механізму захисту; для виключення передачі користувачами один одному відомостей про систему захисту рекомендується при проектуванні захисту мінімізувати число загальних для кількох користувачів параметрів і характеристик механізму захисту;

психологічна привабливість захисту, для чого теж важливо домагатися, щоб захист був по можливості простий в експлуатації.

При побудові систем захисту, заснованих навіть не на всіх, а тільки на деяких з перерахованих вище принципів, виникають серйозні перешкоди, пов'язані з великими витратами на їхню реалізацію. У зв'язку із цим захист повинен бути не абсолютним, а тільки раціональним, тобто з самого початку треба передбачати в прийнятному ступені можливість зловмисного проникнення в базу даних.

Активність зазіхань, класифікація викрадачів, характеристики потоку зазіхань, збиток від втрати або псування кожного з елементів інформаційної структури, набір варіантів способів захисту, їхня міцність і вартість одного сеансу захисту тим або іншим способом - усі ці дані потрібно задати або визначити тим чи іншим шляхом.

Оцінка можливих сумарних витрат, пов'язаних з функціонуванням системи захисту бази даних, включає сумарну вартість Z роботи всіх способів захисту в усіх можливих їх наборах застосовно до всіх частин бази даних і суму можливих втрат П, що виникають при проникненні викрадачів через всі способи захисту в різних їх сполученнях до всіх частин бази даних; ця оцінка визначиться формулою

SUM = Z + П.

З урахуванням того, що складові Z й П в залежності від ступеня захищеності бази даних змінюються протилежно, величина SUM може мати мінімум при деякій комбінації варіантів способів захисту частин бази даних. У зв'язку із цим для побудови раціональної структури системи захисту необхідно її мінімізувати, тобто

SUM = Z + Я => min.

Пошук рішення може здійснюватися різними методами, наприклад можна шукати рішення у множині варіантів комбінацій ступенів захисту, тобто шляхом перебору їх можливих наборів для множини частин бази даних вкладеними циклами по варіантах допустимих способів захисту. Таким шляхом будуть визначені індекси захисту для кожної з частин бази даних, яку захищають, що дасть для кожної складової один конкретний метод або сукупність кількох методів захисту.

Такий підхід дозволяє підібрати найдешевший із прийнятних способів захисту для кожної з частин, при якому загальна сума витрат, пов'язаних з функціонуванням захисту, і втрат, що виникають при несанкціонованому доступі, буде мінімальною.

Аналогічно можна поставити й вирішити задачу вибору варіанта структури системи захисту в більш складних умовах, виконавши повномасштабний проект такої системи при відповідних витратах на його виконання. Якщо інформація в базі даних варта того, щоб її захищати, то й на створення системи захисту прийдеться витратити відповідні кошти.

Книги принадлежат их авторам и выставлены для ознакомления