Визначення можливих загроз інформації в автоматизованих системах

Снігерьов О.П., Кухарьонок М.А.
20.05.2005 | 14:06
Чи всі інформаційні системи потребують захисту? Відповідь на першу частину цього питання - так, але ось від чого їх потрібно захищати, залежить від характеру системи. Наприклад, персональний комп'ютер потребує захисту від проникнення вірусів, а для вибору надійної системи захисту автоматизованої системи обробки інформації, наприклад, кредитно-банківської системи треба визначити можливі канали просочення інформації та несанкціонованого доступу до неї.
Дослідження і аналіз численних випадків впливів на інформацію і несанкціонованого доступу до неї показують, що їх можна розділити на випадкові і навмисні. Навмисні загрози можуть бути виконані шляхом довготривалої масованої атаки несанкціонованими запитами або вірусами.
Наслідками, до яких призводить реалізація загроз, можуть бути: руйнування (втрата) інформації, модифікація (зміна інформації на помилкову, коректну за формою і змістом, але яка має інше значення) і ознайомлення з нею сторонніх. Ціна вказаних подій може бути різною - від невинних жартів до відчутних втрат, що в деяких випадках являють собою загрозу національній безпеці країни. Попередження наведених наслідків в автоматизованій системі і є основною метою створення системи безпеки інформації. Для цього необхідно визначити природу загроз, форми і шляхи їх можливого вияву і здійснення. Для рішення поставленої задачі основні загрози інформації приведемо до найпростіших видів і форм, які були б адекватні їх безлічі в автоматизованій системі.
Дослідження досвіду проектування, виготовлення, випробувань та експлуатації автоматизованих систем свідчать про те, що інформація в процесі введення, зберігання, обробки, виведення і передачі зазнає різних випадкових впливів. У результаті таких впливів на апаратному рівні відбуваються фізичні зміни рівнів сигналів в цифрових кодах, які несуть інформацію.
При цьому спостерігаються зміни в розрядах 1 на 0 або 0 на 1, або те і інше разом, але в різних розрядах, слідством чого є зміна значення коду на інше. Далі, якщо застосовуються для цієї мети засоби функціонального, контролю, здатні виявити ці зміни, проводиться бракування даного коду, а пристрій, блок, модуль або мікросхема, що беруть участь в обробці, оголошуються несправними. Якщо функціональний контроль відсутній або не здатний виявити несправність на даному етапі обробки, остання продовжується помилковим шляхом, тобто відбувається модифікація інформації. У процесі подальшої обробки, в залежності від змісту і призначення неправильної команди можливі або пересилка інформації за помилковою адресою, або передача перекрученої інформації адресату, або ж стирання чи запис іншої інформації в ОЗУ або ДЗУ.
На програмному рівні в результаті випадкових впливів може статися зміна алгоритму обробки інформації на непередбачений, характер якого також буває різним. Може відбутися зупинка обчислювального процесу, а в гіршому випадку - його модифікація. Якщо засоби функціонального контролю її не виявляють, наслідки модифікації алгоритму або даних можуть призвести до руйнування інформації або її просочення. При програмних помилках можуть підключатися програми введення-виведення і передачі їх на несанкціоновані пристрої.
Причинами випадкових впливів при експлуатації автоматизованої системи можуть бути:
  • відмови і збої апаратури;
  • перешкоди на лініях зв'язку від впливів зовнішньої середи;
  • помилки людини як ланки системи;
  • схемні і системотехнічні помилки розробників; структурні, алгоритмічні і програмні помилки;
  • аварійні ситуації та інші впливи.
Частота відмов і збоїв апаратури збільшується при виборі і проектуванні системи, слабкої у відношенні надійності функціонування апаратури. Перешкоди на лініях зв'язку залежать від правильності вибору місця розміщення технічних засобів АСОД відносно один одного, а також по відношенню до апаратури й агрегатів сусідніх систем.
При розробці складних автоматизованих систем збільшується кількість схемних, системотехнічних, структурних, алгоритмічних програмних помилок. На їх збільшення в процесі проектування впливає великим чином багато інших чинників: кваліфікація розробників, умови їх роботи, наявність досвіду і інші.
До помилок людини, як ланки системи, потрібно відносити помилки людини як джерела інформації, людини-оператора, помилкові дії обслуговуючого персоналу та помилки людини, як ланки, що приймає рішення.
Помилки людини можуть поділятися на логічні (неправильно прийняте рішення),сенсорні (неправильне сприйняття оператором інформації), або моторні (неправильна реалізація рішення). Інтенсивність помилок людини може коливатися в широких межах: від 1-2% до 15-40% і вище загальної кількості операцій, що виконуються при рішенні задачі.
Хоч людина, як елемент системи, має, в порівнянні з технічними засобами, ряд переваг, їй, в той же час, притаманний ряд недоліків, основними з яких є: стомлюваність, залежність психологічних параметрів від віку, чутливість до змін навколишнього середовища, залежність якості роботи від фізичного стану, емоціональності.
Навмисні загрози пов'язані з діями людини, причинами яких можуть бути певне невдоволення своєю життєвою ситуацією, суто матеріальний інтерес або проста розвага із самоствердженням своїх здібностей, як у хакерів тощо. Помітимо відразу, що вивчення мотивів поведінки порушника не є нашою метою. Потенційні загрози з цієї сторони будемо розглядати тільки в технічному аспекті.
Для постановки більш конкретної задачі проаналізуємо об'єкт захисту інформації на предмет введення-виведення, зберігання й обробки інформації і можливостей порушника з доступу до інформації при відсутності засобів захисту в даній автоматизованій системі.
Як об'єкт захисту, згідно з класифікацією [2], вибираємо автоматизовану систему, яка може бути елементом обчислювальної мережі або великий АСУ. Для таких систем в цьому випадку характерні наступні штатні канали доступу до інформації:
  • термінали користувачів;
  • термінал адміністратора системи;
  • термінал оператора функціонального контролю;
  • засоби відображення інформації;
  • засоби документування інформації;
  • засоби завантаження програмного забезпечення в обчислювальний комплекс;
  • носії інформації (ОЗУ, ДЗУ, паперові носії);
  • зовнішні канали зв'язку.
Очевидно, що при відсутності законного користувача, контролю і розмежування доступу до терміналу кваліфікований порушник легко скористається його функціональними можливостями для несанкціонованого заволодіння інформацією шляхом введення відповідних запитів або команд. При наявності вільного доступу в приміщення можна візуально спостерігати інформацію на засобах відображення і документування, а на останніх викрасти паперовий носій, зняти зайву копію, а також викрасти інші носії з інформацією: лістінг, магнітні стрічки, диски тощо. Особливу небезпеку являє собою безконтрольне завантаження програмного забезпечення ЕОМ, в якому можуть бути змінені дані, алгоритми або введена програма "троянський кінь" - програма, що виконує додаткові незаконні функції: запис інформації на сторонній носій, передачу в канали зв'язку іншого абонента обчислювальної мережі, занесення в систему комп'ютерного вірусу тощо. При відсутності розмежування і контролю доступу до технологічної і оперативної інформації можливий доступ до останньої з боку терміналу функціонального контролю. Небезпечною є ситуація, коли порушником є користувач обчислювальної системи, який за своїми функціональними обов'язками має законний доступ до однієї частини інформації, а звертається до іншої за межами своїх повноважень. З боку законного користувача існує багато способів порушувати роботу обчислювальної системи, зловживати нею, витягувати, модифікувати або знищувати інформацію. Для цієї мети можуть бути використані привілейовані команди введення-виведення, відсутність контролю законності запиту і звернень до адрес пам'яті ОЗУ, ЗУ тощо. При цьому порушник може подавити системну бібліотеку своєю бібліотекою, а модуль, що завантажується з його бібліотеки, може бути введений в супервізирним режимі. Це дозволить йому звертатися до чужих файлів даний та при потребі змінити їх або скопіювати.
При технічному обслуговуванні (профілактиці і ремонті) апаратури можуть бути виявлені залишки інформації на магнітній стрічці, поверхнях дисків та інших носіях інформації. Стирання інформації звичайними методами при цьому не завжди ефективне. Її залишки можуть бути легко прочитані.
Не має значення створення системи контролю і розмежування доступу до інформації на програмному рівні, якщо не контролюється доступ до пульта управління ЕОМ, внутрішнього монтажу апаратури, кабельних з'єднань.
Злочинець може стати незаконним користувачем системи в режимі розділення часу, визначивши порядок роботи законного користувача або працюючи услід за ним по одних і тих же лініях зв'язку. Він може також використати метод проб і помилок та реалізувати "діри" в операційній системі, прочитати паролі. Без знання паролів він може здійснити "селективне" включення в лінію зв'язку між терміналом і процесором ЕОМ; без переривання роботи законного користувача продовжити її від його імені.
Процеси обробки, передачі і зберігання інформації апаратними засобами автоматизованої системи забезпечуються спрацюванням логічних елементів, побудованих на базі напівпровідникових приладів, виконаних найчастіше у вигляді інтегральних схем. Спрацювання логічних елементів зумовлене високочастотною зміною рівнів напружень і струмів, що призводить до виникнення в ефірі, ланцюгах живлення і заземлення, а також в паралельно розташованих ланцюгах і індуктивностях сторонньої апаратури, електромагнітних полів і наведень, що несуть в амплітуді, фазі й частоті своїх коливань ознаки інформації, що обробляється. Використання порушником різних приймачів може призвести до їх прийому і просочення інформації. Із зменшенням відстані між приймачем порушника та апаратними засобами імовірність прийому сигналів такого роду збільшується.
Безпосереднє підключення порушником приймальної апаратури спеціальних датчиків до ланцюгів електроживлення і заземлення, до канав зв'язку також дозволяє здійснити несанкціоноване ознайомлення з інформацією, а несанкціоноване підключення до каналів зв'язку передуючої апаратури може привести і до модифікації інформації.
B усіх аспектах проблеми захисту інформації основним елементом є аналіз загроз, яких зазнає система. Останнім часом у різних країнах проведена велика кількість дослідницьких робіт з метою виявлення потенційних каналів несанкціонованого доступу до інформації в обчислювальних мережах. При цьому розглядалися не тільки можливості порушника, що отримав законний доступ до мережевого обладнання, але й впливи, зумовлені помилками програмного забезпечення або властивостями мережевих протоколів, що використовуються. Незважаючи на те, що вивчення каналів несанкціонованого доступу продовжується досі, ще на початку 80-х років були сформульовані п'ять основних категорій загроз безпеки даних в обчислювальних мережах:
  • розкриття змісту повідомлень, які передаються;
  • аналіз трафіка, що дозволяє визначити приналежність відправника і одержувача даних до однієї з груп користувачів мережі, пов'язаних загальною задачею;
  • зміна потоку повідомлень, що може призвести до порушення режиму роботи якого-небудь об'єкта, керованого з видаленої ЕОМ;
  • неправомірна відмова в наданні послуг;
  • несанкціоноване встановлення з'єднання.
Дана класифікація не суперечить визначенню терміна "безпека інформації" і розподілу потенційних загроз на просочення, модифікацію і втрату інформації. Загрози 1 і 2 можна віднести до просочення інформації, загрози 3 і 5- до її модифікації, а загрозу 4 - до порушення процесу обміну інформацією, тобто до її втрати для одержувача. Згідно з дослідженнями А.І. Давидовського та П.В. Дорошкевича [4], в обчислювальних мережах порушник може застосовувати наступну стратегію:
  • отримати несанкціонований доступ до секретної інформації;
  • видати себе за іншого користувача, щоб зняти з себе відповідальність або ж використати його повноваження з метою формування помилкової інформації, зміни законної інформації, застосування помилкового посвідчення особистості, санкціонування помилкових обмінів інформацією або ж їх підтвердження;
  • відмовитися від факту формування переданої інформації;
  • затверджувати про те, що інформація отримана від деякого користувача, хоч насправді вона сформована самим же порушником;
  • стверджувати те, що одержувачу в певний момент часу була надіслана інформація, яка насправді не посилалася (або, посилалася в інший момент часу);
  • відмовитися від факту отримання інформації або стверджувати про інший час її отримання;
  • незаконно розширити свої повноваження з доступу до інформації та її обробки;
  • незаконно змінити повноваження інших користувачів (розширити або обмежити, вивести або ввести інших осіб);
  • приховати факт наявності деякої інформації в іншій інформації (прихована передача однієї в змісті іншої);
  • підключитися до лінії зв'язку між іншими користувачами як активного ретранслятора;
  • вивчити, хто, коли і до якої інформації отримує доступ (навіть якщо сама інформація залишається недоступною);
  • заявити про сумнівність протоколу забезпечення інформацією через розкриття деякої інформації, яка, згідно з умовами протоколу, повинна залишатися секретною;
  • модифікувати програмне забезпечення шляхом виключення або додання нових функцій;
  • навмисно змінити протокол обміну інформацією з метою його порушення або підриву довір'я до нього;
  • перешкодити обміну сполученнями між іншими користувачами шляхом введення перешкод з метою порушення аутентифікації повідомлень.
Як підсумок, треба зазначити, що для реалізації надійного захисту інформації, дуже важливе дослідження та визначення можливих каналів витоку інформації та шляхів несанкціонованого доступу в кожній конкретній автоматизованій системі.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Мельников К. Н. Достоверность информации в сложных системах. - М.: Сов. радио, 1973.
  2. Ларионов А. М., Майоров С. А., Новиков Г. Н. Вычислительные ком-плексы, системы и сети. - Л.: Энергоатомиздат, 1987.
  3. Ухлинов Л. М. Международные стандарты в области обеспечения безопасности данных в сетях ЭВМ. Состояние и направления развития // Электросвязь. -1991.- №6.
  4. Давыдовский А. И., Дорошкевич П. В. Защита информации в вычис-лительных сетях // Зарубежная радиоэлектроника. - 1989. - № 12.
  5. Концепція технічного захисту інформації в Україні. Затверджено постановою Кабінету Міністрів України від 8 жовтня 1997 р. N 1126 // Урядовий кур`ер, 1997, 12 листопаду.
  6. Закон України "Про Національну програму інформатизації" від 4 лютого 1998 р. - № 74/98-ВР.
  7. Голубєв В.О. Програмно-технічні засоби захисту інформації від комп'ютерних злочинів.- З.: Павел, 1998.-144 с.

ISBN 966-95343-1-3

©Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998
©Запорізький юридичний інститут, 1998