<< Предыдущая

стр. 2
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

на
Персонал Разглашение; "Маскарад"; вербовка; Уход с рабочего
передача сведений о подкуп персонала места; физиче-
защите; халатность ское устранение

В табл.1.1. приведены специфические названия и термины: "троянский конь", "вирус", "червь",
которые употребляются для именования некоторых распространенных угроз безопасности АСОИ.
Хотя эти названия имеют жаргонный оттенок, они уже вошли в общепринятый компьютерный лекси-
кон. Дадим краткую характеристику этих распространенных угроз безопасности АСОИ.
"Троянский конь" представляет собой программу, которая наряду с действиями, описанными в
ее документации, выполняет некоторые другие действия, ведущие к нарушению безопасности систе-
мы и деструктивным результатам. Аналогия такой программы с древнегреческим "троянским конем"
вполне оправдана, так как в обоих случаях не вызывающая подозрений оболочка таит серьезную уг-
розу.
Термин "троянский конь" был впервые использован хакером Даном Эдварсом, позднее став-
шим сотрудником Агентства Национальной Безопасности США. "Троянский конь" использует в сущно-
сти обман, чтобы побудить пользователя запустить программу со скрытой внутри угрозой. Обычно
для этого утверждается, что такая программа выполняет некоторые весьма полезные функции. В ча-
стности, такие программы маскируются под какие-нибудь полезные утилиты.
Опасность "троянского коня" заключается в дополнительном блоке команд, вставленном в
исходную безвредную программу, которая затем предоставляется пользователям АСОИ. Этот блок
команд может срабатывать при наступлении какого-либо условия (даты, состояния системы) либо по
команде извне. Пользователь, запустивший такую программу, подвергает опасности как свои файлы,
так и всю АСОИ в целом. Приведем для примера некоторые деструктивные функции, реализуе-
мые "троянскими
конями".
• Уничтожение информации. Выбор объектов и способов уничто-жения определяется фантазией
автора вредоносной программы.
• Перехват и передача информации. В частности, известна программа, осуществляющая перехват
паролей, набираемых на клавиатуре.
• Целенаправленная модификация текста программы, реализующей функции безопасности и защи-
ты системы.
В общем, "троянские кони" наносят ущерб АСОИ посредством хищения информации и явного
разрушения программного обеспечения системы. "Троянский конь" является одной из наиболее опас-
ных угроз безопасности АСОИ. Радикальный способ защиты от этой угрозы заключается в создании
замкнутой среды исполнения программ, которые должны храниться и защищаться от несанкциониро-
ванного доступа.
Компьютерный "вирус" представляет собой своеобразное явление, возникшее в процессе
развития компьютерной и информационной техники. Суть этого явления состоит в том, что програм-
мы-вирусы обладают рядом свойств, присущих живым организмам, – они рождаются, размножаются
и умирают.
Термин “вирус'' в применении к компьютерам был предложен Фредом Коэном из Университе-
та Южной Калифорнии [88]. Исторически первое определение, данное Ф.Коэном: "Компьютерный ви-
рус – это программа, которая может заражать другие программы, модифицируя их посредством
включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к
дальнейшему размножению". Ключевыми понятиями в определении компьютерного вируса являются
способность вируса к саморазмножению и способность к модификации вычислительного процесса.
Указанные свойства компьютерного вируса аналогичны паразитированию в живой природе биологи-
ческого вируса.
Вирус обычно разрабатывается злоумышленниками таким образом, чтобы как можно дольше
оставаться необнаруженным в компьютерной системе. Начальный период "дремоты" вирусов являет-
ся механизмом их выживания. Вирус проявляется в полной мере в конкретный момент времени, когда
происходит некоторое событие вызова, например пятница 13-е, известная дата и т.п.
Компьютерный вирус пытается тайно записать себя на компьютерные диски. Способ функ-
ционирования большинства вирусов заключается в таком изменении системных файлов компьютера,
чтобы вирус начинал свою деятельность при каждой загрузке. Например, вирусы, поражающие загру-
зочный сектор, пытаются инфицировать часть дискеты или жесткого диска, зарезервированную толь-
ко для операционной системы и хранения файлов запуска. Эти вирусы особенно коварны, так как они
загружаются в память при каждом включении компьютера. Такие вирусы обладают наибольшей спо-
собностью к размножению и могут постоянно распространяться на новые диски.
Другая группа вирусов пытается инфицировать исполняемые файлы, чтобы остаться необна-
руженными. Обычно вирусы отдают предпочтение EXE- или COM-файлам, применяемым для выпол-
нения кода программы в компьютерной системе. Некоторые вирусы используют для инфицирования
компьютерной системы как загрузочный сектор, так и метод заражения файлов. Это затрудняет вы-
явление и идентификацию таких вирусов специальными программами и ведет к их быстрому распро-
странению. Существуют и другие разновидности вирусов. Компьютерные вирусы наносят ущерб сис-
теме за счет многообразного размножения и разрушения среды обитания.
Сетевой "червь" представляет собой разновидность программы-вируса, которая распростра-
няется по глобальной сети и не оставляет своей копии на магнитном носителе. Термин "червь" при-
шел из научно-фантастического романа Джона Бруннера "По бурным волнам". Этот термин исполь-
зуется для именования программ, которые подобно ленточным червям перемещаются по компьютер-
ной сети от одной системы к другой.
Первоначально "черви" были разработаны для поиска в сети других компьютеров со свобод-
ными ресурсами, чтобы получить возможность выполнить распределенные вычисления. При пра-
вильном использовании технология "червей" может быть весьма полезной. Например, "червь" World
Wide Web Worm формирует индекс поиска участков Web. Однако "червь" легко превращается во вре-
доносную программу. "Червь" использует механизмы поддержки сети для определения узла, который
может быть поражен. Затем с помощью этих же механизмов передает свое тело в этот узел и либо
активизируется, либо ждет подходящих условий для активизации.
Наиболее известным представителем этого класса вредоносных программ является "червь"
Морриса, который представлял собой программу из 4000 строк на языке Си и входном языке команд-
ного интерпретатора системы UNIX. Студент Корнеллского Университета Роберт Таппан Моррис-
младший запустил 2 ноября 1988 г. на компьютере Массачусетсского Технологического Института
свою программу-червь. Используя ошибки в операционной системе UNIX на компьютерах VAX и Sun,
эта программа передавала свой код с машины на машину. Всего за 6 часов были поражены подклю-
ченные к сети Internet 6000 компьютеров ряда крупных университетов, институтов и исследователь-
ских лабораторий США. Ущерб от этой акции составил многие миллионы долларов.
Сетевые "черви" являются самым опасным видом вредоносных программ, так как объектом
их атаки может стать любой из миллионов компьютеров, подключенных к глобальной сети Internet.
Для защиты от "червя" необходимо принять меры предосторожности против несанкционированного
доступа к внутренней сети. Следует отметить, что "троянские кони", компьютерные вирусы и сетевые
"черви" относятся к наиболее опасным угрозам АСОИ. Для защиты от указанных вредоносных про-
грамм необходимо применение ряда мер:
• исключение несанкционированного доступа к исполняемым файлам;
• тестирование приобретаемых программных средств;
• контроль целостности исполняемых файлов и системных областей;
• создание замкнутой среды исполнения программ.


1.3. Обеспечение безопасности АСОИ
Основным назначением АСОИ является переработка (сбор, хранение, обработка и выдача)
информации, поэтому проблема обеспечения информационной безопасности является для АСОИ
центральной. Обеспечение безопасности АСОИ предполагает организацию противодействия любому
несанкционированному вторжению в процесс функционирования АСОИ, а также попыткам модифи-
кации, хищения, выведения из строя или разрушения ее компонентов, т.е. защиту всех компонентов
АСОИ – аппаратных средств, программного обеспечения, данных и персонала [22].
Существуют два подхода к проблеме обеспечения безопасности АСОИ: "фрагментарный" и
комплексный.
"Фрагментарный" подход направлен на противодействие четко определенным угрозам в за-
данных условиях. В качестве примеров реализации такого подхода можно указать отдельные средст-
ва управления доступом, автономные средства шифрования, специализированные антивирусные
программы и т.п.
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Суще-
ственным недостатком данного подхода является отсутствие единой защищенной среды обработки
информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов
АСОИ только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффек-
тивности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в
АСОИ, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация
защищенной среды обработки информации позволяет гарантировать определенный уровень безо-
пасности АСОИ, что является несомненным достоинством комплексного подхода. К недостаткам это-
го подхода относятся: ограничения на свободу действий пользователей АСОИ, большая чувстви-
тельность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты АСОИ крупных организаций или небольших
АСОИ, выполняющих ответственные задачи или обрабатывающих особо важную информацию. На-
рушение безопасности информации в АСОИ крупных организаций может нанести огромный матери-
альный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены
уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплекс-
ного подхода придерживаются большинство государственных и крупных коммерческих предприятий и
учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для
конкретной АСОИ политике безопасности. Политика безопасности представляет собой набор норм,
правил и практических рекомендаций, на которых строится управление, защита и распределение ин-
формации в АСОИ. Политика безопасности регламентирует эффективную работу средств защиты
АСОИ. Она охватывает все особенности процесса обработки информации, определяя поведение сис-
темы в различных ситуациях.
Политика безопасности реализуется посредством административно-организационных мер,
физических и программно-технических средств и определяет архитектуру системы защиты. Для кон-
кретной организации политика безопасности должна носить индивидуальный характер и зависеть от
конкретной технологии обработки информации и используемых программных и технических средств.
Политика безопасности определяется способом управления доступом, определяющим поря-
док доступа к объектам системы. Различают два основных вида политики безопасности: избиратель-
ную и полномочную.
Избирательная политика безопасности основана на избирательном способе управления дос-
тупом. Избирательное (или дискреционное) управление доступом характеризуется заданным адми-
нистратором множеством разрешенных отношений доступа (например, в виде троек <объект, субъ-
ект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют
математическую модель на основе матрицы доступа.
Матрица доступа представляет собой матрицу, в которой столбец соответствует объекту
системы, а строка – субъекту. На пересечении столбца и строки матрицы указывается тип разрешен-
ного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "дос-
туп на чтение", "доступ на запись", "доступ на исполнение" и т.п. Матрица доступа является самым
простым подходом к моделированию систем управления доступом. Однако она является основой для
более сложных моделей, более адекватно описывающих реальные АСОИ.
Избирательная политика безопасности широко применяется в АСОИ коммерческого сектора,
так как ее реализация соответствует требованиям коммерческих организаций по разграничению дос-
тупа и подотчетности, а также имеет приемлемую стоимость.
Полномочная политика безопасности основана на полномочном (мандатном) способе управ-
ления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупно-
стью правил предоставления доступа, определенных на множестве атрибутов безопасности субъек-
тов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допус-
ка пользователя. Полномочное управление доступом подразумевает, что:
• все субъекты и объекты системы однозначно идентифицированы;
• каждому объекту системы присвоена метка конфиденциаль-ности информации, определяющая
ценность содержащейся в нем информации;
• каждому субъекту системы присвоен определенный уровень допуска, определяющий максималь-
ное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциаль-ности. Поэтому наиболее защищен-
ными оказываются объекты с наиболее высокими значениями метки конфиденциальности.
Основным назначением полномочной политики безопасности является регулирование досту-
па субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение
утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование воз-
можных проникновений с нижних уровней на верхние.
Помимо управления доступом субъектов к объектам системы проблема защиты информации
имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем необяза-
тельно искать пути несанкционированного доступа к нему. Необходимую информацию можно полу-
чить, наблюдая за обработкой требуемого объекта, т.е. используя каналы утечки информации. В сис-
теме всегда существуют информационные потоки. Поэтому администратору необходимо определить,
какие информационные потоки в системе являются "легальными", т.е. не ведут к утечке информации,
а какие – ведут к утечке. Поэтому возникает необходимость разработки правил, регламентирующих
управление информационными потоками в системе. Обычно управление информационными пото-
ками применяется в рамках избирательной или полномочной политики, дополняя их и способствуя
повышению надежности системы защиты.
Избирательное и полномочное управление доступом, а также управление информационными
потоками являются тем фундаментом, на котором строится вся система защиты.
Под системой защиты АСОИ понимают единую совокупность правовых и морально-
этических норм, административно-организационных мер, физических и программно-технических
средств, направленных на противодействие угрозам АСОИ с целью сведения к минимуму возможно-
сти ущерба.
Процесс построения системы защиты включает следующие этапы:
• анализ возможных угроз АСОИ;
• планирование системы защиты;
• реализация системы защиты;
• сопровождение системы защиты.
Этап анализа возможных угроз АСОИ необходим для фиксации состояния АСОИ (конфигу-
рации аппаратных и программных средств, технологии обработки информации) и определения учи-
тываемых воздействий на компоненты системы. Практически невозможно обеспечить защиту АСОИ
от всех воздействий, поскольку невозможно полностью установить все угрозы и способы их реализа-
ций. Поэтому из всего множества вероятных воздействий выбирают только такие воздействия, кото-
рые могут реально произойти и нанести серьезный ущерб.
На этапе планирования формулируется система защиты как единая совокупность мер проти-
водействия угрозам различной природы [22].
По способам осуществления все меры обеспечения безопасности компьютерных систем под-
разделяют на:
• правовые (законодательные);
• морально-этические;
• административные;
• физические;
• аппаратно-программные.
Перечисленные меры безопасности АСОИ можно рассматривать как последовательность
барьеров или рубежей защиты информации. Для того чтобы добраться до защищаемой информации,
нужно последовательно преодолеть несколько рубежей защиты. Рассмотрим их подробнее.
Первый рубеж защиты, встающий на пути человека, пытающегося осуществить НСД к инфор-
мации, является чисто правовым. Этот аспект защиты информации связан с необходимостью соблю-
дения юридических норм при передаче и обработке информации. К правовым мерам защиты инфор-
мации относятся действующие в стране законы, указы и другие нормативные акты, регламентирую-
щие правила обращения с информацией ограниченного использования и ответственности за их
нарушения. Этим они препятствуют несанкционированному использованию информации и являются
сдерживающим фактором для потенциальных нарушителей.
Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении
требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к
компьютерам, работали в здоровом морально-этичес-
ком климате.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения,
которые традиционно сложились или складываются в обществе по мере распространения компьюте-
ров в стране. Эти нормы большей частью не являются обязательными, как законодательно утвер-
жденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организа-
ции. Морально-этические нормы бывают как неписаными (например, общепризнанные нормы честно-
сти, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний. Например,
"Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США" рассматривает
как неэтичные действия, которые умышленно или неумышленно:
• нарушают нормальную работу компьютерных систем;
• вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);
• нарушают целостность информации (хранимой и обрабатываемой);
• нарушают интересы других законных пользователей и т.п.
Третьим рубежом, препятствующим неправомочному использованию информации, являются
административные меры. Администраторы всех рангов с учетом правовых норм и социальных аспек-
тов определяют административные меры защиты информации.
Административные меры защиты относятся к мерам организационного характера. Они рег-
ламентируют:
• процессы функционирования АСОИ;
• использование ресурсов АСОИ;
• деятельность ее персонала;
• порядок взаимодействия пользователей с системой, с тем чтобы в наибольшей степени затруд-
нить или исключить возможность реализации угроз безопасности.
Административные меры включают:
• разработку правил обработки информации в АСОИ;
• совокупность действий при проектировании и оборудовании вычислительных центров и других
объектов АСОИ (учет влияния стихии, пожаров, охрана помещений и т.п.);
• совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, озна-
комление их с порядком работы с конфиденциальной информацией, с мерами ответственности за
нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно
допускать злоупотребления и т.д.);
• организацию надежного пропускного режима;
• организацию учета, хранения, использования и уничтожения документов и носителей с конфиден-
циальной информацией;
• распределение реквизитов разграничения доступа (паролей, полномочий и т.п.);
• организацию скрытого контроля за работой пользователей и персонала АСОИ;
• совокупность действий при проектировании, разработке, ремонте и модификации оборудования и
программного обеспечения (сертификация используемых технических и программных средств,
строгое санкционирование, рассмотрение и утверждение всех изменений, проверка на удовлетво-
рение требованиям защиты, документальная фиксация изменений и т.п.).
Важно отметить, что, пока не будут реализованы действенные меры административной защи-
ты ЭВМ, прочие меры будут, несомненно, неэффективны. Административно-организационные меры
защиты могут показаться скучными и рутинными по сравнению с морально-этическими и лишенными
конкретности по сравнению с аппаратно-программными. Однако они представляют собой мощный
барьер на пути незаконного использования информации и надежную базу для других уровней защи-
ты.
Четвертым рубежом являются физические меры защиты. К физическим мерам защиты отно-
сятся разного рода механические, электро- и электронно-механические устройства или сооружения,

<< Предыдущая

стр. 2
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>