Марченко Л.С., Василенко В.С.

Національний авіаційний університет (НАУ) України

Технології забезпечення цілісності інформаційних об’єктів

На сьогоднішній день ми спостерігаємо бурхливий розвиток технічних і програмних засобів забезпечення інформаційних технологій, обумовлений прогресом, що стався в області мікроелектронної технології, а також появою нових мультипроцесорних систем обробки даних. В результаті цього розширилися можливості засобів обробки і передачі даних, а також технічних засобів, що застосовуються для захисту .

Але попри все зростаючі зусилля по створенню технологій захисту даних, їх вразливість не лише не зменшується, а й постійно зростає. Це пов’язане із тим, що кожен метод захисту має свої певні недоліки, які можуть бути проігноровані або просто невраховані особою, яка захищає данні, але якими може скористатися зловмисник для здійснення атаки. Крім того, разом із розвитком технологій захисту у значній мірі удосконалюються та розробляються різні методи несанкціонованого доступу до інформації. Таким чином збільшується і площа реалізації можливих загроз для інформаційних об’єктів.  Тому актуальність проблем, пов'язаних із захистом потоків даних і забезпеченням інформаційної безпеки їх обробки і передачі, все більш зростає.

На сучасному етапі розвитку технологій практично вся інформація може бути досить легко перероблена і представлена в електронному вигляді. Характерною особливістю такої інформації є можливість сторонніх, неавторизованих, осіб легко і непомітно  спотворити, скопіювати або знищити її. Ця обставина викликає необхідність організації безпечного зберігання даних в будь-яких інформаційних об’єктах.

Існують наступні технології забезпечення цілісності:

1) Використання ознак цілісності, наприклад, геш-функцій для виявлення чи виявлення та корегування навмисних модифікацій інформаційних об’єктів. Суть використання геш-функцій полягає у перетворенні вхідного значення (повідомлення) будь-якої довжини у вихідне значення фіксованого розміру (дайджест повідомлення). При будь-якій незначній зміні даних змінюється і дайджест повідомлення.

2) Використання контрольних ознак, певних завадостійких кодів для виявлення чи виявлення та корегування спотворень інформаційних об’єктів внаслідок природних чи штучних неумисних модифікацій інформаційних об’єктів. Під завадостійкими кодами розуміють коди, що дозволяють виявляти або виявляти і виправляти помилки, які виникають у результаті впливу завад. Завадостійкість кодування забезпечується за рахунок введення надмірності в кодові комбінації, тобто за рахунок того, що не всі символи в кодових комбінаціях використовуються для передачі інформації.

3) Контроль цілісності шляхом контролю діапазонів змін інформаційних об’єктів в мережних, наприклад в системах керування базами даних (СКБД) Oracle. У цьому випадку під цілісністю даних розуміють можливість вводити в окремі поля лише допустимі значення. Забезпечення цілісності на рівні команд – це можливість виконання командою дій лише з даними, які були в БД (базі даних) в момент введення команди.

               4) Контроль цілісності інформації під час початкового завантаження системи. Полягає в знаходженні контрольних сум (числове значення, отримане в результаті перетворення вмісту файлу з якого-небудь математичного алгоритму) файлів при завантаженні системи. Якщо вміст файлу змінено, то контрольна сума теж зміниться. При розбіжності контрольних сум виводиться повідомлення про порушення цілісності.

               5) Забезпечення цілісності, застосовуване у системах управління та розмежування доступом типу " Secret Net ". Полягає в тому, що для кожного контрольованого об'єкту визначаються  параметри, які його характеризують. Періодично система визначає ці параметри для зазначених в її базах даних об'єктах.  Потім отримані і контрольні значення об'єктів порівнюються.

Переваги - полегшує пошук пошкоджених файлів, що прискорює процес відновлення системи при збоях; забезпечує безперервний контроль за найважливішими об'єктами, шляхом високої частоти перевірок.

Розглянувши вищезазначені способи забезпечення цілісності, можна зазначити їх основні, на думку авторів, недоліки.

Для першого способу – наявність колізій, тобто можливість підібрати пару повідомлень з однаковим хешем. Наприклад, при процедурі автентифікації користувач вводить свій пароль, до якого застосовується деяка геш-функція, значення якої записується в базу даних. При кожному введенні пароля  до нього застосовується та ж геш-функція, а результат порівнюється з тим, який записаний в БД. При такому підході, якщо зловмисник вміє знаходити колізії для використовуваної геш-функції, він зможе знайти  та підробити пароль, який буде мати ту ж геш-суму, що й пароль користувача.

Для другого способу – працює з блоками обмеженої довжини і при певних конфігураціях помилок або не виявляє їх зовсім, або невірно інтерпретує характер помилок. Це робить такі коди майже непридатними для перевірок цілісності даних в умовах одночасної дії завад та можливого несанкціонованого порушення цілісності даних.

Для третього  способу – не відбувається перевірка коректності процесів, породжених користувачами системи, тобто ймовірні атаки шляхом переповнення трафіку, що може призвести до втрати продуктивності системи, не гарантує цілісності даних у разі прямого (не через інтерфейс БД) доступу до файлів (тобто можливо несанкціоноване зміна БД); не відслідковує цілісність окремих об'єктів в рамках системи, тобто залишає можливість для внесення закладок в систему.

Для четвертого способу - не забезпечується цілісність файлів, що не  використовуються при початковому завантаженні системи.

Для п’ятого способу – у разі інтенсивних спроб несанкціонованого доступу в систему знижується продуктивність системи, оскільки необхідний безперервний контроль за цілісністю файлової системи; немає можливості відстежити і зупинити спробу порушення цілісності, оскільки фіксується лише сам факт порушення; не відбувається швидкої ідентифікацію суб'єктів, що здійснюють несанкціоновані зміни;  обмежує можливість визначення і впливу на системні процеси, які є небезпечними для цілісності контрольованих ресурсів.

Підвищити захист цілісності можна  за допомогою введення ряду додаткових способів контролю цілісності інформаційних об'єктів. Тобто, крім здійснення контролю цілісності за різними параметрами об'єктів обчислювальної системи (файлів, каталогів) можна здійснювати контроль цілісності по користувачам, які знаходяться в системі і по процесам, які відбуваються в системі. Такий контроль цілісності дає змогу визначити небезпечні для системи процеси та ідентифікувати користувачів, які їх створили. Контроль цілісності за користувачами дозволяє знайти тих користувачів, чия присутність може загрожувати цілісності системи, а також ідентифікувати термінал, з якого здійснювався вхід в систему, час входження та іншу інформацію, необхідну адміністратору системи. 

Переваги - здатність відстежувати і запобігати спробам порушення цілісності, оскільки фіксується не лише факт, але й спроба подібного порушення; оперативне відстежування факту появи небезпечних для системи процесів і визначення користувачів, які їх створили; здатність відстежувати появу небезпечних для системи користувачів і зіставляти їх та породжені ними процесів; забезпечує економне використання ресурсів, оскільки завантаження  мінімальне через незначний вхідний і вихідний потоки даних; можливість установки та переналаштування в будь-якій системі і при будь-яких змінах.

Висновок: Найбільш прийнятними і підходящими методами забезпечення цілісності є методи, які передбачають не лише фіксування самого факту вже здійсненої модифікації чи порушення, а й його попередження, тобто фіксування можливості здійснення неправомірних дій. Крім цього, для надійного забезпечення цілісності інформаційних об’єктів краще використовувати сукупність декількох методів забезпечення цілісності. У такий спосіб можна перекривати певні недоліки кожного методу і робити систему захисту більш досконалою.

 

1. Василенко В.С., Будько М.М., Короленко М.П. Контроль и відновлення цілісності інформації в автоматизованих системах // Правове, нормативне та метрологічне забезпечення Системи захисту інформації в Україні. — К.: НТУУ «КПІ», 2002. — Вип. 4. — С. 119–128.

2. Мельников Ю. Н., Мясников В. А. Лутковский Ю. П. Забезпечення цілісності інформації в обчислювальних системах. Известия АН СССР "Техническая кибернетика" N 1, 1985, с. 72 – 79

3. Большаков А.А., Петряєв А.Б., Платонов В.В., Ухлінов Л.М. Основи забезпечення безпеки данних в комп’ютерних системах та мережах. Частина 1: Методи, засоби і механізми захисту данних. //Спб.:ВИККА ім.Можайского.-1995.