Сучасні інформаційні
технології.
Інформаційна безпека.
К.т.н., доц. Василенко В.С., Бордюк О.С., Полонський С.М.
Національний авіаційний
університет (НАУ), Україна
ОЦІНЮВАННЯ
РИЗИКІВ БЕЗПЕЦІ ІНФОРМАЦІЇ В ЛОКАЛЬНИХ ОБЧИСЛЮВАЛЬНИХ МЕРЕЖАХ
Вступ
Під інформаційною
безпекою (ІБ) локальної обчислювальної мережі(ЛОМ) розуміють захищеність
інформації та ресурсів ЛОМ, від випадкових або навмисних впливів природного чи
штучного характеру, здатних нанести збитки власникам або користувачам
інформації. Будь-яке порушення безпеки інформації в локальній обчислювальній
мережі може бути розглянутим в термінах загроз, уразливості та атак.
З відомих положень
про безпеку інформації в локальних обчислювальних мережах можна зробити висновок [1], що інформаційна безпека не полягає
винятково у захисті інформаційних об’єктів. Це принципово ширше поняття.
Суб’єкт інформаційних відносин може постраждати (отримати матеріальні і/або
моральні збитки) не тільки від несанкціонованого доступу до інформації, але і
від пошкодження системи, що зумовить перерву в роботі. Однією із найважливіших при цьому стає задача
визначення і оцінки можливих потенційних втрат від недостатньої захищеності
інформаційних об’єктів.
Постановка
задачі
У спектрі інтересів
суб’єктів, пов’язаних з використанням локальних обчислювальних мереж, можна виділити
необхідність забезпечення наступних функціональних властивостей захищеності
інформаційних об’єктів і які забезпечуються відповідними рівнями послуг ІБ:
1. Конфіденційність
(захист від несанкціонованого ознайомлення);
2. Цілісність
(актуальність і несуперечність інформації, її захищеність від руйнування і
несанкціонованої зміни);
3. Доступність
(можливість за прийнятний час одержати необхідну інформацію).
На сьогоднішній день
вимоги щодо конфіденційності, цілісності та доступності викладені в досить
розвиненій нормативно – правовій базі.
Конфіденційність. Цей рівень послуг ІБ відповідає за загрози, що відносяться до несанкціонованого ознайомлення з інформацією за рахунок
реалізації загроз на кшталт несанкціонованого доступу до неї, чи використання
витоків інформації технічними каналами. Ці загрози і є загрозами
конфіденційності. Вітчизняні
та закордонні апаратурно-програмні продукти дають змогу закрити практично всі
потенційні канали відтоку інформації.
Цілісність. Загрози, що відносяться
до несанкціонованої модифікації інформації, складають загрози цілісності. Відповідними
послугами є довірча цілісність, адміністративна цілісність, відкіт і цілісність
при обміні. Останню можна
поділити на статичну (зрозумілу як незмінність інформаційних об’єктів) і
динамічну (що стосується конкретного виконання складних дій (транзакцій)).
Приклад динамічної цілісності – контроль потоку повідомлень (виявлення крадіжки, упорядкування або дублювання
окремих повідомлень).
Доступність. Загрози, що відносяться до порушення можливості використання комп’ютерних
чи систем оброблюваної інформації, складають загрози доступності. Відповідними
послугами є використання ресурсів, стійкість до відмовлень, гаряча заміна,
відновлення після збоїв.
Забезпечення цих
функціональних властивостей захищеності інформації локальних обчислювальних
мережах є дуже важливою і актуальною проблемою. Для вирішення цієї проблеми
потрібно використовувати такі системи захисту, які б надійно захищали той чи
інший ресурс такої мережі. Вибір чи побудова цих систем із відповідними
характеристиками є можливими лише після визначення, аналізу та оцінки так
званих залишкових ризиків.
Тому як мету цієї
статті можна розглядати визначення та оцінку залишкових ризиків при
застосуванні тих чи інших засобів забезпеченні конфіденційності, цілісності та
доступності інформаційних об’єктів в інформаційно – телекомунікаційних системах
та їх специфічному класу – локальних обчислювальних мережах.
Аналіз і
оцінка ризиків
Для оцінки залишкового ризику
при забезпеченні конфіденційності (ймовірність отримання інформації порушником з
розкриттям змісту) подію, пов’язану з порушенням конфіденційності, слід розглядати як складну та таку, що
складається з подій:
—
несанкціонованого
отримання користувачем інформації тим чи іншим чином з метою ознайомлення з нею
чи будь-якого подальшого використання;
—
розкриття змісту
інформації з обмеженим доступом (ІзОД) після отримання її тим чи іншим. Останнє
слід трактувати як можливість подолання порушником відповідних засобів
криптозахисту.
Несанкціоноване отримання
користувачем інформації тим чи іншим чином є можливим при умові подолання
неавторизованим користувачем засобів захисту у складі:
При цьому ймовірність
подолання засобів управління доступом q1 можна визначити з виразу
q1 = qуд·[1-(1-qоод)·(1-qос)],
де: qуд – ймовірність
подолання засобів управління доступом;
qоод –
ймовірність подолання засобів організаційного обмеження доступу;
qос –
ймовірність подолання засобів охоронної сигналізації.
Тут і надалі при
відсутності того чи іншого виду захисту ймовірність його подолання вважається
такою, що дорівнює одиниці.
В свою чергу, ймовірність
qуд подолання засобів управління доступом є також ймовірністю
складної події, яка полягає в подоланні порушником як засобів управління
фізичним доступом, так і засобів адміністрування доступом з використанням
механізмів базового та прикладного програмного забезпечення. Якщо позначити ці
ймовірності через qуфд і qад відповідно, то
qуд = qуфд·qад.
Тоді, зрозуміло,
q1 = qуфд·qад
·[1-(1-qоод)·(1-qос)].
Звернемо увагу на те, що
для зменшення імовірності подолання засобів управління доступом необхідно
забезпечити чітке дотримання політики безпеки в частині правил розмежування
доступу та надання тих чи інших привілеїв користувачам.
Окрім того,
несанкціоноване отримання користувачем інформації є можливим і через засоби
віддаленого доступу до інформаційних об’єктів, використовуючи витоки інформації
технічними каналами, засоби телекомунікаційної мережі та вірусні атаки при
умові подолання неавторизованим користувачем відповідних засобів захисту.
Нехай ймовірність
подолання засобів захисту від витоків інформації технічними каналами дорівнює qзв,
ймовірність подолання засобів антивірусного захисту - qав, а
ймовірність подолання засобів захисту конфіденційності інформацій в телекомунікаційних
мережах - qкткм.
Після отримання ІзОД тим
чи іншим шляхом порушнику необхідно здійснити розкриття її змісту. Подія, яка
полягає в тому, що порушник може розкрити зміст ІзОД (при умові подолання
системи захисту даного інформаційного об’єкту) є також складною і складається з
трьох подій: першої – порушник знає мову, якою інформація представляється; другої
– порушник знає і може застосувати програмні засоби або апаратуру для
криптографічного перетворення (для дешифрування закритої інформації); третьої –
має необхідні ключі (ключові набори) для такого перетворення. Ймовірності цих
подій Рзм, Рзкп, Ркн відповідно.
При цьому Ркзі
– ймовірність подолання неавторизованим користувачем засобів криптозахисту
(можливість розкрити зміст ІзОД) інформації можна визначити з виразу
qкзі = Рзм·Рзкп·Ркн.
Тоді вираз для розрахунку
ймовірності qпк порушення конфіденційності інформації з подоланням
розглянутих засобів захисту можна записати у вигляді
qпк= qкзі·[1- (1-q1)·(1- qзв)·(1- qaв)·(1- qкткм)].
Розглянуте дозволяє
зробити, висновок про те, що для забезпечення конфіденційності за рахунок
унеможливлення доступу неавторизованих користувачів до інформації та розкриття
її змісту необхідно застосовувати засоби (апаратурні чи програмні) для
адміністрування доступу, для криптографічного перетворення (для шифрування та
дешифрування закритої інформації, а також засоби генерації та розповсюдження
ключів), засоби управління фізичним доступом, засоби охоронної сигналізації та
організаційного обмеження доступом.
Для оцінки залишкового
ризику при забезпеченні цілісності подію,
пов’язану з її порушенням, слід
розглядати як складну та таку, що складається з подій:
—
виведення з
ладу, зміни режимів функціонування або несанкціонованого використання засобів
зберігання носіїв інформації і порушення таким чином її цілісності;
—
несанкціонованої
модифікації (зміни, підміни, знищення та т.п.) ІзОД в середовищах її
оброблення, зберігання чи передавання з метою унеможливлення подальшого її
використання чи нанесення іншої шкоди власнику даного ресурсу.
Як і при аналізі загроз
конфіденційності інформації та засобів протидії цим загрозам, подолання неавторизованим
користувачем системи захисту з імовірністю qпц можливе, якщо:
1.
Подолано засоби охоронної сигналізації або засоби організаційного обмеження
доступу та (і) засоби управління доступом, включаючи засоби управління фізичним
доступом (дозвіл чи блокування доступу до приміщень, терміналів, системних
блоків, клавіатури та інших фізичних засобів) та адміністрування доступу
(адміністрування суб’єктів, об’єктів, побудови і реалізації моделі захищеної
системи, розмежування доступу тощо). Ймовірність такої події q1 уже
визначена раніше.
2.
З імовірністю qцткм подолано засоби захисту цілісності від
загроз в ТКМ;
3.
З імовірністю qсв подолано засоби захисту від спеціальних
впливів на інформацію по технічним каналам;
4.
З імовірністю qав
подолано засоби антивірусного захисту;
5.
З імовірністю qкц подолано засоби контролю та поновлення
цілісності інформації.
Тоді, з використанням
застосованих вище підходів, ймовірність порушення цілісності qпц можна знайти з виразу
qпц = qкц
· [1– (1– q1)·(1– qcв)·(1– qцткм) (1– qав)].
Розглянуте дозволяє
зробити, по-перше, висновок про те, що для забезпечення цілісності за рахунок
унеможливлення доступу до інформації та модифікації неавторизованим
користувачем змісту інформаційного об’єкту необхідно застосовувати засоби
(апаратурні чи програмні) для адміністрування доступу, для контролю цілісності,
для управління фізичним доступом, засоби охоронної сигналізації та
організаційного обмеження доступом.
По-друге, з останнього виразу
витікає необхідність, на відміну від моделі взаємодії засобів реалізації загроз
та засобів забезпечення конфіденційності, застосування для забезпечення
цілісності інформаційних об’єктів засобів з відповідними механізмами контролю
цілісності та замість засобів захисту від витоків – засобів захисту від
спеціального впливу. Окрім того, для унеможливлення порушення цілісності за
рахунок отримання неавторизованим користувачем доступу до інформації з
обмеженим доступом слід застосовувати такі ж засоби управління доступом
(апаратурні чи програмні), як і для забезпечення конфіденційності .
Звернемо увагу на те, що із наведеного
вище визначення цілісності, як функціональної властивості захищеності
інформації, не витікає ніяких часових обмежень щодо тривалості процесу
поновлення цілісності, в разі виявлення засобами контролю наявності її
порушення. Це дає змогу для забезпеченні цілісності використовувати i ручні
методи, наприклад, поновлення з
застосуванням резервних копій інформаційних об’єктів чи шляхом забезпечення
відкоту процесів у разі виявлення порушення цілісності.
Виходячи із
наведеного вище визначення функціональної властивості захищеності інформації, для оцінки залишкового ризику при
забезпеченні доступності
подію, пов’язану з її порушенням, слід розглядати як наслідок впливу на
інформаційний об’єкт загроз, найбільш суттєвими з яких є:
1.
Несанкціонована
модифікація інформаційного ресурсу (порушення цілісності - вигляду ресурсу, необхідного користувачеві),
включаючи зміни режимів його функціонування, місця зберігання, необхідного чи
заданого користувачем, що потребує поновлення цілісності ресурсу шляхом,
наприклад, використання його резервної копії. Така подія передбачає можливість
фізичного доступу до джерел чи носіїв інформаційних ресурсів, наявність
реалізованої спроби несанкціонованого доступу до інформаційного ресурсу, в тому
числі каналами ТКМ та каналами спеціального впливу (порушник зумів здійснити
маскування під авторизованого користувача чи модифікація не виявлена засобами
контролю цілісності);
2.
Перевід ресурсу
в режим штучної відмови шляхом:
— несанкціонованого використання інформаційного
ресурсу в той час, коли ресурс є необхідним користувачеві, та протягом часу
довше заданого (малого) проміжку - шляхом захоплення ресурсів (неконтрольованого
використання, утримання, занадто тривалого використання) і створенню таким
чином перешкод іншим користувачам в використання цих ресурсів;
— постійного використання ресурсу, наприклад,
шляхом генерації потоку заважаючих запитів (несправжніх запитів на
обслуговування, несправжніх пакетів вхідної інформації, спроб підбору паролів
та т.п. – завад процесу обслуговування справжніх запитів) з такою
інтенсивністю, коли їх період (середня тривалість проміжку часу між двома
сусідніми запитами) не перевищує тривалості обслуговування кожного з таких запитів,
тобто такого потоку, коли захищений ресурс призначається для обслуговування
лише заважаючих запитів;
— постійного порушення цілісності з
періодичністю меншою ніж час відновлення інформаційного ресурсу. Така подія
передбачає наявність порушень цілісності за рахунок впливу природних факторів
(збої, відмови), а також наявність реалізованих спроб несанкціонованого доступу
до інформаційного ресурсу каналами спеціального впливу (без спроб маскування).
Ймовірність першої з цих
подій визначено вище і вона дорівнює qпц.
Для оцінки ймовірності
порушення доступності шляхом переводу ресурсу в режим штучної відмови необхідно
визначити інтенсивність потоку впливів на доступність ресурсу. Для цього
скористаємося відомими підходами для розрахунку результуючої інтенсивності як
природних, так і штучних впливів на інформаційні ресурси технічними каналами[2]. Під природними впливами будемо розуміти потоки будь-яких подій, які здатні вивести інформаційно
– телекомунікаційну систему (ІТС) з ладу тимчасово (збої, для яких є характерним
самоусунення), чи на тривалий термін (відмови, усунення яких вимагає втручання
персоналу), тобто потоки відмов. Причинами таких впливів може бути недостатня
спроможність уже згаданих первинних технічних засобів запобігти дії таких
впливів, недостатня надійність засобів ІТС, виходи за межі допустимих значень
температури, вологості, радіаційного чи електромагнітного випромінювання, яке
впливає на елементи ЛОМ, та т.п. Такі події впливають як безпосередньо на
інформаційні ресурси ЛОМ, так і на засоби технічного захисту цієї системи. При
цьому стійкість ЛОМ до природних загроз визначається в основному такою її
властивістю як надійність і забезпечується відповідними заходами (резервування
– гаряче та холодне, застосування елементів підвищеної надійності та т. Ін.).
Для боротьби зі збоями, які призводять до порушення цілісності програмних
засобів та оброблюваної інформації, можна застосовувати засоби контролю та
поновлення цілісності чи інші засоби поновлення після збоїв.
Під штучними впливами
розуміються ті події, які є наслідком діяльності користувачів, як
авторизованих, так і неавторизованих по відношенню до ресурсів ІТС, що є з
якихось причин забороненими для даних користувачів. Такі впливи - спроби несанкціонованого доступу (НСД) можуть
бути випадковими (в наслідок помилки користувача) або зловмисними, тобто спеціальними,
з метою використання чи то ресурсів, чи то інформації ІТС.
Таким чином, на
інформаційні ресурси ІТС можуть впливати як спроби несанкціонованого доступу,
при умові подолання систем управління доступом та фільтрації, так і
безпосередньо природні впливи.
Будемо вважати потік
загроз найпростішим з інтенсивністю λз.
Зрозуміло, що цей потік складається із штучних загроз з інтенсивністю λш та природних з інтенсивністю
λ, так що λз = λш+ λ. В свою чергу, штучні загрози можуть
бути внутрішніми з інтенсивністю λшв
(з боку авторизованих чи неавторизованих користувачів ЛОМ чи її
елементів) та зовнішніми з інтенсивністю λшз.
Виявлення і подальша протидія загрозі (ймовірність захисту ІТС від загроз)
залежить від того, чи запобігла (не допустила) система ТЗІ впливу цієї загрози, чи установила факт її
впливу і ліквідувала відповідні наслідки.
Ця задача вирішується,
по-перше, шляхом управління доступом до інформаційних ресурсів ЛОМ
(ідентифікація, автентифікація, надання певних повноважень чи привілеїв, з
наступною їх перевіркою під час кожної із спроб доступу до ресурсів). Для цього
в системі ТЗІ повинен виділятись адміністратор (будемо називати його в
подальшому адміністратором безпеки), який і вирішує усі ці питання, зрозуміло з
використанням засобів системи захисту, можливо через спеціальним чином
обладнане автоматизоване робоче місце (АРМ) адміністратора безпеки. Зауважимо,
що оскільки адміністратор безпеки має, як правило, найширші права щодо управління
доступом до ресурсів ІТС, то захопивши його повноваження можна порушити процес
надання цією ІТС будь–якої функціональної послуги.
Тому слід вважати, що
стійкість (в розумінні імовірності не подолання) системи управління доступом рд = 1 -
q1 визначається стійкістю процесів
ідентифікації та автентифікації самого адміністратора безпеки, як користувача з
найширшими повноваженнями. Останнє визначається можливостями системи
ідентифікації та автентифікації (наприклад, кількістю можливих варіантів
ідентифікаторів та кількістю можливих варіантів паролів і надійністю їх
конфіденційного зберігання). В наслідок відсіву (фільтрації) внутрішніх впливів
системою управління доступом на її виході інтенсивність завад буде дорівнювати λшв × q1.
Ця задача може вирішуватися,
по-друге, застосуванням в ІТС засобів
фільтрації зовнішніх штучних впливів (від елементів розподіленої обчислювальної
мережі через засоби телекомунікаційної мережі), які впливають на дану ЛОМ
(засоби фільтрації типу міжмережних екранів (firewall, брандмауерів), сервісів - посередників (proxyservices) та т.п.). Якщо
стійкість таких засобів (в розумінні імовірності не подолання) дорівнює
рф = 1 -
qф, то в наслідок відсіву (фільтрації) зовнішніх впливів на виході системи
фільтрації інтенсивність завад буде дорівнювати λшз×qф, а інтенсивність λр штучних впливів, які
не відфільтровані системами управління доступом та фільтрації, складе:
λрш = λшв
× q1 +λшз
× qф +λ.
З урахуванням інтенсивності
справжніх запитів λсз
загальна інтенсивність λз
впливів дорівнює
λз = λсз + λшв
× q1 +λшз
× qф +λ.
При середній тривалості обслуговування в ІТС
одного запиту (середньому значення часу використання ресурсу tвр) і пуассонівському
законі розподілу ймовірностей впливу ймовірність того, що під час звернення до
ресурсу він уже використовується (ймовірність звернення до ресурсу на даному
інтервалі tвр більше ніж
однієї заявки - ймовірність порушення
доступності шляхом переводу ресурсу в режим штучної відмови) дорівнює
qп3 = 1–р0 =1–ехр{–tвр∙
λз},
де р0 - ймовірність відсутності впливів (ймовірність
того, що на даному часовому інтервалі виникне рівно нуль впливів), а отже
ймовірність порушення доступності ресурсу
qпд = 1 - (1 - qп3) ∙ (1 - qпц).
Розглянуте дозволяє:
Запропонувати вирази для оцінки залишкового
ризику при захисті доступності ресурсів у вигляді ймовірності порушення
доступності та сформувати умову переходу захищеного ресурсу в режим штучної
відмови;
Зробити висновок про те,
що для забезпечення доступності за рахунок унеможливлення доступу до інформації
та модифікації неавторизованим
користувачем змісту інформаційного об’єкту необхідно застосовувати засоби
(апаратурні чи програмні) для управління доступом,
для контролю та поновлення цілісності, для фільтрації пакетів, блокування
засобів генерації безперервних запитів та т.п., засоби управління фізичним
доступом, охоронної сигналізації та організаційного обмеження доступом;
Зробити висновок про
необхідність, на відміну від захисту від порушення конфіденційності та
цілісності, передбачати і можливість недопущення переводу ресурсу в режим
штучної відмови – порушення доступності об’єкту за рахунок унеможливлення
вчасного використання того чи іншого ресурсу авторизованим користувачем, тобто
необхідно передбачати механізми запобігання постійного чи занадто тривалого
використання цього ресурсу чи засобів його отримання порушником (установка квот
– кількості звернень поспіль, допустимої тривалості чи допустимих часових
інтервалів використання ресурсу, установка приорітетів на використання ресурсів
та інше), механізми забезпечення стійкості та відновлення процесів в умовах
збоїв, механізми резервування інформаційних об’єктів, механізми аналізу потоків
запитів від суб’єктів ЛОМ та ТКМ, контролю та поновленню цілісності
інформаційних об’єктів (наприклад, в каналах ТКМ) та т.п.
Виходячи з даних, які ми
отримали, величину загального залишкового ризику у вигляді ймовірності порушення
(подолання, злому) комплексної системи захисту можна при цьому розрахувати з
виразу:
q = 1 - (1 - qпк) ∙
(1 - qпц) ∙ (1 - qпд).
Усі невизначені змінні в
виразах, наведених для розрахунку запропонованих показників захищеності
інформації (ймовірностей порушення тієї чи іншої властивості захищеності
інформації), можуть бути розрахованими, якщо відомі чи їх складові, чи закони
розподілу відповідних імовірностей. В багатьох випадках можна вважати розподіл
імовірностей таких подій рівномірним, принаймні, як найскладніший для
функціонування систем захисту. В інших випадках для розрахунку ймовірностей
можна використати параметри потоків відповідних випадкових величин.
Висновки
Таким чином, розглянуті
підходи щодо визначення та аналізу ризиків безпеці інформації в локальних
обчислювальних мережах можуть, по-перше, розглядатися як відповідні методики, які
дозволяють отримати аналітичні вирази для визначення показників захищеності
інформації (залишкових ризиків) по кожної з функціональних властивостей захищеності
від можливих загроз у вигляді – ймовірностей подолання засобів захисту від
загроз відповідного типу та, по-друге, побудувати загальну модель системи
захисту в частині забезпечення необхідних властивостей захищеності і, за умовою
оптимізації параметрів та характеристик може[3] бути використаними для
проектування ефективних систем технічного захисту інформації взагалі та їх
складових зокрема.
Література:
1. Рішняк
І.В. Системний аналіз категорій ризику та
невизначеності // Вісн. Нац. ун-ту “Львівська політехніка”. – 2003
2.
Будько М.М. Василенко В.С. Оцінка залишкового
ризику при застосуванні засобів захисту інформації від НСД в корпоративних системах.
К.: Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова, Матеріали
науково – практичної конференції “Інформаційні технології в енергетиці”, 2002
3.
Будько М.М., Василенко В.С., Короленко М.П.
Варіант формалізації процесу захисту інформації в комп’ютерних системах та
оптимізації його цільової функції // Реєстрація, зберігання і обробка даних. -
2000. - №2, том 2. с. 73 - 84.