Глава 11 Безопасность информационных систем
11.1. Основные понятия безопасности информационных систем
Рассматривая вопросы безопасности информации в компьютерных системах (обсуждая компьютерные системы, будем далее использовать термин компьютерная система» для обозначения объекта исследования, поскольку термин .автоматизированные системы», принятый в нормативных документах и научных работах по компьютерной безопасности, на сегодняшний день практически всегда описывает системы, содержащие компьютерную технику), можно говорить о наличии некоторых «желательных» состояний данных систем. Эти желательные состояния субъектно-объектной модели (они достаточно подробно рассмотрены в предыдущей главе) описывают «защищенность» системы. «Защищенность» принципиально не отличается от любых других свойств технической системы, например, «надежной работы», и является для системы внешней, априорно заданной характеристикой. Особенностью понятия «защищенность» является его тесная связь с понятиями «злоумышленник» (как обозначение внешней причины для вывода системы из состояния «защищенности») или «угроза» (понятие, обезличивающее причину вывода системы из защищенного состояния).
При рассмотрении понятия «злоумышленник» практически всегда выделяется объект его воздействия -часть системы, связанная с теми или иными действиями злоумышленника («объект атаки»). Следовательно, можно выделить три сущности, связанные с нарушением безопасности системы: «злоумышленник» – внешний по отношению к системе источник нарушения свойства «безопасность», «объект атаки» – часть, принадлежащая системе, на которую злоумышленник воздействует, «канал воздействия» – среда переноса злоумышленного воздействия.
Интегральной характеристикой, описывающей свойства защищенной компьютерной системы, является политика безопасности (ПБ) – качественное (или качественно-количественное) описание свойств защищенности, выраженное в терминах, описывающих систему. Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки.
Наиболее часто рассматривается политика безопасности, связанная с понятием «доступ». Доступ – категория субъектно-объектной модели, описывающая процесс выполнения субъектами операций над объектами.
Описание политики безопасности включает:
1. Множество возможных операций над объектами (например, для объекта «файл» допустимы операции «чтение файла», «уничтожение файла», «переименование файла», «редактирование файла», «отсылка файла во внешнюю сеть»).
2. Для каждой пары «субъект – объект» (S,OJ производится назначение множества разрешенных операций, являющихся подмножеством всей совокупности возможных операций.
Операции связаны обычно с целевой функцией защищаемой системы (функцией, определяющей назначение системы и совокупность задач, для решения которых она предназначена).
Предположим, что в системе есть два субъекта S, и S2 и два файла Fx и F2 и уже упомянутый список операций «чтение файла» (R), «уничтожение файла» (D), «переименование файла» (N), «редактирование файла» (W), «отсылка файла во внешнюю сеть» (О). Политика безопасности может быть задана в виде таблицы описаний:
Таблица 19
Эти описания означают, что первому субъекту для первого файла разрешено только «чтение файла» (R), для второго файла «чтение файла» (R) и «отсылка файла во внешнюю сеть» (О), второму субъекту для первого файла разрешено как «чтение файла» (R), так и «редактирование файла» (W). А «уничтожение файла» (D) и «переименование файла» (N) не разрешены ни первому, ни второму субъекту.
Можно сформулировать две аксиомы защищенных компьютерных систем. Аксиома 1. В защищенной КС всегда присутствует активный компонент, выполняющий контроль операций субъектов над объектами. Данный компонент фактически отвечает за реализацию политики безопасности. Аксиома 2. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов над объектами. В данном случае мы оперируем качественными понятиями: «контроль», «разрешенная и запрещенная операция*. Для повышения эффективности сформулированных положений две основные аксиомы следует дополнить еще одной (ГРУШО А.А., ТИМОНИНА Е.Е. Теоретические основы зашиты информации – М Яхтсмен, 1996 – 192 с). Аксиома 3. Все вопросы безопасности информации в компьютерной системе описываются в терминах «доступа» субъектов к объектам.
Важно заметить, что политика безопасности описывает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Точно так нее каждый практический аналитик должен ясно понимать, что конкуренты, которых на языке информационной безопасности называют злоумышленниками, также могут совершенствовать и разнообразить системы и способы несанкционированного доступа к чужим базам данных, могут намеренно засылать «компьютерные вирусы», искажающие информацию, осуществлять различного рода атаки и «взломы» хранилищ информации, которые могут содержать секретные материалы, составляющие коммерческую тайну данной организации. Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процессе изменения свойства защищаемой системы должны быть дополнены процедурами управления безопасностью.
Разумеется, компьютерная система не является живым существом, но, как и многие технические изделия, она обладает своим жизненным циклом. Типовой жизненный цикл защищенной компьютерной системы состоит из следующих стадий:
1. Проектирование КС и проектирование политики
безопасности.
2. Моделирование политики безопасности и анализ ее корректности, включающий установление адекватности политики безопасности целевой функции КС.
3. Реализация политики безопасности, разработка гарантий ее надежности и неуязвимости.
4. Эксплуатация защищенной системы. Безопасность КС достаточно часто описывается
в категориях «достоверности», «конфиденциальности», «целостности» и «доступности».
Свойство достоверности понимается как сохранение информацией своих свойств в любой момент времени, начиная с ввода в систему. Свойство доступности заключается в возможности пользования некоторым ресурсом КС и информацией в произвольный момент времени. При этом, разумеется, имеется в виду доступность информации для лиц, имеющих на это разрешение и соответствующие санкции руководителей организации. Это, в первую очередь, относится к менеджерам и аналитикам, а также к лицам, для которых работа с данной КС входит в состав служебных обязанностей. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени. Свойство конфиденциальности понимается как недоступность информации или сервисных услуг КС для лиц, которые не имеют на это соответствующего разрешения или допуска, санкционированного руководством организации.
Иногда выделяют также свойство актуальности информации, связанное со свойством доступности, которое заключается в том, что база данных и знаний, являющаяся важнейшей компонентой данной КС, содержит информацию и знания, которые нужны для выполнения тех или иных служебных функций сотрудников. Устаревшие или потерявшие значение данные становятся неактуальными и либо хранятся в архивах в системах компьютерной памяти, либо подлежат удалению из КС.
Рассмотрим теперь качественные характеристики и классификацию различных угроз в компьютерной системе.
По цели реализации угрозы – нарушение конфиденциальности, целостности, доступности.
По принципу и типу воздействия – с использованием физического доступа к элементам компьютерной системы (локальное воздействие) или удаленное воздействие. Пассивное воздействие (с использованием телекоммуникационных каналов передачи информации, как это было рассмотрено в предыдущем параграфе, либо с использованием технических каналов утечки информации) и активное воздействие (с использованием каналов удаленного воздействия). Канал утечки информации состоит из источника информации, канала распространения информации и средства извлечения информации из этого канала. Канал утечки информации связан с пассивным воздействием злоумышленника на объект, т.е. вектор переноса информации направлен от объекта к злоумышленнику, расположенному вовне или внутри системы. Через канал утечки реализуется угроза конфиденциальности информации в КС.
Принято выделять следующие каналы утечки информации:
Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах КС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Например, работа мониторов с лучом развертки сопряжена с излучением сигнала, полностью повторяющего изображения на компьютерном мониторе на сотни метров, а телефонные провода, выходящие за пределы здания, могут «унести» информацию о других работающих в помещении приборах, например, сканерах. Интересно, что нить накаливания обычной электрической лампочки является очень чувствительным микрофоном. Она модулирует напряжение в присоединенных к ней проводах, и разговор в помещении может быть прослушан достаточно далеко от него без установки в этом помещении микрофонов. Электромагнитный канал в свою очередь делится на следующие каналы:
1.1. Радиоканал (высокочастотное излучение).
1.2. Низкочастотный канал.
1.3. Сетевой канал (наводки на сеть электропитания).
1.4. Канал заземления (наводки на провода заземления).
1.5. Линейный канал (наводки на линии связи между компьютерами).
Акустический (виброакустический) канал – связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации КС.
Визуальный канал (визуальное восприятие информации на различных носителях).
Более общим понятием по сравнению с каналом утечки является канал воздействия на КС. Он может включать изменение компоненты КС, являющееся непосредственной угрозой целостности. Несанкционированный доступ в КС может также иметь как пассивный, так и активный характер, поэтому его корректнее отнести к воздействию на КС. Основными причинами угрожающего воздействия на КС являются:
• несоответствие (неадекватность) политики безопасности реальным условиям жизненного цикла КС;
• ошибки управления системой безопасности;
• ошибки проектирования системы гарантий;
• ошибки программной реализации;
• недостоверная работа вычислительной базы (ошибки программ, неисправности и сбои оборудования).
Перечисленные угрозы на самом деле являются последствиями недооценки влияния внешних и внутренних факторов работы КС. Например, неисправность в оборудовании компьютера может привести к неработоспособности жесткого диска, а сдача в ремонт этого диска – к утечке имеющихся на нем конфиденциальных сведений. Эта ситуация может быть вызвана искусственно – например, инициированный бросок напряжения с неизбежностью вызовет поломку.
Защита информации в КС – комплекс организационных, организационно-технических и технических мер, предотвращающих или снижающих возможность образования каналов утечки информации и/или каналов воздействия на КС. К организационным мерам защиты относятся меры общего характера, затрудняющие доступ к ценной информации злоумышленников вне зависимости от особенностей способа обработки информации и каналов утечки. К организационно-техническим мерам относятся меры, связанные со спецификой канала утечки (канала воздействия) и метода обработки информации и не требующие для своей реализации нестандартных приемов, оборудования или программных средств. Технические (программно-технические) меры защиты – меры, жестко связанные с особенностями канала утечки (воздействия) и требующие для своей реализации специальных приемов, оборудования или программных средств.
Приведенная классификация весьма важна для работы практических аналитиков. Дело в том, что технические и программно-технические меры защиты часто не видны пользователям и реализуются профессиональными специалистами в области защиты информации на этапе проектирования и монтажа КС. А вот организационные и организационно-технические меры напрямую связаны с повседневной работой защищенной КС. В качестве примера можно привести требование не выносить из здания, где размещена корпоративная аналитическая КС, съемных носителей информации (флеш-памятей), дабы исключить возможность преднамеренной передачи информации или ее съема с менее защищенных домашних компьютеров аналитиков. Другая мера – запретить внос на территорию мобильных телефонов, которые могут порождать акустический канал утечки. Еще один показательный пример – экраны компьютерных мониторов не должны быть развернуты к окнам не только потому, что это вредно для зрения, но и по причине реализации визуального канала утечки (содержание экранов может быть сфотографировано из окон соседних зданий). Учет специфики организационных и организационно-технических мер необходим как для понимания риска работы аналитика, так и для более спокойного отношения к требованиям технических служб.
11.2. Модели безопасности информационных систем. Понятие доступа и монитора безопасности
В теории компьютерной безопасности, изучающей защищенные КС, модель КС также рассматривается в виде конечного множества элементов – субъектов и объектов. Угрозы компонентам КС, рассматриваемые в модели потоков или состояний, исходят от субъекта, находящегося в распоряжении злоумышленника, как активного компонента, порождающего потоки и изменяющего состояние объектов в КС, которой пользуется данная организация, государственное или региональное ведомство, корпоративное или частное предприятие и т.п. Такая компьютерная система содержит много ценной информации, сведений, представляющих лакомый кусок для различных злоумышленников: конкурирующих фирм, ведомств недружественных государств и организаций и т.д.
Практическому аналитику весьма важно понимать, что угроза информации может исходить только от активной компоненты компьютерной системы, т.е. от субъектов, размещенных в локальном либо во внешнем сегменте КС. Первично же субъекты не активны и существуют в виде объектов – исполняемых файлов и загружаемых библиотек.
Определим механизм порождения новых субъектов следующим образом: объект О_ называется источником для субъекта Sm, если существует субъект S, в результате воздействия которого на объект О в компьютерной системе возникает субъект Sm. Субъект S, порождающий новый субъект из объекта О в свою очередь называется активизирующим субъектом для субъекта Sm, a Sm назовем порожденным объектом.
Выше мы ввели обозначение: Create(S ,О)—* Sk – из объекта О порожден субъект Sk при активизирующем воздействии субъекта S. Create мы назвали операцией порождения субъектов.
Операция порождения субъектов описывает запуск программ в рамках локального или внешнего сегмента КС. Мы говорили, что первично программа существует в виде объекта, который называется исполняемым модулем. Этот объект мы подвергаем «запуску», при этом находящиеся в нем инструкции для процессора начинают исполняться, и объект становится субъектом.
Очевидно, что операция порождения субъектов зависит как от свойств активизирующего субъекта, так и от содержания объекта-источника. Например, файл WinWord является объектом-источником для порождения субъекта-программы текстового редактора.
Из архитектуры фон Неймана следует, что с любым субъектом связан (ассоциирован) некоторый объект (или несколько объектов), отображающий его состояние. Например, для программы (субъекта) ассоциированным объектом будет содержание участка оперативной памяти с исполняемым кодом данной программы.
Обязательное свойство субъекта КС «быть активным» реализуется в возможности выполнения действия над объектами. При этом необходимо отметить, что пассивный статус объекта КС необходимо требует существования потоков информации от объекта к объекту, причем данный поток инициируется субъектом.
Потоком информации между объектом От и объектом О называется произвольная операция над объектом (Э, реализуемая в субъекте S, и зависящая от От.
Обозначения: Stream(Sit OJ—> О – поток информации от объекта От к объекту О. При этом будем выделять источник (OJ и получателя (приемника) потока {О}. В данном случае рассматривается поток информации между объектами, а не между субъектом и объектом (например, между объектом и ассоциированными объектами либо между двумя объектами), а активная роль субъекта выражается в реализации данного потока. Отметим, что операция Stream может создавать новый объект или уничтожать его.
На рис. 22 схематически изображены различные виды потоков.
Далее будем для краткости говорить о потоке, подразумевая введенное понятие потока информации. Понятие ассоциированных с субъектом объектов не является искусственной конструкцией. Корректно говорить о потоках информации молено лишь между одинаковыми сущностями, т.е. объектами. Кроме того, в ассоциированных объектах отображается текущее состояние субъекта. Отображениями Stream и Create описываются, с точки зрения разделения на субъекты и объекты, все события (изменения субъектов и объектов), происходящие в КС.
Доступом субъекта S, к объекту О} будем называть порождение потока информации между некоторым объектом (например, ассоциированным с субъектом объектом S(OJ) и объектом О. Выделим все множество потоков Р во все моменты времени (все множество потоков является объединением потоков во все моменты дискретного времени компьютерной системы) и произвольным образом разобьем его на два непересекающихся подмножества: N и L, P= NUL. Обозначим: N- подмножество потоков, характеризующее несанкционированный доступ (НСД, указывающий на нарушение безопасности КС), L – подмножество потоков, характеризующих легальный доступ.
Дадим некоторые пояснения к разделению множеств L и N. Понятие «безопасности» подразумевает наличие и некоторого состояния «опасности» – нежелательных состояний какой-либо системы (в данном случае КС). Будем считать парные категории типа «опасный – безопасный» априорно заданными для КС и описываемыми политикой безопасности, а результатом применения политики безопасности к КС – разделение на множества «опасных» NVL множество «безопасных» L потоков. Деление на L и N может описывать как свойство целостности (потоки из N нарушают целостность КС) или свойство конфиденциальности (потоки из N нарушают конфиденциальность КС), так и любое другое произвольное свойство. Для разделения всего множества потоков в КС на подмножества L и N необходимо существование активного компонента (субъекта), который:
• активизировался бы при возникновении любого
потока,
• производил бы фильтрацию потоков в соответ ствии с принадлежностью к множествам L или N.
Вспомним, что если существует Stream(Si, О\-+ От и существует Stream (SK, OJ—> О,, то существует и Stream ((St, Sfc), O)-^>Op т.е. отношение «между объектами существует поток» является транзитивным. Именно в этом смысле будем говорить об участии субъекта (Sfc) в потоке (если От является ассоциированным объектом субъекта, не тождественного S).
Теперь сформулируем понятие монитора безопасности. Это понятие связано с упоминаемой выше задачей фильтрации потоков. Поскольку целью является обеспечение безопасности КС, то и целевая функция монитора – фильтрация с целью обеспечения безопасности. Монитор безопасности объектов (МБО) – субъект, который разрешает поток, принадлежащий только множеству легального доступа L. Под разрешением потока в данном случае понимается выполнение операции над объектом-получателем потока, а под запрещением – невыполнение (т.е. неизменность объекта-получателя потока). Как легко видеть, работа монитора безопасности
О/
Om=NULL Уничтожение объекта
От
Операция записи
объектов основана на рассмотренном выше свойстве транзитивности потоков.
При изменении ассоциированных с субъектом реализации политики безопасности объектов, могут измениться и свойства самого МБО, заключающиеся в фильтрации потоков и, как следствие, могут возникнуть потоки, принадлежащие множеству опасных или нелегальных потоков. Смысл данного утверждения состоит в том, что в КС потенциально возможно существование таких программ, которые могут «выключить» монитор безопасности объектов или реализовать потоки «мимо» него. Введем в связи с этим понятие корректности субъектов.
Пара субъектов StuS называется корректной относительно друг друга (взаимно-корректными), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между ассоциированным объектом субъекта SJOJ и SJOJ, причем Osj не является ассоциированным объектом S, а Оя не является ассоциированным объектом S. Вспомним, что субъекты в компьютерной системе – это программы. Тогда смысл понятия взаимной корректности состоит в том, что любые программы КС не должны влиять друг на друга. Каким образом возможно это влияние? Программы могут передавать друг другу данные для взаимной работы, но никогда не должны менять логику и алгоритм работы другой программы. Например, существующие в едином пространстве оперативной памяти компьютера программы не должны иметь возможности изменения «чужого» состояния и исполняемого кода.
Определение корректности позволяет сформулировать достаточные условия гарантированного осуществления легального доступа. Монитор безопасности объектов разрешает порождение потоков только из множества L, если все существующие в системе субъекты корректны относительно него и друг друга. Условие корректности предполагает неизменность функционально ассоциированных объектов монитора безопасности объектов, поскольку потоков, изменяющих ассоциированные объекты МБО, не существует. С другой стороны, такие потоки могут появиться при изменении ассоциированных объектов, принадлежащих другим субъектам КС (изменятся свойства субъекта, в том числе, возможно, и по порождению потоков к монитору безопасности объектов). Условие корректности субъектов относительно друг друга делает это невозможным. Это в свою очередь означает, что МБО реализует только потоки из подмножества L.
Однако сформулированное утверждение накладывает весьма жесткие и трудноисполнимые условия на субъекты в КС. Кроме того, невозможно гарантировать корректность любого субъекта, активизируемого в КС. В связи с этим логично ограничить множество порождаемых субъектов, которые корректны относительно МБО. В связи с этим введем понятие и монитора безопасности субъектов.
Монитор безопасности субъектов (МБС) – субъект, который разрешает порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и порождающих объектов. МБС выделяет во всем множестве субъектов S подмножество разрешенных Е. Сформулируем теперь ряд базовых определений, которые в дальнейшем будут повсеместно использоваться.
Компьютерная система называется замкнутой по порождению субъектов, если в ней действует МБС, разрешающий порождение фиксированного конечного подмножества субъектов для любых объектов-источников. Однако замкнутости КС по порождению субъектов недостаточно, поскольку необходимо обеспечить корректность порождаемых МБС субъектов относительно его самого и МБО. Механизм замкнутой программной среды сокращает множество возможных субъектов до некоторого множества фиксированной мощности, но при этом допускает существование некорректных субъектов, включенных в замкнутую среду. Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС. Как следствие, любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБС, также составляет изолированную (абсолютно изолированную) среду.
Из этого также следует, что дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в изолированную (абсолютно изолированную) среду, оставляет ее изолированной (абсолютно изолированной).
Теперь возможно переформулировать достаточное условие гарантированного выполнения политики безопасности следующим образом. Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется доступ, описанный в ПРД (правила разграничения доступа), то есть компьютерная система является гарантированно защищенной.
Из определения абсолютной изолированности следует возможность существования в КС только конечного множества субъектов, которые в свою очередь корректны относительно МБС. По условию утверждения (корректность МБО относительно любого из порождаемых субъектов и МБС) ассоциированные объекты могут изменяться только самим МБО, следовательно, в КС реализуются только потоки, принадлежащие множеству L.
Легко видеть, что данное утверждение является более конструктивным относительно предыдущего достаточного условия гарантированной защищенности, поскольку ранее требовалась корректность МБО относительно произвольного субъекта, чего достигнуть практически невозможно. В данном же случае множество субъектов ограничивается за счет применения механизма МБС, и возможно убедиться в попарной корректности порождаемых субъектов.
При рассмотрении технической реализации изолированности субъектов в КС принято употреблять термин «изолированная программная среда» (ИПС), который описывает механизм реализации изолированности для конкретной программно-аппаратной реализации КС при соответствующей декомпозиции на субъекты и объекты. Базовая теорема изолированной программной среды, являющаяся основой для построения гарантированно защищенных КС, звучит следующим образом. Если в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то КС также остается изолированной (абсолютно изолированной).
По условию утверждения в КС возможно существование потоков, изменяющих состояние объектов, не ассоциированных в этот момент времени с каким-либо субъектом. Если объект с измененным состоянием не является источником для порождения субъекта, то множество субъектов изолированной среды нерасширяемо, в противном случае (измененный объект является источником для порождения субъекта) по условиям утверждения (порождение субъекта с контролем) порождение субъекта невозможно. Следовательно, мощность множества субъектов не может превышать той, которая была зафиксирована до изменения состояния любого объекта. Как следствие из определения (о замкнутости множества субъектов в ИПС с невозрастанием мощности множества субъектов) получим, что множество субъектов КС изолировано.
Теперь можно сформулировать методологию проектирования гарантированно защищенных КС. Сущность данной методологии состоит в том, что при проектировании защитных механизмов КС необходимо опираться на совокупность приведенных выше достаточных условий, которые должны быть реализованы для субъектов, что гарантирует защитные свойства, определенные при реализации МБО в КС (т.е. гарантированное выполнение заданной МБО политики безопасности).
Рассмотренная концепция изолированной программной среды является расширением зарубежных подходов к реализации ядра безопасности. Обычно модель функционирования ядра безопасности изображается в виде следующей схемы, представленной на рис. 24.
На рис. 24 «база данных защиты» означает объект, содержащий в себе информацию о потоках множества L (защита по «белому списку» – разрешения на потоки) или N (зашита по «черному списку» – запрещение на потоки).
Для учета влияния субъектов в КС необходимо рассматривать расширенную схему взаимодействия элементов системы реализации и гарантирования ПБ. На рис. 25 подчеркнута роль монитора безопасности субъектов при порождении субъектов из объектов.
Взаимодействие субъектов и объектов при порождении потоков уточнено введением ассоциированных с субъектом объектов. Конструкция ОУ на схеме обозначает объект управления, т.е. объект, содержащий информацию о разрешенных значениях отображения Stream (об элементах множества L или N) и Create.
Практическому специалисту приведенные рассуждения позволяют понять, что достижение высокой, а в некоторых случаях – гарантированной, защищенности КС вполне возможно. Для этого необходимо сначала реализовать политику безопасности, т.е. задать множество потоков только из множества легального доступа, а потом «замкнуть» КС в изолированную программную среду, где не будут порождаться новые субъекты по сравнению с изначально допущенными для решения целевых задач. Причем при запуске программы ее исполняемый файл должен быть также проверен на неизменность по сравнению с начальным состоянием.
11.3. Опосредованный несанкционированный доступ в компьютерной системе
Весьма важной задачей для аналитической КС, хранящей и обрабатывающей конфиденциальную информацию, является задача защиты от «компьютерных вирусов» и других автономно работающих злонамеренных программ, предназначенных для кражи и искажения информации в локальном сегменте аналитической КС.
В первой части книги было сказано о том, что в последнее время появились целые фирмы, которые производят уже не отдельные «компьютерные вирусы», но целые программные комплексы, получившие по аналогии с software -и hardware название spyware. В компьютерной безопасности рассматривается целый отдельный класс злоумышленных действий, называемых опосредованным несанкционированным доступом (ЩЕРБАКОВ А. Разрушающие программные воздействия. – М : Эдель; Киев: Век, 1993 -64 с).
Опосредованный несанкционированный доступ (ОНСД) понимается как действия (инициирование потоков) некоторого субъекта в рамках поддерживаемой МБО политики безопасности, который либо создает новые объекты в КС, либо изменяет ассоциированные объекты активных субъектов. Очень важно, что данные действия осуществляются автономно (без управления пользователем). Для аналитика весьма важно понимать, что опосредованный НСД возможен даже в защищенной системе и действительно в настоящее время является основным источником получения информации для злоумышленников-конкурентов.
Автономно работающий внедренный в КС субъект, реализующий опосредованный несанкционированный доступ, называется разрушающим программным воздействием (РПВ), программной закладкой или компьютерным вирусом.
Необходимыми условиями для осуществления ОНСД являются:
1. Наличие во множестве субъектов КС субъекта, который может изменить ассоциированные объекты (функционально ассоциированные или ассоциированные объекты-данные) других субъектов, либо инициировать потоки от ассоциированных объектов некоторых субъектов к своим объектам (в смысле созданных или из меняемых данным субъектом).
2. Внедрение в систему измененных объектов- источников, которые могут породить субъекты со свойствами, обозначенными в п. 1.
В КС возможны следующие комбинации несанкционированных действий: несанкционированное чтение (НСЧ) – поток от внешнего по отношению к РПВ объекта к ассоциированным объектам РПВ, и несанкционированная запись (НСЗ) – поток от ассоциированных объектов РПВ к внешним объектам. Объединим избранное множество субъектов в КС в один субъект и назовем его прикладной программой. Рассмотрим также множество санкционированных (разрешенных) действий прикладной программы по записи (санкционированная запись, СЗ) или считыванию (санкционированное считывание, СЧ) данных. Событийная модель описывается полной группой событий (событием считается поток) в КС в паре «РПВ – другие субъекты КС». Рассматриваемые ситуации показывают возможные действия внедренного в КС spyware.
Ситуации 1-4 соответствуют нормальной работе прикладной программы, когда программная закладка не оказывает на нее никакого воздействия. Ситуация 5 может быть связана с разрушением прикладной программы в оперативной памяти компьютера, либо с сохранением уже накопленной программной закладкой информации. Эта ситуация опасна тем, что прикладная программа аналитика может быть разрушена и вместе с тем нарушена достоверность работы аналитика в целом. Ситуация 6 связана с разрушением или сохранением записываемой прикладной программой информации (искажение или сохранение выходного потока). Это означает, что результаты работы аналитика могут быть искажены или уничтожены. Ситуация 7 связана с сохранением считываемой прикладной программой информации (сохранение входного потока). В данном случае вводимые запросы, пароли или просто набираемые тексты будут украдены. Ситуация 8 связана с сохранением информации закладкой при ее считывании или записи прикладной программой. Ситуация 9 не связана с прямым негативным воздействием, поскольку прикладная программа не активна. Ситуация 10 может быть связана с сохранением выводимой информации в оперативную память. Ситуация 11 может быть связана с сохранением вводимой информации в оперативную память либо с изменением параметров процесса санкционированного чтения закладкой. Ситуация 12 может быть связана с сохранением как вводимой, так и выводимой прикладной программой информации в оперативную память. Ситуация 13 может быть связана с размножением закладки или вируса, сохранением накопленной информации или с разрушением кода и данных в файлах, поскольку прикладная программа не активна. Ситуации 14-16 могут быть связаны как с сохранением, так и с разрушением данных или кода и аналогичны ситуациям 6-8.
Полная группа событий опосредованного НСД процедуры типа «размножение вируса» (действия закладки независимы от операций прикладной программы)
Таблица 20
Необходимо заметить, что условие взаимной корректности субъектов запрещает существование РПВ с возможностью записи в ассоциированные объекты не совпадающих с ним субъектов. С другой стороны, инициирование потока от ассоциированного объекта к ассоциированным объектам РПВ не противоречит условию корректности. Предположим, что в КС отсутствует субъект с указанными возможностями (чтение ассоциированных объектов). Тогда можно сформулировать утверждение о невозможности опосредованного НСД в изолированной программной среде с контролем целостности объектов-источников при порождении субъектов.
По условию взаимной корректности субъектов изменение ассоциированных объектов у любых субъектов невозможно. Порождение субъекта из измененного объекта-источника или порождение субъекта, не принадлежащего множеству субъектов, также невозможно. Эти же условия предполагают отсутствие субъекта чтения ассоциированных объектов. Для гарантий отсутствия произвольного ОНСД необходима коррекция начальных условий замыкания субъектов в ИПС либо изменение алгоритмов работы МБО для предотвращения указанных выше действий РПВ.
Сделаем важное замечание. Перенос информации от ассоциированных объектов любого субъекта к ассоциированным объектам РПВ имеет смысл с точки зрения ОНСД только в том случае, когда эта информация будет отображена в объекте внешнего хранения (иными словами, сохранена). В ином случае злоумышленные действия невозможны. С другой стороны, в реальных КС значительно число субъектов, участвующих в потоках информации (драйверы дисков, драйверы сетевого оборудования и др.), которые переносят информацию от ассоциированных объектов, поэтому требование отсутствия операций чтения ассоциированных объектов нереально. Следовательно, необходимо противодействовать операциям сохранения в рамках локального или внешнего сегмента КС. Для практического аналитика большое значение в данном случае будет иметь работа с такими носителями информации, которые можно отключить по мере надобности от оборудования КС.