Сучасні інформаційні технології.

Інформаційна безпека.

 

К.т.н., доц. Василенко В.С., Бордюк О.С., Полонський С.М.

Національний авіаційний університет (НАУ), Україна

ОЦІНЮВАННЯ РИЗИКІВ БЕЗПЕЦІ ІНФОРМАЦІЇ В ЛОКАЛЬНИХ ОБЧИСЛЮВАЛЬНИХ МЕРЕЖАХ

Вступ

Під інформаційною безпекою (ІБ) локальної обчислювальної мережі(ЛОМ) розуміють захищеність інформації та ресурсів ЛОМ, від випадкових або навмисних впливів природного чи штучного характеру, здатних нанести збитки власникам або користувачам інформації. Будь-яке порушення безпеки інформації в локальній обчислювальній мережі може бути розглянутим в термінах загроз, уразливості та атак.

З відомих положень про безпеку інформації в локальних обчислювальних мережах можна зробити висновок [1], що інформаційна безпека не полягає винятково у захисті інформаційних об’єктів. Це принципово ширше поняття. Суб’єкт інформаційних відносин може постраждати (отримати матеріальні і/або моральні збитки) не тільки від несанкціонованого доступу до інформації, але і від пошкодження системи, що зумовить перерву в роботі. Однією із  найважливіших при цьому стає задача визначення і оцінки можливих потенційних втрат від недостатньої захищеності інформаційних об’єктів.

Постановка задачі

У спектрі інтересів суб’єктів, пов’язаних з використанням локальних обчислювальних мереж, можна виділити необхідність забезпечення наступних функціональних властивостей захищеності інформаційних об’єктів і які забезпечуються відповідними рівнями послуг ІБ:

1. Конфіденційність (захист від несанкціонованого ознайомлення);

2. Цілісність (актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованої зміни);

3. Доступність (можливість за прийнятний час одержати необхідну інформацію).

На сьогоднішній день вимоги щодо конфіденційності, цілісності та доступності викладені в досить розвиненій нормативно – правовій базі.

Конфіденційність. Цей рівень послуг ІБ відповідає за загрози, що відносяться до несанкціонованого ознайомлення з інформацією за рахунок реалізації загроз на кшталт несанкціонованого доступу до неї, чи використання витоків інформації технічними каналами. Ці загрози і є загрозами конфіденційності. Вітчизняні та закордонні апаратурно-програмні продукти дають змогу закрити практично всі потенційні канали відтоку інформації.

Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, складають загрози цілісності. Відповідними послугами є довірча цілісність, адміністративна цілісність, відкіт і цілісність при обміні. Останню можна поділити на статичну (зрозумілу як незмінність інформаційних об’єктів) і динамічну (що стосується конкретного виконання складних дій (транзакцій)). Приклад динамічної цілісності – контроль потоку  повідомлень (виявлення крадіжки, упорядкування або дублювання окремих повідомлень).

Доступність. Загрози, що відносяться до порушення можливості використання комп’ютерних чи систем оброблюваної інформації, складають загрози доступності. Відповідними послугами є використання ресурсів, стійкість до відмовлень, гаряча заміна, відновлення після збоїв.

Забезпечення цих функціональних властивостей захищеності інформації локальних обчислювальних мережах є дуже важливою і актуальною проблемою. Для вирішення цієї проблеми потрібно використовувати такі системи захисту, які б надійно захищали той чи інший ресурс такої мережі. Вибір чи побудова цих систем із відповідними характеристиками є можливими лише після визначення, аналізу та оцінки так званих залишкових ризиків.

Тому як мету цієї статті можна розглядати визначення та оцінку залишкових ризиків при застосуванні тих чи інших засобів забезпеченні конфіденційності, цілісності та доступності інформаційних об’єктів в інформаційно – телекомунікаційних системах та їх специфічному класу – локальних обчислювальних мережах.

Аналіз і оцінка ризиків

Для оцінки залишкового ризику при забезпеченні конфіденційності (ймовірність отримання інформації порушником з розкриттям змісту) подію, пов’язану з порушенням конфіденційності, слід розглядати як складну та таку, що складається з подій:

—         несанкціонованого отримання користувачем інформації тим чи іншим чином з метою ознайомлення з нею чи будь-якого подальшого використання;

—         розкриття змісту інформації з обмеженим доступом (ІзОД) після отримання її тим чи іншим. Останнє слід трактувати як можливість подолання порушником відповідних засобів криптозахисту.

Несанкціоноване отримання користувачем інформації тим чи іншим чином є можливим при умові подолання неавторизованим користувачем засобів захисту у складі:

1.     Організаційного обмеження доступу (контроль доступу та управління доступом до приміщень організаційними засобами, наприклад реалізацією перепускного режиму до будівель чи окремих приміщень та таке інше). Такі дії слід очікувати, скоріше за все, від "терплячих зловмисників" - авторизованих користувачів, які мають атрибути легального доступу до певних приміщень ІТС (наприклад, перепустки чи їх еквіваленти), або від "рішучих зловмисників", які вимушено використовують підроблені атрибути легального доступу до приміщень ІТС;

2.     Охоронної сигналізації (тобто шляхом "обходу" засобів організаційного обмеження доступом. Такі дії слід очікувати, скоріше за все, від "рішучих зловмисників", які мають на меті будь-що порушити ту чи іншу властивість захищеної інформації;

3.     Управління доступу, включаючи засоби управління фізичним доступом (дозвіл чи блокування доступу до приміщень, терміналів, системних блоків, клавіатури та інших фізичних засобів) та адміністрування доступу (адміністрування суб’єктів, об’єктів, побудови і реалізації моделі захищеної системи, розмежування доступу тощо). Такі дії слід очікувати, скоріше за все, від "терплячих зловмисників", які порушують політику безпеки даної послуги навмисно, але без рішучих дій, маскуючись, шляхом підбору атрибутів доступу інших користувачів з метою прихованого подолання засобів управління (адміністрування) доступом до інформації, або від "випадкових порушників" - авторизованих користувачів, які порушують конфіденційність не навмисно, а помилково – шляхом випадкового подолання засобів управління (адміністрування) доступом до об’єкту захисту, виконання непередбачених дій відносно цього інформаційного об’єкту та т.п.;

4.     Засобів канального захисту в телекомунікаційних мережах (ТКМ) (засобів захисту від несанкціонованого доступу із телекомунікаційної мережі до ресурсів даної ЛОМ);

5.     Засобів захисту від вірусних атак (засобів антивірусного захисту).

При цьому ймовірність подолання засобів управління доступом q₁ можна визначити з виразу

q₁ = q_уд·[1-(1-q_оод)·(1-q_ос)],

де: q_уд – ймовірність подолання засобів управління доступом;

q_оод – ймовірність подолання засобів організаційного обмеження доступу;

q_ос – ймовірність подолання засобів охоронної сигналізації.

Тут і надалі при відсутності того чи іншого виду захисту ймовірність його подолання вважається такою, що дорівнює одиниці.

В свою чергу, ймовірність q_уд подолання засобів управління доступом є також ймовірністю складної події, яка полягає в подоланні порушником як засобів управління фізичним доступом, так і засобів адміністрування доступом з використанням механізмів базового та прикладного програмного забезпечення. Якщо позначити ці ймовірності через q_уфд і q_ад відповідно, то

q_уд = q_уфд·q_ад.

Тоді, зрозуміло,

q₁ = q_уфд·q_ад ·[1-(1-q_оод)·(1-q_ос)].

Звернемо увагу на те, що для зменшення імовірності подолання засобів управління доступом необхідно забезпечити чітке дотримання політики безпеки в частині правил розмежування доступу та надання тих чи інших привілеїв користувачам.

Окрім того, несанкціоноване отримання користувачем інформації є можливим і через засоби віддаленого доступу до інформаційних об’єктів, використовуючи витоки інформації технічними каналами, засоби телекомунікаційної мережі та вірусні атаки при умові подолання неавторизованим користувачем відповідних засобів захисту.

Нехай ймовірність подолання засобів захисту від витоків інформації технічними каналами дорівнює q_зв, ймовірність подолання засобів антивірусного захисту  - q_ав, а ймовірність подолання засобів захисту конфіденційності інформацій в телекомунікаційних мережах - q_кткм.

Після отримання ІзОД тим чи іншим шляхом порушнику необхідно здійснити розкриття її змісту. Подія, яка полягає в тому, що порушник може розкрити зміст ІзОД (при умові подолання системи захисту даного інформаційного об’єкту) є також складною і складається з трьох подій: першої – порушник знає мову, якою інформація представляється; другої – порушник знає і може застосувати програмні засоби або апаратуру для криптографічного перетворення (для дешифрування закритої інформації); третьої – має необхідні ключі (ключові набори) для такого перетворення. Ймовірності цих подій Р_зм, Р_зкп, Р_кн відповідно.

При цьому Р_кзі – ймовірність подолання неавторизованим користувачем засобів криптозахисту (можливість розкрити зміст ІзОД) інформації можна визначити з виразу

q_кзі = Р_зм·Р_зкп·Р_кн.

Тоді вираз для розрахунку ймовірності q_пк порушення конфіденційності інформації з подоланням розглянутих засобів захисту можна записати у вигляді

q_пк= q_кзі·[1- (1-q₁)·(1- q_зв)·(1- q_aв)·(1- q_кткм)].

Розглянуте дозволяє зробити, висновок про те, що для забезпечення конфіденційності за рахунок унеможливлення доступу неавторизованих користувачів до інформації та розкриття її змісту необхідно застосовувати засоби (апаратурні чи програмні) для адміністрування доступу, для криптографічного перетворення (для шифрування та дешифрування закритої інформації, а також засоби генерації та розповсюдження ключів), засоби управління фізичним доступом, засоби охоронної сигналізації та організаційного обмеження доступом.

Для оцінки залишкового ризику при забезпеченні цілісності подію, пов’язану з її порушенням, слід розглядати як складну та таку, що складається з подій:

—         виведення з ладу, зміни режимів функціонування або несанкціонованого використання засобів зберігання носіїв інформації і порушення таким чином її цілісності;

—         несанкціонованої модифікації (зміни, підміни, знищення та т.п.) ІзОД в середовищах її оброблення, зберігання чи передавання з метою унеможливлення подальшого її використання чи нанесення іншої шкоди власнику даного ресурсу.

Як і при аналізі загроз конфіденційності інформації та засобів протидії цим загрозам, подолання неавторизованим користувачем системи захисту з імовірністю q_пц можливе, якщо:

1.     Подолано засоби охоронної сигналізації або засоби організаційного обмеження доступу та (і) засоби управління доступом, включаючи засоби управління фізичним доступом (дозвіл чи блокування доступу до приміщень, терміналів, системних блоків, клавіатури та інших фізичних засобів) та адміністрування доступу (адміністрування суб’єктів, об’єктів, побудови і реалізації моделі захищеної системи, розмежування доступу тощо). Ймовірність такої події q₁ уже визначена раніше.

2.     З імовірністю q_цткм подолано засоби захисту цілісності від загроз в ТКМ;

3.     З імовірністю q_св подолано засоби захисту від спеціальних впливів на інформацію по технічним каналам;

4.      З імовірністю q_ав подолано засоби антивірусного захисту;

5.     З імовірністю q_кц подолано засоби контролю та поновлення цілісності інформації.

Тоді, з використанням застосованих вище підходів, ймовірність порушення цілісності q_пц можна знайти з виразу

q_пц = q_кц · [1– (1– q₁)·(1– q_cв)·(1– q_цткм) (1– q_ав)].

Розглянуте дозволяє зробити, по-перше, висновок про те, що для забезпечення цілісності за рахунок унеможливлення доступу до інформації та модифікації неавторизованим користувачем змісту інформаційного об’єкту необхідно застосовувати засоби (апаратурні чи програмні) для адміністрування доступу, для контролю цілісності, для управління фізичним доступом, засоби охоронної сигналізації та організаційного обмеження доступом.

По-друге, з останнього виразу витікає необхідність, на відміну від моделі взаємодії засобів реалізації загроз та засобів забезпечення конфіденційності, застосування для забезпечення цілісності інформаційних об’єктів засобів з відповідними механізмами контролю цілісності та замість засобів захисту від витоків – засобів захисту від спеціального впливу. Окрім того, для унеможливлення порушення цілісності за рахунок отримання неавторизованим користувачем доступу до інформації з обмеженим доступом слід застосовувати такі ж засоби управління доступом (апаратурні чи програмні), як і для забезпечення конфіденційності .

       Звернемо увагу на те, що із наведеного вище визначення цілісності, як функціональної властивості захищеності інформації, не витікає ніяких часових обмежень щодо тривалості процесу поновлення цілісності, в разі виявлення засобами контролю наявності її порушення. Це дає змогу для забезпеченні цілісності використовувати i ручні методи, наприклад, поновлення  з застосуванням резервних копій інформаційних об’єктів чи шляхом забезпечення відкоту процесів у разі виявлення порушення цілісності.

Виходячи із наведеного вище визначення функціональної властивості захищеності інформації, для оцінки залишкового ризику при забезпеченні доступності подію, пов’язану з її порушенням, слід розглядати як наслідок впливу на інформаційний об’єкт загроз, найбільш суттєвими з яких є:

1.           Несанкціонована модифікація інформаційного ресурсу (порушення цілісності - вигляду ресурсу, необхідного користувачеві), включаючи зміни режимів його функціонування, місця зберігання, необхідного чи заданого користувачем, що потребує поновлення цілісності ресурсу шляхом, наприклад, використання його резервної копії. Така подія передбачає можливість фізичного доступу до джерел чи носіїв інформаційних ресурсів, наявність реалізованої спроби несанкціонованого доступу до інформаційного ресурсу, в тому числі каналами ТКМ та каналами спеціального впливу (порушник зумів здійснити маскування під авторизованого користувача чи модифікація не виявлена засобами контролю цілісності);

2.                 Перевід ресурсу в режим штучної відмови шляхом:

—   несанкціонованого використання інформаційного ресурсу в той час, коли ресурс є необхідним користувачеві, та протягом часу довше заданого (малого) проміжку - шляхом захоплення ресурсів (неконтрольованого використання, утримання, занадто тривалого використання) і створенню таким чином перешкод іншим користувачам в використання цих ресурсів;

—   постійного використання ресурсу, наприклад, шляхом генерації потоку заважаючих запитів (несправжніх запитів на обслуговування, несправжніх пакетів вхідної інформації, спроб підбору паролів та т.п. – завад процесу обслуговування справжніх запитів) з такою інтенсивністю, коли їх період (середня тривалість проміжку часу між двома сусідніми запитами) не перевищує тривалості обслуговування кожного з таких запитів, тобто такого потоку, коли захищений ресурс призначається для обслуговування лише заважаючих запитів;

—   постійного порушення цілісності з періодичністю меншою ніж час відновлення інформаційного ресурсу. Така подія передбачає наявність порушень цілісності за рахунок впливу природних факторів (збої, відмови), а також наявність реалізованих спроб несанкціонованого доступу до інформаційного ресурсу каналами спеціального впливу (без спроб маскування).

Ймовірність першої з цих подій визначено вище і вона дорівнює q_пц.

Для оцінки ймовірності порушення доступності шляхом переводу ресурсу в режим штучної відмови необхідно визначити інтенсивність потоку впливів на доступність ресурсу. Для цього скористаємося відомими підходами для розрахунку результуючої інтенсивності як природних, так і штучних впливів на інформаційні ресурси технічними каналами[2]. Під природними впливами будемо розуміти потоки будь-яких подій, які здатні вивести інформаційно – телекомунікаційну систему (ІТС) з ладу тимчасово (збої, для яких є характерним самоусунення), чи на тривалий термін (відмови, усунення яких вимагає втручання персоналу), тобто потоки відмов. Причинами таких впливів може бути недостатня спроможність уже згаданих первинних технічних засобів запобігти дії таких впливів, недостатня надійність засобів ІТС, виходи за межі допустимих значень температури, вологості, радіаційного чи електромагнітного випромінювання, яке впливає на елементи ЛОМ, та т.п. Такі події впливають як безпосередньо на інформаційні ресурси ЛОМ, так і на засоби технічного захисту цієї системи. При цьому стійкість ЛОМ до природних загроз визначається в основному такою її властивістю як надійність і забезпечується відповідними заходами (резервування – гаряче та холодне, застосування елементів підвищеної надійності та т. Ін.). Для боротьби зі збоями, які призводять до порушення цілісності програмних засобів та оброблюваної інформації, можна застосовувати засоби контролю та поновлення цілісності чи інші засоби поновлення після збоїв.

Під штучними впливами розуміються ті події, які є наслідком діяльності користувачів, як авторизованих, так і неавторизованих по відношенню до ресурсів ІТС, що є з якихось причин забороненими для даних користувачів. Такі впливи - спроби несанкціонованого доступу (НСД) можуть бути випадковими (в наслідок помилки користувача) або зловмисними, тобто спеціальними, з метою використання чи то ресурсів, чи то інформації ІТС.

Таким чином, на інформаційні ресурси ІТС можуть впливати як спроби несанкціонованого доступу, при умові подолання систем управління доступом та фільтрації, так і безпосередньо природні впливи.

Будемо вважати потік загроз найпростішим з інтенсивністю λ_з. Зрозуміло, що цей потік складається із штучних загроз з інтенсивністю λ_ш та природних з інтенсивністю λ, так що λ_з = λ_ш+ λ. В свою чергу, штучні загрози можуть бути внутрішніми з інтенсивністю λ_шв (з боку авторизованих чи неавторизованих користувачів ЛОМ чи її елементів) та зовнішніми з інтенсивністю λ_шз. Виявлення і подальша протидія загрозі (ймовірність захисту ІТС від загроз) залежить від того, чи запобігла (не допустила) система ТЗІ  впливу цієї загрози, чи установила факт її впливу і ліквідувала відповідні наслідки.

Ця задача вирішується, по-перше, шляхом управління доступом до інформаційних ресурсів ЛОМ (ідентифікація, автентифікація, надання певних повноважень чи привілеїв, з наступною їх перевіркою під час кожної із спроб доступу до ресурсів). Для цього в системі ТЗІ повинен виділятись адміністратор (будемо називати його в подальшому адміністратором безпеки), який і вирішує усі ці питання, зрозуміло з використанням засобів системи захисту, можливо через спеціальним чином обладнане автоматизоване робоче місце (АРМ) адміністратора безпеки. Зауважимо, що оскільки адміністратор безпеки має, як правило, найширші права щодо управління доступом до ресурсів ІТС, то захопивши його повноваження можна порушити процес надання цією ІТС будь–якої функціональної послуги.

Тому слід вважати, що стійкість (в розумінні імовірності не подолання) системи управління доступом р_д = 1 - q₁ визначається стійкістю процесів ідентифікації та автентифікації самого адміністратора безпеки, як користувача з найширшими повноваженнями. Останнє визначається можливостями системи ідентифікації та автентифікації (наприклад, кількістю можливих варіантів ідентифікаторів та кількістю можливих варіантів паролів і надійністю їх конфіденційного зберігання). В наслідок відсіву (фільтрації) внутрішніх впливів системою управління доступом на її виході інтенсивність завад буде дорівнювати λ_шв × q₁.

Ця задача може вирішуватися, по-друге,  застосуванням в ІТС засобів фільтрації зовнішніх штучних впливів (від елементів розподіленої обчислювальної мережі через засоби телекомунікаційної мережі), які впливають на дану ЛОМ (засоби фільтрації типу міжмережних екранів (firewall, брандмауерів),  сервісів - посередників (proxyservices) та т.п.). Якщо стійкість таких засобів (в розумінні імовірності не подолання) дорівнює
р_ф = 1 - q_ф, то в наслідок відсіву (фільтрації) зовнішніх впливів на виході системи фільтрації інтенсивність завад буде дорівнювати λ_шз×q_ф, а інтенсивність λ_р штучних впливів, які не відфільтровані системами управління доступом та фільтрації, складе:

λ_рш = λ_шв × q₁ +λ_шз × q_ф +λ.

З урахуванням інтенсивності справжніх запитів λ_сз загальна інтенсивність λ_з впливів дорівнює

λ_з = λ_сз + λ_шв × q₁ +λ_шз × q_ф +λ.

При  середній тривалості обслуговування в ІТС одного запиту (середньому значення часу використання ресурсу t_вр) і пуассонівському законі розподілу ймовірностей впливу ймовірність того, що під час звернення до ресурсу він уже використовується (ймовірність звернення до ресурсу на даному інтервалі t_вр більше ніж однієї заявки - ймовірність порушення доступності шляхом переводу ресурсу в режим штучної відмови) дорівнює

q_п3 = 1–р₀ =1–ехр{–t_вр∙ λ_з},

де р₀  - ймовірність відсутності впливів (ймовірність того, що на даному часовому інтервалі виникне рівно нуль впливів), а отже ймовірність порушення доступності ресурсу

q_пд = 1 - (1 - q_п3) ∙ (1 - q_пц).

Розглянуте дозволяє:

 Запропонувати вирази для оцінки залишкового ризику при захисті доступності ресурсів у вигляді ймовірності порушення доступності та сформувати умову переходу захищеного ресурсу в режим штучної відмови;

Зробити висновок про те, що для забезпечення доступності за рахунок унеможливлення доступу до інформації та модифікації неавторизованим користувачем змісту інформаційного об’єкту необхідно застосовувати засоби (апаратурні чи програмні) для управління доступом, для контролю та поновлення цілісності, для фільтрації пакетів, блокування засобів генерації безперервних запитів та т.п., засоби управління фізичним доступом, охоронної сигналізації та організаційного обмеження доступом;

Зробити висновок про необхідність, на відміну від захисту від порушення конфіденційності та цілісності, передбачати і можливість недопущення переводу ресурсу в режим штучної відмови – порушення доступності об’єкту за рахунок унеможливлення вчасного використання того чи іншого ресурсу авторизованим користувачем, тобто необхідно передбачати механізми запобігання постійного чи занадто тривалого використання цього ресурсу чи засобів його отримання порушником (установка квот – кількості звернень поспіль, допустимої тривалості чи допустимих часових інтервалів використання ресурсу, установка приорітетів на використання ресурсів та інше), механізми забезпечення стійкості та відновлення процесів в умовах збоїв, механізми резервування інформаційних об’єктів, механізми аналізу потоків запитів від суб’єктів ЛОМ та ТКМ, контролю та поновленню цілісності інформаційних об’єктів (наприклад, в каналах ТКМ) та т.п.

Виходячи з даних, які ми отримали,  величину загального залишкового ризику у вигляді ймовірності порушення (подолання, злому) комплексної системи захисту можна при цьому розрахувати з виразу:

q = 1 - (1 - q_пк) ∙ (1 - q_пц) ∙ (1 - q_пд).

Усі невизначені змінні в виразах, наведених для розрахунку запропонованих показників захищеності інформації (ймовірностей порушення тієї чи іншої властивості захищеності інформації), можуть бути розрахованими, якщо відомі чи їх складові, чи закони розподілу відповідних імовірностей. В багатьох випадках можна вважати розподіл імовірностей таких подій рівномірним, принаймні, як найскладніший для функціонування систем захисту. В інших випадках для розрахунку ймовірностей можна використати параметри потоків відповідних випадкових величин.

 

Висновки

Таким чином, розглянуті підходи щодо визначення та аналізу ризиків безпеці інформації в локальних обчислювальних мережах можуть, по-перше, розглядатися як відповідні методики, які дозволяють отримати аналітичні вирази для визначення показників захищеності інформації (залишкових ризиків) по кожної з функціональних властивостей захищеності від можливих загроз у вигляді – ймовірностей подолання засобів захисту від загроз відповідного типу та, по-друге, побудувати загальну модель системи захисту в частині забезпечення необхідних властивостей захищеності і, за умовою оптимізації параметрів та характеристик може[3] бути використаними для проектування ефективних систем технічного захисту інформації взагалі та їх складових зокрема.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Література:

1.     Рішняк І.В. Системний аналіз категорій ризику та
невизначеності // Вісн. Нац. ун-ту “Львівська політехніка”. – 2003

2.     Будько М.М. Василенко В.С. Оцінка залишкового ризику при застосуванні засобів захисту інформації від НСД в корпоративних системах. К.: Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова, Матеріали науково – практичної конференції “Інформаційні технології в енергетиці”, 2002

3.     Будько М.М., Василенко В.С., Короленко М.П. Варіант формалізації процесу захисту інформації в комп’ютерних системах та оптимізації його цільової функції // Реєстрація, зберігання і обробка даних. - 2000. - №2, том 2. с. 73 - 84.