Лекція №11. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Методи та види НСД

План

1. Поняття НСД.

2. Захист від НСД.

3. Основні способи НСД.

4. Категорії методів захисту від НСД.

5. Канали витоку інформації.

6. Найбільш загальна класифікація каналів витоку інформації.

7. Канал витоку за пам’яттю.

8. Часовий канал витоку інформації.

ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ

Методи та види НСД

Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу КС, що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затверджену конфiгурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС ЗЛ.

Під захистом від НСД, звичайно, слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному станi системи заходів із захисту інформації.

Згідно до нормативних документів [ ] основними способами НСД є:

· безпосереднє звертання до об'єктів з метою одержання певного виду доступу;

· створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;

· модифікація засобів захисту, що дозволяє здійснити НСД;

· впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дозволяють здійснити НСД.

Можна виділити наступні узагальнені категорії методів захисту від НСД:

* організаційні;

* технологічні;

* правові.

До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями організації. Приклад такого захисту – присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщенні, і контроль доступу до них персоналу. Другу категорію складають механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад, систем ідентифікації і автентифікації або охоронної сигналізації. І остання категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і удосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, сполучують в собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (установка замків і систем сигналізації) способів захисту.

Канали витоку інформації

В попередньому розділі розглядалися канали витоку інформації з суто технічного боку. Зараз розглянемо це питання в більш широкому аспекті, тобто передача інформації може відбуватися не тільки за допомогою технічних засобів. Отже, каналом витоку інформації можна вважати будь-яку можливість передачі інформації будь-яким способом.

Дійсно, при обробці інформації в АС завжди маємо обмін інформацією між об’єктами АС, отже, можемо говорити про наявність каналів обміну або каналів витоку інформації.

Канал витоку інформації– сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе указану інформацію, і засобу виділення інформації з сигналу або носія.

З точки зору захисту інформації, канали і інформаційні потоки бувають законними або незаконними. Незаконні інформаційні потоки створюють витік інформації і, тим самим, можуть порушувати конфіденційність даних, тобто через канал витоку реалізуються загрози конфіденційності інформації в АС або НСД до даних. Зрозуміло, що СЗІ повинна контролювати по можливості всі відомі канали витоку. Однак, по-перше, навіть відомі канали іноді важко контролювати, а, по-друге, ще складніше виявити всі існуючі в АС канали витоку. Таким чином, в будь-якй АС можна виділити відкриті канали витоку (тобто канали, які вдалося ідентифікувати і які контролюються засобами захисту) і приховані (covert channel), коли витік відбувається шляхом, який не контролюється засобами захисту.

Отже, далі розглядаємо канали витоку інформації (channel of information leakage), як можливість неконтрольованого розповсюдження інформації, що призводить до несанкціонованого отримання і/або модифікації інформації.

Найбільш загальною класифікацією каналів витоку може бути наступна:

· канал несанкціонованого доступу– канал спеціального впливу порушника, який, використовуючи штатні засоби доступу до інформаційних ресурсів, порушує встановлені правила розмежування доступу з метою реалізації будь-яких з основних видів загроз для інформації;

· канал спеціального недопустимого регламентом впливуна параметри середовища функціонування,здійснюваного з метою порушення доступності в АС;

· канал спеціального впливу нештатними програмними і/або програмно-технічними засобами на елементи обладнання, програми, дані та процеси в АС, що встановлюються в процесі її експлуатації, з метою реалізації будь-яких з основних видів загроз для інформації;

· канал спеціального впливу на компоненти АС за допомогою закладних пристроїв і/або програмних закладок, впроваджених в середовище функціонування АС на передексплуатаційних стадіях її життєвого циклу, що здійснюється з метою реалізації будь-яких з основних видів загроз для інформації;

· канал витоку інформації,утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень (ПЕМВН) з метою порушення конфіденційності;

· канал витоку інформації,утворений за допомогою використання побічних акусто-електричних перетворень інформативних сигналів в кінцевому обладнанні з метою порушень конфіденційності;

· каналреалізації будь-яких з основних видів загроз для інформації, утворений за рахунок використання випадкових збоїв та відмов в роботі обладнання;

· канал спеціального впливуна компоненти АС за допомогою впровадження комп’ютерних вірусів

З точки зору способу реалізації можна виділити фізичні та інформаційні канали витоку інформації. Звичайно, всі канали витоку з попередньої класифікації можуть реалізуватися за допомогою фізичних та інформаційних каналів витоку інформації. Зазначимо, що іноді дуже важко віднести конкретний канал до деякої групи, тобто наведені класифікації мають досить умовний характер.

Фізичні канали витоку наступні:

1. Електромагнітний канал. Причиною його виникнення є електромагнітне поле, пов’язане з протіканням електричного струму в технічних засобах АС. Електромагнітне поле може індуціювати струми в близько розміщених провідних лініях (наводки). Електромагнітний канал в свою чергу ділиться на наступні канали: радіоканал (високочастотне випромінювання); низькочастотний канал; мережевий канал (наводки на мережу електроживлення); канал заземлення (наводки на проводи заземлення); лінійний канал (наводки на лінії зв’язку між ПЕОМ).

2. Акустичний (віброакустичний) канал. Він пов’язаний з розповсюдженням звукових хвиль в повітрі або пружних коливань в інших середовищах, які виникають при роботі засобів відображення інформації АС.

3. Оптичний канал. Він повя’заний з можливістю отримання інформації за допомогою оптичних засобів.

Серед інформаційних каналів витоку найбільш розповсюдженим є канал за пам’яттю (storage covert channel), тобто канал, що виникає за рахунок використання доступу до спільних об’єктів системи (як правило, спільна пам’ять). Існують певні методи та прийоми математичного моделювання та зображення різних каналів витоку інформації. Зокрема, канал за пам’яттю можна зобразити у вигляді наступного графа

.

На цьому графі користувач активізує (exe) деякий процес S, за допомогою якого може отримати доступ на читання (r) до спільного з користувачем ресурсу О, при цьому може писати (w) в О, а может читати з О за допомогою S.

Можна навести змістовний приклад змодельованого каналу витоку. Наприклад в каталог О внесено імена файлів. Доступ до самих файлів для користувача закритий, а доступ до каталогу можливий. Якщо користувач створив закриті файли, то інформація про файлову структуру стала доступною для . Отже, виник витік частини інформації, що належить користувачу , зокрема, існування чи ні конкретного файла – 1 біт інформації. Захист здійснюється шляхом контролю доступу.

Ще одним важливим інформаційним каналом витоку є часовий канал (timing covert channel). Часовий канал є каналом, що передає ЗЛ інформацію не про увесь процес, а тільки його модулювання цінною закритою інформацією. Графічно канал за часом можна зобразити схемою

.

Тут – зловмисник; – користувач, що оперує цінною інформацією; – процес, інформація про який цікава для ; –процес, що модулюється інформацією процеса ; S –– процес від імені користувача , який дозволяє спостерігати процес . Захист організується за допомогою контролю доступу та організаційних заходів.

Відмінність даного каналу витоку від каналу за пам’яттю полягає в тому, что зловмисник отримує не саму конфіденційну інформацію, а дані про операції над нею. Як правило, він використовується з метою подальшого вилучення інформації з каналу за пам’яттю. Отже, часовий канал є слабшим каналом витоку, тобто менш інформативним у порівнянні з каналом за пам’яттю.

Інформативність такого каналу визначається тою долею цінної інформації про процес , яка отримується за рахунок його модуляції. Нехай, наприклад, процес використовує принтер для друку чергового циклу обробки цінної інформації. Процес визначається роботою принтера, який є спільним ресурсом і . Тоді в одиницях частоти роботи принтера отримує інформацію про періоди обробки процесом цінної інформації, а це уже є витіком інформації.

Іншим каналом витоку інформації за часом є канал зв’язку. За рахунок безпосереднього доступу до процесу обробки (передачи) цінної інформації вона знимається, накопичується і відновлюється. Такий канал перекривається за допомогою криптографії.

Більш загальним поняттям порівняно з каналом витоку є канал дії на АС. Він може включати зміни компонент АС – активну дію – загроза властивості цілісності. Справа в тому, що для конфіденційності основна загроза – це незаконне ознайомлення з інформацією, тобто на саму інформацію активна дія відсутня. Виявляється, що для опису такої загрози достатньо поняття каналу витоку. Для цілісності ж основна загроза – це незаконна модифікація інформації, тобто повинна бути активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність. Основою захисту цілісності є своєчасне регулярне копіювання цінної інформації.

Інший клас механізмів захисту цілісності базується на ідеї перешкодозахищеного кодування інформацї (введення надмірності в інформацію) і складає основу контролю цілісності. Він оснований на автентифікації, тобто підтвердженні справжності, цілісності інформації. Підтвердження справжності зберігає цілісність інтерфейсу, а використання кодів автентифікації дозволяє контролювати цілісність файлів і повідомлень. Введення надмірності в мови і формальне задання специфікації дозволяють контролювати цілісність програм.

Крім того, до механізмів контролю і захисту цілісності інформації слід віднести створення системної надмірності. В військовій практиці такі заходи називають підвищенням «живучости» системи. Використання таких механізмів дозволяє також розв’язувати задачи стійкості до помилок і задачи захисту від порушень доступності.

Додамо, що будь-які канали витоку можуть бути контактними (коли здійснюється безпосередній доступ до елементів АС) або безконтактними (коли відбувається візуальний перехоп інформації або за рахунок випромінювань).

Контрольні запитання

1. Що таке НСД?

2. Що таке захист від НСД?

3. Назвіть основні способи НСД.

4. Які категорії методів захисту від НСД вам відомі?

5. Що таке канал витоку інформації?

6. Подайте найбільш загальну класифікацію каналів витоку інформації.

7. Як діє канал витоку за пам’яттю?

8. Як діє часовий канал витоку інформації?