Similar presentations:
Забезпечення інформаційної та кібербезпеки держави
1.
Міністерство освітиі науки УкраїниНаціональний університет «Львівська політехніка»
Кафедра захисту інформації
Опірський І.Р.
КОНСПЕКТ ЛЕКЦІЙ З КУРСУ
«ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ ТА
КІБЕРБЕЗПЕКИ ДЕРЖАВИ»
Для студентів спеціальності 125 «Кібербезпека» та 6.170103 «Управління
інформаційною безпекою»
Львів-2018
2.
ДЛЯ НОТАТОК2
3.
ЗмістПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
5
РОЗДІЛ 1.
ОРГАНІЗАЦІЙНО-ПРАВОВЕ
ТА
АНАЛІТИЧНЕ
ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
6
Глава 1. Забезпечення інформаційної безпеки:
поняття та основні напрямки
6
Глава 2. Забезпечення інформаційної безпеки людини і суспільства 15
Глава 3. Інформаційне протиборство
19
Глава 4. Аналітичне забезпечення інформаційної безпеки
29
Глава 5. Забезпечення інформаційної безпеки в провідних
країнах світу
40
Запитання для самоконтролю
49
РОЗДІЛ 2. СУЧАСНІ ЗАСОБИ ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
50
Глава 6. Класифікація засобів забезпечення інформаційної безпеки 50
Глава 7. Загрози безпеці та їх класифікація
64
Глава 8. Системна класифікація та характеристика
технічних засобів забезпечення інформаційної безпеки
73
Глава 9. Технічні засоби забезпечення фізичної
цілісності елементів обчислювальних систем
83
Глава 10. Комп’ютерні технічні засоби захисту інформації
94
Глава 11. Аутентифікація користувачів комп’ютерних систем
100
Глава 12. Засоби електронної ідентифікації
109
Глава 13. Найпростіші та складні технічні засоби,
що використовуютьс для захисту інформації
116
Глава 14. Побудова систем технічного захисту інформації
126
Запитання для самоконтролю
140
Глава 15. Державні стандарти України щодо
забезпечення інформаційної безпеки
141
Глава 16. Міжнародні стандарти щодо
забезпечення інформаційної безпеки
154
3
4.
ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬАС
ДМУ
ЕОМ
ЕОТ
ЗІ
ЗМІ
ЗОТ
ЗП
ІАР
ІБ
ІЗОД
ІС
ІТС
КСЗІ
ОС
ОТ
ПЗ
ПЦС
ПЗЗУ
РЕБ
РКД
СУБД
СБ
СЗІ
СОТ
СПТВ
ТСЗІ
автоматизована система
державне та муніципальне управління
електронно-обчислювальна машина
електронно-обчислювальна техніка
захист інформації
засоби масової інформації
засоби обчислювальної техніки
запам’ятовуючий пристрій
інформаційно-аналітична робота
інформаційна безпека
інформація з обмеженим доступом
інформаційна система
інформаційно-телекомунікаційна система
комплексна система захисту інформації
операційна система
обчислювальна техніка
програмне забезпечення
пульт центрального спостереження
пам’ять на зовнішніх запам’ятовуючих пристроях
радіоелектронна боротьба
рольове керування доступом
системи управління базами даних
система безпеки
система захситу інформації
системи обчислювальної техніки
спеціальний програмно-технічний вплив
технічна система захисту інформації
4
5.
РОЗДІЛ 1 ОРГАНІЗАЦІЙНО-ПРАВОВЕ ТА АНАЛІТИЧНЕЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Глава 1. Забезпечення інформаційної безпеки: поняття та основні
напрямки
Словосполучення "інформаційна безпека" у різних контекстах може мати
різне значення.
У даному курсі наша увага буде зосереджена на зберіганні, обробці та
передачі інформації незалежно від того, якою мовою (російською чи якоюнебудь іншою) вона закодована, хто або що є її джерелом та який психологічний
вплив вона має на людей. Тому термін "інформаційна безпека" використовується
у вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі.
Під інформаційною безпекою ми будемо розуміти захищеність
інформації й інфраструктури, яка її підтримує від випадкових або навмисних
впливів природного або штучного характеру, які можуть завдати неприйнятної
шкоди суб'єктам інформаційних відносин, у тому числі власникам і
користувачам інформації й підтримуючої інфраструктури. Далі ми пояснимо,
що варто розуміти під підтримуючою інфраструктурою.
Захист інформації – це комплекс заходів, спрямованих на забезпечення
інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем
інформаційної безпеки починається з виявлення суб'єктів інформаційних
відносин й інтересів цих суб'єктів, пов'язаних з використанням інформаційних
систем (ІС). Загрози інформаційної безпеки – це зворотний бік використання
інформаційних технологій.
Із цього положення можна вивести два важливих висновки:
1 Трактування проблем, пов'язаних з інформаційною безпекою, для
різних категорій суб'єктів може істотно розрізнятися. Для ілюстрації досить
зіставити режимні державні організації й навчальні інститути. У першому
випадку "нехай краще все зламається, ніж ворог довідається хоч один
секретний біт", у другому – "так немає в нас ніяких секретів, аби тільки все
працювало".
2 Інформаційна безпека не зводиться винятково до захисту від
несанкціонованого доступу до інформації, це принципово більш широке
поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків
й/або одержати моральний збиток) не тільки від несанкціонованого доступу,
але й від поломки системи, що викликала перерву в роботі. Більше того, для
5
6.
багатьох відкритих організацій (наприклад, навчальних) закладів власне захиствід несанкціонованого доступу до інформації стоїть по важливості аж ніяк не на
першому місці.
Повертаючись до питань термінології, відзначимо, що термін
"комп'ютерна безпека" (як еквівалент або замінник ІБ) здається нам занадто
вузьким. Комп'ютери – тільки одна зі складових інформаційних систем, і хоча
наша увага буде зосереджена в першу чергу на інформації, що зберігається,
обробляється й передається за допомогою комп'ютерів, її безпека визначається
всією сукупністю складових й, у першу чергу, найслабшою ланкою, якою в
переважній більшості випадків є людина, яка (написала, наприклад, свій пароль
на "гірчичнику", наклеєному на монітор).
Відповідно до визначення інформаційної безпеки, вона залежить не тільки
від комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можна
віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби
комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має
самостійну цінність, але нас цікавить не лише те, як вона впливає на виконання
інформаційною системою запропонованих їй функцій.
Інформаційна безпека – багатогранна, можна навіть сказати, багатомірна
область діяльності, у якій успіх може принести лише систематичний,
комплексний підхід.
Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних
систем, можна розділити на наступні категорії: забезпечення доступності,
цілісності й конфіденційності інформаційних ресурсів і підтримуючої
інфраструктури.
Іноді в сукупність основних складових ІБ включають захист від
несанкціонованого копіювання інформації, але, на наш погляд, це занадто
специфічний аспект із сумнівними шансами на успіх, тому ми не будемо його
виділяти.
Пояснимо поняття доступності, цілісності й конфіденційності.
Доступність – це можливість за прийнятний час одержати необхідну
інформаційну послугу.
Під цілісністю мається на увазі актуальність і несуперечність інформації, її
захищеність від руйнування й несанкціонованої зміни.
Нарешті, конфіденційність – це захист від несанкціонованого доступу до
інформації.
Інформаційні системи створюються (купуються) для одержання певних
інформаційних послуг. Якщо з тих або інших причин надати ці послуги
6
7.
користувачам стає неможливо, це, мабуть, завдає шкоди всім суб'єктамінформаційних відносин. Тому, не протиставляючи доступність іншим
аспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки.
Особливо яскраво провідна роль доступності виявляється в різного роду
системах керування – виробництвом, транспортом і т.п. Зовні менш
драматичні, але також досить неприємні наслідки – і матеріальні, і моральні –
може бути тривала недоступність інформаційних послуг, якими користується
велика кількість людей (продаж залізничних та авіаквитків, банківські послуги
й т.п.).
Цілісність можна підрозділити на статичну (що розуміється як незмінність
інформаційних об'єктів) і динамічну (яка стосується коректного виконання
складних дій (транзакцій)). Засоби контролю динамічної цілісності
застосовуються, зокрема, при аналізі потоку фінансових повідомлень із метою
виявлення крадіжки, перевпорядкування або дублювання окремих повідомлень.
Цілісність виявляється є найважливішим аспектом ІБ у тих випадках, коли
інформація слугує "керівництвом до дії". Рецептура ліків, запропоновані медичні
процедури, набір і характеристики комплектуючих виробів, хід технологічного
процесу – все це приклади інформації, порушення цілісності якої може
виявитися в буквальному значенні смертельним. Неприємно й перекручування
офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь
урядової організації.
Конфіденційність – найпроблемніший у нас у країні аспект інформаційної
безпеки. На жаль, практична реалізація засобів по забезпеченню
конфіденційності сучасних інформаційних систем натрапляє в Україні на
серйозні труднощі. По-перше, відомості про технічні канали витоку інформації є
закритими, так що більшість користувачів позбавлені можливості скласти
уявлення про потенційні ризики. По-друге, на шляху використовуваної
криптографії як основного засобу забезпечення конфіденційності стоять
численні законодавчі перепони й технічні проблеми.
Якщо повернутися до аналізу інтересів різних категорій суб'єктів
інформаційних відносин, то майже для всіх, хто реально використовує ІС, на
першому місці стоїть доступність. Практично не поступається їй по важливості
цілісність – який сенс в інформаційній послузі, якщо вона містить перекручені
відомості?
Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у
згадуваних вище навчальних інститутах намагаються не розголошувати відомості
про зарплату співробітників) і окремих користувачів (наприклад, паролі).
7
8.
Інформаційна безпека є одним з найважливіших аспектів інтегральноїбезпеки, на якому б рівні ми не розглядали останню – національному,
галузевому, корпоративному або персональному.
Зрозуміло, що прикладів безліч, можна згадати й інші випадки – недоліків в
порушеннях ІБ немає й не передбачається. Чого коштує одна тільки "Проблема
2000" – сором і ганьба програмного співтовариства!
При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідно
враховувати специфіку даного аспекту безпеки, що полягає у тому, що
інформаційна безпека є складовою частиною інформаційних технологій –
області, що розвивається надзвичайно високими темпами. Тут важливі не
стільки окремі рішення (закони, навчальні курси, програмно-технічні засоби),
що перебувають на сучасному рівні, скільки механізми генерації нових рішень,
що дозволяють жити в темпі технічного прогресу.
На жаль, сучасна технологія програмування не дозволяє створювати
безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення
ІБ. Варто виходити з того, що необхідно конструювати надійні системи
(інформаційної безпеки) із залученням ненадійних компонентів (програм). У
принципі, це можливо, але вимагає дотримання певних архітектурних
принципів і контролю стану захищеності протягом усього життєвого циклу ІС.
У таких умовах системи інформаційної безпеки повинні вміти протистояти
різноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим і
скоординованим. Іноді напад триває долі секунди; часом промацування
уразливих місць ведеться повільно й розтягується на години, так що підозріла
активність практично непомітна. Метою зловмисників може бути порушення всіх
складових ІБ – доступності, цілісності або конфіденційності.
Сучасний багатосторонній аналіз результатів творчих і практичних робіт
дає вагомі підстави стверджувати, що в даний час дозріли як об'єктивна
необхідність, так і об'єктивні передумови реалізації концепції захисту інформації
(ЗІ). Раціональна її реалізація дозволить забезпечити необхідний рівень
захищеності інформації, без чого не можуть бути вирішені актуальні проблеми
інформатизації суспільства.
Тому під ЗІ розуміється сукупність організаційно-технічних заходів і
методів відповідно до обраного критерію оптимізації й обмеженнями,
спрямованими на захист інформації в процесі її формування, передачі, прийому,
обробки, накопичення і використання з метою забезпечення необхідної
надійності.
8
9.
Центральнимрезультатом,
отриманим
у
рамках
системноконцептуального підходу до проблеми захисту інформації, явився висновок, що
ефективний ЗІ не може бути забезпечений простим застосуванням деяких
механізмів роботи, ЗІ необхідно управляти.
Як слідує з цього висновку, управління ЗІ являє собою складну сукупність
взаємозалежних процесів безперервного створення й удосконалення
механізмів ЗІ. При цьому істотно важливою є та обставина, що зазначені
питання повинні бути регулярними, тобто постійно керованими, причому
управління повинне здійснюватися з метою досягнення необхідного рівня захисту
при мінімальних затратах сил або з метою досягнення максимального рівня
захисту при заданих затратах сил і засобів.
На підставі методології системно-концептуального підходу розглянемо
узагальнену структуру уніфікованої концепції ЗІ.
Конструктивними елементами концепції є функції, завдання, засоби і
системи захисту. Названі елементи визначаються таким чином:
Функція захисту – сукупність однорідних у функціональному
відношенні заходів, регулярно здійснюваних з метою створення, підтримки і
забезпечення умов, об'єктивно необхідних для надійної ЗІ.
Засоби захисту – пристрої, програми і заходи, спеціально призначені для
вирішення завдань захисту інформації.
Завдання захисту – організовані можливості засобів, методів і заходів з
метою реалізації функцій захисту.
Система ЗІ – організована сукупність усіх засобів, методів і заходів, що
передбачаються з метою ЗІ.
Зі сказаного очевидно, що перераховані елементи концепції складають
логічно струнку і повну послідовність рішень, реалізація яких і створює
об'єктивні передумови до надійного ЗІ.
У суворій відповідності з основною передумовою про необхідність
регулярного управління процесами ЗІ, всі елементи зазначеної послідовності
розділені на дві частини: створення механізмів захисту й управління механізмами
захисту.
Під загрозою інформації будемо розуміти засіб виникнення на якомунебудь етапі життєдіяльності інформації такого явища або події, наслідком якого
можуть бути небажані впливи на неї: порушення (або небезпека порушення)
фізичної цілісності, несанкціонована модифікація (або загрози такої
модифікації), несанкціоноване одержання (або загрози такого одержання)
інформації.
9
10.
Джерелами дестабілізуючих чинників, тобто середовищем їхньої появи,можуть бути як компоненти технічних засобів, так і зовнішнє середовище. До
повної множини джерел можна віднести:
1. Люди – окремі особи або групи осіб, дії яких можуть бути причиною
порушення ЗІ.
2. Технічні пристрої – технічні засоби.
3. Моделі, алгоритми і програми.
4. Технологія функціонування – сукупність засобів, прийомів, правил,
заходів і угод, які використовуються у процесі опрацювання і передачі
інформації.
5. Зовнішнє середовище – сукупність елементів, що можуть впливати на ЗІ.
Основою програми є політика безпеки, що відбиває підхід організації до
захисту своїх інформаційних активів. Керівництво кожної організації повинно
усвідомити необхідність підтримки режиму безпеки й виділити значні ресурси
впровадження цих заходів.
Політика безпеки будується на основі аналізу ризиків, які визнаються
реальними для інформаційної системи організації. Коли ризики проаналізовані
й стратегія захисту визначена, складається програма забезпечення
інформаційної безпеки. Під цю програму виділяються ресурси, призначаються
відповідальні, визначається порядок контролю виконання програми й т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійського
словосполучення "security policy", однак у цьому випадку калька краще
відбиває зміст цього поняття, ніж лінгвістично більш вірні "правила безпеки".
Ми матимемо на увазі не окремі правила або їхні набори (такого роду рішення
виносяться на процедурний рівень, мова про який попереду), а стратегію
організації в області інформаційної безпеки. Для вироблення стратегії й
провадження її в життя потрібні, безсумнівно, політичні рішення, прийняті на
найвищому рівні.
Під політикою безпеки ми будемо розуміти сукупність документованих
рішень, прийнятих керівництвом організації й спрямованих на захист
інформації й асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правил
розмежування доступу (саме це означав термін "security policy" в
"Помаранчевій книзі" в побудованих на її основі нормативних документах
інших країн).
ІС організації й пов'язані з нею інтереси суб'єктів – це складна система,
для розгляду якої необхідно застосовувати об'єктно-орієнтований підхід і
10
11.
поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівні, що мивже робили в прикладі й зробимо ще раз далі.
Щоб розглядати ІС предметно, з використанням актуальних даних, варто
скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути
виготовлена в об'єктно-орієнтованому стилі, з можливістю варіювати не тільки
рівень деталізації, але й видимі межі об'єктів. Технічним засобом складання,
супроводу й візуалізації подібних карт може слугувати вільно
розповсюджуваний каркас якої-небудь системи керування.
Із практичної точки зору політику безпеки доцільно розглядати на трьох
рівнях деталізації. До верхнього рівня можна віднести рішення, що стосуються
організації в цілому. Вони носять досить загальний характер й, як правило,
виходять від керівництва організації. Зразковий список подібних рішень може
містити в собі наступні елементи:
• рішення сформувати або переглянути комплексну програму
забезпечення інформаційної безпеки, призначення відповідальних за
впровадження програми;
• формулювання цілей, які переслідує організація в області
інформаційної безпеки, визначення загальних напрямків у досягненні цих
цілей;
• забезпечення бази для дотримання законів і правил;
• формулювання адміністративних рішень з питань реалізації програми
безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня мети організації в області інформаційної
безпеки формулюються в термінах цілісності, доступності й конфіденційності.
Якщо організація відповідає за підтримку критично важливих баз даних, на
першому плані може стояти зменшення числа втрат, ушкоджень або
перекручувань даних. Для організації, що займається продажем комп'ютерної
техніки, імовірно, важлива актуальність інформації про надавані послуги й ціни
і її доступність максимальній кількості потенційних покупців. Керівництво
режимного підприємства в першу чергу піклується про захист від
несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься керування захисними ресурсами й
координація використання цих ресурсів, виділення спеціального персоналу для
захисту критично важливих систем і взаємодія з іншими організаціями, що
забезпечують або контролюють режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу.
Можливо, це будуть усі комп'ютерні системи організації (або навіть більше,
11
12.
якщо політика регламентує деякі аспекти використання співробітниками своїхдомашніх комп'ютерів). Можлива, однак, і така ситуація, коли в сферу впливу
включаються лише найбільш важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб з вироблення
програми безпеки й впровадження її в життя. У цьому сенсі політика безпеки є
основою підзвітності персоналу.
Політика верхнього рівня має справу із трьома аспектами
законослухняності й виконавчої дисципліни. По-перше, організація повинна
дотримуватися існуючих законів. По-друге, варто контролювати дії осіб,
відповідальних за вироблення програми безпеки. Нарешті, необхідно
забезпечити певний ступінь виконавчості персоналу, а для цього потрібно
виробити систему заохочень і покарань.
Загалом кажучи, на верхній рівень варто виносити мінімум питань.
Подібне винесення доцільно, коли воно обіцяє значну економію засобів або
коли інакше вчинити просто неможливо.
Тобто необхідно включати в документ, що характеризує політику безпеки
організації, наступні розділи:
• вступний, підтверджуючий занепокоєність вищого керівництва
проблемами інформаційної безпеки;
• організаційний, який має опис підрозділів, комісій, груп і т.д.,
відповідальних за роботу в області інформаційної безпеки;
• класифікаційний, що описує наявні в організації матеріальні й
інформаційні ресурси й необхідний рівень їхнього захисту;
• штатний, що характеризує заходи безпеки, які застосовуються до
персоналу (опис посад з погляду інформаційної безпеки, організація навчання й
перепідготовки персоналу, порядок реагування на порушення режиму безпеки й
т.п.);
• розділ, що висвітлює питання фізичного захисту;
• керівний розділ, що описує підхід до керування комп'ютерами й
комп'ютерними мережами;
• розділ, що описує правила розмежування доступу до виробничої
інформації;
• розділ, що характеризує порядок розробки й супроводу систем;
• розділ, що описує заходи, спрямовані на забезпечення безперервної
роботи організації;
• юридичний розділ, що підтверджує відповідність політики безпеки
чинному законодавству.
12
13.
До середнього рівня можна віднести питання, що стосуються окремихаспектів інформаційної безпеки, але важливі для різних експлуатованих
організацією систем. Приклади таких питань – відношення до передових (але,
можливо, недостатньо перевірених) технологій, доступ в Internet (як поєднати
можливість доступу до інформації із захистом від зовнішніх загроз),
використання
домашніх
комп'ютерів,
застосування
користувачами
неофіційного програмного забезпечення й т.д.
Політика безпеки нижнього рівня стосується конкретних інформаційних
сервісів. Вона містить у собі два аспекти – мету й правила їхнього досягнення,
тому її часом важко відокремити від питань реалізації. На відміну від двох
верхніх рівнів, розглянута політика повинна визначатися більш докладно. Є
багато речей, специфічних для окремих видів послуг, які не можна одним
чином регламентувати в рамках всієї організації. У той же час, ці речі на
стільки важливі для забезпечення режиму безпеки, що рішення, які їх
стосуються повинні прийматися на управлінському, а не технічному рівні.
Наведемо кілька прикладів питань, на які варто дати відповідь щодо політики
безпеки нижнього рівня:
• хто має право доступу до об'єктів, підтримуваним сервісом?
• за яких умов можна читати й модифікувати дані?
• як організований вилучений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з
міркувань цілісності, доступності й конфіденційності, але не можна на цьому
зупинятися. Її мета повинна бути більш конкретною. Наприклад, якщо мова йде
про систему розрахунку заробітної плати, можна поставити мету, щоб тільки
співробітникам відділу кадрів і бухгалтерії дозволялося вводити й
модифікувати інформацію. У більш загальному випадку мета повинна
зв'язувати між собою об'єкти сервісу й дії з ними.
Із цілей виводяться правила безпеки, що описують, хто, що й при яких
умовах може робити. Що докладніше правила, що більш формально вони
викладені, тим простіше підтримати їхнє виконання програмно-технічними
засобами. З іншого боку, занадто жорсткі правила можуть заважати роботі
користувачів, імовірно, їх доведеться часто переглядати. Керівництво повинно
знайти розумний компроміс, коли за прийнятну ціну буде забезпечений
прийнятний рівень безпеки, а співробітники не виявляться надмірно зв'язані.
Зазвичай найбільш формально висуваються права доступу до об'єктів через
особливу важливість даного питання.
13
14.
Після того, як сформульована політика безпеки, можна приступати доскладання програми її реалізації і безпосередньо до реалізації.
Щоб зрозуміти й реалізувати яку-небудь програму, її потрібно
структурувати по рівнях, звичайно у відповідності зі структурою організації. У
найпростішому й найпоширенішому випадку досить двох рівнів – верхнього,
або центрального, котрий охоплює всю організацію, і нижнього, або
службового, котрий стосується окремих послуг або груп однорідних сервісів.
У рамках програми верхнього рівня приймаються стратегічні рішення із
забезпечення безпеки, оцінюються технологічні новинки. Інформаційні
технології розвиваються дуже швидко, і необхідно мати чітку політику
відстеження й впровадження нових засобів.
Контроль діяльності в області безпеки має двосторонню спрямованість.
По-перше, необхідно гарантувати, що дії організації не суперечать законам.
При цьому варто підтримувати контакти із зовнішніми контролюючими
організаціями. По-друге, потрібно постійно відслідковувати стан безпеки
усередині організації, реагувати на випадки порушень і доопрацьовувати
захисні заходи з урахуванням зміни обстановки.
Варто підкреслити, що програма верхнього рівня повинна займати певне
місце в діяльності організації, вона повинна офіційно прийматися й
підтримуватися керівництвом, а також мати певний штат і бюджет.
Ціль програми нижнього рівня – забезпечити надійний й економічний
захист конкретного сервісу або групи однорідних сервісів. На цьому рівні
вирішується, які варто використовувати механізми захисту; закуповуються й
установлюються технічні засоби; виконується повсякденне адміністрування;
відслідковується стан слабких місць і т.п. Звичайно за програму нижнього рівня
відповідають адміністратори сервісів.
Якщо синхронізувати програму безпеки нижнього рівня з життєвим
циклом захищуваного сервісу, можна домогтися більшого ефекту з меншими
витратами. Програмісти знають, що додати нову можливість до вже готової
системи на порядок складніше, ніж з нуля спроектувати й реалізувати її. Та ж
умова виконується для інформаційної безпеки.
Глава 2. Забезпечення інформаційної безпеки людини і суспільства
Сьогодні досягнення в сфері забезпечення якості роботи інформаційної,
телекомунікаційної техніки і різних систем передачі інформації
спостерігаються у всіх складових галузі зв'язку та інформатизації. Вона є
однією з найбільш перспективних і динамічно розвинутих базових
14
15.
інфраструктурних галузей, що володіють потенціалом довгостроковогозростання. Основним рушійним чинником даної галузі є розвиток ринку послуг
зв'язку та інформатизації, однак, поряд із забезпеченням потреб суспільства,
одним з основних завдань є завдання забезпечення національної безпеки.
Під інформаційною безпекою розуміється захищеність інформації і
підтримуючої інфраструктури від випадкових або навмисних впливів
природного або штучного характеру, які можуть завдати неприйнятного збитку
суб'єктам інформаційних відносин, у тому числі власникам і користувачам
інформації і підтримуючої інфраструктури.
Проблеми інформаційної безпеки багатогранні і вимагають вирішення
питань від забезпечення безпеки на окремому робочому місці до забезпечення
безпеки функціонування глобальних систем і мереж зв'язку.
Інформаційні системи і технології покликані зробити наше життя більш
ефективним. У багатьох розвинених країнах безробіття та інші проблеми
економіки ефективно вирішуються шляхом відповідного використання
інформаційних технологій. Однак такий підхід до інформаційних технологій
має свої наслідки. Кожен день суспільство стає все більш і більш залежним від
комунікаційних систем, таких як телекомунікації, електронний банкінг,
міжнародні сировинні ринки, інтернаціональні транспортні системи,
електричне, газове та ядерне виробництво і розповсюдження, радіо і
телебачення, системи безпеки тощо. Всі ці інфраструктури використовують
інформаційні системи, щоб керувати і надавати свої послуги і є базисом для
створення багаторівневої економіки в сучасному суспільстві. Створюючи та
впроваджуючи надійні центральні інфраструктури суспільство може потім
використовувати свою енергію для більш високоуровнего технологічного
зростання, подальшого розвитку інновацій і просування прогресу. Як було
заявлено Committee on Disarmament and International Security (UNISCA):
«Високорозвинені країни все більше і більше залежать від коректної та
захищеної роботи всіх цих систем. Будь-яке проникнення, маніпулювання,
саботаж, поломка або навіть руйнування однієї з цих систем або мереж матиме
ефекти, які будуть відчутні не тільки в самій атакованої системі». Тому, при
розвитку суспільства для реалізації його економічної переваги, воно повинно
захищати та підтримувати інфраструктуру. Як показує історія, коли в системі
присутні уразливості, протиборчі сили будуть однозначно використовувати їх
для власної переваги і нанесення збитку опоненту.
15
16.
Існує цілий ряд проблем підвищення безпеки інформаційних систем,включаючи мережі зв'язку, протидії загрозам інформаційної безпеки. До
основних проблем інформаційної безпеки можна віднести наступні:
відсутні єдині стандарти та вимоги;
відсутня чітка категоризація об'єктів за рівнем забезпечення
інформаційної безпеки;
відсутня процедура контролю дотримання вимог інформаційної
безпеки та атестації об'єктів на предмет відповідності їм;
відсутня єдина система контролю і протоколювання дії
користувачів та адміністраторів ключових державних інформаційних ресурсів;
існуючий рівень забезпечення інформаційної безпеки залишається
вкрай низьким і недостатнім для ефективного розвитку державних
інформаційних систем і ресурсів.
Крім того, дослідження показали, що наступні елементи часто впливають
(знижують) на рівень безпеки підприємств:
1.
Розбіжність між реальними загрозами та їх відображенням у
прийнятій моделі захисту (втрата адекватності політики безпеки).
2.
Ігнорування вимог з безпеки при виборі архітектури і побудові
інформаційної системи.
3.
Порушення, у ході експлуатації, конфігурації та налаштувань
активного мережевого обладнання.
4.
Неконтрольоване втручання в програмні комплекси, що
забезпечують виконання функціональних завдань.
5.
Порушення технологічних і адміністративних процедур управління
безпекою.
6.
Порушення персоналом технологічних процесів і регламентів
роботи.
7.
Втрата контролю за кріптофункціей:
Втрата контролю за ключами підпису.
Ранку та контролю за цілісністю кріптопродукта.
Зневага до контролю вищеописаних компонентів призводить до цілого
ряду протиправних дій, що впливають в цілому на рівень ІБ.
Важко оцінити шкоду в разі, якщо виводиться з ладу стратегічно
важливий сегмент інформаційної інфраструктури країни. Враховуючи, що в
сучасних комутаційних і керуючих системах, а також у допоміжних засобах,
якими оснащуються вузли зв'язку і керуючі структури організацій зв'язку
основними компонентами є мікропроцесорні системи з підтримуючим
16
17.
програмним забезпеченням, особливу значимість для об'єктів електрозв'язкунабуває можливість попередження небезпечного впливу на них шкідливих
програм - вірусів.
Як показують останні політичні події, все частіше масовані атаки
"хакерів" використовуються з метою блокування, злому інтернет-мереж. Це
викликає підвищену стурбованість, особливо з приводу уразливості перед
можливою "комп'ютерною атакою" на системи життєзабезпечення, засекречені
джерела інформації, як з боку зловмисників-одинаків, так і технічно грамотних
терористів.
Існує значне число проблем в області захисту інфраструктури. В стороні
від чисто технічних, правових та фінансових аспектів визначають захист
інфраструктури, існує також різна кількість неврегульованих елементів між
комерційними структурами і урядовими організаціями щодо того які
компоненти інфраструктури вимагають захисту і методи дій до зловмисників.
Ці процеси виникають з бізнесом, основними цілями якого є попередження
атак, на відміну від урядових структур з цілями виявити, нейтралізувати і
захопити зловмисників. Це висуває різні концепції відповідальності,
поширення інформації та вразливості в національній інформаційній
інфраструктурі. Інша проблема полягає в поступовому переході контролю над
елементами критичної інфраструктури від уряду до комерційних організацій,
що, як наслідок, обмежує можливості забезпечення захисту даних елементів.
Природно інформаційна безпека держави безпосередньо переплітається з
інформаційною безпекою особистості, яка характеризується захищеністю
психіки і свідомості від небезпечних інформаційних впливів: маніпулювання,
дезінформування та ін. Існує цілий ряд громадських положень (наприклад,
проект «Етичного кодексу для інформаційного суспільства»), що описують
інформаційну безпеку особистості , які в цілому є рекомендаційними і часто не
розглядаються в аспекті державних інтересів.
Дуже гостро стоїть проблема використання глобальних мереж для
розповсюдження інформації про місця збуту наркотичних засобів, описи
рецептів їх виготовлення, способів одержання вибухових і отруйних речовин, а
також інформації, що містить пропаганду воєн, культу насильства і
жорстокості.
Подібні дії заподіюють шкоду як правам особистості, так і суспільним
цінностям. При цьому використовується можливість опублікування в
глобальних комп'ютерних мережах інформації практично в будь-якій формі та
об'ємі без отримання спеціального дозволу при широкому охопленні аудиторії і
17
18.
збереженні анонімності автора, хоча використання мереж може бути і цілкомлегальним.
Однією з найбільш небезпечних загроз безпеки є все більш широке
використання транснаціональними терористичними організаціями (поряд з
традиційними засобами вчинення підривних дій) можливостей відкритих
телекомунікаційних мереж для надання пропагандистського впливу світовій
громадськості, залучення через можливості комп'ютерних мереж нових членів,
координування своєї діяльності і збору фінансових коштів для її здійснення.
Сайти терористичного характеру, що містять заклики до національної та
релігійної ворожнечі, що закликають до здійснення актів тероризму і диверсій,
регулярно виявляються в мережі Інтернет. На території України невідкладно
вживаються заходи до їх закриття, в результаті в даний час факти появи таких
сайтів в українському сегменті мережі Інтернет носять одиничний характер.
Разом з тим, особливість сучасного інформаційного простору в тому, що
поширення інформації в ньому не обмежена національними кордонами. Сайти,
що пропогандують ідеї тероризму, в тому числі російською та українською
мовами, створюються і функціонують на території інших країн. Тому особливе
значення в боротьбі з пропагандистською діяльністю терористичних
організацій в мережі Інтернет набуває міжнародне співробітництво, що
здійснюється на рівні спецслужб і правоохоронних органів.
Цілком очевидно, що вирішення питань інформаційної безпеки вимагає
комплексного підходу, включаючи питання вдосконалення правового,
методичного, науково-технічного і організаційного забезпечення інформаційної
безпеки, як особистості, так і держави, можливого на основі тісної взаємодії та
співпраці науково-освітніх установ, бізнесу та органів державної влади.
Глава 3. Інформаційне протиборство
Класифікація включає дві підгрупи інформаційної зброї.
Перша підгрупа включає в себе:
засоби масової інформації (ЗМІ);
психотронні генератори;
психотропні препарати.
Інформаційна зброя даної підгрупи призначена для негативного впливу
на людину. Зокрема, цей вплив може здійснюватися через різні ЗМІ. У
відповідності з Законом «Про засоби масової інформації» під цими коштами
розуміється періодичне друковане видання, радіо-, теле-, відеопрограма,
кінохронікальна програма, інша форма періодичного поширення масової
18
19.
інформації. Під масовою інформацією розуміються призначені длянеобмеженого кола осіб друковані, аудіо-, аудіовізуальні та інші повідомлення
та матеріали. Хронологія багатьох військових конфліктів останніх років
включала, як правило, на початку їх розвитку етап психологічної обробки
світової громадськості через ЗМІ. Психотропні генератори - це пристрої, що
здійснюють вплив на людину шляхом передачі інформації через
неусвідомлюване сприйняття.
Вже давно встановлено, що різні органи людини мають власні резонансні
частоти, використовуючи які можна впливати на психико-фізіологічний стан
індивіда або коллектива людей, викликаючи у них страх, або інші почуття.
Ці та інші особливості людського організму використовуються при
побудові та підборі параметрів (частотний діапазон, потужність
випромінювання, тривалість роботи тощо) психотропних генераторів.
Психотропні препарати - це лікарські (наркотичні) засоби, які здатні
викликати стан залежності, надавати стимулюючий або депресивний вплив на
центральну нервову систему, викликаючи галюцинації або порушення моторної
функції організму, під впливом яких відбувається порушення мислення,
змінюється настрій, поведінка.
Засоби радіоелектронної боротьби (РЕБ) - це засоби для виявлення та
радіоелектронного придушення систем управління військами та зброєю
противника, його систем розвідки і навігації, а також засоби для забезпечення
стійкої роботи своїх систем.
Кошти спеціального програмно-технічного впливу (СПТВ) - програмні,
апаратні або програмно-апаратні засоби, з використанням яких може бути
здійснено несанкціоноване копіювання, спотворення, знищення інформації, її
передача за межі контрольованої зони або блокування доступу до неї.
В даний час в число сфер ведення бойових дій, крім землі, моря, повітря і
космосу, додалася і інформаційна сфера. Як підкреслюють військові експерти,
основними об'єктами поразки в нових війнах будуть інформаційна
інфраструктура і психологія супротивника (з'явився навіть термін «human
network»).
В якості основних об'єктів впливу в інформаційній війні виступають:
1.
Мережі
зв'язку
та
інформаційно-обчислювальні
мережі,
використовувані державними організаціями при виконанні своїх управлінських
функцій;
2.
Військова інформаційна інфраструктура, вирішальне завдання
управління військами;
19
20.
3.Інформаційні та керуючі структури банків, транспортних і
промислових підприємств;
4.
ЗМІ (в першу чергу електронні).
Зараз є безліч визначень інформаційної війни. Зупинимося на одному з
них. У серпні 1995 р. Національний інститут оборони США опублікував роботу
Мартіна Лібікі «Що таке інформаційна війна?». У ній автор визначив 7
різновидів інформаційної війни: командно-управлінська, розвідувальна,
психологічна, хакерська, економічна, електронна та кібервійна.
Командно-управлінська (Command-and-control) війна в якості основного
об'єкта впливу розглядає канали зв'язку між командуванням і виконавцями.
Перерізаючи «шию» (канали зв'язку), нападник ізолює «голову» від «тулуба».
Стверджується, що це краще, ніж просто вбивати «голову». Вважається, що
Інтернет народився як оборонний варіант цієї війни («розосереджена шия»).
Розвідувальна війна має на меті збір важливої у військовому відношенні
інформації та захист власної.
Електронна війна об'єктом свого впливу має засоби електронних
комунікацій - радіозв'язку, радарів, комп'ютерних мереж. Її важлива складова криптографія, що дозволяє здійснювати шифрування і розшифровку
електронної інформації.
Психологічна війна - здійснюється шляхом пропаганди, «промивання
мізків» і іншими методами інформаційної обробки населення.
Лібікі виділяє 4 складові психологічної війни: підрив громадянського
духу; деморалізація збройних сил; дезорієнтація командування; війна культур.
Хакерська війна має цілями тотальний параліч мереж, перебої зв'язку,
введення помилок в пересилку даних, розкрадання інформації, розкрадання
послуг за рахунок несанкціонованих підключень до мереж, їх таємний
моніторинг, несанкціонований доступ до закритих даних. Для досягнення цих
цілей використовуються різні програмні засоби: віруси, «троянські коні»,
«логічні бомби», сніфери («нюхалкі», «следілкі»).
Економічна інформаційна війна. Лібікі виділяє дві її форми інформаційну блокаду (спрямована проти США) і інформаційний імперіалізм
(метод самих США).
Світ продовжує стрімко змінюватися і ставить багато нових питань перед
людством.
Революційні зміни видно в багатьох галузях світової економіки, в першу
чергу це область інформатизації суспільства. Хвиля «цифрової революції»
створила абсолютно новий економічний сектор, якого раніше просто не було.
20
21.
Це провокує зростання інтенсивності конфліктів з метою захоплення іутримання переваги в даному секторі нової світової економіки. Капіталом, який
відіграє чільну роль в «цифрової революції», є інтелектуальний капітал,
насамперед у галузі інформаційних технологій.
І.
Нарешті основний продукт цього сектора - інформація - володіє
унікальними властивостями, не властивими іншим секторам економіки.
Інформація на відміну від всіх інших ресурсів придатна для багаторазового
використання та для численних користувачів, при цьому чим більше вона
застосовується, тим ціннішою стає. Те ж саме можна сказати про мережі, що
зв'язують різні джерела інформації.
Такий один з підходів до визначення сутності та змісту інформаційної
війни.
Безліч визначень інформаційної війни пов'язано, мабуть, із складністю, і
багатогранністю такого явища, як інформаційна війна, труднощами побудови
аналогій з традиційними війнами. Якщо спробувати трансформувати
визначення в поняття «інформаційна війна», то навряд чи що конструктивне
вийде. Це пов'язано з рядом особливостей інформаційної війни.
Для війни в її звичайному розумінні суб'єкти (конфронтуючі сторони)
чітко визначені, існують поняття початку і закінчення війни, лінії фронту. Різні
сторони, як правило, описуються однаковими моделями. Результат війни багато
в чому визначається співвідношенням військових потенціалів сторін.
Для інформаційної війни зазвичай чітко визначена оборона, поняття
початку і закінчення можна застосувати лише до окремих операцій
інформаційної війни, лінія фронту не визначена, оборона і наступ описуються
різними моделями. Успіх проведених інформаційних операцій не має прямого
зв'язку з співвідношенням військових потенціалів сторін. Забезпечення
інформаційної безпеки в сфері державного та муніципального управління
(ДМУ) грунтується на детальному аналізі структури та змісту ДМУ, а також
інформаційних процесів і використовуваних при управлінні технологій.
При цьому визначальними факторами при розробці засобів інформаційної
зброї стають саме індивідуальні особливості елементів. Це зрозуміло. Для того
щоб змоделювати поведінку базових елементів, необхідно знати саме
індивідуальні особливості та переваги.
Часовий інтервал, на якому системи намагаються здобути перемогу в
інформаційній війні, в даному випадку порівняємо з часом життя елементів (з
часом знаходження їх в системі управління), а це означає, що мова йде про
21
22.
незначні з точки зору зміни поколінь в часовому інтервалі. Тому для конкретноїситуації на якийсь час стає дозволеним говорити про перемогу алгоритму.
Однак при всьому при цьому треба пам'ятати, що час життя системи і час
навчання постійно змінюються. З'являються нові технології навчання і
змінюються характеристики навколишнього інформаційного середовища.
Сказане означає, що порівнювати час життя елементів з тимчасовим інтервалом
активного ведення інформаційної війни може бути і не зовсім коректно. Тут же
хотілося в першу чергу відзначити наступне: інтенсивність модифікації
навколишнього світу часто не залишає інформаційній системі можливості
вийти з запропонованих їй сценаріїв поведінки.
Спираючись на сказане про модельований базових елементів, можна
сформулювати відповідне твердження: чим більше потужність безлічі базових
елементів і їх зв'язків, тим система стійкіша до цілеспрямованого
інформаційного впливу.
В умовах, коли час інформаційної протидії між системами малий
(наприклад, не перевищує середнього часу життя елемента системи) і системасупротивник володіє модельованими базовими елементами, можна
запропонувати наступний алгоритм, що здавалося би «завжди перемагає»:
1)
визначення базових елементів інформаційного простору системисупротивника;
2)
вивчення індивідуальних особливостей і потенційних можливостей
базових елементів;
3)
моделювання різних варіантів поведінки базових елементів при
різних вхідних впливах;
4)
вибір найбільш переважного сценарію ведіння базових елементів;
5)
підготовка середовища, в якій функціонують базові елементи
(громадської думки), і їх самих;
6)
реалізація.
З урахуванням вище сказаного загальна схема інформаційної війни могла
би виглядати як на рис. 1.
22
23.
Стратегія інформаційної війниВивченні системи супротивника
(Твердження 1)
Визначення мети
перепрограмування, тобто
еталону (Наслідок 1.2)
Підбір вхідних даних, що відповідає
еталону (Наслідок 1.1)
Еталон – особисті переваги
(Наслідок 5.1)
Організувати подачу матеріалу
„своїми очами” (Наслідок 1.3)
Організувати подачу емоційного
матеріалу (зі сфери мистецтва,
культури) (Твердження 2)
Орієнтувати вхідні впливи на діячів
мистецтва та культури (Наслідок
2.2)
Визначити базові елементи та
організувати моделювання їх
поведінки (Твердження 6)
Привести до хаосу всі сфери
функціонування системи (Наслідок
4.1)
Орієнтувати вхідні впливи на ті структури
та елементи, які максимально
піддаються програмуванню та
перепрограмуванню (Наслідок 3.1)
Рис. 1. Типова стратегія інформаційної війни
Наведена схема, безумовно, не відображає всіх можливих підходів і
прийомів до організації та проведення операцій з інформаційного впливу.
Розум людський більш витончений, ніж будь-яка можлива проекція генеруючих
ним думок в площину практичних алгоритмів. В типову стратегію включено
лише те, що випливає з доведених раніше теорем, тверджень і наслідків. Звідси
випливає: якщо інформаційна система виявляє вплив проти себе комплексу
прийомів схеми рис. 1, то це може означати, що дана інформаційна система
перебуває в стані інформаційної війни.
Що собою представляє конкретний алгоритм інформаційної війни з
конкретним супротивником? Дуже схожа на наведений вище перемагаючий
алгоритм схема дій описана у А. Зінов'єва на прикладі інформаційної війни
Заходу з Радянським Союзом.
1.
Для вивчення індивідуальних особливостей і потенційних
можливостей «базових елементів» СРСР на Заході була створена ціла наука зі
своїми служителями - Кремлінологія.
2.
«Кремлінологі самим допитливим чином вивчали апарат ЦК. І не
тільки вивчали, а чинили на партійних керівників вплив. Як? Через засоби
масової інформації. Через помічників, радників. Через дипломатів, журналістів,
агентів КДБ. ... Можна визнати як факт, що Захід у вісімдесяті роки почав
підсилюватися мірою маніпулювання вищим радянським керівництвом ».
23
24.
3.«Кремлінологі вивчили ситуацію у вищому радянському
керівництві ще за Брежнєва ... Андропов і Черненко були хворі, довго
протягнути не могли.
... Так що головну роль так чи інакше належало зіграти комусь із двох Романову або Горбачову. Вивчивши досконально якості того й іншого (а
можливо, вже якось «підчепивши на гачок» Горбачова раніше), у відповідних
службах Заходу вирішили усунути Романова і розчистити шлях Горбачову ».
4.
«У засобах масової інформації була винайдена і пущена в хід
наклеп на Романова (ніби він на весілля дочки наказав принести дорогоцінний
сервіз із Зимового палацу), і почалася його всіляка дискредитація ... Причому
винахідники наклепу були впевнені, що "соратники" Романова його не
захистять. Так воно і сталося. Навіть Андропов, який вважався одним з друзів
Романова, не вжив заходів, щоб спростувати наклеп. Мовляв, не варто на таку
дрібницю реагувати. А між тим це була не дрібниця, а початок
великомасштабної операції з далекосяжними наслідками.
5.
«Візьми тепер самі вибори Генсека! У тому, що вони були явно
частиною операції відповідних служб США, навіть на Заході багато хто добре
розуміли. Все було підлаштовано навмисно так, що обирало всього 8 осіб.
Затримали під якимось приводом виліт з США члена Політбюро Щербицького,
який проголосував би проти Горбачова. Не повідомили про вибори іншому
члену Політбюро, котрий перебував у відпустці. Це був сам Романов, який теж
напевно проголосував би проти Горбачова. Якби хоча б ці двоє голосували,
Горбачов не став би Генсеком, - він пройшов з перевагою в один голос! »
Причому,
що
цікаво,
подібний
алгоритм
цілеспрямованого
інформаційного впливу, можна сказати, в зародковому прообразі сьогоднішньої
інформаційної війни був викладений майже сто років тому в документі під
назвою «Протоколи зборів сіонських мудреців». Не вдаючись у суперечки про
причини і джерела даного документа, хотілося б помститися, що його автора
безперечно слід назвати серйозним теоретиком в області побудови типових
тактик і стратегій ведення інформаційних війн.
У названому документі можна прочитати наступне:
«Щоб привести наш план до такого результату, ми будемо
підлаштовувати вибори таких президентів, у яких в минулому є якесь не
розкрите темну справу, яка-небудь" панама "- тоді вони будуть вірними
виконавцями наших приписів з боязні викриттів і з властивого кожному
людині, яка досягла влади, прагнення утримати за собою привілеї, переваги і
шана, пов'язаний зі званням президента ».
24
25.
«В руках сучасних держав є велика сила, яка створює рух думки в народі- це преса».
«Жодне сповіщення не буде проникати в суспільство без нашого
контролю. Це і тепер уже нами досягається тим, що всі новини виходять
декількома агентствами, в яких вони централізуються з усіх кінців світу. Ці
агентства будуть тоді вже цілком нашими установами і будуть оголошувати
тільки те, що ми їм предпішем.
... Кожен побажав бути видавцем, бібліотекарем або типографщика буде
змушений добути на це діло встановлений диплом, який, у разі провини,
негайно ж буде відібраний ».
«Ви говорите, що на нас піднімуться зі зброєю в руках, якщо розкусять в
чому справа завчасно; але для цього у нас в запасі є такий тероризмом маневр,
що найхоробріші душі здригнуться: метрополітеновие підземні ходи - коридори
будуть до того часу проведені під всіх столицях, звідки вони будуть підірвані з
усіма своїми організаціями та документами країн »(Протокол 9).
Коротко і точно в «Протоколах ...» сказано практично про всі аспекти
інформаційної війни:
- Система управління (контроль владних структур);
- Кошти перепрограмування населення (засоби масової інформації);
- Тероризм;
- Економічні війни, засоби економічного управління:
- Фінансова програма (Протокол 20);
- Загальне голосування і т. д.
Дані протоколи носять методичний характер. Вони складені так, що їх
може використовувати будь-який, розуміючий значимість таємної війни, - і
зовсім не обов'язково обмежувати їх застосування тільки мудрецями і тільки
тим далеким часом. З точки зору значущості для теорії інформаційної війни
дані протоколи, напевно, в чомусь аналогічні перші боязкі дослідженням з
теорії ядерної зброї, до речі, відноситься приблизно до того ж часу.
Змінилися багато методи і прийоми, вони отримали наукове
обгрунтування. Виникли цілі наукові дисципліни про те, як управляти
поведінкою людини, колективу, суспільства. До них відносяться: соціологія,
психоаналіз, теорія реклами, Суггестология, NLP-програмування, діанетика і т.
п. Отримав своє теоретичне обгрунтування гіпноз, і були зроблені спроби
перенесення методів гіпнотичного впливу з окремого індивідуума на колективи
і на цілі людські суспільства Виробництво та розповсюдження інформації
поставлено на конвеєр. Всього цього ще не було навіть в минулому столітті - не
25
26.
було достатньо ефективних засобів масової інформації, не було науковообгрунтованих алгоритмів управління соціумом; а виникнути ці алгоритми
могли лише з появою теорії програмування для сьогоднішніх засобів
обчислювальної техніки. Тому що, ще раз повторимо, здійснити інформаційну
операцію - це значить так підібрати вхідні дані для системи, щоб активізувати в
ній певні алгоритми, а в разі їх відсутності активізувати алгоритми генерації
потрібних алгоритмів.
Наявна на сьогоднішній день теорія алгоритмів цілком дозволяє
пояснити, яким чином може здійснюватися автоматичне написання програм для
певних предметних областей.
Застосування гіпнотичного стану на окремого індивідуума описується у
вигляді алгоритму так:
1)
розслабити тіло (мета даної дії: організм як ціле повинен зникнути в
якості об'єкта свідомості);
2)
слухати тільки гіпнотизера, не звертаючи уваги на якісь інші думки
або відчуття (мета: процес вантаження свідомості і дії формуючих сил
послаблюються);
3)
не розмірковувати над тим, що говорить гіпнотизер (мета: сприяє
гальмуванню безперервного потоку думок);
4)
зосередити увагу на якомусь предметі крім голосу самого
гіпнотизера (мета: підсистема свідомості, відповідальна за обробку почуттєвої
інформації, виявляється не в змозі виконувати свою функцію і як би
розбудовується);
5)
гіпнотизер вселяє, що ви спите або засинаєте (мета: навіювання сну
послаблює пам'ять і почуття самоототожнення, якими характеризується стан
неспання);
6)
гіпнотизер переконує людину, що цей сон - не зовсім справжній сон
(мета: створення пасивного, подібного сну стану свідомості, в якому
зберігається можливість контакту з гіпнотизером). '
За аналогією процес наведення гіпнотичного стану на окреме суспільство
міг би, напевно, виглядатиме таким чином:
1)
розслабити суспільство - вселяти через засоби масової інформації,
що ворогів немає, при цьому обговорювати окремі історичні періоди і інтереси
окремих народностей (мета-суспільство як ціле повинно зникнути в якості
об'єкта свідомості суспільства);
2)
змусити суспільство слухати тільки супротивника, не звертаючи
уваги на якісь інші думки або відчуття, наприклад акцентувати засоби масової
26
27.
інформації виключно на якійсь одній парадигмі суспільного розвитку(наприклад західній), виключивши будь-який інший досвід: Китай, Японію,
мусульманський світ (мета - процес вантаження суспільної свідомості і дію
формуючих сил послаблюються);
3)
змусити суспільство не розмірковувати над тим, що говорить
супротивник, для цього виключити із засобів масової інформації серйозні
аналітичні дослідження проблем (мета-сприяти гальмуванню безперервного
потоку думок);
4)
зосередити увагу суспільства на якомусь предметі крім вхідного
інформаційного потоку, наприклад внутрішні катаклізми, війни, акти терору
(мета - підсистема захисту, відповідальна за обробку вхідної інформації,
виявляється не в змозі виконувати свою функцію і як би розбудовується);
5)
постійно навіювати, що саме суспільство стає краще і краще, що всі
навколишні ставляться до нього краще й краще (мета - подібне навіювання
послаблює історичну пам'ять і почуття самоотождсствленності, якими
характеризується нормальний стан суспільства);
6)
засоби масової інформації одночасно повинні переконувати членів
суспільства, що викликало стан - це не зовсім те, що повинно бути (мета створення пасивного стану свідомості, в якому зберігається можливість
залежності від інформаційного впливу супротивника).
Наведений алгоритм в загальних рисах відображає роботу засобів масової
інформації в Росії часів 1990-1997 років.
Будь-яка система, відповідальна за обробку вхідних даних, повинна
«харчуватися», тобто повинна споживати енергію для того, щоб приводити в
дію закладені в ній алгоритми обробки вхідних даних і генерувати нові. Базові
елементи кожної системи мають певну фізичну природу, яка багато в чому
визначає час реакції, а значить і вибір того чи іншого алгоритму вирішення
конкретного завдання.
У разі розгляду в якості інформаційних самообучающихся систем держав
під "іншими видами впливу» у світлі вищесказаного слід розуміти в першу
чергу економічну війну. Але не у вузькому плані, пов'язаному виключно з
економічними санкціями типу «це не можна і це не можна», а в більш
широкому, що включає в себе «економічні інтервенції» у вигляді товарів і
продуктів по демпінговим цінами:
Час інформаційних та економічних воєн прийшло ще й тому, що
сьогоднішньому світу вже не властивий дефіцит інформації і промислових
товарів, навпаки, його відрізняє саме їх надлишок. А це значить, що як і у
27
28.
випадку інформаційної війни, коли система більше повинна думати не прозахист інформації, а про захист від інформації та просуванні свого бачення
світу, Так і в умовах економічної війни мова повинна йти-про захист від чужих
товарів і нав'язуванні своїх
Грамотне поєднання усіх допустимих видів впливу на супротивника
являє собою комплексну стратегію впливу.
Під допустимими видами впливу тут розуміються такі дії, які «грубо» не
порушують прийняті в суспільстві на поточний час норми і правила поведінки.
Дотримання принципу комплексності при формуванні загальної стратегії
впливу на супротивника дозволяє підсилити ефект від застосування
інформаційної зброї і тим самим може бути ще однією ознакою інформаційної
війни.
Глава 4. Аналітичне забезпечення інформаційної безпеки
Інформаційно-аналітична робота (ІАР) - це визначення необхідної
інформації, її пошук, систематизація, складання висновків і їх поширення.
ІАР включає в себе весь процес створення аналітичної інформації, що
складається з декількох етапів: організація збору та первинної обробки
матеріалу, власне аналіз і виборче поширення інформації.
Етапи ІАР:
• визначення необхідної інформації і напрямків її пошуку;
• збір інформації;
• первинна обробка інформації;
• аналіз (тобто знаходження причинно-наслідкових та інших зв'язків між
фактами, явищами тощо);
• оцінка інформації і виробництво аналітичного продукту (відсівання
несуттєвих фактів, сортування і визначення достовірності фактів і подій,
формулювання висновків);
• дозоване поширення інформації (підготовка аналітичних записок та
звітів). На даному етапі пріоритетними є питання переконливості
підготовленого документа, встановлення рамок допуску та вміння зацікавити
особу (або організацію), на адресу якої направлено документ.
Перший та другий етапи називаються інформаційною роботою. У
результаті інформаційної роботи структура отримує необхідний для виконання,
розробки масив інформації - інформаційний масив, який являє собою розрізнені
відомості з цікавих питань. Наступні етапи - власне аналітична робота, в
результаті якої інформаційний масив перетворюється в строго доказовий
28
29.
продукт діяльності аналітика – висновок. Висновок повинен бути доказовим,перевіряємим, кратким, необхідним.
Функції та завдання ІАР
1
Збір упереджувальної інформації для виявлення осіб і організацій,
що спеціалізуються на зазіханнях в сфері інтересів підприємства. Що
охороняэться.
2
Відстеження оперативної обстановки, що виникає навколо
охоронюваного підприємства, тобто фіксація подій і осіб, що дозволяє виявити
ознаки підготовки недружніх акцій.
3
Приховані методи розслідування, виявлення розкрадачів серед
співробітників охоронюваного підприємства, відстеження каналів витоку
конфіденційної інформації.
4
Створення системи взаємовідносин і контактів з офіційними
структурами та ЗМІ, що дозволяє отримувати випереджаючу інформацію про
підготовку недружніх акцій.
5
Аналіз відкритих і конфіденційних джерел на предмет встановлення
витоку інформації, забезпечення охорони інтересів підприємства, встановлення
та запобігання спроб проникнути в конфіденційну інформацію.
Організація ІАР на підприємстві
В даний час існує два погляди на організацію ІАР на підприємстві.
Перший варіант - ведення ІАР власне підприємством. Аналітична група є
структурним підрозділом підприємства, має прямий вихід на директора і зв'язок
з іншими структурними підрозділами, в тому числі службою безпеки.
Такий варіант роботи характерний для великих корпорацій, що
займаються виробництвом і реалізацією продукції. Це пов'язано з тим, що
більшість ризиків пов'язане з комерційною діяльністю конкурентів і зміною
стану ринку.
У цьому випадку аналітичну роботу ведуть грамотні спеціалісти,
економісти, маркетологи, фінансисти та ін. Служба безпеки лише повідомляє
про можливі загрози з боку кримінальних структур.
Другий варіант - замикання ІАР на службі безпеки підприємства. У цьому
випадку аналітична група структурно входить до СБ, який підпорядковується
безпосередньо начальнику СБ, який має прямий вихід на директора.
Крім фахівців сфери діяльності для проведення аналітичних експертиз
часто залучаються (або перебувають у штаті аналітичної групи) вузькі фахівці:
психологи, інженери і технологи, кримінологи тощо. При будь-якій організації
роботи варто враховувати, що ІАР для підприємства повинна вестися однією (!)
29
30.
структурою. Паралельна аналітична діяльність СБ і підприємства практичнонеприпустима. Це пов'язано з тим, що інформаційне поле зазвичай буває досить
обмеженим, і робота кількох структурних підрозділів за одним напрямком
може бути легко виявлена, розрахована і присічена.
Досить поширений варіант організації інформаційно-аналітичної роботи аналітична група на правах самостійного структурного підрозділу
підприємства, що підкоряється паралельно директору підприємства та
начальнику СБ. Назва групи легендірується: «група вивчення ринку», «відділ
маркетингу», «інформаційно-довідкова служба» тощо.
У залежності від призначення інформацію класифікують на стратегічнутактичну і сигнальну-тактичну-доказову. Стратегічна інформація - це
інформація, що дає підстави приймати рішення про притягнення до
співробітництва, джерела витоку конфіденційної інформації, спрямованості
об'єкта інтересу, форми залежності та підконтрольності виносити судження,
прогнози в сфері комерційних, політичних та інших інтересів. Стратегічна
інформація дозволяє робити довгострокові прогнози, і це основне її завдання.
Тактична інформація - це оперативне встановлення фактів недружніх дій,
джерел витоку інформації, організації сумлінності потенційних партнерів і т.п.
Тактична інформація дійсна протягом невеликого проміжку часу і дозволяє
скорегувати діяльність підприємства (СБ) шляхом виведення короткострокових
прогнозів або прогнозів на дану операцію (отримання кредиту, висновок
конкретного контракту).
Сигнальна (попереджувальна) інформація - це інформація, яка достовірно
вказує на події, які мають статися.
Тактична інформація носить характер, зазначений вище. Діє нетривалий
проміжок часу і вимагає негайного реагування на ситуацію.
Доказова інформація - це інформація, що дозволяє з великою часткою
ймовірності довести зв'язок між подіями, об'єктами. Використовується для
створення таблиці зв'язків об'єкта, а також в аналітичному розслідуванні фактів
витоку інформації і т.п.
Джерела отримання інформації можна розділити на три категорії:
відкриті, напіввідкриті, закриті.
Відкритими джерелами називаються будь-які джерела інформації,
ознайомлення з якими вільно для всіх категорій громадян. До такої відносяться:
• газети;
• журнали;
• теле-і радіопередачі та інші засоби масової інформації;
30
31.
• рекламні проспекти та матеріали;• призначена для відкритої торгівлі продукція, відкрито утилізовані
відходи;
• інформація, отримана на виставках і презентаціях.
Засоби масової інформації (ЗМІ) надають величезний масив інформації з
різних напрямків діяльності. Завдання аналітика полягає в виокремленні
інформації, що цікавить. При цьому необхідно відзначити, що досить надійною
може вважатися тільки інформація, що стосується основного факту
повідомлення, репортажу тощо. Всі подробиці, апріорі повинні визнаватися
недостовірними або вимагають спеціальної перевірки. Тільки після
достовірного підтвердження вони можуть вважатися прийнятими до розгляду.
Це пов'язано з особливостями журналістської роботи, необхідно зрадити риси,
характерні для видання або такі, що дозволяють зацікавити читача. Тому всі
подробиці в більшості випадків є надуманими. При регулярному отриманні
інформації з одного джерела спочатку визначається категорія надійності
видання та журналіста. На основі такої інформації можливе підвищення класу
надійності супутньої інформації. Зі ЗМІ можна отримати інформацію
тактичного сигнального і доказового плану. Відкритий друк традиційно є
найбільш ємним і найбільш використовуваним каналом отримання інформації.
Цей факт, у своїх творах відзначав ще В.І. Ленін - найбільший авторитет в
царській Росії з області організації підпільної інформаційної роботи. Легальний
матеріал особливо важливий. Не буде перебільшенням сказати, що по одному
легальному матеріалу можна написати професійну брошуру, а по одному
нелегальному - неможливо. Збираючи нелегальний матеріал неможливо і
придбати таких знань, які у масі розсіяні в дрібних газетних кореспонденціях та
в спеціальних промислових, санітарних земських виданнях.
Всe це актуально і сьогодні, коли на думку колишнього директора
центральної розвідки США Р. Хілленкеттера 80% розвідувальної інформації
виходить з таких звичайних джерел, як іноземні книги, журнали, наукові і
технічні огляди, фотографії, дані комерційного аналізу, газети, радіопередачі, а
також із загальних відомостей, отриманих від осіб, що мають уявлення про
справи за кордоном.
Так. наприклад, проведений ФБР аналіз дешифрованих радіограм
радянського розвідника Рудольфа Абеля показав, що основну канву для своїх
політичних і економічних повідомлень у московський центр (інформація про
атомну бомбу, тема для окремої розмови) він черпав з публікацій "Нью-Йорк
31
32.
Таймс" і "Сайентифик Америкен", доповнюючи окремі неясні місця,агентурною інформацією.
У зв'язку з цим Шерман Кент, американський історик працював в
Центральному розвідувальному управлінні США, зробивши поправку на
відкритість американського суспільства і піднявши планку ще вище, до 95
відсотків. Щоб довести свою точку зору, Кент запропонував п'яти професорам
Йельського університету підготувати звіт про стан збройних сил США,
чисельності бойових частин і з'єднань не нижче рівня дивізії, мощі військовоморського флоту і бойової авіації (з описами кораблів і літаків), дозволивши
користуватися при цьому тільки відкритими джерелами інформації. Робота
тривала близько трьох місяців. У результаті учені представили Кенту декілька
сотень сторінок даних, супроводивши їх 30-сторінкової узагальнюючої
довідкою. Оцінка Кента була наступна: на 90 відсотків звіт вчених відповідав
істинному стану речей. За іронією долі ЦРУ негайно засекретило результати
проведеної роботи, що отримала назву Єльського звіту
Про те, що у відкритій радянській пресі, також містилося чимало цікавої
інформації, свідчать дані дослідження.
Обробка інформації Бази даних
Обробка одержуваної інформації - справа, що вимагає скрупульозності в
обліку найдрібніших деталей і точності в оформленні. Оброблений масив
інформаційної документації повинен відповідати кільком вимогам: доступність,
інваріантність, коректування.
Під доступністю розуміється можливість роботи з інформацією для
людини не створювати базу даних. Наприклад, директора підприємства,
уточнюючого інформацію, або нового аналітика, що прийшов на зміну,
наприклад, загиблому в автокатастрофі.
Інваріантність припускає доступ до інформаційних осередків, що
об’єднані різними класифікаторами. Наприклад, доступ до інформації певного
джерела, доступ до інформації з певної справи з різним сортуванням, доступ до
джерел з вищою категорією надійності тощо.
Коректування припускає можливість модифікації бази даних. Під
модифікацією можуть розумітися видалення, що стали непотрібними або
небезпечними, відомостей додавання нової інформації, внесення змін в
кодування і т.п.
Таким чином інформаційний масив проходить первинну обробку і
перетворюється в базу даних або доповнює її.
32
33.
База даних є великим і первинно систематизованим наборомфактографічної інформації, яка вимагає ретельної обробки і аналізу, для того,
щоб отримати висновок з того чи іншого питання.
Накопичення бази даних - досить тривалий і трудомісткий етап. Тим
більше що зазвичай бази даних починають накопичуватися не відразу, а через
якийсь час після початку досліджуваних подій.
Бази даних можливі в двох варіантах: картотека і цифрова база даних.
Картотека - це база даних, оформлена на паперових (пластикових і т.п.)
картках. Яскравий приклад таких картотек - бібліотечні каталоги. На кожній
картці вказується один інформаційний факт.
Картка обов'язково містить таку інформацію: подія, джерело отримання
інформації та код його достовірності, номер в картотеці та розділу. Подія
описується максимально стисло, максимально можливим рівнем конкретизації.
Плюси картотек: легке оформлення, надійність збереження інформації. Мінуси:
у великих картотеках досить незручно орієнтуватися, великий об'єм займаного
місця: картотеки задовольняють принципам доступності конкретизації, але
суперечать принципу інваріантності. Картки зберігають у спеціальних
картотечних шухлядках в місці (щоб уникнути крадіжки видозміни).
Обов'язкова надійна пожежна безпека.
Цифрова база даних - це база даних оформлена у вигляді комп'ютерної
програми. В даному випадку все залежить від професійного рівня програми або
користувача. Інформаційний зміст в цифровій базі даних аналогічно
картотекам. Плюси цифрових баз даних: легка орієнтація, велика швидкість
роботи. Мінуси: обов'язково наявність необхідних навичок у користувача (тим
більше у програміста), велика ймовірність мимовільного псування інформації.
Таким чином, цифрові бази даних задовольняють правилу інваріантності і
конкретизації, але можуть суперечити правилу доступності. Цифрові бази
даних зберігаються повністю в автономному комп'ютері (не приєднаному до
локальної комп'ютерної мережі) на окремому жорсткому диску (вінчестері).
Для зручності користування інформацією та швидкості знаходження
необхідних даних потрібна як можна більш повне сортування інформації.
Спочатку інформація поділяється на сектори, розділи, підрозділи, теми.
Всі методи ІАР крутяться навколо основних параметрів: аналіз - синтез.
Під аналізом розуміється розчленування події на деталі, оцінка кожного
фрагмента. Синтезом є складання всіх фрагментів в струнку структуру
аналізованої події. Ці два параметри нерозривні і обов'язкові.
33
34.
Як зокрема аналізу і синтезу застосовуються поняття індукції та дедукції,абстракції та аналогії.
Індукція передбачає роботу від часткового до загального, будучи
варіантом синтезу. Дедукція передбачає шлях від загального до приватного,
моделюючи аналіз. Абстракція припускає спрощення ситуації і приведення її до
ряду подібних. Методом абстракції користуються при моделюванні ситуацій.
По суті, це синтез. Аналогія - це розчленування ситуації на складові і
порівняння їх з існуючими. По суті аналогія є аналіз. Таким чином аналіз,
дедукція і аналогія складають аналітичні методи дослідження, а синтез,
індукція і абстракція - синтетичні.
Виділяють дві основні групи методів: стратегічні і тактичні. Стратегічні
методи інакше називають узагальненими. Вони дозволяють розглянути
ситуацію цілком. По суті вони є аналітичними. Тактичні методи дозволяють
деталізувати картину того, що відбувається і виділити ключові події, тобто є синтетичними методами пізнання.
Основні стратегічні методи аналітичної роботи моделювання і системний
аналіз.
Моделювання - створення узагальнених і спрощених моделей ситуацій.
Часто подія (набір фактів) складно аналізувати як таке. У випадку підбирається
подія, що відповідає основними характеристики в основному, але більш проста
для аналізу.
Одним з типових принципів моделювання є статистика - числова або
математична модель. Статистики дозволяють зробити узагальнюючий висновок
по вже відомій ситуації виходячи з якої можна припускати ситуацію майбутню.
Найпростіший і всім відомий приклад статистики - статистика МВС до
кількості злочинів і розкриття – суть: спрощена схема кримінальної ситуації по
досліджуваному регіону. Проаналізувавши моделі можна перенести результати
на досліджувану подію і припустити результат. Природно, чим точніше буде
підібрана модель, тим точніше буде результат аналізу основної події.
Модель може бути не тільки статистичною (тобто математичною), але
будь-яка інша. Можливі моделі істеричні, бібліографічні. Важливо зрозуміти,
що моделювання є найпростішим способом визначити ймовірний вихід або
причину аналізованої події, а тип моделі вибирається виходячи з доступності і
зручності.
Таким чином, моделювання є типовим випадком аналітичного методу
дослідження. Близьким за формою йому є системний аналіз. Системний аналіз
передбачає оцінку ситуації як самостійної системи, що має два основних
34
35.
параметри - вхід і вихід. Під входом маються на увазі чинники, що вносятьзміну в систему. Під виходом - результат впливу цих факторів. Вихід
зіставляється з існуючими ресурсами При невідповідності виведення ресурсів
необхідно шукати інший вихід (рис 2)
Змінення 1
Подразник
Проблема
Ресурси
Змінення 2
Рис. 2. Пошук іншого виходу
Аналіз відбувається по кожному з можливих «факторів роздратування»
без урахування інших факторів, крім ресурсного забезпечення.
Обумовивши методи, до яких вдаються для аналізу, необхідно обумовити
і способи застосування цих методів.
Існує три основних способи аналітичної роботи: одиночний, парний,
«мозковий штурм».
Одиночний спосіб - робота окремого аналітика. Аналітик сам вибирає
методи дослідження, проводить необхідну роботу, готує висновок. Виділяються
кілька типів аналітичних працівників залежно від використовування ними
прийомів роботи.
Митець. На аркуші паперу олівцем графічно відзначаються факти, і
між ними вибудовуються взаємозв'язки. Картинка наочна, її легко виправити
(за допомогою ластику і пари штрихів). В результаті малювання такої картинки
доволі нескладно відсіяти малозначні факти і ви ділити найбільш важливі. В
результаті такого малювання випливає центральний факт або прогноз розвитку
логічного ланцюжка.
Комбінатор. На паперових картках надписуються відповідні факти.
Після цього картки розкладаються у відповідному порядку, міняються місцями
і т. п. У результаті відновлюється весь логічний ланцюжок, який можна
продовжити.
Лектор. Аналітик промовляє відомі факти, намагається їх логічно
вибудувати, як би читаючи лекцію. В результаті такої промови випливають
забуті деталі, передбачаються нові напрямки пошуку, виводяться підсумки дії.
Часто після такого варіанту аналізу події зв'язуються в дуже послідовний
логічний ланцюжок, висновок стає дуже явним.
35
36.
Кресляр (або математик). Такий фахівець любить надавати своїй
роботі числовий варіант і переносити її на графіки. Далі йде аналіз функції за
графіком.
Парна робота передбачає обговорення проблеми парою аналітика. При
цьому зазвичай йде робота на протилежностях оптиміст – песиміст, синтетик критик, кореспондент - респондент і т.п. Оптиміст розглядає проблему з точки
зору бажаного результату песиміста, припускаючи найгірший варіант.
Синтетик створює логічний ланцюжок подій. Критик висловлює зауваження
навіть по найдрібніших деталях, кореспонденту задає "незручні" запитання, а
респондент намагається на них відповісти у результаті формується точка зору
влаштовує обох аналітиків.
«Мозковий штурм» є дуже ефективним прийомом роботи злагодженої
групи фахівців. «Мозковий штурм» - оперативний метод аналізу проблеми
групою спеціалістів з усіх ракурсів і пошук неадекватних і несподіваних
способів її вирішення.
Цей метод був вироблений в стінах «РЕНД Корпорейшн». Діяльність
РЕНД Корпорейшн вважається еталонною і епохальною тому що:
• вона вперше об'єднала сукупності найрізноманітніших методів збору та
аналізу інформації, виробила наступний щабель, системний підхід і аналіз;
• ця корпорація прийняла величезну участь у науково-методологічному
забезпеченні «холодної війни»
Суть методу - аналітики збираються в одному приміщенні і починається
спільне обговорення проблеми. Зазвичай кожен по черзі висловлює своє
припущення, а решта його обговорюють. Обмеження - неприпустима різка
критика припущення опонентами. Це може бути причиною «замикання» одного
з членів команди. Підсумком обговорення є необхідний висновок. При роботі
способом групової пари кожна група працює за способом «мозкового штурму»
Науковий аналіз
Ця та декілька наступних тем присвячені науковим методам збору
систематизації та обробки фактів - тому що називається аналізом.
Правила логіки, застосовувані для аналізу події:
1.
Закон причинно-наслідкових зв'язків
Кожна подія в матеріальному світі має причину і тягне за собою наслідок.
Подія не може відбутися сама по собі, вона має бути чим-небудь
викликана. Факт, який викликав появу події, називається причиною. Часто у
події може бути кілька причин, одна або декілька з яких і викликали появу
36
37.
події. Однакові причини при відсутності інших тягнуть однакові події. Прицьому подія, що викликається причиною, називається наслідком.
Будь-яка подія має слідство, тобто явище, що сталося в результаті дії
аналізованої події. Часто подія може викликати кілька наслідків, одне або
декілька з яких і відбуваються. На підставі вищевикладеного можна зробити
висновок, що будь-яка подія одночасно є і наслідком якої-небудь події, і
причиною іншої або тієї ж (наприклад ланцюгова реакція) події. Побудова
подій в їх причинно-слідчому порядку називається побудовою причиннонаслідкового або логічного ланцюжка.
Логічний ланцюжок може бути безперервним (коли всі факти суворо
слідують один за одним) і переривчастим (коли один або декілька фактів
опушені і можливо маються на увазі). Необхідно пам'ятати, що переривчастий
логічний ланцюжок може привести в підсумку до спотворень (або можливості
спотворення) інформації. Наприклад маємо ланцюжок: А йде по вулиці; В
нападає на А; А б'є В; В отримує травму і опиняється в лікарні. Якщо ми
опустимо третій факт, то можна буде припустити що А не бив В а просто
обійшов його. Після цього, В впав (або його вкусила собака, скорпіон, канібал)
і від отриманої травми зліг у лікарню. У наявності неповна причинний
інформація, яка спричинила за собою спотворення всієї події.
2.
Закон форми і змісту
Однаковість форм не передбачає однаковості змісту. Слідство: форма не є
причиною змісту.
Є дві однакових пляшки з рідинами. Незважаючи на те, що пляшки
однакові - рідини можуть бути різні. Якщо ви зустрічаєте людину, одягнену в
міліцейську форму, не варто запевняти себе в тому, що він міліціонер. Імовірно,
що він одягнув форму для виконання своїх корисливих цілей. Тому не варто
забувати, що оболонка ніяк не визначає внутрішню сутність, а лише припускає
якоюсь часткою ймовірності.
3.
Закон тотожності
Об'єм про зміст думки про який небудь предмет повинен бути строго
визначений і залишатися постійним в процесі міркування про нього.
Безпосередньо перед логічним аналізом поняття (події) ми повинні чітко
визначити його (обмежити обсяг і зміст) і в процесі міркування не підміняти
цього визначення.
Варіантом порушення закону є використання різних значень слова в
одному певному контексті міркувань.
37
38.
Порушення закону тотожності називається підміною поняття і тягне засобою спотворення (або підміну) предмета міркування, систематизації,
обробки, побудови логічних і математичних моделей і т.п. До логічних
висновків додається інтуїція аналітика, навчитися якої неможливо. Вона
набувається в процесі тривалої роботи за цією спеціальністю.
Аналітичний висновок повинен бути доказовий, перевіряємий, стислий і
необхідний.
1.
Показовість виведення. Проявляється в тому, що він повинен бути
повністю підтверджений кодом аналітичного дослідження. Непідтверджена
частина виведення цьому правилу не задовольняє і використовуватися не може.
2.
Перевірка висновку полягає в можливості перевірити в
майбутньому або по інших каналах вірність викладок.
3.
Стислість необхідна для керівника. Як говорилося на початку,
аналітичний підрозділ стає необхідним тоді, коли керівник не може
справлятися з інформаційним потоком. Тому висновки аналітика повинні бути
короткими і точними. В іншому випадку аналіз втрачає свою цінність для
керівника.
4.
Необхідність аналітичного висновку диктується тими ж умовами.
Аналітик повинен займатися тільки тими напрямками аналізу, які перспективні
для керівника підприємства. Потребує високого професіоналізму і
максимального рівня аналітичного мислення, систематизації фактів і
визначення можливих наслідків безпосередньо. Тому для полегшення роботи
часто використовується прийом роботи «з кінця». Спочатку визначається
можливий висновок, після цього всі факти підтасовуються під нього. Висновок
вважається коректним, коли під нього підійшли всі наявні у аналітика факти.
Правила інформаційно-аналітичної роботи
1.
Правило формулювання ланцюга. Необхідно визначити, в яких
цілях будуть використані результати ІАР. Від цього залежить масштаб, методи і
спосіб вирішення завдання. Перед аналітиком повинні бути поставлені
конкретні зрозумілі ланцюги.
2.
Правило визначення понять полягає в точному визначенні сенсу
кожного терміна, використовуваного в ІАР. Слід виявити коло термінів, понять,
які повинні мати чітке визначення і трактуватися однозначно.
3.
Правило використання всіх можливих джерел інформації з даної
тематики. Аналітику доводиться працювати з інформацією, яку він має в даний
момент. Чекати повноцінної інформації від надійного джерела - значить
втрачати час. Необхідно відпрацювати всі можливі джерела, визначити
38
39.
достовірність кожного інформаційного осередку і працювати виходячи з данихфактів.
4.
Правило інтерпретації фактів. Передбачає розкриття сенсу значення
фактів, зіставлення їх з аналогічними, що мали місце раніше.
5.
Правило встановлення причинно-наслідкових зв'язків. У будьякому випадку, необхідно встановити причини аналізованої події і виділити її
слідства.
6.
Правило визначення тенденції розвитку об'єкта. Необхідно
припускати, як дана подія буде розвиватися. Треба визначити можливі шляхи її
розвитку, сигнальні події для кожного варіанту розвитку, свої майбутні дії.
7.
Правило встановлення ступеня достовірності. Дане правило
застосовується до всіх аналітичних досліджень. З урахуванням якості отриманої
інформації і кваліфікації аналітика, якість (вірогідність) виведення може бути
високою, середньою або низькою.
8.
Правило коректності висновків. Правило не допускає довільності
висновків. Важливо пам'ятати, що висновки повинні підтверджуватися базовою
інформацією. Інша важлива вимога до висновків - необхідність утримання
відповіді на поставлене питання.
Глава 5.
Забезпечення інформаційної безпеки в провідних країнах
світу
Проблема визначення вимог до захисту інформації в автоматизованих
системах її обробки виникла практично одночасно з самою проблемою захисту,
тобто коли засоби електронно-обчислювальної техніки (ЕОТ) стали
застосовуватися для обробки конфіденційної інформації. При цьому виявилося,
що для її вирішення немає скільки адекватного аналога, оскільки в умовах
паперової інформатики питання захисту інформації вирішувалися переважно
організаційними засобами. Система захисту будувалася таким чином, щоб
можливості несанкціонованого отримання інформації, що захищається,
практично були виключені. В умовах же автоматизованої обробки існує велика
кількість таких каналів несанкціонованого отримання інформації, які не можуть
бути перекриті без застосування специфічних технічних та програмноапаратних засобів. Відповідно виникла необхідність визначення вимог до
систем захисту, що містять зазначені кошти. Завдання виявилося досить
складним, в силу чого регулярна методика його рішення до теперішнього часу
не розроблена.
39
40.
У сформованій ситуації найбільш підходящим виявився підхід,заснований на виділенні деякої кількості типових систем захисту з чітким
позначенням тих механізмів захисту, які повинна містити кожна з типових
систем, і розробці рекомендацій з їх використання.
Для оцінки реального стану безпеки інформаційної системи
застосовуються різні критерії. Аналіз вітчизняного та зарубіжного досвіду
показав певну спільність підходу до визначення стану безпеки в різних країнах.
Її сутність полягає в наступному. Для надання користувачу можливості оцінки
вводиться деяка система показників і задається ієрархія класів безпеки.
Кожному класу відповідає певна сукупність обов'язкових функцій. Ступінь
реалізації обраних критеріїв показує поточний стан безпеки. Подальші дії
зводяться до порівняння реальних загроз з реальним станом безпеки.
Якщо реальний стан перекриває загрози в повній мірі, система безпеки
вважається надійною і не вимагає додаткових заходів. Таку систему можна
віднести до класу систем з повним перекриттям загроз і каналів витоку
інформації. В іншому випадку система безпеки потребує додаткових заходів
захисту.
Показник захищеності ІС - характеристика засобів системи, що впливає
на захищеність і описана певною групою вимог, варійованих за рівнем і
глибиною в залежності від класу захищеності.
Вимоги до безпеки інформаційних систем у США
Питаннями стандартизації і розробки нормативних вимог на захист
інформації в США займається Національний центр комп’ютерної безпеки
Міністерства оборони США (NCSC - National Computer Security Center).
Цей центр у 1983 р. видав «Критерії оцінки безпеки комп'ютерних
систем» (Trasted Computer Systems Evaluation Criteria - TCSEC). Цей документ
часто називають «Помаранчевою книгою». Дана розробка широко
використовувалася аж до прийняття міжнародного стандарту з безпеки
інформаційних технологій ISO 15408. «Помаранчева книга» була затверджена в
1985 р. як урядовий стандарт. Вона містить основні вимоги та специфіку, класи
для оцінки рівня безпеки комп'ютерних систем. Використовуючи ці критерії,
NCSC тестує ефективність механізмів контролю безпеки. Слід підкреслити, що
критерії роблять безпеку величиною, що допускає її вимір, і дозволяють
оцінити рівень безпеки тієї чи іншої системи. Подібна можливість емпіричного
аналізу ступеня безпеки систем призвела до міжнародного визнання
федерального стандарту США. NCSC вважає безпечної систему, яка «за
допомогою спеціальних механізмів захисту контролює доступ до інформації
40
41.
таким чином, що відповідні повноваження мають тільки особи або процеси, щовиконуються від їхнього імені, можуть отримати доступ на читання, запис,
створення або видалення інформації».
Стандарт
США
«Критерії
оцінки
гарантовано
захищених
обчислювальних систем в інтересах Міністерства оборони США».
Найбільш відомим документом, що чітко визначає критерії, за якими має
оцінюватися захищеність обчислювальних систем, і ті механізми захисту, які
повинні використовуватися в системах обробки секретної конфіденційної - в
більш загальній постановці - інформації, є так звана «Помаранчева книга», що
представляє собою стандарт США «Критерії оцінки гарантовано захищених
обчислювальних систем в інтересах Міністерства оборони США» (Trusted
Computer Systems Evaluation Criteria - TCSEC), прийнятий у 1983р. Його
ухваленню передували 15-річні дослідження, що проводилися спеціально
створеною робочою групою та Національним бюро стандартів США.
Стандартом передбачено 6 фундаментальних вимог, яким повинні
задовольняти ті обчислювальні системи, які використовуються для обробки
конфіденційної інформації. Вимоги розділені на три групи: стратегія,
підзвітність, гарантії - в кожній групі по дві вимоги такого змісту:
1.
Стратегія
Вимога 1 - стратегія забезпечення безпеки: необхідно мати явну і добре
визначену стратегію забезпечення безпеки.
Вимога 2 - маркування: керуючі доступом мітки повинні бути пов'язані з
об'єктами.
2.
Підзвітність
Вимога 3 - ідентифікація: індивідуальні суб'єкти повинні
ідентифікуватися.
Вимога 4 - підзвітність: контрольна інформація повинна зберігатися
окремо і захищатися так, щоб з боку відповідальної за це групи була
можливість відслідковувати дії, що впливають на безпеку.
3.
Гарантії
Вимога 5 - гарантії: обчислювальна система в своєму складі повинна мати
апаратні / програмні механізми, що допускають незалежно оцінку на предмет
достатнього рівня гарантій того, що система забезпечує виконання викладених
вище вимог з 1-ї по 4-ту.
Вимога 6 - постійний захист: гарантовано захищені механізми, що
реалізують перераховані вимоги, повинні бути постійно захищені від
«виламування» і / або несанкціонованого внесення змін.
41
42.
В залежності від конкретних значень, яким відповідають автоматизованісистеми, вони розділені на 4 групи - D, С, В, А, які названі так:
• D - мінімальна захист;
• С - індивідуальний захист;
• В - мандатна захист;
• А - верифікована захист.
Групи систем діляться на класи, причому всі системи, що відносяться до
групи В, утворюють один клас В, до групи С - два класи С1 і С2, до групи В три класи В1, В2 і ВЗ, до групи А - один клас А1 з виділенням частини систем
поза класом.
Нижче розглянемо назви та коротку характеристику перерахованих
класів.
D - мінімальний захист - системи, піддані оцінюванню, але не
відповідають вимогам більш високих класів.
С1 - захист, заснований на індивідуальних заходах системи,
забезпепечує поділ користувачів і даних. Вони містять засоби, здатні
реалізувати обмеження щодо доступу, що накладаються на індивідуальній
основі, тобто дозволяють користувачам мати надійний захист їх інформації і не
дають іншим користувачам зчитувати або руйнувати їх дані. Допускається
кооперування користувачів за рівнями таємності.
С2 - захист, заснований на керованому доступі, - системи, що
здійснюють не тільки поділ користувачів, як в системах С1, але і поділ їх по
здійснюваним діям.
В1 - захист, заснований на присвоєнні імен окремим засобам
безпеки, - системи, що розташовують всіма можливостями систем класу С, і
додатково мають бути формальні моделі механізмів забезпечення безпеки,
присвоювання імен, захищається даними, включаючи і видавані за межі
системи, і засоби мандатного управління доступом до всіх пойменованих
суб'єктів і об'єктів.
В2 - структурований захист - системи, побудовані на основі ясно
визначеної і формально задокументованої моделі, з мандатним управлінням,
доступом до всіх суб'єктів і об'єктів, що розташовують посиленими засобами
тестування і засобами управління з боку адміністратора системи.
ВЗ - домени безпеки - системи, монітор звернень яких контролює
всі запити на доступ суб'єктів до об'єктів, що не допускають несанкціонованих
змін. Обсяг монітора повинен бути невеликим разом з тим, щоб його стан і
роботу можна було порівняно легко контролювати і тестувати. Крім того,
42
43.
повинні бути передбачені сигналізація про всіх спробах несанкціонованих дійта відновлення працездатності системи.
А1 - верифікаційний проект - системи, функціонально еквівалентні
системам класу ВЗ, але верифікація яких здійснена строго формальними
методами. Управління системою здійснюється за суворо визначеними
процедурами. Обов'язково введення адміністратора безпеки.
У частині стандартизації апаратних засобів інформаційних систем і
телекомунікаційних мереж в США розроблені правила стандарту Transient
Electromagnetic Pulse Emanations Standart (TEMPEST).
Цей стандарт передбачає застосування спеціальних заходів захисту
апаратури від паразитних випромінювань електромагнітної енергії,
перехоплення якої може привести до оволодіння охоронюваними відомостями.
Стандарт TEMPEST забезпечує радіус контрольованої зони перехоплення
порядку 1м. Це досягається спеціальними схемотехнічними, конструктивними і
програмно-апаратними рішеннями, у тому числі:
застосуванням спеціальної низько споживаючої малошумливої
елементної бази;
спеціальним конструктивним виконанням плат і розводкою
сигнальних і земляних електричних ланцюгів;
використанням екранів та RC-фільтрів, що обмежують спектри
сигналів в ланцюгах інтерфейсних з'єднань;
застосуванням спеціальних заходів, що забезпечують захист від
НСД (знімний жорсткий диск, магнітні парольні карти, спеціальні замкові
пристрої, програмно-апаратні засоби захисту інформації і шифрування).
Зниження потужності побічних електромагнітних випромінювань і
наведень (ПЕМВН) монітора досягається рядом конструктивно-технологічних
рішень, застосованих в ПЕОМ:
Вимоги до безпеки інформаційних систем у Росії
Аналогічний підхід був реалізований і в керівному документі Державної
технічної комісії при Президенті РФ «Класифікація автоматизованих систем і
вимог щодо захисту інформації», випущеному в 1992 р. Вимоги всіх наведених
нижче документів є обов'язковими для виконання тільки для тих державних або
комерційних організацій, які обробляють інформацію, що містить державну
таємницю. Для решти комерційних структур документи носять
рекомендаційний характер. У даному документі виділено 9 класів захищеності
автоматизованих систем від несанкціонованого доступу до інформації, а для
кожного класу визначений мінімальний склад необхідних механізмів захисту та
43
44.
вимоги щодо вмісту захисних функцій кожного з механізмів в кожному з класівсистем.
Класи систем розділені на три групи, причому основним критерієм поділу
на групи прийнято специфічні особливості оброблення інформації, а саме:
третя група - системи, в яких працює один користувач, допущений до
всієї оброблюваної інформації, розміщеної на носіях одного рівня
конфіденційності, до групи віднесені два класи, позначені ЗБ і зa;
друга група - системи, в яких працює декілька користувачів, які мають
однакові права доступу до всієї інформації, оброблюваної та / або зберігається
на носіях різного рівня конфіденційності; до групи віднесені два класи,
позначені 2Б і 2А;
перша група - багатокористувацькі системи, в яких одночасно
обробляється та / або зберігається інформація різних рівнів конфіденційності,
причому різні користувачі мають різні права на доступ до інформації; до групи
віднесено 5 класів: 1Д, 1Г, 1В, 1Б і 1А.
Вимоги до захисту ростуть від систем класу ЗБ до класу 1А.
Всі механізми захисту розділені на 4 підсистеми наступного призначення:
• управління доступом;
• реєстрації та обліку;
• криптографічного закриття;
• забезпечення цілісності.
Зміст коштів для кожної групи систем наведено в документі. Наведена в
керівному документі Держтехкомісії методика поширюється на захист від
несанкціонованого доступу до інформації, що знаходиться безпосередньо в ЗУ
ЕОМ і на змінних машиночитаних постелях. Значно раніше, в 1978 р.,
Держтехкомісії були випущені керівні документи, що визначають вимоги до
захисту інформації в автоматизованих системах від витоку по побічних
електромагнітних випромінювань і наведень. При розробці названих вимог
враховувалися наступні чинники:
1. Частка гріфованной інформації в загальному обсязі оброблюваної
інформації.
2. Інтенсивність обробки гріфованной інформації, що виражається
відносною часткою часу її обробки протягом доби.
3. Умови розташування апаратури автоматизованої системи.
Наявність розглянутих методик і закріплення їх в офіційних документах
створює достатньо надійну базу для захисту інформації на регулярній основі.
44
45.
Проте неважко бачити, що з точки зору сучасної постановки задачі захистуінформації наявні методики є недостатніми з ряду причин, а саме:
1)
методики орієнтовані на захист інформації тільки в засобах ЕОТ, в
той час як має місце стійка тенденція органічного зрощення автоматизованих і
традиційних технологій обробки інформації;
2)
враховуються далеко не всі фактори, що роблять істотний вплив на
уразливість інформації, а тому і підлягають врахуванню при визначенні вимог
до захисту;
3)
у науковому плані вони обгрунтовані недостатньо за винятком
вимог до захисту інформації від витоку технічними каналами.
У ч.2 керівних документах Держтехкомісії РФ встановлюється
класифікація засобів обчислювальної техніки (ЗОТ) за рівнем захищеності від
несанкціонованого доступу до інформації на базі переліку показників
захищеності і сукупності описують їх вимог. Під засобами обчислювальної
техніки розуміються сукупність програмних і технічних елементів систем
обробки даних, здатних функціонувати самостійно або в складі інших систем.
Показники захищеності містять вимоги щодо захисту ЗОТ від
несанкціонованого доступу до інформації та застосовуються до
загальносистемних програмних засобів і операційних систем з урахуванням
архітектури комп'ютера. Класи захищеності СОТ описуються сукупністю
вимог. Сукупність усіх засобів захисту складає комплекс засобів захисту.
Викладені нижче вимоги до показників захищеності пред'являються до
загальносистемних програмних засобів і операційних систем.
В залежності від реалізованих моделей захисту і надійності їх перевірки
класи поділяються на 4 групи. Перша група включає тільки один сьомий клас мінімальна захищеність.
Друга група характеризується виборчої захистом і включає шостий і
п'ятий класи. Виборча захист передбачає контроль доступу пойменованих
суб'єктів до пойменованим об'єктів системи. При цьому для кожної пари
«суб'єкт - об'єкт» повинні бути визначені дозволені типи доступу. Контроль
доступу застосовується до кожного об'єкта і до кожного суб'єкта - індивіду або
групі рівноправних індивідів.
Третя група характеризується повноважною захистом і включає
четвертий, третій і другий класи. Повноважна захист передбачає присвоєння
кожному суб'єкту і об'єкту системи класифікаційних міток, вказуючих місце
суб'єкта об'єкту у відповідній ієрархії. Класифікаційні мітки на об'єкти
встановлюються користувачем системи або спеціально виділеним суб'єктом.
45
46.
Обов'язковою вимогою для класів, що входять в цю групу, є реалізаціядиспетчера доступу в іноземній літературі - reference monitor, монітор
посилань. Контроль доступу повинен здійснюватися стосовно до всіх об'єктів
при явному і прихованому доступі з боку будь-якого із суб'єктів. Рішення про
санкционированности запиту на доступ повинне прийматися тільки при
одночасному дозволі його і виборчими і повноважними правилами
розмежування доступу.
Четверта група характеризується верифицированим захистом і містить
тільки перший клас.
Для присвоєння класу захищеності система повинна мати:
• керівництво адміністратора по системі;
• керівництво користувача;
• тестову та конструкторську документацію.
Методика оцінки безпеки США і Росії практично орієнтовані на оцінку
безпеки на якісному рівні.
Певний інтерес представить досвід французьких дослідників з оцінки
безпеки ІС з використанням деяких кількісних нормативів, що для практичного
застосування більш конкретно і оглядатися.
Клас захищеності ІС - певна сукупність вимог щодо захисту засобів ІС від
НСД до інформації.
Оцінка стану безпеки ІС Франції
Були опубліковані результати декількох опитувань оцінки рівня безпеки
підприємств. Опитувальна анкета містила 27 характерних факторів безпеки ІС і
була поширена на 172 підприємствах: 73 в секторі I - банки, страхові
товариства, фінансові органи; 54 у секторі II - промисловість, сільське
господарство, енергетика і 45 в секторі III - транспорт, торгівля, сфера послуг
та ін.
Загальні фактори пов'язані з організацією підприємства 101, 102, 103, 201.
Соціально-економічні фактори 201 залишаються досить сприятливими.
Відмінності в показниках інших факторів значні. Найбільш слабкою
залишається загальна організація безпеки 101 - структура відповідальних
ділянок, правова і страховий захист. Найнижчі показники в секторі I:
складність фінансових механізмів значно ускладнює реалізацію заходів
забезпечення безпеки. Постійні види контролю 102 мають високі показники.
Регламентація та аудит 103 мають середні показники.
Фізична безпека 301, 302, 303, 304, 305, 306, 307. Традиційно
протипожежна безпека 304 і 305 знаходиться на досить високому рівні, в той
46
47.
час як захист від підтоплення 306 недостатня. Відзначається слабкість безпекизовнішньої зони і будівель 301, хоча вони являють собою перший рубіж
безпеки підприємства. Контроль доступу, пропускний режим також
недостатній, особливо в промисловості.
Захист інформації від спотворень 303 теж недостатня. Нарешті, безпеку
обладнання зовнішнього середовища 307 тільки на середньому рівні: досить
хороша для сектора I і вельми низька для сектора П.
Організаційна безпека 308, 309, 310, 401, 402, 403, 501, 502, 503, 504, 505.
Засоби відновлення та резервування 308 повільно вдосконалюються для
великих і середніх машин. Безпека комунікацій 402 і даних 403 неоднакова: у
більшому ступені апаратура, засоби, але недостатньо взаємопов'язані. Захист
503 завжди на належному рівні тільки проти саботажу в нематеріальному
середовищі.
Управління безпекою 601, 602, 603, 604. Процедури контролю 601
занадто прості. Методики 602 є часто формальними, забезпечені апаратурою та
необхідною документацією; не ув'язані з принципом «безпека - надійність».
Заходи 603 і 604 поки ще слабко реалізуються через недостатню взаємоув'язки і
не відповідають витратам.
Саботаж в нематеріальній сфері вельми поширений, починаючи з
фальсифікації програм і даних до тотального саботажу шляхом застосування
логічних бомб і різних вірусів. Цей вид погроз відмічається у всіх обстежених
центрах. Збитки головним чином стосуються знищення змісту і форми даних,
втрати цілісності, програм і документів.
В основному ці загрози спрямовані на дезорганізацію захисту: атаки на
операційну систему, модифікація даних, зміна мови управління даними,
стирання даних на магнітних носіях тощо. Дії здійснює в основному в
обчислювальних центрах внутрішній персонал, а іноді спостерігаються і поза
ВЦ піратські дії в мережі теледоступу.
Фізичні загрози визначаються як конфігурацією, так і розташуванням
будівель і ускладнюються їх розосередженням, поділом приміщень на окремі
кабінети, розосередженням засобів пожежогасіння і захисту. Заходи по
відновленню залежать від наявності резерву.
Що стосується загроз зовнішнього середовища, то вона є фізично
небезпечною в частині необхідності створення штучного клімату та захисту
електромереж. Наслідки в основному обмежені, однак часто відзначаються
досить значні затримки у відновленні постачання деякими матеріалами,
47
48.
особливо для електрообладнання великої потужності, що використовуєнезвичайні електричні частоти.
Загрози
телекомунікаційних
засобів
стосуються
внутрішнього
телекомунікаційного обладнання: розподільних щитів, кабелів, автоматичних
комутаторів, з'єднувальних коробок, концентраторів, контролерів ліній зв'язку,
модемів і т. п. Серйозну небезпеку представляє вихід з ладу вузлів зв'язку.
Відзначено максимальну перерву у зв'язку до трьох тижнів. Відновлення
визначається можливостями перемикання на інші центри, наявністю резервних
ліній і засобів.
Запитання для самоконтролю
1.
Що розуміється під інформаційною безпекою?
2.
Що розуміється під поняттям «доступність»?
3.
Що розуміється під поняттям «цілісність»?
4.
Що розуміється під поняттям «конфіденційність»?
5.
Вимоги до систем інформаційної безпеки?
6.
Що таке функції захисту?
7.
Що розуміється під поняттям «загроза інформації»?
8.
Джерела дестабілізуючих чинників?
9.
Політика безпеки та її рівні?
10. Основні проблеми інформаційної безпеки?
11. Які елементи впливають на рівень безпеки?
12. Хто здійснює атаки на інтернет-мережі?
13. Класифікація інформаційної зброї?
14. Які об’єкти впливу є в інформаційній війні?
15. Алгоритм перемоги?
16. Алгоритм застосування гіпнотичного стану?
17. Процес наведення гіпнотичного стану на окреме суспільство?
18. Етапи аналітичного забезпечення?
19. Функції та завдання інформаційно-аналітичної роботи?
20. Організація інформаційно-аналітичної роботи?
21. Джерела отримання інформації?
22. Обробка отриманої інформації?
23. Методи аналітичної роботи?
24. Способи аналітичної роботи?
25. Структура аналітичного висновку?
26. Правила інформаційно-аналітичної роботи?
27. Вимоги до безпеки інформації у США?
28. Вимоги до безпеки інформації у Росії?
29. Вимоги до безпеки інформації у Франції?
48
49.
РОЗДІЛ 2. СУЧАСНІ ЗАСОБИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇБЕЗПЕКИ
Глава 6. Класифікація засобів забезпечення інформаційної безпеки
Для розгляду проблеми ЗІ в загальному вигляді виділимо в її предметної
області три наступні ієрархії: структурну, причинно-наслідкову та
функціональну.
Способи ЗІ залежать від типу інформації, форми її зберігання, обробки та
передачі, типу носія інформації, а також передбачуваного способу нападу і
наслідків його за впливом на інформацію (копіювання, спотворення,
знищення).
В основному власник інформації не знає де, коли і яким чином буде
здійснено напад, тому йому необхідно виявити сам факт нападу.
Визначення потенційної цінності інформації дозволяє подумати в першу
чергу про безпеку найбільш важливих секретів, витік яких здатен завдати
шкоди. При цьому важливо встановити:
1. Яка інформація потребує захисту?
2. Кого вона може цікавити?
3. Які елементи інформації найбільш цінні?
4. Який "термін життя" цих секретів?
5. У що обійдеться їх захист?
Досвід застосування систем ЗІ (СЗІ) показує, що ефективною може бути
лише комплексна система захисту інформації (КСЗІ), яка поєднує наступні
заходи.
1. Законодавчі. Використання законодавчих актів, що регламентують
права та обов'язки фізичних і юридичних осіб, а також держави в області ЗІ.
2. Морально-етичні. Створення та підтримання на об'єкті такої моральної
атмосфери, у якій порушення регламентованих правил поведінки оцінювалося б
більшістю співробітників різко негативно.
3. Фізичні. Створення фізичних перешкод для доступу сторонніх осіб до
інформації, що охороняється.
4. Адміністративні. Організація відповідного режиму секретності,
пропускного і внутрішнього режиму.
5. Технічні. Застосування електронних та інших пристроїв для ЗІ.
6. Криптографічні. Застосування шифрування і кодування для
приховування
інформації,
що
обробляється
та передається,
від
несанкціонованого доступу.
7. Програмні. Застосування програмних засобів розмежування доступу.
49
50.
Обгрунтований вибір необхідного рівня захисту інформації єсістемостворюючим завданням, оскільки як заниження, так і завищення рівня
неминуче веде до втрат. При цьому останнім часом роль даного питання різко
зросла в зв'язку з тим, що, по-перше, тепер в число тих, що захищаються, крім
військових, державних і відомчих, включені також секрети промислові,
комерційні і навіть особисті, а по-друге, сама інформація все більше стає
товаром. Таким чином, для оцінки інформації необхідні показники двох видів:
• ті, що характеризують інформацію як ресурс, що забезпечує діяльність
товариства;
• ті, що характеризують інформацію як об'єкт праці.
Показники першого виду носять прагматичний характер. До них
відносять важливість, значимість з точки зору тих завдань, для вирішення яких
використовується
оцінювана
інформація;
повнота
інформації
для
інформаційного забезпечення вирішуваних завдань; адекватність, тобто
відповідність поточному стану відповідних об'єктів або процесів; релевантність
інформації та її толерантність.
Показники другого виду мають характеризувати інформацію як об'єкт
праці, над якими здійснюються деякі процедури в процесі переробки її з метою
інформаційного забезпечення вирішуваних завдань. До них відносяться:
ефективність кодування інформації та її обсяг. Методи визначення цих
показників досить повно розроблені в теорії інформації.
Класифікація методів і засобів ЗІ
На підставі всього викладеного можна навести класифікацію методів і
засобів ЗІ. Методи захисту можна розділити, як вже зазначалося раніше, на
організаційні, технічні, криптографічні та програмні.
Засоби захисту у свою чергу можна розділити на постійно діючі та ті, що
вмикаються при виявленні спроби нападу. За активністю вони діляться на
пасивні, напівактивні і активні. За рівнем забезпечення ЗІ засоби захисту
поділяються на 4 класи: системи слабкого захисту (1 клас), системи сильного
захисту, системи дуже сильного захисту, системи особливого захисту.
Семантичні схеми
Розглянемо предметну область ЗІ з позицій структурної ієрархії.
Вибір СЗІ (головна проблема) залежить від передбачуваного способу
нападу (зворотня проблема) і способу виявлення факту нападу (проміжна
проблема).
Рішення завдання вибору залежить від форми подання інформації (відео,
звукова, електромагнітний сигнал), а спосіб захисту - від передбачуваної форми
50
51.
впливуна
інформацію
(копіювання,
знищення,
перекручення),
використовуваного носія інформації (папір, магнітний диск і т.д.), стану
інформаційного масиву (знаходиться інформація в стані передачі, обробки або
зберігання), від того, чи виробляється ЗІ безперервно або в міру виявлення
факту нападу. Даний тип ієрархії наочно може бути представлений у вигляді
семантичної схеми (рис. 3).
Проблема ЗІ
Технічні засоби ЗІ
Спосіб нападу
Спосіб захисту
(Проблема, зворотна
головній)
(Головна
проблема)
Обнаруження факту
нападу
(Проміжна проблема)
Форма представлення інформації
Відеоінформація
Аудіоінформація
Форма
впливу на
інформацію
Носій
інформації
Електромагнітний
сигнал
Стан
інформаційного
масиву
Зберігання
Копіювання
Викривлення
Знищення
Передача,
обробка
Рис. 3. Семантична схема проблеми ЗІ за допомогою технічних коштів з
позицій структурної ієрархії
З точки зору функціональної ієрархії (рис. 4) визначається, яким чином
можна захистити інформацію: відновити її при втраті, обмежити доступ до неї,
оперативно знищити, встановити перешкоду, замаскувати і т. д. Обмеження
доступу можна проводити за допомогою використання технічних засобів
контролю доступу (доступ з контролю біологічних параметрів користувача,
магнітними картками і т.д.), сейфів, замків тощо. Оперативне знищення
передбачає здійснення функцій розмагнічування, спалювання, подрібнення,
51
52.
засвічування, розчинення і т.п., поставити перешкодивикористання електромагнітного, світлового импульсу та ін.
(зашумлення),
Проблема ЗІ
Технічні засоби ЗІ
Відновлення
інформації
Захист інформації
Обмеження
доступу
Оперативне
знищення
Паролі
Контроль доступу
…
Програмні засоби
Розмагнічування
Спалювання
Засвічування
…
Роздрібнення
...
Постановка завад
Шумова
Електромагнітна
…
Світова
Рис. 4. Семантична схема проблеми ЗІ за допомогою технічних
коштів з позицій функціональної ієрархії
З точки зору причинно-наслідкової ієрархії у першому випадку СЗІ
повинна виявити факт нападу. При виявленні факту нападу СЗІ реалізує деякий
спосіб захисту. Виявлення факту нападу і реалізація конкретного способу
захисту відбувається за умови, що заздалегідь відомо кілька способів нападу.
Сам спосіб нападу, у свою чергу, залежить від стану інформаційного масиву і
форми подання інформації.
У другому випадку СЗІ працює безперервно, при цьому передбачається,
що напад на інформацію може бути здійснено в будь-який час. СЗІ безперервно
захищає інформаційний масив від декількох передбачуваних способів нападу з
метою копіювання, спотворення, знищення інформації шляхом її оперативного
знищення, обмеження доступу, постановки перешкод тощо.
Класифікація технічних засобів захисту
Технічними називаються такі засоби захисту інформації, в яких основна
захисна функція реалізується технічним пристроєм (комплексом або системою).
Безперечними перевагами технічних засобів захисту інформації (ТСЗІ) є:
• досить висока надійність;
• досить широке коло завдань;
52
53.
• можливість створення комплексних систем ЗІ (КСЗІ);• гнучке реагування на спроби несанкціонованого впливу;
• традиційність використовуваних методів здійснення захисних функцій.
Основні недоліки ТСЗІ полягають у наступному:
• висока вартість багатьох засобів;
• необхідність регулярного проведення регламентних робіт і контролю;
• можливість видачі фіктивних тривог.
Системну класифікацію ТСЗІ зручно провести за такою сукупностю
критеріїв:
• здійснення функції захисту;
• ступінь складності пристрою;
• спряженість із засобами ОТ
Структуризація значень обраних критеріїв наведена на рис. 5.
Вбудовані
Складні пристрої
Сполучені
Системи
Автономні
Ступінь складності
пристроїв
Прості пристрої
Зовнішній захист
Опізнання
Сполучення с
засобами ВТ
Внутрішній захист
Функція захисту,
що виконується
Рис. 5. Класифікаці технічних засобів захисту
Наведені значення критеріїв інтерпретуються наступним чином:
• Спряженість із засобами ОТ.
• Автономні - засоби, що виконують свої захисні функції незалежно від
функціонування засобів ОТ, тобто повністю автономно.
53
54.
• Парні - кошти, виконані у вигляді самостійних пристроїв, алевиконують захисні функції в сполученні (спільно) з основними засобами ОТ.
• Вбудовані - кошти, які конструктивно включені до складу апаратури
ОТ.
• Виконувана функція захисту.
• Зовнішній захист - захист від впливу дестабілізуючих факторів, що
проявляються за межами зони ресурсів.
• Розпізнавання - специфічна група засобів, призначених для
розпізнавання людей з різних індивідуальних характеристик.
• Внутрішній захист - захист від впливу дестабілізуючих факторів, що
виявляються безпосередньо в засобах обробки інформації.
• Ступінь складності пристрою.
• Прості пристрої - нескладні прилади і пристосування, що виконують
окремі процедури захисту.
• Складні пристрої - комбіновані агрегати, що складаються з деякої
кількості простих пристроїв, здатні до здійснення складних процедур захисту.
• Системи - закінчені технічні об'єкти, здатні здійснювати деяку
комбіновану процедуру захисту, що має самостійне значення.
Якщо кожен елемент класифікаційної структури представити в якості
групи ТСЗІ, то повний арсенал цих коштів буде включати 27 відносно
самостійних груп.
Відповідно до класифікації у функціональному відношенні, чільне
значення має класифікація за виконуваною функцією. Класифікація ж за
критеріями спряженості і ступеня складності відображає, головним чином,
лише особливості конструктивної та організаційної реалізації ТСЗІ.
Як вже було сказано, виділяють три макрофункції захисту, що
виконуються ТСЗІ: зовнішній захист, упізнавання й внутрішній захист.
Подальша деталізація функціональної класифікації ТСЗІ призводить до
виділення 11-ти груп. ТСЗІ, що входять в ці групи, можуть бути різної
складності і різного виконання. До теперішнього часу розроблено велику
кількість різних ТСЗІ, багато з яких випускаються серійно.
Програмними СЗІ називаються спеціальні програми, що входять до
складу програмного забезпечення АС для вирішення в них (самостійно або в
комплекті з іншими засобами) завдань захисту. Програмні СЗІ є неодмінною і
важливою частиною механізму захисту сучасних АС. Така їх роль визначається
наступними перевагами: універсальністю, гнучкістю, простою реалізацією,
надійністю, можливістю модифікації і розвитку.
54
55.
При цьому під універсальністю розуміється можливість вирішенняпрограмними СЗІ великого числа завдань захисту.
Під надійністю розуміється висока програмна стійкість при великій
тривалості безперервної роботи і задоволення високим вимогам і достовірності
керуючих впливів при наявності різних дестабілізуючих факторів. Програмні
можливості зміни і розвитку програмних СЗІ визначаються саме їх природою.
Істотним недоліком програмних СЗІ є можливість їх реалізації тільки в
тих структурних елементах АС, де є процесор, хоча функції захисту може
реалізовуватися, здійснюючи безпеку інших структурних елементів. Крім того,
програмним СЗІ притаманні такі недоліки:
• необхідність використання часу роботи процесора, що веде до
збільшення часу відгуку на запити і, як наслідок, до зменшення ефективності її
роботи;
• зменшення обсягів оперативної пам'яті (ОП) і пам'яті на зовнішніх
запам'ятовуючих
пристроях
(ПЗЗУ),
доступної
для
використання
функціональними завданнями;
• можливість випадкової або навмисної зміни, внаслідок чого програми
можуть не тільки втратити здатність виконувати функції захисту, але і стати
додатковими джерелами передачі загрози безпеки;
• обмеженість через жорстку орієнтацію на архітектуру певних типів
ЕОМ (навіть в рамках одного класу) - залежність програм від особливостей
базової системи введення / виведення, таблиці векторів переривання і т.п.
Для організаційної побудови програмних СЗІ найбільш характерною є
тенденція розробки комплексних програм, що виконують цілий ряд захисних
функцій, причому найчастіше в число цих функцій входить упізнання
користувачів, розмежування доступу до масивів даних, заборона доступу до
деяких областей ВП і т.п. Переваги таких програм очевидні: кожна з них
забезпечує вирішення деякого числа важливих завдань захисту. Але їм
притаманні і суттєві недоліки, які спричиняють необхідність критичної оцінки
сформованої практики використання програмних засобів захисту. Перший і
головний недолік полягає в стихійності розвитку програм захисту, що, з одного
боку, не дає гарантій повноти наявних коштів, а з іншого - не виключає
дублювання одних і тих же завдань захисту. Другим істотним недоліком є
жорстка фіксація в кожному з комплексів програм захисних функцій. Нарешті,
можна виділити ще один великий недолік - орієнтація переважної більшості
наявних програмних засобів на конкретну середу застосування (тип ЕОМ і
операційного середовища).
55
56.
Звідси випливають три принципово важливі вимоги до формуванняпрограмних СЗІ: функціональна повнота, гнучкість і уніфікованість викотання.
Що стосується першої вимоги, то, як неважко переконатися, наведений
вище перелік програмних засобів складений саме з таким розрахунком, щоб
було можливим більш повно охопити всі класи завдань захисту.
Задоволення іншим двом вимогам залежить від форм і способів
представлення програм захисту. Аналіз показав, що найбільш повно вимогам
гнучкості і уніфікованості задовольняє наступна сукупність принципів:
наскрізна модульна побудова, повна структуризація, подання на машинно
незалежній мові.
Принцип наскрізної модульної побудови полягає в тому, що кожна з
програм будь-якого рівня (обсягу) повинна представлятися у вигляді системи
можливих модулей, причому кожен модуль будь-якого рівня має бути повністю
автономним і мати стандартні вхід і вихід, що забезпечують комплексування з
будь-якими іншими модулями. Неважко бачити, що ці умови можуть бути
забезпечені, якщо програмні комплекси будуть розроблятися за принципом
"зверху вниз", тобто відповідно до принципу повної структуризації.
Подання на машинно-незалежній мові зумовлює, що подання програмних
модулів має бути таким, щоб їх з мінімальними зусиллями можна було
включити до складу програмного забезпечення будь-якої АС. В даний час є
алгоритмічні мови високого рівня, що повністю відповідають цим вимогам.
Загальноприйнятою класифікацією програмних СЗІ в даний час не існує.
Однак при описі програм захисту зазвичай дотримуються розподілу їх за
функціональною ознакою, тобто за функціями захисту, що виконуються. При
цьому в міру розвитку форм і способів використання обчислювальної техніки
функції програмного захисту розширюються.
З урахуванням названих принципів можна використовувати
класифікацію, наведену на рис. 6.
56
57.
ПрограмніПрограмніЗЗІ
ЗЗІ
Програми
зовнішнього захисту
Програми внутрішнього
захисту
Програми ядра
системи безпеки
Охорона територій
та приміщень
Технічних засобів
Контролю
Керування доступом
на територію та в
приміщення
Баз даних
Регістрації
Захист даних в
каналах зв’язку
Програми
Знищення
Сигналізації
Рис. 6. Класифікація програмних СЗІ
При цьому під зовнішнім захистом розуміється сукупність засобів,
методів і заходів, спрямованих на захист території, на якій розташовані будівлі
обчислювальних центрів, і приміщень, в яких розташовані їхні елементи.
Поняття внутрішнього захисту охоплює сукупність засобів, методів і заходів,
спрямованих на ЗІ, що оброблюється в АС. До складу ядра системи безпеки
входять програми, що забезпечують захист самої СЗІ.
В даний час не існує закінченої і загальноприйнятої класифікації
криптографічних методів, так як багато хто з них знаходяться в стадії розвитку
і становлення. Найбільш доцільною видається класифікація, представлена на
рис. 7.
Під шифруванням в даному випадку розуміється такий вид
криптографічного закриття, при якому перетворенню піддається кожен символ
повідомлення, що захищається. Всі відомі способи шифрування розбиті на п'ять
груп: підстановка (заміна), перестановка, аналітичне перетворення, гамування і
комбіноване шифрування. Кожен з цих способів може мати кілька різновидів.
Під кодуванням розуміється такий вид криптографічного закриття, коли
деякі елементи даних, що захищаються (не обов'язково окремі символи)
замінюються заздалегідь вибраними кодами (цифровими, літерними, буквеноцифровими сполученнями і т.д.). Цей метод має два різновиди: смислове та
символьне кодування. При смисловому кодуванні кодуються елементи, що
мають цілком певний сенс (слова, пропозиції, групи пропозицій). При
символьному кодуванні кодується кожен символ захищаємого тексту.
Символьне кодування по суті співпадає з підстановлювальний шифруванням.
57
58.
До окремих видів криптографії належать методи розсічення-рознесення істискання даних. Розсічення-рознесення полягає в тому, що масив даних, що
захищаються ділиться (розтинається) на такі елементи, кожен з яких окремо не
дозволяє розкрити зміст інформації, що захищається. Виділені таким чином
елементи даних розносяться по різних зонах пам'яті або розташовуються на
різних носіях. Стиснення даних являє собою заміну часто зустрічаються
однакових рядків даних або послідовностей однакових символів деякими
заздалегідь вибраними символами.
Криптографічне закриття інформації за видом перетворення поділяют на:
шифрування, кодування, іншу види.
В свою чергу за способом перетворення поділяють:
1.
Шифрування:
а)
підстановка:
проста (моноалфавітна);
поліалфавітна одноконтурна звичайна;
поліалфавітна одноконтурна монофонічна;
поліалфавітна багатоконтурна;
б)
перестановка:
проста;
ускладнена за таблицею;
ускладнена за маршрутами;
в)
аналітичне перетворення:
за правилами алгебри матриць;
за особливими залежностями;
г)
гамування:
з кінцевою короткою гамою;
з кінцевою довгою гамою;
з нескінченою гамою;
д)
комбінування:
заміна+перестановка;
заміна+гамування;
перестановка+гамування;
гамування+гамування.
2.
Кодування:
а)
смислове:
за спеціальними таблицями (словарями);
б)
символьне:
58
59.
за кодовим алфавітом;3.
Інші види:
а)
розсікання/рознесення:
смислове;
механічне;
б)
стискання/розширення.
Вимоги до криптографічних методів захисту інформації
Розкриття зашифрованих текстів (у першу чергу знаходження ключа)
здійснюється за допомогою методів криптоаналізу. Основними методами
криптоаналізу є:
• статистичні, при яких знаючи статистичні властивості відкритого тексту
досліджувати статистичні закономірності шіфротекста і на підставі виявлених
закономірностей розкрити текст;
• метод ймовірних слів, в якому при зіставленні деякої невеликої частини
шіфротекста з відомим фрагментом відкритого тексту намагаються знайти
ключ і з його допомогою розшифрувати весь текст. Необхідний фрагмент
відкритого тексту можно знайти за допомогою статистичних методів або
просто вгадати, виходячи з припускаємого змісту або структури відкритого
тексту.
Оскільки криптографічні методи ЗІ застосовуються давно, то вже
сформулювані основні вимоги до них.
1. Метод повинен бути надійним, тобто відновлення відкритого тексту
при володінні тільки шифротекстом, але не ключем повинно бути практично
нездійсненою задачею.
2. Через труднощі запам'ятовування обсяг ключа не повинен бути
більшим.
3. Через труднощі, пов'язані зі складними перетвореннями, процеси
шифрування повинні бути простими.
4. Через можливість появи помилок передачі дешифрування
шифротексту, що містить окремі помилки, не повинно привести до
нескінченного збільшення помилок в отриманому передбачуваному відкритому
тексті.
5. Через труднощі передачі обсяг шифротексту не повинен бути значно
більше відкритого тексту.
Перераховані вимоги були розроблені для традиційної криптографії.
При
сучасному
розвитку
техніки
необхідність
задоволення
перерахованим вимогам зазнає істотних змін.
59
60.
У зв'язку з розвитком технології, що дозволяє з великою щільністюзаписати і тривалий час надійно зберігати великі обсяги інформації, умова
невеликого обсягу ключа може бути ослаблена (по суті це умова, як і всі інші,
набуває нового змісту, відповідний досягнутому рівню техніки). У зв'язку з
розвитком мікроелектроніки з'являється можливість розробки дешевих
пристроїв, що здійснюють швидко і точно порівняно складні перетворення
інформації. З іншого боку, можливість збільшення швидкості передачі відстає
від можливості збільшення швидкості обробки інформації. Це, безсумнівно,
дозволяє послабити вимоги п. 3 без шкоди для практичного досягнення
швидкості передачі. В даний час чітке устаткування є високонадійним, а методи
виявлення і виправлення помилок - добре розвиненими. До того ж, зазвичай в
комп'ютерних мережах протоколи сеансів зв'язку передбачають передачу будьякого тексту навіть при наявності збоїв під час передачі. Тому вимога п. 4
значною мірою втратила свою актуальність. В окремих випадках, якщо канали
зв'язку не перевантажені, може бути ослаблена і вимога п. 5.
Таким чином, не порушеним залишилася вимога п. 1, при розгляді якої
слід врахувати дві обставини.
По-перше, в автоматизованих системах (АС) циркулюють великі обсяги
інформації, а наявність великого обсягу шифротекста полегшує завдання
криптоаналізу.
По-друге, для вирішення завдання криптоаналізу можна використовувати
ЕОМ. Це дозволяє в нових умовах вимагати значного збільшення надійності.
Іншим важливим негативним фактором застосування криптографії в АС є те,
що часто використовуються мови з вельми обмеженим запасом слів і суворим
синтаксисом (мови програмування).
У зв'язку з новими специфічними застосуваннями криптографічних
методів можуть бути висунуті також інші вимоги. Так, наприклад, другою
важливою областю застосування криптографічних методів ЗІ є системи
управління базами даних (СУБД). У цьому випадку до криптографічних
методів ЗІ пред'являються наступні додаткові вимоги.
1. Через неможливість читання та поновлення записів з середини файлу,
шифрування і дешифрування кожного запису повинні проводитися незалежно
від інших записів.
2. Для створення великих зручностей обробки і щоб уникнути зайвого
перевантаження системи допоміжними перетвореннями необхідно всі операції з
файлами проводити з даними в зашифрованому вигляді.
60
61.
Специфіка СУБД впливає на надійність захисту за наступними причинами:• дані в СУБД тривалий час перебувають в зашифрованому вигляді. Це
ускладнює або навіть унеможливлює часту зміну ключів, і в зв'язку з цим ЗІ
стає менш надійною;
• ключі можуть не передавати за різними адресами, а зберігатися все в
одному місці. Це підвищує надійність системи через зменшення можливості
оволодіння ключами сторонніми особами.
У файлових системах ймовірність появи помилки набагато менше, ніж в
каналах зв'язку, тому вимога п. 4 для файлових систем не має великого
практичного значення.
Поява швидкодіючих ЕОМ сприяє виникненню так званої
обчислювальної криптографії, тісно пов'язаної з обчислювальною технікою.
В сучасній стеганографії, в цілому, можна виділити такі напрями: технологічну
стеганографію та інформаційну стеганографію (рис. 7).
СТЕГАНОГРАФІЯ
ТЕХНОЛОГІЧНА
Хімічні
Органічна
рідина
Симпатичні
хімікалії
ІНФОРМАЦІЙНА
Фізичні
Лінгвістичні
Схованки
Умовний лист
Комп’ютерна
стеганографія
Приховування
інформаії
Приховані канали
Мікроточки
Семаграми
Камуфляж
Цифрові відбитки
Цифрові водні
знаки
Голограми
Рис. 7. Класифікація методів стеганографічного захисту
До методів технологічної стеганографії належать методи, які засновані на
використанні хімічних або фізичних властивостей різних матеріальних носіїв
інформації.
Хімічні методи стеганографії зводяться майже виключно до застосування
невидимого чорнила, до якого відносяться органічні рідини і симпатичні
хімікалії.
До фізичних методів можна віднести мікроточки, різного виду схованки і
методи камуфляжу. В даний час фізичні методи являють інтерес в галузі
дослідження різний носіїв інформації з метою запису на них даних, які б не
61
62.
виявлялися звичайними методами зчитування. Особливий інтерес мається достандартних носіїв інформації, засобів обчислювальної, аудіо та відео техніки.
Окрім цього, з'явився цілий ряд нових технологій, які, базуючись на
традиційній
стеганографії,
використовують
останні
досягнення
мікроелектроніки (голограми, кінеграми).
До інформаційної стеганографії можна віднести методи лінгвістичної та
комп'ютерної стеганографії.
Лінгвістичні методи стеганографії підрозділяються на дві основні
категорії: умовний лист і семаграми.
Існують три види умовного листа: жаргонний код, пустишечний шифр і
геометрична система.
У жаргонному коді зовні невинне слово має зовсім інше реальне
значення, а текст складається так, щоб виглядати якомога більш безневинно і
правдоподібно. При застосуванні пустишечного шифру в тексті мають значення
лише деякі певні букви або слова. Пустишечние шифри зазвичай виглядають
ще більш штучно, ніж жаргонний код. Третім видом умовного листа є
геометрична форма. При її застосуванні мають значення слова, що
розташовуються на сторінці в певних місцях або в точках перетину
геометричної фігури заданого разміру.
Другу категорію лінгвістичних методів складають семаграми - таємні
повідомлення, в яких шифропозначеннями є будь-які символи, крім букв і
цифр. Ці повідомлення можуть бути передані, наприклад, в малюнку, що
містить крапки і тире для читання по коду Морзе.
Стеганографічні методи в їх проекції на інструментарій та середовище,
яке реалізується на основі комп'ютерної техніки та програмного забезпечення в
рамках окремих обчислювальних або керуючих систем, корпоративних або
глобальних обчислювальних мереж, складають предмет вивчення порівняно
нового наукового напряму інформаційної безпеки - комп'ютерної стеганографії.
В рамках комп'ютерної стеганографії розглядаються питання, пов'язані з
приховуванням інформації, яка зберігається на носіях або передається по
мережах телекомунікацій, з організацією прихованих каналів в комп'ютерних
системах та мережах, а також з технологіями цифрових водяних знаків і
відбитка пальця.
Існують певні відмінності між технологіями цифрових водяних знаків і
відбитка пальця, з одного боку, і власне стеганографічними технологіями
приховування секретної інформації для її подальшої передачі або зберігання.
Головною відмінністю є те, що цифрові водяні знаки і відбитки мають на меті
62
63.
захист самого цифрового об'єкта (програми, зображення, музичного файлу іт.д.), куди вони впроваджуються, і забезпечують доказ прав власності на даний
об'єкт.
При використанні методів комп'ютерної стеганографії повинні
враховуватися наступні умови:
• супротивник може мати повне уявлення про стеганографічні системи та
деталі їх реалізації. Єдиною інформацією, яка повинна залишатися йому
невідомою є ключ, за допомогою якого можна встановити факт присутності
прихованого повідомлення і його зміст;
• якщо противнику якимось чином вдалося дізнатися про факт існування
прихованого повідомлення, то це не повинно дозволити йому витягти подібні
повідомлення з інших стеганограм до тих пір, поки ключ зберігається в
таємниці;
• потенційний противник повинен бути позбавлений будь-яких технічних
та інших пререваг в розпізнаванні або розкритті змісту таємних повідомлень.
У наступних розділах будуть обговорені основні теоретичні положення
комп'ютерної стеганографії і розглянуті деякі методи приховування даних в
інформаційниму середовищі, які можуть бути підтримані обчислювальними
системами і мережами.
Глава 7. Загрози безпеці та їх класифікація
Загроза – це потенційна можливість певним чином порушити
інформаційну безпеку.
Спроба реалізації загрози називається атакою, а той, хто вчиняє таку
спробу, – зловмисником. Потенційні зловмисники називаються джерелами
загроз.
Найчастіше загроза є наслідком наявності уразливих місць у захисті
інформаційних систем (таких, наприклад, як можливість доступу сторонніх
осіб до критично важливого устаткування або помилки в програмному
забезпеченні).
Проміжок часу від моменту, коли з'являється можливість використати
слабке місце, і до моменту, коли прогалина ліквідується, називається вікном
небезпеки, асоційованим з даним уразливим місцем. Поки існує вікно
небезпеки, можливі успішні атаки на ІС.
Уразливі місця й засоби їхнього використання з'являються постійно; це
значить, по-перше, що майже завжди існують вікна небезпеки й, по-друге, що
63
64.
відстеження таких вікон повинне провадитися постійно, а випуск і накладеннялаток – якомога оперативніше.
Відзначимо, що деякі загрози не можна вважати наслідком якихось
помилок або прорахунків; вони існують у чинність самої природи сучасних ІС.
Розглянемо найпоширеніші загрози, яким піддаються сучасні
інформаційні системи. Мати подання про можливі загрози, а також про
уразливі місця, які ці загрози зазвичай експлуатують, необхідно для того, щоб
вибирати найбільш економічні засоби забезпечення безпеки. Занадто багато
міфів існує в сфері інформаційних технологій, тому незнання в цьому випадку
веде до перевитрати коштів й, що ще гірше, до концентрації ресурсів там, де
вони не дуже потрібні, за рахунок ослаблення дійсно уразливих напрямків.
Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастіше
трактується по-різному. Наприклад, для підкреслено відкритої організації
загроз конфіденційності може просто не існувати – вся інформація вважається
загальнодоступною; однак у більшості випадків нелегальний доступ є
серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від
інтересів суб'єктів інформаційних відносин (і від того, який збиток є для них
неприйнятним).
Ми спробуємо подивитися на предмет з погляду типової (на наш погляд)
організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.
Загрози можна класифікувати по декількох критеріях:
по аспекту інформаційної безпеки (доступність, цілісність,
конфіденційність), проти якого загрози спрямовані в першу чергу;
по компонентах інформаційних систем, на які загрози
націлені (дані, програми, апаратура, підтримуюча інфраструктура);
по
способу
здійснення
(випадкові/навмисні
дії
природного/техногенного характеру);
розташуванню джерела загроз (усередині/поза розглянутим
ІС).
Як основний критерій будемо використовувати перший (по аспекту ІБ),
залучаючи при необхідності інші.
Найпоширеніші загрози доступності
Найчастішими й найнебезпечнішими (з погляду розміру збитку) є
ненавмисні помилки штатних користувачів, операторів, системних
адміністраторів й інших осіб, що обслуговують інформаційні системи.
Іноді такі помилки і є властиво загрозами (неправильно уведені дані або
помилка в програмі, що викликала крах системи), іноді вони створюють
64
65.
уразливі місця, якими можуть скористатися зловмисники (такими є помилкиадміністрування). За деякими даними, до 65% втрат - наслідок ненавмисних
помилок.
Пожежі й повені не приносять стільки лих, скільки безграмотність і
недбалість у роботі.
Очевидно, найрадикальніший засіб боротьби з ненавмисними помилками
– максимальна автоматизація й строгий контроль.
Інші загрози доступності класифікуємо по компонентах ІС, на які
націлені загрози:
• відмова користувачів;
• внутрішня відмова інформаційної системи;
• відмова підтримуючої інфраструктури.
Звичайно, стосовно користувачів розглядаються наступні загрози:
• небажання працювати з інформаційною системою (найчастіше
проявляється при необхідності освоювати нові можливості й при розбіжності
між запитами користувачів і фактичних можливостей і технічних
характеристик);
• неможливість працювати із системою в наслідок відсутності
відповідної підготовки (недолік загальної комп'ютерної грамотності, невміння
інтерпретувати діагностичні повідомлення, невміння працювати з
документацією й т.п.);
• неможливість працювати із системою в наслідок відсутності технічної
підтримки (неповнота документації, недолік довідкової інформації й т.п.).
Основними джерелами внутрішніх відмов є:
• відступ (випадковий або навмисний) від установлених правил
експлуатації;
• вихід системи зі штатного режиму експлуатації в наслідок випадкових
або навмисних дій користувачів або обслуговуючого персоналу (перевищення
розрахункового числа запитів, надмірний обсяг оброблюваної інформації й
т.п.);
• помилки при переконфігуруванні системи;
• відмови програмного й апаратного забезпечення;
• руйнування даних;
• руйнування або ушкодження апаратур.
Стосовно підтримуючої інфраструктури рекомендується розглядати
наступні загрози:
• порушення роботи (випадково або навмисне) систем зв'язку,
65
66.
електроживлення, водо- і/або теплопостачання, кондиціонування;• руйнування або ушкодження приміщень;
• неможливість або небажання обслуговуючого персоналу й/або
користувачів виконувати свої обов'язки (цивільні безладдя, аварії на транспорті,
терористичний акт або його загроза, страйк і т.п.).
Досить небезпечні так звані "скривджені" співробітники – нинішні й
колишні. Як правило, вони прагнуть завдати шкоди, організації –
"кривдникові", наприклад:
• зіпсувати устаткування;
• вмонтувати логічну бомбу, що згодом зруйнує програми й/або дані;
• видалити дані.
Небезпечні, зрозуміло, стихійні лиха й події, які сприймаються як
стихійні лиха: пожежі, повені, землетруси, урагани. По статистиці, на частку
вогню, води й тому подібних "зловмисників" (серед яких найнебезпечніший –
перебій електроживлення) доводиться 13% втрат, нанесених інформаційним
системам.
Деякі приклади загроз доступності
Загрози доступності можуть виглядати грубо – як ушкодження або навіть
руйнування устаткування (у тому числі носіїв даних). Таке ушкодження може
викликатися природними причинами (найчастіше – грозами). На жаль, джерела
безперебійного живлення, що перебувають у масовому використанні не
захищають від потужних короткочасних імпульсів, і випадки вигоряння
устаткування – не рідкість.
У принципі, потужний короткочасний імпульс, здатний зруйнувати дані
на магнітних носіях, можна згенерувати й штучним чином – за допомогою так
званих високоенергетичних радіочастотних гармат. Але, напевно, у наших
умовах подібну загрозу потрібно все-таки визнати надуманою.
Дійсно небезпечні – протікання водопроводу й опалювальної системи.
Часто організації, щоб заощадити на орендній платі, знімають приміщення в
будинках старої будівлі, роблять косметичний ремонт, але не міняють старі
труби.
Улітку, під час сильної спеки, намагаються зламатися кондиціонери,
установлені в серверних залах, набитих дорогим устаткуванням. У результаті
значний збиток наноситься й репутації, і гаманцю організації.
Загальновідомо, що періодично необхідно провадити резервне
копіювання даних. Однак навіть якщо ця пропозиція виконується, резервні
носії найчастіше зберігають недбало (до цього ми ще повернемося під час
66
67.
обговорення загроз конфіденційності), не забезпечуючи їхній захист відшкідливого впливу навколишнього середовища. І коли потрібно відновити
дані, виявляється, що ці самі носії ніяк не бажають читатися.
Перейдемо тепер до загроз доступності, які будуть хитріші засмічень
каналізації. Мова йтиме про програмні атаки на доступність.
В якості виводу системи зі штатного режиму експлуатації може
використатися агресивне споживання ресурсів (звичайно – пропускні шляхи
мереж, обчислювальних можливостей процесорів або оперативної пам'яті). По
розташуванню джерела загрози таке споживання підрозділяється на локальне й
вилучене. При прорахунках у конфігурації системи, локальна програма здатна
практично монополізувати процесор й/або фізичну пам'ять, звівши швидкість
виконання інших програм до нуля.
Найпростіший приклад вилученого споживання ресурсів – атака, що
одержала найменування "SYN-повінь". Вона являє собою спробу переповнити
таблицю "напіввідчинених" TCP-з'єднань сервера (установлення з'єднань
починається, але не закінчується). Така атака щонайменше ускладнює
встановлення нових з'єднань з боку легальних користувачів, тобто сервер
виглядає як недоступний.
Стосовно атаки "Papa Smurf" уразливі мережі, що сприймають pingпакети із широкомовними адресами. Відповіді на такі пакети "з'їдають"
пропускні шляхи.
Вилучене споживання ресурсів останнім часом проявляється в особливо
небезпечній формі – як скоординовані розподілені атаки, коли на сервер з
безлічі різних адрес із максимальною швидкістю направляються цілком
легальні запити на з'єднання й/або обслуговування. Часом початку "моди" на
подібні атаки можна вважати лютий 2000 року, коли жертвами виявилися
кілька найбільших систем електронної комерції (точніше – власники й
користувачі систем). Відзначимо, що якщо має місце архітектурний прорахунок
у вигляді розбалансованості між пропускною здатністю мережі й
продуктивністю сервера, то захиститися від розподілених атак на доступність
украй важко.
Для виведення систем зі штатного режиму експлуатації можуть
використовуватися уразливі місця у вигляді програмних й апаратних помилок.
Наприклад, відома помилка в процесорі Pentium I дає можливість локальному
користувачеві шляхом виконання певної команди "підвісити" комп'ютер, так
що допомагає лише апаратний RESET.
67
68.
Програма "Teardrop" видалено "підвішує" комп'ютери, експлуатуючипомилку в складанні фрагментованих IP-пакетів.
Шкідливе програмне забезпечення
Одним з найнебезпечніших способів проведення атак є впровадження в
системи, які атакують, шкідливого програмного забезпечення. Виділимо
наступні межі шкідливого ПЗ:
шкідлива функція;
спосіб поширення;
зовнішнє подання.
Частину, що здійснює руйнівну функцію, будемо називати "бомбою" (хоча,
можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Загалом
кажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-яка
інша програма, може володіти якою завгодно складною логікою, але звичайно
"бомби" призначаються для:
впровадження іншого шкідливого ПЗ;
отримання контролю над системою, яку атакують;
агресивного споживання ресурсів;
зміни або руйнування програм й/або даних.
По механізму поширення розрізняють:
віруси – код, що володіє здатністю до поширення (можливо, зі
змінами) шляхом впровадження в інші програми;
"хробаки" – код, здатний самостійно, тобто без впровадження
в інші програми, викликати поширення своїх копій по ІС й їхнє
виконання (для активізації вірусу потрібен запуск зараженої програми).
Віруси звичайно поширюються локально, у межах вузла мережі; для
передачі по мережі їм потрібна зовнішня допомога, така як пересилання
зараженого файлу. "Хробаки", навпаки, орієнтовані в першу чергу на подорожі
по мережі.
Іноді саме поширення шкідливого ПЗ викликає агресивне споживання
ресурсів і, отже, є шкідливою функцією.
Шкідливий код, що виглядає як функціонально корисна програма,
називається троянським. Наприклад, звичайна програма, будучи ураженою
вірусом, стає троянською; часом троянські програми виготовляють вручну й
підсувають довірливим користувачам у якому-небудь привабливому пакунку.
Відзначимо, що дані нами визначення й наведена класифікація шкідливого
ПЗ відрізняються від загальноприйнятих.
68
69.
Вікно небезпеки для шкідливого ПЗ з'являється з випуском новогорізновиду "бомб", вірусів й/або "хробаків" і перестає існувати з відновленням
бази даних антивірусних програм і накладенням інших необхідних латок.
За традицією із усього шкідливого ПЗ найбільша увага громадськості
зосереджується на частку вірусів. Однак до березня 1999 року з повним правом
можна було стверджувати, що "незважаючи на експонентний ріст числа відомих
вірусів, аналогічного росту кількості інцидентів, викликаних ними, не
зареєстровано. Дотримання нескладних правил "комп'ютерної гігієни" практично
зводить ризик зараження до нуля. Там, де працюють, а не грають, число
заражених комп'ютерів становить лише частки відсотка".
У березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним
чином змінилася. "Melissa" – це макровірус для файлів MS-Word, що
поширюється за допомогою електронної пошти в приєднаних файлах. Коли такий
(заражений) приєднаний файл відкривають, він розсилає свої копії по першим 50
адресам з адресної книги Microsoft Outlook. У результаті поштові сервери
піддаються атаці на доступність.
У цьому випадку хотілося б відзначити два моменти.
1.
Як уже говорилося, пасивні об'єкти відходять у минуле; так званий
активний уміст стає нормою. Файли, які по всіх ознаках повинні були б
відноситься до даних (наприклад, документи у форматах MS-Word або
Postscript, тексти поштових повідомлень), здатні містити інтерпритовані
компоненти, які можуть запускатися неявним чином при відкритті файлу. Як і
всяке в цілому прогресивне явище, таке "підвищення активності даних" має свій
зворотний бік (у розглянутому випадку – відставання в розробці механізмів
безпеки й помилки в їхній реалізації). Пересічні користувачі ще не швидко
навчаться застосовувати інтерпритовані компоненти "у мирних цілях" (або хоча
б довідаються про їхнє існування), а перед зловмисниками відкрилося власне
кажучи необмежене поле діяльності. Як не банально це звучить, але якщо
для стрілянини по горобцях викочується гармата, то постраждає в
основному стріляючий.
2.
Інтеграція різних сервісів, наявність серед них мережевих, загальна
зв’язність багаторазово збільшують потенціал для атак на доступність,
полегшують поширення шкідливого ПЗ (вірус "Melissa" – класичний тому
приклад). Образно кажучи, багато інформаційних систем, якщо не вжити захисних
заходів, виявляються "в одному човні" (точніше – у кораблі без перебирань), так
що досить однієї пробоїни, щоб "човен" відразу пішов на дно.
69
70.
Активний уміст, крім інтерпритованих компонентів документів й іншихфайлів даних, має ще одне популярне обличчя – так звані мобільні агенти. Це
програми, які завантажуються на інші комп'ютери й там виконуються. Найбільш
відомі приклади мобільних агентів – Java-аплети, що завантажують на
користувальницький комп'ютер й інтерпритовані Internet-навігаторами.
Виявилося, що розробити для них модель безпеки, що залишає досить
можливостей для корисних дій, не так вже й просто; ще складніше реалізувати
таку модель без помилок.
Таким чином, дія шкідливого ПЗ може бути спрямована не тільки проти
доступності, але й проти інших основних аспектів інформаційної безпеки.
Основні загрози цілісності
На другому місці по масштабу збитку (після ненавмисних помилок і
недоглядів) стоять крадіжки й підробки.
У більшості випадків винуватцями виявлялися штатні співробітники
організацій, відмінно знайомі з режимом роботи й заходами захисту. Це ще раз
підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про їх значно
менше, ніж про зовнішні.
Раніше були введені розводили поняття статичної й динамічної цілісністі. З
метою порушення статичної цілісності зловмисник (як правило, штатний
співробітник) може:
увести невірні дані;
змінити дані.
Іноді змінюються змістовні дані, іноді – службова інформація. Заголовки
електронного листа можуть бути підроблені; лист у цілому може бути
фальсифікований особою, що знає пароль відправника (ми наводили відповідні
приклади). Відзначимо, що останнє можливо навіть тоді, коли цілісність
контролюється криптографічними засобами. Тут має місце взаємодія різних
аспектів інформаційної безпеки: якщо порушено конфіденційність, може
постраждати цілісність.
Ще один урок: загрозою цілісності є не тільки фальсифікація або зміна
даних, але й відмова від зроблених дій. Якщо немає засобів забезпечити
"безвідмовність", комп'ютерні дані не можуть розглядатися як доказ.
Потенційно уразливі з погляду порушення цілісності не тільки дані, але й
програми. Впровадження розглянутого вище шкідливого ПЗ – приклад подібного
порушення.
Загрозами динамічної цілісності є порушення атомарності транзакцій,
перевпорядкування, крадіжка, дублювання даних або внесення додаткових
70
71.
повідомлень (мережних пакетів і т.п.). Відповідні дії в мережевомусередовищі називаються активним прослуховуванням.
Основні загрози конфіденційності
Конфіденційну інформацію можна розділити на предметну й службову.
Службова інформація (наприклад, паролі користувачів) не відноситься до певної
предметної області, в інформаційній системі вона відіграє технічну роль, але її
розкриття особливо небезпечно, оскільки воно несе в собі одержання
несанкціонованого доступу до всієї інформації, у тому числі предметної.
Навіть якщо інформація зберігається в комп'ютері або призначена для
комп'ютерного використання, загрози її конфіденційності можуть носити
некомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виконувати ролі користувачів не однієї, а
цілого ряду систем (інформаційних сервісів). Якщо для доступу до таких систем
використовуються багаторазові паролі або інша конфіденційна інформація, то
напевно ці дані будуть зберігатися не тільки в голові, але й у записній книжці або
на листках паперу, які користувач часто залишає на робочому столі, а іноді
просто губить. І справа тут не в неорганізованості людей, а в споконвічній
непридатності парольної схеми. Неможливо пам'ятати багато різних паролів;
рекомендації з їх регулярного (по можливості – частої) зміні тільки збільшують
положення, змушуючи застосовувати нескладні схеми чергування або взагалі
намагатися звести справу до двох-трьох легких запам'ятовувань (і настільки ж
легко вгадуваних) паролів.
Описаний клас уразливих місць можна назвати розміщенням
конфіденційних даних у середовищі, де їм не забезпечений (найчастіше – і не
може бути забезпечений) необхідний захист. Загроза ж полягає в тому, що хтось
не відмовиться довідатися секрети, які самі просяться в руки. Крім паролів, що
зберігаються в записних книжках користувачів, у цей клас потрапляє передача
конфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), що
уможливлює перехоплення даних. Для атаки можуть використовуватися різні
технічні засоби (підслуховування або прослуховування розмов, пасивне
прослуховування мережі й т.п.), але ідея одна – здійснити доступ до даних у той
момент, коли вони найменш захищені.
Загрозу перехоплення даних варто брати до уваги не тільки при початковому
конфігуруванні ІС, але й, що дуже важливо, при всіх змінах. Досить небезпечною
загрозою є виставки, на які багато організацій, недовго думаючи, відправляють
устаткування з виробничої мережі, з усіма даними, що зберігаються на них.
Залишаються колишніми паролі, при вилученому доступі вони продовжують
71
72.
передаватися у відкритому вигляді. Це погано навіть у межах захищеної мережіорганізації; в об'єднаній мережі виставки – це занадто суворе випробування
чесності всіх учасників.
Ще один приклад зміни, про яку часто забувають, – зберігання даних на
резервних носіях. Для захисту даних на основних носіях застосовуються розвинені
системи керування доступом; копії ж нерідко просто лежать у шафах й одержати
доступ до них може багато хто.
Перехоплення даних – дуже серйозна загроза, і якщо конфіденційність
дійсно є критичною, а дані передаються по багатьох каналах, їхній захист може
виявитися досить складним та дорогим. Технічні засоби перехоплення добре
пророблені, доступні, прості в експлуатації, а встановити їх, наприклад на
кабельну мережу, може будь-хто, так що цю загрозу потрібно брати до уваги по
відношенню не тільки до зовнішніх, але й до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але й для
комп'ютерів, особливо портативних. Часто ноутбуки залишають без догляду на
роботі або в автомобілі, іноді просто гублять.
Небезпечною нетехнічною загрозою конфіденційності є методи моральнопсихологічного впливу, такі як маскарад – виконання дій під виглядом особи, що
володіє повноваженнями для доступу до даних (див., наприклад, статтю Айре
Вінклера "Завдання: шпигунство" в Jet Info, 1996, 19).
До неприємних загроз, від яких важко захищатися, можна віднести
зловживання повноваженнями. У багатьох типах систем привілейований
користувач (наприклад системний адміністратор) здатний прочитати кожен
(незашифрований) файл, одержати доступ до пошти будь-якого користувача й т.д.
Інший приклад – завдання збитків при сервісному обслуговуванні. Звичайно
сервісний інженер одержує необмежений доступ до устаткування й має
можливість діяти в обхід програмних захисних механізмів.
Такими є основні загрози, які завдають найбільшої шкоди суб'єктам
інформаційних відносин.
Глава 8. Системна класифікація та характеристика технічних
засобів забезпечення інформаційної безпеки
Для управління доступом в приміщення широке розповсюдження
отримали замки з кодовим набором. Крім того, для захисту приміщень широко
використовуються датчики, які можуть бути розділені на три групи:
72
73.
Функціональнепризначення ТЗЗІ
Зовнішній
захист
Впізнання
Охорона території
Впізнання людей
Охорона приміщень
Ідентифікація
технічних засобів
Спостереження
Внутрішній
захист
Розмежування доступу
Ідентифікація
Блокування
Розмежування
доступу
Подавлення ПЕМІН
Нейтралізування
електро-магнітного
випромінювання
Сигналізація
Рис. 8. Класифікація ТСЗІ по функціональному призначенню
• датчики для виявлення спроб проникнення на територію об'єкта або в
приміщення, що контролюється;
• датчики для виявлення присутності людини в приміщенні;
• датчики для виявлення переміщення предмета, що охороняється.
Відповідно до вимог з технічного захисту на кожному об'єкті, що
охороняється, встановлюються такі типи пожежно-захисних систем:
• зовнішні системи сигналізації проникнення;
• внутрішні системи сигналізації проникнення;
• системи сигналізації пожежної охорони.
Внутрішні системи сигналізації проникнення діляться на однорубіжні,
двохрубіжні і багатозонні.
Структурна схема однорубіжної охоронної системи сигналізації
передбачає побудову шлейфу сигналізації з сповіщувачами, що дають
інформацію на пульт центрального спостереження (ПЦС) про порушення
шлейфу або його обрив, а також можливість керувати виносними світловими і
звуковими сигналізаторами.
Двухрубіжна охоронна система сигналізації передбачає організацію двох
рубіжів охорони об'єкта.
Для першого рубіжу доцільно використовувати сповіщувачі, що
забезпечують розмикання контактів, а для другого - охоронні сповіщувачі
об'ємної дії. Перевага другого варіанта полягає в уточненій селекції сигналів
спрацьовуючих охоронних сповіщувачів на другому рубежі охорони.
Структурна схема організації багатозонної системи захисту дозволяє
здійснювати охорону до шістнадцяти зон всередині об'єкта. Використовується
73
74.
двухрубіжна охоронна система сигналізації з можливістю виключення деякихзон, причому охорона других утримується в робочому стані.
Зовнішні системи сигналізації проникнення служать для надійної
сигналізації про проникнення через зони, забезпечені огорожами (на особливих
об'єктах таких огорож може бути дві).
Зазвичай зона ділиться датчиками системи сигналізації на ділянки
довжиною 100-300 м. У якості датчиків зазвичай використовуються:
гідравлічний сигналізатор шуму, датчик магнітного поля УКХ, мікрохвильовий
сигналізатор та інфрачервоні шлагбауми.
Датчики систем сигналізації фіксують і перетворюють сигнал
проникнення через ділянки в електричний сигнал, який подається по кабелю до
пульта обробки сигналів, що знаходиться в приміщенні ПНЦ. Часто до пульта
підключаються ПЕОМ та печатаючий пристрій, які автоматично реєструють
час і ділянку проникнення.
Системи внутрішньої сигналізації класифікуються за способом
підключення датчиків до пульта-концентратора. Виділяють провідні та
бездротові системи. Бездротові системи більш зручні при монтажі та
використанні, але характеризуються більшою ймовірністю помилкових
спрацьовувань.
Пристроями охоронної сигналізації обладнуються вхідні двері, запасні
виходи та ворота, вікна і вітражі, приміщення та їх складові елементи (стіни,
стелі, поли), проходи, окремо розташовані шафи і сейфи.
У цих системах використовуються датчики наступних типів: пасивні
інфрачервоні датчики тиску, фотоелектричні датчики, мікрохвильові датчики,
ультразвукові датчики, магнітні датчики, датчики розбиття скла і вібродатчики.
Останнім часом промисловість налагодила випуск спеціальних технічних
засобів охорони: оптоелектронних, ультразвукових, ємнісних, радіохвильових
тощо, що дозволяють організувати багаторубіжними охоронну сигналізацію з
селективної передачі сигналів про спрацювання конкретного охоронного
сповіщувача на ПЦС.
Для захисту приміщень широко застосовуються також лазерні та оптичні
системи, датчики яких спрацьовують при перетині порушником світлового
променя.
Пристрої та системи розпізнавання застосовуються, в основному, в
системах управління доступом в захищаються приміщення. Це завдання
вирішується з використанням не тільки фізичних, а й апаратних і програмних
засобів.
74
75.
Вимоги щодо ЗІ визначаються власником інформації і узгоджуються звиконавцем робіт з проектування і створення СЗІ.
Відповідно до ДСТУ 3396.0-96 і ДСТУ 3396.1-96 визначені основні
положення і порядок робіт зі створення СЗІ. Ці стандарти встановлюють об’єкт
захисту,мету, основні організаційно - технічні положення СЗІ, неправомірний
доступ до якої може завдати збитку громадянам, організаціям, державі, а також
категорії нормативних документів з СЗІ і вимоги до порядку проведення робіт з
технічного захисту.
Виходячи з цих документів, метою СЗІ є запобігання витоку або
порушенню цілісності інформації з обмеженим доступом (ІзОД).
Мета КСЗІ може бути досягнута побудовою СЗІ, яка є організованою
сукупністю методів і засобів забезпечення СЗІ.
Зміст і послідовність робіт з протидії загрозам або їх нейтралізації
повинні відповідати вказаним в ДСТУ 3396.0-96 етапи функціонування систем
захисту інформації, відповідно до ДСТУ 3396.1-96, і полягати в:
- проведенні обстеження об’єкту (підприємства, установи, організації);
- розробці реалізації організаційних, первинних технічних, основних технічних
з заходів з використанням засобів забезпечення ТЗІ;
- прийому робіт з ТЗІ;
- атестації засобів (систем) забезпечення інформаційної діяльності на
відповідність вимогам нормативних документів системи ТЗІ.
У процесі формування вимог до СЗІ доцільно знайти відповіді на
наступні питання:
- які заходи безпеки пропонується використовувати?
- яка вартість доступних програмних і технічних заходів захисту?
- наскільки ефективні доступні заходи захисту?
- наскільки уразливі підсистемі СЗІ?
- чи є можливість провести аналіз ризику?
Сукупність вимог до СЗІ наведена на рис. 9.
75
76.
Сукупність вимог до СЗІЗагальні вимоги
Аналіз та
проектування
методу захисту
Привілеї
користувачів
Обмеження
доступу
Роздільна
ідентифікація
об’єктів
Меделювання
атак і СЗІ
Вимоги до
технічного
забезпечення
Вимоги до
документування
Фізичні
Протоколи
Апаратурні
Тестування
Зв’язок
Обробка
загроз
Вимоги до
програмного
забезпечення
Організаційні вимоги
Організаційні
Системи
захисту
інформації
Процедурні
Адміністративні
Контроль доступу
Безпека даних
Виявлення і протидія атакам
Рис. 9. Сукупність вимог до систем захисту
У загальному випадку доцільно виділити наступні групи вимог до СЗІ:
– Загальні вимоги;
– Організаційні вимоги;
– Конкретні вимоги до підсистем захисту, технічного і програмного
забезпечення, документування, способів і методів захисту.
Загальні вимоги. Перш за все, необхідна повна ідентифікація
користувачів, терміналів , програм, а також основних процесів і процедур, що
відбуваються на об’єкті захисту. Крім того, слід обмежити доступ до
інформацій, використовуючи сукупність наступних способів:
ієрархічна класифікація доступу;
класифікація інформації за важливістю і місцем виникнення;
вказівки обмежень до інформаційних об’єктів;
визначення програм і процедур, наданих тільки конкретнім користувачем
СЗІ повинна гарантувати, що будь - який рух інформації ідентифікується,
авторизується, виявляється і документується.
76
77.
Зазвичай формулюються загальні вимоги до СЗІ, які відповідаютьнаступним характеристикам:
способам побудови СЗІ або її окремих компонентів;
архітектурі засобів обчислювальної техніки та інформаційних систем
(до класу і мінімальної конфігурації ЕОМ, операційного середовища, орієнтації
на ту або іншу програмну і апаратну(технічну) платформи);
застосуванню стратегії захисту;
витратам ресурсів на забезпечення СЗІ;
надійності і живучості функціонування СЗІ;
кількості ступенів секретності інформації, підтримуваних СЗІ;
забезпеченню швидкості обміну інформацією на об’єкті, у тому числі
з урахуванням використовуваних криптографічних вимог;
кількості підтримуваних СЗІ рівнів повноважень;
можливості СЗІ обслуговувати певну кількість користувачів;
тривалість процедури генерації програмної версії СЗІ;
тривалість процедури підготовки СЗІ до роботи після подачі
живлення на компоненти об’єкту;
можливість СЗІ реагувати на спроби несанкціонованого доступу або
атаки ззовні;
наявності і забезпеченню автоматизованого робочого місця
адміністратора ЗІ;
складу
використовуваного
програмного
і
лінгвістичного
забезпечення , до його сумісності з іншими програмними платформами, до
можливості модифікації і т.п.;
використовуваним компонентам СЗІ, що купуються (наявність
ліцензії, сертифіката і тому подібне).
Організаційні вимоги до системі захисту передбачають реалізацію
сукупності адміністративних і процедурних заходів.
Вимоги із забезпечення збереження повинні виконуватися вперш за все
на адміністративному рівні. Організаційні заходи, що проводяться з метою
підвищення ефективності ЗІ, повинні передбачати наступні процедури:
обмеження несупроводжуваного доступу до інформації;
здійснення контролю за зміною в системі програмного забезпечення;
виконання тестування і верифікація змін у системі програмного
забезпечення і програмах захисту;
організацію і підтримку взаємного контролю за виконанням правил
захисту інформації;
77
78.
обмеження привілеїв персоналу, що обслуговує СЗІ;здійснення запису протоколу про доступ до системи;
гарантію компетентності обслуговуючого персоналу;
розробку послідовного підходу до забезпечення збереження
інформації для об’єкту , що захищається;
організацію чіткої роботи бібліотеки;
комплектування основного персоналу на базі інтегральних оцінок і
твердих знань;
організацію системи навчання
і підвищення кваліфікації
обслуговуючого персоналу.
З погляду забезпечення доступу до інформації, що захищається,
необхідно виконати наступні процедурні заходи:
розробити і затвердити інструкції на завантаження і зупинку роботи
операційної системи;
контролювати використання магнітних носіїв і лістингів, порядок
зміни програмного забезпечення і доведення цих змін до користувача;
розробити процедуру відновлення системи при відмовах;
встановити політику обмежень і визначити обсяг інформації, що
видається;
розробити систему протоколювання використання ЕОМ СЗІ,
введення інформації и виведення результатів;
забезпечити проведення періодичного чищення архівів для
видалення і ліквідації не потрібної і застарілої інформації;
підтримувати документацію СЗІ відповідно до встановлених правил і
стандартів.
Для кожної з підсистеми визначаються вимоги у вигляді:
переліку забезпечуваних підсистемою функцій захисту;
основних характеристик цих функцій;
Підсистема управління доступом повинна забезпечувати:
ідентифікацію, аутентифікацію і контроль за доступом користувачів
до системи, терміналів, вузлів мережі, каналів зв’язку, зовнішніх пристроїв,
програм, каталогів, файлів і т.п.;
очищення областей оперативної пам’яті і зовнішніх накопичувачів
системи, що звільняються.
Підсистема реєстрації та обліку виконує:
78
79.
реєстрацію та облік доступу до ресурсів системи, видачі вихіднихдокументів, запуску програм і процесів, доступу до файлів , що захищаються,
передачу інформації по лініях і каналах зв’язку;
реєстрацію зміни повноважень доступу, створення об’єктів доступу,
що підлягають захисту;
облік носії інформації;
сповіщення про атаки і спроби порушення захисту об’єкту.
Криптографічна підсистема передбачає:
- шифрування конфіденційної інформації;
шифрування інформації, що належить різним суб’єктам доступу
(групам субєктів), з використанням різних ключів;
використання сертифікованих і атестованих криптографічних
засобів.
Підсистема забезпечення цілісності повинна здійснювати:
- забезпечення цілісності , програмних засобів і оброблюваної
інформації;
фізичну охорону засобів обробки інформації та її носіїв;
наявність адміністратора і служби безпеки об’єкту;
періодичне тестування СЗІ;
наявність засобів відновлення СЗІ;
використання сертифікованих засобів захисту;
контроль за цілісністю: програмних засобів, ЗІ при завантаженні
операційного середовища; операційного середовища перед виконанням різних
процесів у системі;функціонального програмного забезпечення (ПЗ) та
інформації;конфігурації СЗІ і об’єкту захисту;
оперативне відновлення функцій СЗІ після збоїв;
тестування засобів ЗІ
виявлення і блокування дій зловмисників;
контроль доступу до засобів обчислювальної техніки(ЗОТ)СЗІ, що
дає упевненість в тому, що тільки авторизований користувач використовує
наявні робочі програми та інформацію;
контроль дій з персональною авторизацією, що забороняє операції,
які роблять операційне середовище уразливим;
захист програмного забезпечення, що виключає пошкодження
програм;
79
80.
використання тільки ліцензованого продукту з метою забезпеченнязахисту від вбудованих програмних закладок і програм руйнування
інформаційного середовища;
захист комунікацій для забезпечення захисту інформації, що
передається.
Вимоги до технічного забезпечення. У цій групі формуються вимоги до
таких параметрів:
місця застосування засобів захисту;
способам використання засобів захисту;
розмірам контрольованої зони;
необхідній величині показників захищеності, що враховує реальну
обстановку не об’єкті;
застосуванню способів, методів і засобів досягнення заданого рівня
захищеності;
проведенню спец дослідження устаткування і технічних засобів на
об’єкті захисту, метою якого є вимір електромагнітних випромінювань і
виявлення небезпечних сигналів;
проведення спец перевірки технічних засобів ЗІ, метою якої є
визначення відповідності забезпечення необхідного рівня захищеності об’єкту.
Програмні засоби ЗІ повинні забезпечувати контроль доступу, безпеку
інформації і захист самої СЗІ. Для цього необхідно виконати наступні умови:
об’єкти захисту повинні ідентифікуватися в явному вигляді при
використанні паролів і пропусків;
система контролю доступу має бути достатньо гнучкою для
забезпечення багатообразних обмежень і різних наборів об’єктів;
кожен доступ до захищеного інформативного файлу і пристрою
об’єкту або СЗІ повинен просліджуватися через систему контролю доступу для
того, щоб фіксувати і документувати будь-яке звернення.
Безпека інформації може забезпечуватися наступною системою заходів:
інформаційні об’єкти ідентифікуються і забезпечуються інформацією
службою безпеки. Доцільно цю інформацію розміщувати не в окремому
каталозі , а разом з інформацією, що має мітки;
кодові слова захисту і паролі розміщуються усередині файлів, що
значною мірою підвищує ефективність захисту;
доступ до інформації доцільний за допомогою непрямих посилань,
наприклад, списку користувачів, допущенних власником файлу до розміщеної в
ньому інформації;
80
81.
інформація і програми можуть перетворюватися(кодуватися)внутрішнім способом або архівацією для зберігання.
СЗІ має бути захищена від дії навколишнього середовища. З цією метою
виконується наступна сукупність заходів:
інформація по негативних запитах не відається;
повторні спроби доступу після невдалих звернень повинні кількісно
обмежуватися;
при зміні конфігурації системи або при її тестуванні функції захисту
зберігаються;
ніякі зміни таблиць безпеки, окрім зміни зі спеціально пристрою або
пульта управління, не вирішуються.
У сучасних умовах у процесі взаємодії об’єкта і людини виникають події,
процеси або явища, які можуть привести до знищення, втрати цілісності,
конфіденційності або доступності інформації. Проте до теперішнього
часу,проектували СЗІ і розробляли вимоги до їх здійснюється без урахування
відмінних особливостей систем «людина-обєкт інформації» або «засіб ЗІ-обєкт
інформації».
Будь-яка атака або несанкціонована дія, що діє на об’єкт, на кожному з
них, що мають у розпорядженні СЗІ засобів захисту відіб’ється по різному:
- деякі із засобів можуть бути зруйновані повністю, деякі виведені з
ладу частково, а для якихось засобів атака виявиться безпечною. Облік цих
відмінностей у результатах дії атаки на засоби захисту є важливим при
проектуванні, моделюванні будь-якої КСЗІ, а також при встановленні стійкості
СЗІ передбачуваному супротивникові. Для формування кожного обліку
необхідно:
- визначити математичний параметр, що характеризує об’єкт при його
використовуваному математичному представленні, якісне застосування якого
буде відміни, залежно від характеру збурюючої дії;
- вибрати спосіб формального представлення атак СЗІ так, щоб він,
будучи простим в обчислювальному сенсі, дозволяв відобразити безпосередню
спрямованість атаки;
- вибрати простий в обчислювальному сенсі спосіб представлення
результату атаки.
Вирішення поставлених завдань дає можливість для створення моделі
СЗІ, що дозволяє максимально швидко визначити наслідки організованої атаки,
виділяючи «постраждалі »і «незаймані» засоби захисту.
81
82.
Тимчасові заборони необхідні для подолання кожного з методів і часу,необхідного для реалізації однєї спроби подолання кожного методу захисту.
Вказаним характеристиками є початкові дані, необхідні для створення і
оцінки якості системи захисту об’єкта і всієї системи і об’єкта в цілому.
Глава 9. Технічні засоби забезпечення фізичної цілісності елементів
обчислювальних систем
Огородження
Застосовуються для заваджання проникненню на територію (охорони
території по периметру). Огорожі можуть бути стаціонарними і монтованими. З
стаціонарних найбільш поширеними є бетонні огорожі. Недоліки - дорого
коштують, вимагають багато часу на встановлення.
У наш час все частіше використовуються швидко монтовані огорожі.
Вони складаються з металевих сіток або секцій різного типу. Висота таких
огорож може досягати 2 м. Переваги монтованих огорож: порівняно малий час
встановлення, можуть бути встановлені багато разів.
Як основною, так і додатковою завадою може бути колючий дріт. Як
додаткова завада він може прикріплятися у нижній і верхній частинах
огородження будь-якої конструкції.
Двері
Застосовуються для заваджання проникненню в будівлю, на поверх, в
приміщення. Серйозною завадою, при спробах проникнення в приміщення, с
стальні двері.
На зовнішній вигляд вони можуть не відрізнятися від пластмасових або
дерев'яних, що досягається використанням декоративних покриттів.
Стальні двері випускаються як вітчизняними, так і зарубіжними
виробниками. Двері зарубіжних виробників оснащені десятками мір захисту,
однак при неправильному встановленні злочинцям вдається відкрити їх.
При виборі дверей необхідно перевірити жорстку фіксацію елементів
затвора при закритому замку. Відповідальні дільниці стальних дверей в місці
розташування петель і замка повинні захищатися додатково. Тут можуть
використовуватися матеріали із вмістом вольфраму для заваджання
висвердлюванню. Полотно стальних дверей не повинне містити зовнішніх
зварних швів. Міцність дверей залежить також від типу замка, що
застосовується для їх замкнення.
Замки за способом встановлення поділяють на накладні і врізні. Накладні
замки встановлюють зовні на полотні дверей, врізні - в тілі полотна дверей.
82
83.
Накладні замки менше послаблюють полотно дверей, чим врізні, і вимагаютьменше часу на встановлення.
Виключення складають багаторігельні врізні замки. При замкненні
дверей багаторігельним замком механізм замка висуває замикаючі рігели в
чотирьох напрямах. Таке замкнення дверей, при достатній їх міцності,
забезпечує високу стійкість проти злому.
При виробництві замків сучасні виробники використовують матеріали,
що не піддаються свердлуванню. Це досягається застосуванням сплавів
вольфраму.
Грати
Грати захищають приміщення від проникнення через вікна, вентиляційні
канали, освітлювальні шахти підвалів, інші комунікації.
У приміщеннях, обладнаних охоронною сигналізацією, грати
рекомендується ставити з внутрішньої і зовнішньої сторони вікна з тим, щоб
злочинці не могли швидко проникнути в приміщення, не порушивши цілісність
сигналізації
Безкаркасні грати
Безкаркасні грати закладаються безпосередньо в стіну.
Товщина лозин фатів часто вибирається з естетичних міркувань. При
цьому треба враховувати, що подвійними важельними ножицями без надмірних
зусиль перекушується стальна лозина діаметром 10 мм. Тому діаметр лозин
стальних безкаркасних гратів повинен бути не менше за 20 мм. Відстань між
лозинами - не більше за 120 мм.
Малюнок може бути довільним, однак найбільш захищеними с фати, лози
яких розташовуються хрестом або ромбом. Грати необхідно встановлювати так,
щоб їх не можна було зняти або розігнути зовні. При вікнах, що відкриваються
назовні, не можна розташовувати фати близько до вікна.
Лози
фатів,
які
розташовуються
перпендикулярно,
повинні
роздвоюватися і не менш, ніж на 100 мм, закладатися в стіну. При цьому кожна
з лозин закладається окремо.
Місця перетину лозин (вузли фатів) повинні зварюватися або
охоплюватися нерозрізними кільцями.
При закладанні безкаркасних гратів відстань від зовнішнього краю стіни
до фатів повинна бути не менше за 120 мм. Місце закладання гратів в стіну
потрібно зміцнювати арматурою, що розташовується із зовнішньої сторони
лозин гратів. При цьому не вдасться вирвати лози по одному із стіни. Переріз
лозин може бути квадратним, шестигранним або круглим.
83
84.
Каркасні гратиОснову каркасних фатів складає рама. Вона виготовляється з металевого
кутка із шириною полиці не менше за 30 мм. Розміри рами повинні відповідати
розмірам отвору, в який вона встановлюється. Чим менше відстань між рамою
гратів і стіною отвору, тим важче її виламати.
Діаметр лозин каркасних гратів повинен бути не менше за 15 мм. Лози
приварюються до рами з внутрішньої сторони. V цьому разі їх важче обламати
в місцях зварювання. Розташовуватися лози фатів повинні хрестом або ромбом
з розміром осередку не більше за 120x120 мм.
Обов'язкова фіксація вузлів і замкненість всіх контурів фатів. На фатах
можуть розмішуватися декоративні елементи, додатково завужаючі осередки.
Ці елементи можуть кріпитися консольно. Для ускладнення відгинання
консольно приварених елементів за допомогою елементарних обрізків труб
разклепуються їх вільні кінці у вигляді декоративних елементів(налриклад,
декоративного листя).
Каркасні грати кріпляться до стіни штирями діаметром не менше за 20
мм. При цьому штири захищаються стальними накладками. Накладки
заваджають доступу до штирів, перерізанню штирів і приварюються до рами
фатів. Штири закладаються в стіну на глибину не менше за 100 мм з одного
боку, і приварюються до фатів з іншого. Відстань між штирями повинна бути
не більше за 500 мм. Розташовувати штири необхідно по всьому периметру
гратів з тим, щоб забезпечити максимальну жорсткість конструкції. Кріплення
внутрішніх гратів може бути менш міцним, ніж зовнішніх.
Внутрішні грати в приміщенні повинні закриватися на замок і
відкриватися для забезпечення доступу до вікна. Розмір осередку внутрішніх
гратів, як і зовнішніх, повинен бути не більше за 120x120 мм.
Замикаючі пристрої гратів
Для замкнення гратів доцільно застосувати замки з мінімально
протяжними скобами. Вони найменш зручні для злому. Крім того, металевий
лист, приварений в місці розташування замка, ускладнює доступ до замка з
одного боку гратів. При висоті гратів більше за 1,5 м на них встановлюють два
замки на відстані не менше за 50 см.
Системи тривожної сигналізації
Системи тривожної сигналізації фіксують факт несанкціонованого
доступу в підохоронну зону (системи охоронної сигналізації) або наявність
пожежі (системи пожежної сигналізації), передають сигнал тривоги на
приймально-контрольний прилад (пульт-концентратор) і далі, якщо
84
85.
передбачено, на пульт централізованого спостереження, вмикають виконуючіпристрої.
Система тривожної сигналізації складається з:
-сповіщувачів;
-приймально-контрольного приладу (пульта-концентратора);
-системи зв'язку між сповіщувачем і приймально-контрольним приладом
(пультом-концентратором).
При конструюванні системи сигналізації однією з центральних задач є
вибір сповіщувачів.
Сповіщувачі систем охоронної сигналізації
Для реєстрації змін параметра, що контролюється, в системах охоронної
сигналізації використовуються сповішувачі (детектори).
Сповіщувач (детектор) у відповідності з ДСТУ ІЕС 839-1-1:2001 - це
пристрій для формування стану тривоги у разі виявлення небезпеки.
Сповіщувач - це пристрій, що формує певний сигнал про зміну того або іншого
контрольованого параметра навколишнього середовища
Сповіщувач складається з чутливого елемента (сенсора), схеми обробки
сигналів і схеми прийняття рішення. Прості сповішувачі виконують аналогову
обробку сигналів, що не завжди забезпечує необхідну надійність їх роботи.
Підвищення надійності роботи сповіщувачів забезпечується застосуванням
цифрових методів обробки сигналів.
Сповішувачі є основними елементами охоронної сигналізації, які багато в
чому визначають ефективність її використання. Вони призначені для:
фіксації (виявлення) факту порушення безпеки підохоронного об'єкта;
передачі тривожного повідомлення на приймально-контрольний прилад.
Існують сповіщувачі (сенсори), що сигналізують про:
- проникнення зловмисника на територію (охорона периметра);
- перелізання зловмисника через огородження;
- проникнення зловмисника в будівлю (приміщення) через двері або
проходження через ворота;
- проникнення в будівлю через вікно;
- знаходження зловмисника на підохоронній території;
- знаходження зловмисника в підохоронному приміщенні.
У наш час розроблено і використовується велика кількість самих
різноманітних сповіщувачів (сенсорів) сигналізації.
Периметральні сенсори натяжної дії
85
86.
Сенсори цього типу складаються з декількох рядів натягнутого дроту,приєднаного до механічних вимикачів. Найменше відгинання дроту спричиняє
спрацювання
сигналізації.
Для
монтажу
сенсорів
натяжної
дії
використовується, як правило, колючий дріт.
Периметральні інфраакустичні сенсори
Встановлюються на металевих огорожах і вловлюють низькочастотні
звукові коливання огорож під час їх подолання. Можливі помилкові
спрацювання таких сенсорів на вуличні шуми від близько розташованих доріг.
Периметральні сенсори електричного поля
Сенсори цього типу складаються з випромінювача і декількох приймачів.
Всі частини сенсора виконані з електричних кабелів, натягнених між стовпами.
Під час проходження порушника між випромінювачем і приймачами має місце
зміна електричного поля між ними, яка і є сигналом тривоги.
Периметральні вібраційні сенсори
Сенсори цього типу являють собою контактні вимикачі різних видів,
з'єднані послідовно або паралельно. Сенсори кріпляться на стовпах або сітках
огорожі і спрацьовують від гойдання, струсу або вібрацій.
Периметральні електретні сенсори
Виготовляються з коаксіального кабеля з радіально поляризованим
діелектриком. Такий кабель протягується через огорожу периметра об'єкта. У
момент подолання огородження відбувається струс кабеля і, відповідно, зміна
електричного сигналу, що проходить через кабель.
Інфрачервоні сенсори контролю простору
Принцип дії сенсорів полягає в зміні сигналу від випромінювача до
приймача при попаданні порушника між ними. Як випромінювачі
використовуються інфрачервоні світлодіоди або невеликі лазерні установки.
Відстань між випромінювачем і приймачем не більше за 100 м. На спеціальні
стовпи звичайно встановлюють декілька таких пристроїв для створення
вертикальної смуги виявлення необхідної висоти. Для підвищення надійності
іноді використовується частотна модуляція сигналу випромінювання. Сенсори
можуть втрачати свою працездатність при густому тумані і снігопаді.
Мікрохвильові сенсори контролю простору
Складаються з двох частин: надвисокочастотних передавача і приймача.
У цьому просторі між ними створюється електромагнітне поле, зміна якого при
спробі проходу реєструється приймачем.
Сейсмічні сенсори
86
87.
У наш час виготовляються сенсори цього типу двох видів. Перший,рідинний, складається з двох укладених поряд в грунт шлангів з рідиною.
Спрацювання таких сенсорів відбувається при зміні тиску в одному з шлангів
при проходженні порушника Принцип дії сенсорів другого виду заснований на
пьєзоелектричному ефекті, при якому відбувається зміна електричного сигналу
при тиску на пьєзоелемент. Обидва види сейсмічних сенсорів чутливі до
сторонніх вібрацій.
Сейсмічні сенсори використовуються для охорони периметрів територій і
будівель, встановлюються потайки в грунт, під стіни і будівельні конструкції.
Сейсмомагнітні сенсори
Виконуються у вигляді електричного кабеля, укладеного в грунт.
Електричний сигнал змінюється під впливом як сейсмічних, так і магнітних
подразнень, наприклад, при проході людини і спробі пронести зброю.
Контактні сенсори
Контактні сенсори відносяться до найпростіших. Звичайно вони
встановлюються на двері і вікна підохоронного приміщення.
Контактні сенсори поділяться на електроконтактні, магнітні
(магнітоконтактні) і механічні.
Електроконтактні сенсори являють собою стрічку з тонкої алюмінієвої
фольги. Вона клеїться на скло, двері, стіни і т. п.
При руйнуванні основи, на яку наклеєна стрічка, вона рветься і розриває
електричне коло. Для підключення до шлейфа охоронної сигналізації стрічка
затискається в утримувачі (клеми), які приклеюються до тієї ж основи, що і
стрічка.
Магнітний (магнітоконтактний) сенсор складається з двох частин:
геркона (герметичного контакту), що встановлюється на нерухому частину
конструкції, і магніту, що встановлюється на її частину, що відкривається. Коли
конструкція (двері, ворота, вікно або т.п.) зачинена, магніт знаходиться поблизу
геркона і контакти геркона знаходяться в замкненому стані. При відкриванні
магніт віддаляється від геркона, контакти геркона розмикаються і розривають
електричне коло.
При застосуванні магнітного сповіщувача для сигналізації про
зламування гратів геркон закладають в стіну, а на фатах, навпроти геркона,
встановлюють (закріпляють) замаскований магніт. У разі зняття фатів контакт
геркона розмикається.
Магнітні (магнітоконтактні) сенсори випускаються двох типів: для
зовнішнього і прихованого встановлення. Для підвищення надійності охорони
87
88.
часто встановлюють по два і більше сенсорів, які з'єднують між собоюпослідовно. Магнітоконтактні сенсори, призначені для прихованого
встановлення, мають циліндричну форму.
Дія охорони вікон, захищених ґратами, застосовують так звані поводкові
сенсори, які являють собою тонкий поводок, з'єднаний З пружинним
контактом. Контакт розташовується з внутрішньої сторони вікна, а поводок
огинається навколо одного з вузлів гратів. При перерізанні або натягненні
поводка контакт замикається і спрацьовує сигналізація.
Використовуються для виявлення проникнення в приміщення через стіни,
підлоги, стелі, двері, вікна і інші конструкції. Поверхня, що охороняється,
покривається сіткою з електричного проводу з розмірами осередків 10...15 см.
Механічне руйнування осередків сітки приводить до розриву провідників і,
відповідно, до розриву електричного кола. Для маскування сітка сенсора може
покриватися шпалерами або облицювальними матеріалами.
Ємкістні сенсори
Працюють на основі аналізу зміни ємкості при наближенні до конструкції
масивного предмета. Сенсори цього типу можуть застосовуватися, наприклад,
дія сигналізації про наближення зловмисника до сейфа або про спробу
перемістити сейф.
Ємкістні сенсори застосовуються також для охорони захисних металевих
гратів інженерних комунікацій. Дія сенсорів в цьому випадку заснована на
реєстрації зміни електричної ємкості між підлогою приміщення і ґратчастим
внутрішнім огородженням.
Ультразвукові сенсори
Ультразвукові сенсори застосовують для контролю периметра будівель і
контролю приміщень.
Ульфазвукові сенсори для контролю периметра будівель
Дія заснована на реєстрації ультразвукових хвиль від порушника при його
впливі на елементи конструкцій периметра будівлі або приміщення.
Використовуються як пасивні, так і активні ультразвукові сенсори.
Пасивні реєструють ультразвукові коливання повітря або іншого середовища.
Випускаються два види активних ультразвукових сенсорів. В першому
використовуються
елементи
конструкцій
периметра
будівель,
що
охороняються.
Активні ультразвукові сенсори другого виду реєструють зміну частоти
сигналу, що випромінюється в середовище, наприклад, при відкриванні замка
або відпилюванні металевих гратів.
88
89.
Ультразвукові сенсори для контролю приміщеньСенсори цього типу з випромінюючою і приймальною частинами
реєструють зміну сигналу випромінювання, відбитого від порушника. Для
приміщень площею до 50 м~ можуть застосовуватися однокорпусні сенсори.
Великі за розмірами приміщення охороняються двокорпусними сенсорами:
випромінювач в окремому корпусі кріпиться на одній стіні, а приймач (або
декілька приймачів) - на протилежній стіні. Великогабаритні предмети, що
знаходяться в приміщенні, обмежують дію такого сенсора, створюючи області
екранування ("мертві зони"), в яких сенсор не реагує на рух порушника.
Мікрохвильові сенсори
Працюють в НВЧ-діапазоні. Випромінювання і прийом здійснюються
однією антеною.
Фотоелектричні сенсори
Фотоелектричні сенсори призначені дія охорони внутрішнього і
зовнішнього периметрів, безконтактного блокування прольотів, дверей,
коридорів.
Вони складаються з передавача і приймача, рознесених вздовж лінії
охорони, і використовують сигнал інфрачервоного діапазону з довжиною хвилі
порядку 1 мкм.
Акустичні сенсори
У склад цих сенсорів входять мікрофон і блок обробки сигналів. Вони
використовуються для виявлення вторгнень злочинців і реагують на шум і
звуки, які неминуче виникають при спробі проникнути в приміщення, що
охороняється.
Комбіновані сенсори
Комбіновані сенсори - це пристрої, що використовують два різних
фізичних принципи виявлення руху. У переважній більшості подібних
пристроїв реалізовані пасивний інфрачервоний і радіохвильовий принципи
виявлення руху. Такі прилади, передусім, відрізняють значно більш високі
характеристики виявлення при надто низькій імовірності помилкових тривог в
порівнянні з приладами, що використовують тільки один з принципів
виявлення руху. Сигнал тривоги видається тільки при одночасному виявленні
порушення обома частинами, що і дозволяє зменшити імовірність помилкової
тривоги.
У комбінованих сенсорах пасивний інфрачервоний сенсор працює
безперервно. При реєстрації ним факту руху теплового об'єкта в зоні виявлення
вмикається радіохвильовий детектор. Якщо останній підтверджує наявність
89
90.
рухомого об'єкта в зоні охорони, прилад формує і видає до шлейфу сигналізаціїтривожне сповіщення шляхом замикання або розмикання контактів вихідного
реле. Такий режим роботи сповіщувачів дозволяє забезпечити високий рівень
завадостійкості приладу і зменшити рівень НВЧ випромінювань, оскільки
радіохвильовий детектор вмикається тільки на короткий час.
Барометричні сенсори
Сенсор реагує на флуктуації тиску повітря в підохоронному приміщенні.
Стійкий до впливу шуму, вібрації, переміщення людей і тварин. Спрацьовує в
момент відкривання дверей, вікон, кватирок або при руйнуванні стін, стелі,
дверей і вікон.
Системи телевізійного спостереження
Обов'язковою умовою надійного функціонування всього комплексу
захисту підохоронної території е подальший аналіз повідомлень про
проникнення для точного визначення причин їх появи. Це може бути виконано
за допомогою використання систем впізнання.
Найбільш широке поширення в таких системах отримали системи
телевізійного спостереження.
Без сумніву, об'єкт із стаціонарними постами охорони має більш високу
захищеність, однак при цьому значно зростають витрати на його охорону. Так,
при необхідності цілодобового спостереження потрібна трьохзмінна робота
персоналу охорони. У цих умовах телевізійна техніка стає засобом підвищення
ефективності роботи персоналу охорони, передусім при організації
спостереження у віддалених, небезпечних або важкодоступних зонах.
Вся зона, що контролюється системою сповіщення, розмежовується на
окремі дільниці протяжністю не більше за 100 м, на яких встановлюється
принаймні одна телекамера. При спрацюванні сенсорів системи сповіщення,
встановлених на певній дільниці контрольованої зони, зображення, що
передасться відповідною телекамерою, автоматично виводиться на екран
монітора на центральному посту охорони. Крім того, при необхідності повинно
бути забезпечене додаткове освітлення даної дільниці. Важливо, щоб увага
чергового охоронника була швидше привернута до виведеного на екран
монітора зображення.
Фактичні причини спрацювання сигналізації в багатьох випадках можуть
бути ідентифіковані тільки за умови досить високої оперативності чергового
охоронника. Важливо, що дане положення передусім мас місце при дійсних
спробах вторгнення на підохоронну територію і при навмисних обманних діях
зловмисників. Одним з перспективних шляхів дотримання сформульованої
90
91.
умови є застосування пристрою відеопам'яті, який забезпечує автоматичнийзапис зображення відразу ж після спрацювання сигналізації. При цьому
черговому охороннику надасться можливість вивести з пристрою пам'яті на
екран монітора перші кадри зображення і ідентифікувати причину спрацювання
сенсорів системи сповіщення.
У ряді систем телеспостереження застосовані передаючі камери,
орієнтація яких може дистанційно мінятися черговим охоронником. При
надходженні сигнану тривоги службовець охорони повинен орієнтувати
телекамеру на дільницю, де спрацювали сенсори системи сповіщення.
Практичний досвід показує, однак, що такі телеустановки менш ефективні в
порівнянні з жорстко орієнтованими передаючими телекамерами.
Склад систем телевізійного спостереження
До складу найпростішої системи телевізійного спостереження входять
телевізійна камера і монітор. Камера може бути підключена безпосередньо до
монітора.
На великих об'єктах число камер може становити декілька десятків.
Кількість камер, що одночасно відображаються, повинна бути обмежена. При
збільшенні кількості моніторів оператору важко вслідкувати за всіма змінами.
Для полегшення роботи операторів, особливо в багатокамерних системах,
використовують детектори руху, які аналізують зміни зображення (наприклад,
пересування будь-якого предмета в полі зору камери) і сигналізують про це
оператору.
Для одночасного отримання декількох зображень (до 16) на екрані одного
монітора використовують квадратори ("дільники екрана''). Квадратори
перетворюють сигнали від декількох відео камер в зображення, яке
відображається на одному моніторі. При цьому зображення від будь-якої
камери можна оперативно розвернути на весь екран. Квадратори отримали
свою назву через те, що перші моделі поділяли екран на 4 вікна і в кожному
відображалася одна з камер.
Для послідовного виведення на екран зображення від декількох камер в
системах телевізійного спостереження використовуються мультіплексори
(комутатори). У режимі перегляду вони послідовно підключають камери до
монітора.
Задача системи телевізійного спостереження — наочно надати
відеоінформацію про оперативну обстановку на контрольованому об'єкті. Для
розв'язання цієї задачі, відповідно до характеристик контрольованих об'єктів,
вибираються параметри системи.
91
92.
Параметри елементів системи телевізійного спостереження вибираютьсявідповідно до розмірів об'єктів, відстані до об'єктів, швидкості пересування
об'єктів, умов освітлення об'єктів.
Складні системи телевізійного спостереження дозволяють отримати на
телевізійних або комп'ютерних моніторах відеозображення від великого числа
точок підохоронного об'єкта. Монітори і обладнання обробки відеосигналу
встановлюють в чергових приміщеннях або у співробітників фірми, що
займаються службою безпеки.
Комп'ютерні системи телевізійного спостереження
Комп'ютерні системи спостереження призначені для комплексного
управління системою телеспостереження. Вони можуть забезпечувати охорону
і контроль доступу в приміщення як невеликих, так і великих офісів, банків і
т.д.
Комп'ютерні системи забезпечують:
перегляд кольорового і чорно-білого відеозображення від одного до
шістнадцяти джерел відеосигналу одночасно або по вибору оператора;
автоматичне або напівавтоматичне покадрове збереження зображення в
цифровому вигляді із заданою дискретністю;
- накладання дати, часу, службових сигналів і іншої інформації на
відеозображення;
- стискання і передачу по каналах обчислювальної мережі (глобальна,
локальна), а також по каналах телефонного зв'язку через модем;
- покадровий перегляд збереженої відеоінформації з можливістю задавання
вибірки і сортування по даті, часу, найменуванню об'єкта та інше.;
обробку відеозображення цифровими методами в реальному масштабі
часу;
трансфокацію;
регулювання яскравості, колірної насиченості, контрасності;
монтаж відеозображень;
компенсацію фону, засвіток, фільтрацію шумів та інше.;
дистанційне управління системою по телефонній лінії.
підключення службових сигналів (сигнал тривоги, виклику і інше.) і
можливість автоматичного управління системою по заданому алгоритму
(наприклад, зменшення інтервалів часу запису кадрів при надходженні сигналів
тривоги);
програмне і дистанційне управління системами охорони і багаторівневого
доступу.
92
93.
Для управління засобами телеспостереження, сигналізації і системоюконтролю доступу використовують програмні засоби.
Системи прихованого спостереження
Системи прихованого спостереження використовують для підвищення
ефективності охорони і встановлюються там, де необхідно приховати факт
спостереження. Задача систем прихованого спостереження - не вивчати
відвідувачів, а контролювати ситуацію на підохоронній території.
Засоби відбиття загроз підключають до центрального пульта або
приймально-контрольного приладу за допомогою дротового або бездротового
зв'язку.
У системах охоронної сигналізації можуть використовуватися наступні
засоби відбиття загроз: сирени, блимаюче світло, графічні панелі з планом
приміщень, системи підсвічування, принтери для реєстрації часу, місця і
характеру порушення, лампи зовнішнього освітлення, прожектори,
стробоскопи, автодозвонщики блоки електромагнітного реле, електрозамки і
т.д.
Глава 10. Комп’ютерні технічні засоби захисту інформації
Програми зовнішнього захисту
До таких програм відносяться:
• програми захисту території та приміщень;
• програми управління доступом на територію і в приміщення;
• програми захисту даних в каналах зв'язку.
Більш докладно зупинимося на третьому класі програм. Забезпечення
надійного захисту інформації, що передається по каналах зв'язку, які пройшли
по неконтрольованій території, пов'язане з великими труднощами. Обумовлено
це тим, що при сучасних можливостях перехоплення цілком реальною є загроза
регулярного несанкціонованого отримання інформації з таких каналів зв'язку.
Вважається, що, єдиним ефективним способом надійного ЗІ в каналах зв'язку є
кріптографічне закриття переданої інформації. Проте організація регулярного
криптографічного закриття великих потоків інформації, інтенсивно
циркулюючих в каналах зв'язку, сполучено з великими труднощами і
витрачанням значних ресурсів.
У тих випадках, коли застосування криптографічних засобів є
неможливим або недоцільним, рекомендується використовувати наступні
програмні методи захисту.
1. Упізнання кореспондентів.
93
94.
2. Перевірка рівня секретності каналу зв'язку.3. Контроль за граничними адресами ОП.
4. Перевірка адреси кореспондента.
5. Перевірка зворотного коду.
Упізнання кореспондентів полягає в тому, що перед видачею даних в
канал зв'язку АС запитує у кореспондента пароль або іншу персональну і
таємну інформацію, порівнює цю інформацію з інформацією, що зберігається в
ОП еталонною і видає дані в канал лише в разі збігу пред'явленої та еталонної
інформації. Як і будь-яке інше упізнання, упізнання кореспондентів може бути
простим і ускладненним. Вибір способу впізнання визначається характером і
ступенем секретності пред'явлених даних, а також умовами передачі
(протяжність і вид каналу зв'язку, характер території, по якій він проходить, і
т.п.).
Особливістю впізнання кореспондентів є те, що інформація, яка
використовується в процесі впізнання, також повинна передаватися з цього ж
каналу зв'язку. Створення особливих каналів для передачі інформації для
впізнання практично нереальне. Тому інформація впізнання також може бути
перехоплена зловмисником. Для підвищення надійності впізнання можна
використовувати кріптографічне закриття інформації впізнання. Однак при
цьому виникають великі складності, пов'язані з розподілом і періодичною
зміною ключів, застосовуваних для шифрування і дешифрування цієї
інформації.
Перевірка рівня секретності каналу зв'язку є деяким додатковим засобом
захисту і полягає в тому, що кожному каналу зв'язку, використовуваному для
передачі інформації, присвоюється певний максимальний рівень секретності,
так що передача по цьому каналу інформації з вищим рівнем секретності не
допускається. Перед видачею даних в канал АС перевіряє відповідність рівня
секретності даних, що підлягають передачі, і приймає відповідне рішення. Гриф
секретності підготовлених до передачі даних визначається в цьому випадку по
максимальному грифу секретності масиву, використаного для формування цих
даних.
Контроль за граничними адресами ВП полягає в тому, що для розміщення
масиву даних, що передаються в ОП виділяється поле, початкова і кінцева
адреса якого розміщується в регістрах або в спеціально виділених зонах ОП.
Перед вибіркою для видачі в канал кожного елемента даних проводиться
перевірка адреси вибірки за граничними адресами. Якщо адреса вибірки
виходить за граничні адреси, видача даних блокується. Цим самим
94
95.
забезпечується захист від випадкової або навмисної видачі в канал зв'язкуданих, що знаходяться на сусідніх полях ОП.
Перевірка адреси кореспондента здійснюється наступним чином. При
передучі великого обсягу інформації є принципова можливість випадкової або
зловмисної зміни адреси кореспондента, що зберігається в регістрі або в
спеціально виділеній зоні ОП. У цьому випадку дані (після зміни адреси)
будуть передаватися за адресою, яка є модифікованою в результаті змін, або
заданою зловмисником. З метою мінімізації обсягу переданих за помилковою
адресою даних рекомендується в процесі передачі періодично (через певний
інтервал часу і після передачі певного обсягу інформації) перевірити адресу
корреспондента. Процедура перевірки є звичайною: адреса кореспондента, що
використовується для передачі, порівнюється з еталонною, що зберігається в
безпечній зоні ОП. При неспівпадінні порівнюваних адрес передача даних
блокується і виробляється відповідний системний сигнал.
Перевірка зворотного коду являє собою процедуру захисту, що
здійснюється в процесі передачі даних. Полягає вона в тому, що у
кореспондента періодично запитується інформація, що ідентифікує, яка і
називається зворотним кодом. Ця інформація порівнюється з еталонною, при
розбіжності кодів передача блокується. Перевіркою зворотного коду можна
виявити факт зміни (перекомутації) напрямку видачі даних або умисного
несанкціонованого використання приймального пристрою зареєстрованого
кореспондента.
Програми внутрішнього захисту
Цей клас програм здійснює ЗІ безпосередньо в елементах АС. Сутність
такого захисту зводиться до регулювання використання відповідних ресурсів
АС (технічних засобів, даних, програм) у суворій відповідності з
повноваженнями, наданими суб'єктам (користувачам) та об'єктам (терміналам,
груповим пристроям, програмам). Кожен з видів регулювання зазвичай
здійснюється в наступній послідовності.
1. Встановлення достовірності (впізнання) суб'єкта або об'єкта, що
звертається до ресурсу системи.
2. Визначення відповідності характеру і змісту запиту повноважень,
наданим запитувачу суб'єкту чи об'єкту.
3. Прийняття та реалізація рішень відповідно з результатами перевірки
повноважень.
Найбільш важливою з перерахованих процедур є перша, тобто
встановлення аутентичності (впізнання) суб'єкта або об'єкта, що звертається до
95
96.
ресурсів АС. Тому розробці ефективних засобів надійного впізнання незмінноприділяється підвищена увага.
Встановлення достовірності (аутентифікація, ідентифікація, упізнання)
якого-небудь об'єкта або суб'єкта полягає у підтвердженні того, що суб'єкт,
який звертається, або пред'явлений об'єкт є саме тим, який повинен брати
участь у даному процесі обробки інформації. Основними суб'єктами,
справжність яких підлягає встановленню у всіх системах, де обробляється
інформація з обмеженим доступом, є різні користувачі. У деяких системах з
підвищеними вимогами до забезпечення безпеки передбачається встановлення
дійсності програмістів, що беруть участь у розробці та експлуатації
програмного забезпечення, адміністраторів банків даних і навіть інженернотехнічного персоналу, залученого до технічного обслуговування системи в
процесі обробки інформації, щ захищається.
Складність і обсяг операцій з розпізнавання можуть істотно відрізнятися
для кожного конкретного випадку. Вони визначаються такими основними
факторами:
• структурною і організаційною побудовою АС (розміри, складність
архітектури, територіальний розподіл, розвиненість термінальної мережі,
характер розміщення обладнання тощо);
• характером функціонування (наявність дистанційного доступу, режим
роботи АС, обсяг і характер обміну інформацією по автоматизованим каналах
зв'язку тощо);
• ступенем секретності інформації, що захищається і її об'ємом.
Залежно від складності операцій впізнання, фахівці виділяють три основні групи:
• просте;
• ускладнене;
• особливе упізнання.
За величиною обсягу операцій процедури впізнання також розбивають на
три групи:
• контрольне;
• розширене;
• загальне упізнання.
Під контрольним розпізнаванням розуміють упізнання віддалених
терміналів в моменти включення їх в роботу і при зверненні їх до системи під
час обробки інформації, що захищається. При розширеному упізнанні зазвичай
проводиться розпізнавання програмістів, віддалених кореспондентів, пристроїв
96
97.
групового керування введенням / виводом, елементів, що захищаються, базданих і т.п. При загальному пізнанні забезпечується упізнання всіх суб'єктів і
об'єктів, що мають відношення до обробки інформації, що захищається.
Просте упізнання, як правило, зводиться до порівняння коду (пароля), що
пред'являється терміналом або користувачем, з еталонним кодом (паролем), що
зберігається в ОП АС. При ускладненому упізнанні зазвичай використовується
додаткова інформація - система разових паролів, персональна інформація
користувача і т.п. Ускладнене впізнання здійснюється в режимі діалогу:
система формує питання, на які упізнаваний повинен дати відповіді. За змістом
відповідей система приймає рішення про впізнання. При особливому
розпізнаванні
використовується
така
сукупність
розпізнавальних
характеристик, при якій має забезпечуватися надійне розпізнавання суб'єктів і
об'єктів.
Існує також поняття прямого і зворотного впізнання. При цьому під
прямим впізнанням розуміють упізнання системою суб'єктів, що звертаються
до неї і
об'єктів, що використовуються, під зворотним - упізнання
користувачем елементів системи, що надаються йому для обробки даних, що
захищаються.
Захист від копіювання
Система захисту від кодування або система захисту авторських прав - це
комплекс програмних або програмно-апаратних рішень, що забезпечують
утруднення або заборону нелегального визначення, використання і (або) зміни
програмних продуктів.
Найбільш поширений спосіб розповсюдження програм (розсилка або передача на магнітних носіях) накладає найжорсткіші вимоги на систему захисту.
При цьому у користувача залишається можливість практично необмежених
експериментів із захищеним програмним продуктом.
Сформулюємо деякі апріорні вимоги, виконання яких істотно підвищить
надійність системи захисту від копіювання.
Некопійованість дисків (якщо це необхідно за умовами
розповсюдження) автоматичними копіювальниками. Даний пункт гарантує, що
для розуміння принципу некопіювання необхідно буде ручне вивчення
структури диска.
Неможливість застосування стандартних налагоджувальних засобів
при вивченні ними логіки роботи захищених програм без додаткових
маніпуляцій з кодом програми або без плати апаратного відладчика. В даному
97
98.
випадку непрофесіонал або програміст середньої кваліфікації швидше за все незможе "пройти" захищену програму відладчиком.
Некоректне дезасемблірування захищеної програми або її істотно
важливих фрагментів при застосуванні стандартних пакетів. Це гарантує, що
для дезасемблірування, в кращому випадку, доведеться писати спеціальну
програму.
Неможливість трасування по істотно важливим перериваннях за
допомогою стандартних засобів. При цьому буде приховано обмін програми з
"зовнішнім світом", - диском, DOS тощо.
Ускладнення вивчення структури розпізнавання індивідуальних
параметрів АС або технологічного аналізу застосовуваних апаратних засобів
захисту. Мається необхідність такого вибору індивідуальних параметрів, щоб
вони рідко повторювалися і важко виявлялися; у разі застосування апаратних
ключів - щоб їх розтин не давав суттєвої інформації про їх роботу.
Системи захисту від копіювання, як правило, складаються з наступних
компонентів:
Модуль перевірки недубльованої або оригінальної інформації перевіряє на відмінність некопійованих ознак на дискеті або оригінальною для
даної АС інформації.
По розміщенню цього модуля можна виділити три основні типи системи
захисту:
Система з "навісним" перевірочним модулем, створеним за
технологією файлового вірусу;
Системи з зовнішнім перевірочним модулем, винесеним в окрему
програму;
Системи з внутрішніми функціями перевірки.
Модуль захисту від перегляду і аналізу логіки системи.
Модуль погодження з захищеними структурами - забезпечує
правильну роботу захищених програм і адекватне сприйняття захищених даних
у разі легальних копій.
Програми ядра системи безпеки
Всі засоби, методи, заходи, використовувані в АС для ЗІ, повинні
об'єднуватися в єдиний механізм захисту. При цьому цілком природно виникає
питання про організа-ції управління цим механізмом. Для цього в АС
виділяється спеціальний компонент, званий ядром системи безпеки.
Комплекс ядра системи безпеки повинен виконувати такі функції:
завантаження програм захисту;
98
99.
установка і контроль установки регістрів межі зон пам'яті;
контроль своєчасності та надійності, знищення залишкової
інформації, тобто даних, що містяться на полях ЗУ, після виконання завдання;
перевірка умов дозволу доступу;
перевірка розподілу і використання паролів і кодів;
включення терміналів користувачів в число працюючих і
вимикання їх із цього числа після завершення роботи або після виявлення
несанкціонованої діяльності;
створення та ведення масивів даних і повноважень користувачів;
поточний контроль використання даних про повноваження
користувачів;
деякі допоміжні функції.
Основними функціями ядра системи безпеки є контроль, реєстрація,
знищення та сигналізація.
Глава 11. Аутентифікація користувачів комп’ютерних систем
Ідентифікація і аутентифікація
Ідентифікацію й аутентифікацію можна вважати основою програмнотехнічних засобів безпеки, оскільки інші сервіси розраховані на обслуговування
іменованих суб'єктів. Ідентифікація й аутентифікація – це перша лінія оборони,
"прохідна" інформаційного простору організації.
Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від
імені певного користувача, або іншому апаратно-програмному компоненту)
назвати себе (повідомити своє ім'я). За допомогою аутентифікації друга сторона
переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова
"аутентифікація" іноді використовують словосполучення "перевірка дійсності".
Аутентифікація буває однобічної (звичайно клієнт доводить свою
дійсність серверу) і двосторонньої (взаємної). Приклад однобічної
аутентифікації – процедура входу користувача в систему.
У мережевому середовищі, коли сторони ідентифікації/аутентифікації
територіально рознесені, у розглянутого сервісу є два основних аспекти:
що служить аутентифікатором (тобто використовується для
підтвердження дійсності суб'єкта);
як
організований
(і
захищений)
обмін
даними
ідентифікації/аутентифікації.
Суб'єкт може підтвердити свою дійсність, пред'явивши принаймні одну з
наступних сутностей:
99
100.
щось, що він знає (пароль, особистий ідентифікаційний номер,
криптографічний ключ і т.п.);
щось, чим він володіє (особисту картку або інший пристрій
аналогічного призначення);
щось, що є частиною його самого (голос, відбитки пальців і т.п.,
тобто свої біометричні характеристики).
У
відкритому
мережевому
середовищі
між
сторонами
ідентифікації/аутентифікації не існує довіреного маршруту; це значить, що в
загальному випадку дані, передані суб'єктом, можуть не збігатися з даними,
отриманими й використаними для перевірки дійсності. Необхідно забезпечити
захист від пасивного й активного прослуховування мережі, тобто від
перехоплення, зміни й/або відтворення даних. Передача паролів у відкритому
вигляді, мабуть, незадовільна; не рятує положення й шифрування паролів, тому
що воно не захищає від відтворення. Потрібні більш складні протоколи
аутентифікації.
Надійна ідентифікація й аутентифікація ускладнена не тільки через
мережеві загрози, але й з цілого ряду причин. По-перше, майже всі
аутентификаційні сутності можна довідатися, украсти або підробити. По-друге,
є протиріччя між надійністю аутентифікації, з одного боку, і зручностями
користувача й системного адміністратора з іншогої. Так, з міркувань безпеки
необхідно з певною частотою просити користувача повторно вводити
аутентифікаційну інформацію (адже на його місце могла сісти інша людина), а
це не тільки клопітно, але й підвищує ймовірність того, що хтось може
підглянути за уведенням даних. По-третє, чим надійніший засіб захисту, тим
він дорожчий.
Сучасні засоби ідентифікації/аутентифікації повинні підтримувати
концепцію єдиного входу в мережу. Єдиний вхід у мережу – це, у першу чергу,
вимога зручності для користувачів. Якщо в корпоративній мережі багато
інформаційних сервісів, що допускають незалежний обіг, то багаторазова
ідентифікація/аутентифікація стає занадто обтяжною. На жаль, поки не можна
сказати, що єдиний вхід у мережу став нормою, що домінантні рішення поки не
сформувалися.
Таким чином, необхідно шукати компроміс між надійністю, доступністю
за ціною й зручністю використання й адміністрування засобів ідентифікації й
аутентифікації.
Цікаво відзначити, що сервіс ідентифікації/аутентифікації може стати
об'єктом атак на доступність. Якщо система сконфігурована так, що після
100
101.
певного числа невдалих спроб пристрій уведення ідентифікаційної інформації(таке, наприклад, як термінал) блокується, то зловмисник може припинити
роботу легального користувача буквально декількома натисканнями клавіш.
Парольна аутентифікація
Головне достоїнство парольної аутентифікації – простота й звичність.
Паролі давно вбудовані в операційні системи й інші сервіси. При правильному
використанні паролі можуть забезпечити прийнятний для багатьох організацій
рівень безпеки. Проте, по сукупності характеристик їх варто визнати
найслабшим засобом перевірки дійсності.
Проте, важливі заходи дозволяють значно підвищити надійність
парольного захисту:
накладення технічних обмежень (пароль повинен бути не
занадто коротким, він повинен містити букви, цифри, знаки пунктуації й
т.п.);
керування терміном дії паролів: їхня періодична зміна;
обмеження доступу до файлу паролів;
обмеження числа невдалих спроб входу в систему, це
утруднить застосування "методу грубої сили"):
навчання користувачів;
використання програмних генераторів паролів (така програма,
ґрунтуючись на нескладних правилах, може породжувати тільки
благозвучні й, отже, запам'ятовувані паролі).
Перераховані заходи доцільно застосовувати завжди, навіть якщо поряд з
паролями використовуються інші методи аутентифікації.
Одноразові паролі
Розглянуті вище паролі можна назвати багаторазовими: їхнє розкриття
дозволяє зловмисникові діяти від імені легального користувача. Набагато
сильнішім засобом, стійким до пасивного прослуховування мережі, є
одноразові паролі.
Найбільш відомим програмним генератором одноразових паролів є
система S/KEY компанії Bellcore. Ідея цієї системи полягає в наступному.
Нехай є однобічна функція f (тобто функція, обчислити зворотну якої за
прийнятний час неможливо). Ця функція відома й користувачеві, і серверу
аутентифікації. Нехай, далі, є секретний ключ К, відомий тільки користувачеві.
На етапі початкового адміністрування користувача функція f
застосовується до ключа К n разів, після чого результат зберігається на сервері.
Після цього процедура перевірки дійсності користувача виглядає таким чином:
101
102.
сервер надсилає на користувальницьку систему число (n-1);
користувач застосовує функцію до секретного ключа К (n-1) разів і
відправляє результат по мережі на сервер аутентифікації;
сервер застосовує функцію f до отриманого від користувача
значення й порівнює результат з раніше збереженою величиною. У випадку
збігу дійсність користувача вважається встановленою, сервер запам'ятовує нове
значення (прислане користувачем) і зменшує на одиницю лічильник (n).
Насправді реалізація влаштована навряд чи складніше (крім лічильника,
сервер посилає значення, використовуване функцією f), але для нас зараз це не
важливо. Оскільки функція f незворотня, перехоплення пароля, так само як і
одержання доступу до сервера аутентифікації, не дозволяють довідатися
секретний ключ К і передбачити наступний одноразовий пароль.
Система S/KEY має статус Internet-стандарту (RFC 1938).
Інший підхід до надійної аутентифікації складається в генерації нового
пароля через невеликий проміжок часу (наприклад, кожних 60 секунд), для чого
можуть використовуватися програми або спеціальні інтелектуальні карти (із
практичної точки зору такі паролі можна вважати одноразовими). Серверу
аутентифікації повинен бути відомий алгоритм генерації паролів й асоційовані
з ним параметри; крім того, годинники клієнта й сервера повинні бути
синхронізовані.
Сервер аутентифікації Kerberos.
Kerberos – це програмний продукт, розроблений у середині 1980-х років у
Масачусетському технологічному інституті і зазнав з тих часів, принципових
змін. Клієнтські компоненти Kerberos присутні в більшості сучасних
операційних систем.
Kerberos призначений для рішення наступного завдання. Є відкрита
(незахищена) мережа, у вузлах якої зосереджені суб'єкти – користувачі, а також
клієнтські й серверні програмні системи. Кожен суб'єкт має секретний ключ.
Щоб суб'єкт С міг довести свою дійсність суб'єктові S (без цього S не стане
обслуговувати С), він повинен не тільки назвати себе, але й продемонструвати
знання секретного ключа. С не може просто надіслати S свій секретний ключ,
по-перше, тому, що мережа відкрита (доступна для пасивного й активного
прослуховування), а, по-друге, тому, що S не знає (і не повинен знати)
секретний ключ С. Потрібен менш прямолінійний спосіб демонстрації знання
секретного ключа.
102
103.
Система Kerberos являє собою довірену третю сторону (тобто сторону,якій довіряють усе), яка володіє секретними ключами суб'єктів, яких
обслуговують, і допомагаючої їм у попарній перевірці дійсності.
Щоб за допомогою Kerberos одержати доступ до S (звичайно це сервер), С
(як правило – клієнт) посилає Kerberos запит, що містить відомості про нього
(клієнта) і про запитувану послугу. У відповідь Kerberos повертає так званий
квиток, зашифрований секретним ключем сервера, і копію частини інформації
із квитка, зашифрований секретним ключем клієнта. Клієнт повинен
розшифрувати другу порцію даних і переслати її разом із квитком серверу.
Сервер, розшифрувавши квиток, може порівняти його вміст із додатковою
інформацією, присланої клієнтом. Збіг свідчить про те, що клієнт зміг
розшифрувати призначені йому дані (адже вміст квитка нікому, крім сервера й
Kerberos, недоступний), тобто продемонстрував знання секретного ключа.
Виходить, клієнт – саме той, за кого себе видає. Підкреслимо, що секретні
ключі в процесі перевірки дійсності не передавалися по мережі (навіть у
зашифрованому вигляді) – вони тільки використовувалися для шифрування. Як
організований первинний обмін ключами між Kerberos і суб'єктами і як суб'єкти
зберігають свої секретні ключі – питання окреме.
Проілюструємо описану процедуру.
Kerberos
1
2
3
Клієнт С
Сервер S
Рис. 10. Перевірка сервером S дійсності клієнта С
Наведена схема – украй спрощена версія реальної процедури перевірки
дійсності.
Керування доступом. Основні поняття.
103
104.
Із традиційної точки зору засоби керування доступом дозволяютьспецифікувати і контролювати дії, які суб'єкти (користувачі й процеси) можуть
виконувати над об'єктами (інформацією й іншими комп'ютерними ресурсами).
У даному розділі мова йде про логічне керування доступом, що, на відміну від
фізичного, реалізується програмними засобами. Логічне керування доступом –
це основний механізм багатокористувальницьких систем, покликаний
забезпечити конфіденційність і цілісність об'єктів й, певною мірою, їхня
доступність (шляхом заборони обслуговування неавторизованих користувачів).
Тема логічного керування доступом – одна з найскладніших в області
інформаційної безпеки. Справа в тому, що саме поняття об'єкта (а тим більше
видів доступу) змінюється від сервісу до сервісу. Для операційної системи до
об'єктів відносяться файли, пристрої й процеси. Стосовно файлів і пристроїв
звичайно розглядаються права на читання, запис, виконання (для програмних
файлів), іноді на видалення й додавання. Окремим правом може бути
можливість передачі повноважень доступу іншим суб'єктам (так зване право
володіння). Процеси можна створювати й знищувати. Сучасні операційні
системи можуть підтримувати й інші об'єкти.
Для систем керування реляційними базами даних об'єкт – це база даних,
таблиця, подання, збережена процедура. До таблиць застосовуються операції
пошуку, додавання, модифікації й видаленні даних, в інших об'єктів інші види
доступу.
Розмаїтість об'єктів і застосовуваних до них операцій призводить до:
принципової децентралізації логічного керування доступом. Кожен сервіс
повинен сам вирішувати, чи дозволити конкретному суб'єктові ту або іншу
операцію. Теоретично це узгоджується із сучасним об'єктно-орієнтовним
підходом, на практиці ж призводить до значних труднощів. Головна проблема в
тім, що багатьом об'єктам можна одержати доступ за допомогою різних сервісів
(можливо, при цьому доведеться перебороти деякі технічні труднощі). Так, до
реляційних таблиць можна дістатися не тільки засобами СУБД, але й шляхом
безпосереднього читання файлів або дискових розділів, підтримуваних
операційною системою (розібравшись попередньо в структурі зберігання
об'єктів бази даних). У результаті при завданні матриці доступу потрібно брати
до уваги не тільки принцип розподілу привілеїв для кожного сервісу, але й
існуючі зв'язки між сервісами (доводиться піклуватися про узгодженість різних
частин матриці). Аналогічні труднощі виникають при експорті/імпорті даних,
коли інформація про права доступу, як правило, губиться (оскільки на новому
сервісі вона не має змісту). Отже, обмін даними між різними сервісами
104
105.
становить особливу небезпеку з погляду керування доступом, а припроектуванні й реалізації різнорідної конфігурації необхідно подбати про
погоджений розподіл прав доступу суб'єктів до об'єктів і про мінімізацію числа
способів експорту/імпорту даних.
Контроль прав доступу виробляється різними компонентами програмного
середовища – ядром операційної системи, сервісами безпеки, системою
керування базами даних, програмним забезпеченням проміжного шару (таким,
як монітор транзакцій) і т.д. Проте, можна виділити загальні критерії, на
підставі яких вирішується питання про надання доступу, і загальні методи
зберігання матриці доступу.
При ухваленні рішення про надання доступу звичайно аналізується
наступна інформація:
ідентифікатор суб'єкта (ідентифікатор користувача, мережна адреса
комп'ютера й т.п.). Подібні ідентифікатори є основою довільного (або
дискреційного) керування доступом;
атрибути суб'єкта (мітка безпеки, група користувача й т.п.). Мітки
безпеки – основа примусового (мандатного) керування доступом.
Матрицю доступу, через її розрідженість (більшість клітинок – порожні),
нерозумно зберігати у вигляді двомірного масиву. Звичайно її зберігають по
стовпчиках, тобто для кожного об'єкта підтримується список "допущених"
суб'єктів разом з їхніми правами. Елементами списків можуть бути імена груп і
шаблони суб'єктів, що слугує більшою допомогою адміністраторові. Деякі
проблеми виникають тільки при видаленні суб'єкта, коли доводиться видаляти
його ім'я із усіх списків доступу; втім, ця операція проробляється нечасто.
Списки доступу – винятково гнучкий засіб. З їхньою допомогою легко
виконати вимогу про гранулярність прав з точністю до користувача. За
допомогою списків нескладно додати права або явно заборонити доступ
(наприклад, щоб покарати декількох членів групи користувачів). Безумовно,
списки є кращим засобом довільного керування доступом.
Переважна більшість операційних систем і систем керування базами
даних реалізують саме довільне керування доступом. Основне достоїнство
довільного керування – гнучкість.
На закінчення підкреслимо важливість керування доступом не тільки на
рівні операційної системи, але й у межах інших сервісів, що входять до складу
сучасних додатків, а також, наскільки це можливо, на "стиках" між сервісами.
Тут на перший план виходить існування єдиної політики безпеки організації, а
також кваліфіковане й погоджене системне адміністрування.
105
106.
Рольове керування доступомПри великій кількості користувачів традиційні підсистеми керування
доступом стають украй складними для адміністрування. Число зв'язків у них
пропорційно добутку кількості користувачів на кількість об'єктів. Необхідні
рішення в об'єктно-орієнтованому стилі, здатні ці складнощі понизити.
Таким рішенням є рольове керування доступом (РКД). Суть його в тому,
що між користувачами і їхніми привілеями з'являються проміжні сутності –
ролі. Для кожного користувача одночасно можуть бути активними кілька
ролей, кожна з яких дає йому певні права.
Рольовий доступ нейтральний стосовно конкретних видів прав і способів
їхньої перевірки; його можна розглядати як об'єктно-орієнтований каркас, що
полегшує адміністрування, оскільки він дозволяє зробити підсистему
розмежування доступу керованою при якій завгодно великій кількості
користувачів, насамперед за рахунок установлення між ролями зв'язків,
аналогічних успадкуванню в об'єктно-орієнтованих системах. Крім того, ролей
повинно бути значно менше, ніж користувачів. У результаті число
адміністрованих зв'язків стає пропорційним сумі (а не добутку) кількості
користувачів й об'єктів, що один по одному величини зменшити вже
неможливо.
Рольове керування доступом оперує наступними основними поняттями:
• користувач (людина, інтелектуальний автономний агент і т.п.);
• сеанс роботи користувача;
• роль (звичайно визначається відповідно до організаційної структури);
об'єкт (сутність, доступ до якої розмежовується; наприклад, файл
ОС або таблиця СУБД);
операція (залежить від об'єкта; для файлів ОС – читання, запис,
виконання й т.п.; для таблиць СУБД – вставка, видалення й т.п., для
прикладних об'єктів операції можуть бути більш складними);
право доступу (дозвіл виконувати певні операції над певними
об'єктами).
Ролям приписуються користувачі й права доступу; можна вважати, що
вони (ролі) іменують відносини "багато хто до багатьох" між користувачами й
правами. Ролі можуть бути приписані багатьом користувачам; один користувач
може бути приписаний декільком ролям. Під час сеансу роботи користувача
активізується підмножина ролей, яким він приписаний, у результаті чого він
стає власником об'єднання прав, приписаних активним ролям. Одночасно
користувач може відкрити кілька сеансів.
106
107.
Між ролями може бути визначене відношення часткового порядку, такзване успадкуванням. Ролей відповідає успадкуванню класів в об'єктноорієнтованому програмуванні, тільки правам доступу відповідають методи
класів, а користувачам – об'єкти (екземпляри) класів.
Відношення успадкування є ієрархічним, причому права доступу й
користувачі поширюються по рівнях ієрархії назустріч один одному. У
загальному випадку успадкування є множинним, тобто в однієї ролі може бути
кілька попередниць (і, природно, трохи спадкоємиць, яких ми будемо називати
також спадкоємицями).
Для реалізації ще одного згадуваного раніше важливого принципу
інформаційної безпеки вводиться поняття поділу обов'язків, причому у двох
виглядах: статичному й динамічному.
Статичний поділ обов'язків накладає обмеження на приписування
користувачів ролям. У найпростішому випадку членство в деякій ролі
забороняє приписування користувача певній сукупності інших ролей. У
загальному випадку дане обмеження задається як пара "безліч ролей – число"
(де безліч складається, принаймні, із двох ролей, а число повинне бути більше
1), так що ніякий користувач не може бути приписаний зазначеному (або
більшому) числу ролей із заданої кількості.
При наявності успадкування ролей обмеження набуває більш складного
вигляду, але суть залишається простою: при перевірці членства в ролях
потрібно враховувати приписування користувачів ролям-спадкоємицям.
Динамічний поділ обов'язків відрізняється від статичного тільки тим, що
розглядаються ролі, одночасно активні (у різних сеансах) для даного
користувача (а не ті, котрим користувач статично приписаний). Тим самим
реалізується так зване тимчасове обмеження довіри, що є аспектом мінімізації
привілеїв.
Розглянутий проект стандарту містить специфікації трьох категорій
функцій, необхідних для адміністрування РКД:
1.
Адміністративні функції (створення й супровід ролей та інших
атрибутів рольового доступу): створити/видалити роль/користувача, приписати
користувача/право ролі або ліквідувати існуючу асоціацію, створити/видалити
відношення успадкування між існуючими ролями, створити нову роль і зробити
її спадкоємицею/попередницею існуючої ролі, створити/видалити обмеження
для статичного/динамічного поділу обов'язків.
2.
Допоміжні функції (обслуговування сеансів роботи користувачів):
відкрити сеанс роботи користувача з активацією якого мається на увазі набір
107
108.
ролей; активувати нову роль, деактивувати роль; перевірити правомірністьдоступу.
3.
Інформаційні функції (одержання відомостей про поточну
конфігурацію з обліком відносин успадкування). Тут проводиться поділ на
обов'язкові й необов'язкові функції. До числа перших належать одержання
списку користувачів, приписаних ролі, і списку ролей, яким приписаний
користувач.
Усі інші функції віднесені до розряду необов'язкових. Це одержання
інформації про права, які приписані ролі, про права заданого користувача
(якими він володіє як член певної сукупності), про активні на данний момент
сеансу ролі і права, про операції, які роль/користувач правочинні зробити з
заданим об'єктом, про статичний/динамічний розподіл обов'язків.
Глава 12. Засоби електронної ідентифікації
Біометричний контроль доступу - автоматизований метод, за допомогою
якого шляхом перевірки (дослідження) унікальних фізіологічних особливостей
або поведінчеських. характеристик людини здійснюється ідентифікація особи.
Філологічні особливості, наприклад, такі як капілярний малюнок пальця,
геометрія долоні або малюнок райдужної оболонки ока, є постійними
фізичними характеристиками людини. Даний тип вимірювань (перевірки)
практично незмінний також як і самі фізіологічні характеристики. Поведінческі
ж характеристики, такі як підпис, голос або клавіатурний почерк, перебувають
під виливом як керованих дій так і менш керованих психологічних чинників
Оскільки поведінческі характеристики можуть змінюватися із часом,
зареєстрований біометричний зразок повинен оновлюватися при кожному його
використанні Хоч біометрія, заснована на поведінчеських характеристиках,
менш дорога і являє собою меншу загрозу для користувачів, фізіологічні риси
допомагають досягти велику точність ідентифікації особи і іі безпеку. У будьякому випадку обидва методи і забезпечують, значно більш високий рівень
ідентифікації, ніж ідентичні карти.
Біометрична система - це система розпізнавання шаблона, яка встановлює
аутентичність конкретних фізіологічних або поведінчеських характеристик
користувача. Логічно біометрична система може бути розділена на два модулі:
модуль реєстрації і модуль ідентифікації.
Модуль реєстрації відповідає за «навчання» системи ідентифікувати
конкретну людину. На етапі реєстрації біометричні датчики сканують
фізіогномику людини для того, щоб створити цифрове представлення.
108
109.
Спеціальний модуль обробляє це представлення з тим, щоб виділити характерніособливості і згенерувати більш компактне і виразне представлення, що
називається шаблоном. Для представлення особи такими характерними
особливостями можуть стати розмір і відносне розташування очей, носа і рота.
Шаблон для кожного користувача зберігається в базі даних біометричної
системи. Ця база даних може бути централізованою або розподіленою, коли
шаблон кожного користувача зберігається на смарт-карті і передається
користувачеві.
Модуль ідентифікації відповідає за розпізнавання людини. На етапі
ідентифікації біометричний датчик знімає характеристики людини,
ідентифікація якої проводиться, і перетворює ці характеристики в той же
цифровий формат, в якому зберігається шаблон Отриманий шаблон
порівнюється з шаблоном,що зберігається, з тим, щоб визначити, чи
відповідають ці шаблони один одному.
Ідентифікація може виконуватися у вигляді верифікації, аутентификації
(перевірка твердження типу «Я - Іван Петров») або розпізнавання, тобто
визначаючи особи людини з бази даних відомих системі людей (визначення
того, хто я, не знаючи мого імені). У верифікаційній системі, коли отримані
характеристики і шаблон користувача, за якого себе видає людина,
співпадають, система підтверджує ідентичність. У системі розпізнавання, коли
отримані характеристики і один з шаблонів, що зберігаються, виявляються
однаковими, система ідентифікує людину з відповідним шаблоном.
Схема функціонування біометричних пристроїв
Основними елементами біометричної системи є:
-зчитувач (сканер);
-програмне забезпечення ідентифікації, по формує ідентифікатор
користувача;
-програмне забезпечення аутентификації, що виробляє порівняння зразка
з тими ідентифікаторами користувачів, що є в базі даних.
Працює система таким чином
Спочатку проводиться ідентифікація користувача, наприклад, за
відбитками пальця. Як правило, виробляється декілька варантів сканування при
різних розташуваннях пальця на сканері. Зрозуміло, що зразки будуть трохи
відрізнятися, тому потрібно сформувати деякий узагальнений зразок,
«паспорт». Результат запам'ятовуються в базі даних аутентификації.
При аутентификації проводиться порівняння відбитка пальця, що знятий
сканером, з «паспортами», що зберігаються в базі даних.
109
110.
Задача формування «паспорта», так само як і задача розпізнавання зразка,що пред'являється, є задачами розпізнавання образів. Для цього
використовуються різні алгоритми, що є ноу-хау фірм-виробників подібних
пристроїв. Саме відмінності в алгоритмах і визначають велику різницю рівнів
помилкового доступу в пристроях різних виробників.
Надання коректного пароля в системі аутентификація за паролем завжди
дає коректний результат про підтвердження автентичності. Але якщо в
біометричну систему аутентификації надані легітимні біометричні
характеристики, це, проте, не гарантує коректної аутентификації. Таке може
статися через «шум» датчика, обмеження методів обробки і, що ще важливіше,
мінливість біометричних характеристик. Є також імовірність, що може бути
підтверджена аутентичність людини, що видає себе за іншого, легітимного,
користувача.
Більш того, точність даної біометричної реалізації має важливе значення
для користувачів, на яких розрахована дана система. Для успішного
застосування біометричної технології з метою ідентифікації особи важливо
розуміти і реально оцінювати цю технологію в контексті використання, для
якого вона призначена, а також враховувати склад користувачів цього
використання.
Біометричні системи ідентифікації
У наш час доступними є наступні біометричні системи ідентифікації за
відбитками пальця, ароматом, ДНК, формою вуха, геометрією обличчя,
температурою шкіри особи, відбитком долоні, сітківкою ока, малюнком
райдужної оболонки ока, підписом і голосом. Існують також інші метоли, такі
як: ідентифікація за клавіатурним почерком, хімічним складом поту,
термограммою обличчя, картиною вен на тильній стороні руки, за
особливостями рухів, але вони навряд чи підходять для впровадження в
глобальних масштабах.
Найбільш поширені зараз біометричні системи захисту інформації
засновані
на
перевірці
(дослідженні)
наступних
функціональних
поведінчеських особливостей людини
-відбиток пальця;
-геометрія руки;
-райдужна оболонка ока;
-сітківка ока;
-голосова ідентифікація;
-геометрія обличчя;
110
111.
-почерк, напис.Одна з найпростіших і добре відомих біометричних технологій розпізнавання відбитків пальців. Комерційні ідентифікаційні системи
автоматичного розпізнавання відбитків пальців з’явилися ще в 60-х роках
минулого сторіччя. Але донедавна ці системи в ОСНОВНОМУ використовувалися
правоохоронними органами при розслідуванні злочинів. Біометрична
технологія тепер стала надійною альтернативою традиційним системам
ідентифікації в багатьох державних і комерційних установах.
У пристроях для сканування відбитків пальців використовуються
декілька підходів, в тому числі оптичні, мікросхемні і ультразвукові технології.
При реєстрації користувача в базу даних комп'ютера вмішується згорткок
відбитка пальця, що знятий сканером. У залежності від реалізації довжина
згортка становить 200-400 байт.
Найсучасніші моделі розміром не більше комп'ютерної "миші" можуть
працювати або автономно, або під управлінням ПЕОМ (зберігання,
шифрування даних про велику кількість користувачів корпоративної системи).
Достоїнства доступу за відбитками пальця - простота використання,
зручність і надійність. Весь процес ідентифікації займає мало часу і не вимагає
зусиль від тих, хто використовує дану систему доступу. Дослідження також
показали, що використання відбитка пальця для ідентифікації особи є найбільш
зручним з усіх біометричних методів. Імовірність помилки при ідентифікації
користувача набагато менше в порівнянні з іншими біометричними методами.
Геометрія руки
Достоїнства ідентифікації за геометрією долоні можна порівняти з
достоїнствами ідентифікації за відбитками пальця в питанні надійності, хоча
пристрій для зчитування відбитків долонь займає більше місця. Розроблені
пристрої, які сканують як внутрішню, так і бокову сторону руки,
використовуючи для цього вбудовану відеокамеру і алгоритми стиснення. У
процесі розробки знаходяться пристрої, які можуть сканувати інші параметри
руки.
Пристрій НаndKеу (хендкей). що використовує як ідентифікаційну ознаку
параметри долоні і досить широко представлений на вітчизняному ринку, являє
собою конструкцію розміром трохи більше телефонного апарату з нішею, куди
той, що перевіряється, вкладає свою руку. Пристрій має міні-клавіатуру і
рідкокристалічний екран, на якому відображаються дані про ідентифікацію.
Автентичність особи визначається за фотографією долоні (в цифровому
вигляді), при цьому знімок руки співставляється з еталоном (колишніми
111
112.
даними). При першій реєстрації вводиться персональний код. який заноситься вбазу даних.
Рука всередині пристрою фотографується в ультрафіолетовому
випромінюванні в трьох проекціях. Отриманий електронний образ
обробляється вбудованим процесором, інформація стискається до 9 байт, які
можна зберігати в базі даних і передавати по системах комунікацій. Загальний
час процедури складає від 10 с до 1 хв, хоч сама ідентифікація відбувається за
1-2 с. За цей час хендкей звіряє характеристики руки з раніше визначеними
даними, а також перевіряє обмеження для цього користувача. При кожній
перевірці інформація, що зберігається, автоматично оновлюється, так що всі
зміни на руці постійно фіксуються.
Хендкей може працювати в автономному режимі, при якому здатний
«пам'ятати 20 000 різних зображень рук. У його пам'яті може зберігатися
календарний план на рік, в якому з точністю до хвилини можна указати, коли
тому або іншому клієнту дозволений доступ.
Конструктори пристрою передбачили можливість йото роботи з
комп'ютером, підключення схеми управління замком, настройки його на
емуляцію стандартних пристроїв зчитування кредитних карт, приєднання
принтера для ведення протоколу роботи. У мережевому режимі до хендкею
можна підключити до 31 пристрою із загальною довжиною лінії (вита пара ) до
1,5 км. Пристрій може бути вбудований у вже існуючу систему управління
доступом. Основний виробник хендкея - компанія Escape. Аналіз показує, що
на вітчизняному ринку пристрій ідентифікації за зображенням долоні руки має
хороші перспективи, якщо врахувати простоту експлуатації, високу надійність і
досить низьку ціну.
У деяких системах для ідентифікації застосовується аналіз комбінації
вимірювань ліній згину пальців і долоні, ліній складок, довжини пальців і т.д.
Перевагою цього методу є наявність великої кількості деталей, які мінімізують
помилки ідентифікації.
Райдужна оболонка ока
Ця методика застосовується в установах з високим рівнем секретності.
Вчені довели, що не існує двох людей з однаковою райдужною
оболонкою ока (більш того, навіть у однієї людини райдужні оболонки різних
очей відрізняються один від одного).
Ідея розпізнавання на основі параметрів райдужної оболонки ока
з'явилася ще в 1950-х роках. Але до останнього часу не було програмного
112
113.
забезпечення, здатного виконувати пошук і встановлювати відповідністьзразків і зображення, знятого сканером.
Зображення, отримане при скануванні райдужної оболонки ока, звичайно
виявляється більш інформативним, ніж відцифроване сканування відбитків
пальців.
Сканування райдужної оболонки займає всього пару хвилин Досить
просто подивитися в камеру, щоб програмне забезпечення виконало пошук,
аналізуючи декілька мільйонів зразків райдужної оболонки в секунду, і
відшукало той єдиний, який відповідає "відбитку" клієнта.
Однак погане фокусування камери, сонячний промінь і інші труднощі
при розпізнаванні у 1% випадків приводять до помилок.
Перевага сканерів для райдужної оболонки полягає в тому, що вони не
вимагають, щоб користувач зосередився на цілі, тому що зразок плям на
райдужній оболонні знаходиться на поверхні ока. Фактично відеозображення
ока може бути відскановано на відстані дев'яносто сантиметрів. У людей з
ослабленим зором, але непошкодженою райдужною оболонкою, все одно
можуть скануватися і кодуватися ідентифікуючі параметри. Якшо є катаракта
(пошкодження кришталика ока, який знаходиться позаду райдужної оболонки),
вона не впливає на процес сканування райдужної оболонки.
Сітківка ока
Сканування сітківки відбувається з використанням інфрачервоного світла
низької інтенсивності, направленого через зіницю до кровоносних судин на
задній стінці ока. Сканери для сітківки ока набули великого поширення в
надсекретних системах контролю доступу, оскільки у них один з самих низьких
процентів відмови доступу зареєстрованим.
Голосова ідентифікація
Технологія розпізнавання голосу є, ймовірно, найбільш практичним
рішенням для більшості мережевих використань, принаймні, на даний момент.
Системи розпізнавання голосу аналізують ряд характеристик від цифрованої
мови, в тому числі її тон, висоту і ритм.
Незважаючи на технічні питання, що залишаються, зокрема на зниження
надійності розпізнавання при наявності сторонніх шумів, це досить економічне
рішення, оскільки мікрофони і звукові карти вже давно отримали прописку в
мережі.
Система просить користувача вимовити пароль - послідовність
випадкових цифр. Голосовий відбиток займає звичайно від 2 до 5 Кбайт, а
фраза-пароль має тривалість біля двох секунд звучання.
113
114.
Відповідна технологія дозволяє ідентифікувати користувачів не тількипри "безпосередньому контакті", але і по телефону.
Привабливість даного методу - зручність в застосуванні. Основним
недоліком цього біометричного підходу є відносно мала точність ідентифікації.
Підвищити точність вдалося шляхом застосування пристроїв ідентифікації
особи за голосом, які розрізнюють різні характеристики людської мови. Голос
формується з комбінації фізіологічних і поведінчеських чинників. У наш час
ідентифікація за голосом використовується для управління доступом в
приміщення, де не потрібна дуже висока ступінь безпеки, наприклад, в
лабораторії і комп'ютерні класи. Ідентифікація за голосом зручна, але в той же
час не така надійна, як інші біометричні методи. Наприклад, людина з
простудою або ларингітом може зазнавати труднощів при використанні даних
систем.
На індивідуальність голосу впливають анатомічні особливості (діапазон
частот вібрації голосових зв'язок - висота тону, частотні характеристики
голосового тракту - резонансні частоти носової і ротової порожнини) і звички
людини (голосність як функція часу - інтонація, висота тону як функція часу мелодійність). Існує декілька способів виділення характерних ознак мови
людини:
а)
Аналіз короткочасних сегментів 3 голосних звуків виділяються
короткі сегменти (наприклад, тривалістю 20 мс) і описуються коефіцієнтами
різних перетворень (Фур'є, Уолша і т.п.), що характеризують особливості
голосового факту. Цей метод не вимагає промови якої-небудь наперед заданої
фрази, але дуже чутливий до завад;
б)
Контурний аналіз. Метод використовує еквідистантну розбивку
мови і виділенням одного характеризуючого компонента (висота тону,
форманта і т.п.). Послідовність характеризуючих компонент утворить контур.
Тут можна застосовувати будь-яке перетворення. Метод описує
тимчасову структуру промови. Він залежить від тексту, але є найбільш
завадостійким.
в)
Виділення
статистичних
характеристик.
Виробляється
еквідистантне сегментування мовного сигналу. Для кожного сегмента
нараховуються коефіцієнти перетворення і розраховуються вектори розподілу,
середні вектори і вектори розкиду. Статистичний метод є текстонезалежним.
При достатній тривалості промови (не менше 12с) для обробки статичної
інформації застосовуються методи аналізу випадкових величин, кореляційного
аналізу та ін..
114
115.
Деякі закордонні фахівці вважають, що для технічного застосуваннянайкраще підходить дослідження частотних характеристик. Для цього
застосовуються спеціальні багатоканальні фільтри (пакет фільтрів). Так,
наприклад, фахівці фірми Philips пропонують 43-канальні фільтри зі смугою
пропускання від 100 Гц до 6,2 кГц. Опитування кожного каналу відбувається
один раз у 18 мс. Ця ж фірма знайшла спосіб зменшити обсяг інформації,
необхідної для аналізу мови. Як показали експерименти, досить 15 каналів при
періоді сканування 27 мс. При цьому кількість інформації зменшується в 2500
разів. Розпізнавання здійснюється порівнянням поточних даних з еталонними
по кожному каналу.
Для запобігання використання магнітного запису голосу справжнього
користувача слова, які необхідно вимовити для перевірки, з'являються на
дисплеї у випадковому порядку. Підробка ж голосу досить складна і доступна
дуже обмеженому колу осіб, які мають відповідні здібності.
Геометрія обличчя
Найцікавіший і найбільш складний спосіб ідентифікації - за обличчям
людини. Однак цей напрям дуже цікавий і досить перспективний. Області його
застосування виходять далеко за рамки систем охорони і несанкціонованого
доступу. Ці системи можуть бути корисними для правоохоронних органів, то
займаються розшуком, для організації і експлуатації баз даних, як для окремої
структури, так і на загальнодержавному рівні.
Ідентифікація по рисах обличчя - один з напрямів, що найбільш швидко
розвиваються в біометричній індустрії. Привабливість даного методу полягає в
тому, що він найбільш близький до того, як ми ідентифікуємо один одного.
Почерк, підпис
Техніка ідентифікації за почерком та підписом привертає велику увагу
фахівців за кордоном. На думку фахівців, такий метод є найбільш зручним для
користувачів. Основним принципом ідентифікації за почерком є сталість
підпису кожного індивідуума, хоча абсолютного збігу, звичайно, не буває.
Основна проблема полягає в розмежуванні звичайних відхилень у дійсному
підписі від підробок. Можливі два підходи. Перший передбачає динамічні
вимірювання під час написання, другий - оптичний аналіз вже готового підпису
Для підтвердження підпису прискорення вимірюються кожні 5-10 мс і
порівнюються з еталонними. Деякі труднощі виникають через те, що інтервал
між ініціалами і прізвищем увесь час міняється. Це вимагає досить складних
обчислень. 3 врахуванням усього вищесказаного еталонний зразок вимагає
об'єму пам'яті порядку 2000 байт
115
116.
Для розпізнавання і підтвердження дійсності підпису використовуютьсядва критерії. Кожна пара X-Y координат досліджується на абсолютне
положення і геометричну відстань між сусідніми точками. Перший критерій
перевіряє відповідність точки можливому положенню на спеціальній дощечці,
другий досліджує інформацію на базі того, що дві справжні сусідні точки
повинні бути розташовані досить близько одна від одної. Будь-яка пара точок,
що задовольняє цій умові, відкидається. Обробка даних передбачає
нормалізацію, що є обов'язковою, тому що розміри і характеристики підписів
завжди трохи різні. Як параметр було обрано середньоквадратичне значення.
Спочатку порівнюються середні значення відхилень по осях X для всього
підпису, обчислюються середньоквадратичні значення сигналів по осях X і Y,
потім координати по X і Y поділяються на відповідні середньоквадратичні
значення.
Глава 13. Найпростіші
та
складні
технічні
засоби,
що
використовуються для захисту інформації
Засоби контролю доступу за пропускними документами.
Типи пропускних документів:
➢
Ключі
➢
Посвідчення з наклеєними фотографіями
➢
Жетони
➢
Коди доступу
➢
Брелки
Все більше місце в наш час займають електронні системи контролю
доступу і апаратура із застосуванням мікропроцесорів і персональних
комп'ютерів їх важливим достоїнством є можливість аналізу ситуації з ведення
звіту.
До розряду електронних систем контролю доступу відносяться системи з
цифровою клавіатурою (кнопкові), картками, електронними ключами. Для
відкривання дверей і клавіатурою (кнопковими замками) треба набрати
правильний буквено-цифровий код. У системах підвищеної захищеності
клавіатура доповнюється системою зчитування ідентифікаційних карт (карток).
У системі контролю доступу за картками ключем є спеціальним образом
закодована картка, яка виконує функцію посвідчення особи службовця і
забезпечує йому прохід в приміщення, куди він має допуск цілодобово або в
певні години.
116
117.
За прогнозами, в найближчі роки невеликі фірми будуть ще цілкомвлаштовувати звичайні замки з ключами. В організаціях з великою кількістю
приміщень, де нараховується понад сотні службовців, значно більш доцільно
застосовувати системи контролю доступу за картками.
Ключі
Незважаючи на появу новітніх засобів контролю доступу, часто, особливо
на невеликих підприємствах, застосовуються механічні замки.
Механічні замки за тривалий час вдосконалення увібрали в себе масу
досягнень технології, конструювання і дизайну.
Традиційний англійський ключ з маркою XТЗ, до якого всі звикли, не
забезпечує необхідної міри захисту Тому у вхідних дверях доцільно
використовувати два замки різних систем.
Замки з циліндровими механізмами підвищеної секретності, які
випускаються вітчизняними виробниками, важче піддаються відмичкам.
Ключ до того замка являє собою половину циліндра з майданчиками
різного нахилу.
Новий циліндровий механізм Hydra випущений фірмою TrioVing. У
циліндрового механізму Hydra фактично три життя. Разом із замком видається
три комплекти ключів. Перший комплект ключів використовується до того
часу, поки є тверда упевненість, що ключі не потрапили в чужі руки і у них
немає дублікатів Коли власник ключів вважатиме, що система не гарантує
повної безпеки, він використовує новий комплект ключів. Особливість
конструкції циліндрових механізмів Hydra полягає в тому, що вони
автоматично перекодовуються, коли власник ключів почне користуватися
новим комплектом ключів. При цьому попередній комплект припиняє діяти.
Після першого перекодування циліндрового механізму замок відмикається або
закривається тільки ключем другого комплекту Цю операцію можна повториш
ще один раз з третім комплектом При цьому замки будуть відкриватися тільки
ключами третього комплекту При використанні замків з циліндричними
механізмами Hydra відпадає необхідність в заміні циліндрового механізму при
утраті або крадіжці ключа. За декілька секунд можна перекодувати циліндр.
Використовуючи циліндри Hydra, власник ключів отримує систему, якою може
управляти самостійно і яка забезпечує повну безпеку. На об'єктах в період
будівництва перекодовані циліндрові механізми особливо ефективні. У цей час
на руках знаходиться велика кількість ключів і неможливо встановити
належний контроль за ними. І по закінченні робіт власник приміщень може сам
провести перекодування циліндрів. Після цього жоден ключ, використаний в
117
118.
період будівництва, не відкриє жодного замки. Таким чином, гарантуєтьсябезпека приміщень.
Посвідчення з наклеєними фотографіями і жетони.
До засобів контролю доступу без застосування електронного обладнання
відносять посвідчення з наклеєною фотографією власника і жетони.
Посвідчення з фотокарткою звичайно видаються службовцям фірми і особам,
щодня її відвідують. Жетони, як правило, використовуються для контролю
доступу епізодичних відвідувачів протягом одного дня або тижня. Посвідчення
особи і жетони можуть застосовуватися разом з засобами контролю доступу за
картками, перетворюючись тим самим в машиночитаємі пропуска на територію
фірми. Для посилення захисту картки з фотографією можуть доповнюватися
пристроями їх зчитування і набором персонального коду на клавіатурі. Па
думку фахівців, картки-жетони і фотографією доцільно використовувати для
захисту проходу в контрольовані області на більш великих підприємствах.
Коди доступу
Для збільшення міри захисту механічні замки об'єднуються з пристроями
набору коду. Для відкривання дверей з таким замком вже недостатньо
наявності тільки ключа. Двері відкриються ключем тільки у разі правильною
набору коду При цьому можна менше побоюватися пропажі ключів, Однак,
якщо інші ключі загублені, треба відразу змінити код замка.
Кодові замки можуть бути механічними і електронними.
Механічні замки мають меншу міру захисту, ніж електронні В простих
механічних кодових замках послідовність набору цифр не має значення Це
зменшує кількість комбінацій набору і зменшує міру захисту таких замків.
Використання тільки механічних кодових замків обмежене через те, що
досить легко визначити цифри коду, що набирається. Зловмисник може нанести
на клавіші набірного поля, наприклад, крейду При наборі коду крейда
стирається на тих клавішах набірного поля, які натискала людина. Якщо при
наборі коду замка дається три спроби, то при коді з трьох цифр замок можна
відкрити з першої спроби. Крім того, код можна підглянути. Тому, при
використанні кодових замків, один з способів підвищення міри захисту періодична зміна коду. При цьому коди не повинні повторюватися. У зв'язку з
цим, в електронних кодових замках встановлюється час набору для
ускладнення спроб підбору коду.
Електронні замки забезпечують більш високу міру захисту в порівнянні з
механічними В електронних замках число комбінацій не обмежене і досягає
900 мільйонів. Крім того, при необхідності суворого контролю відвідування
118
119.
приміщень електронні замки підключаються до систем сигналізації і охорониТакий замок оснащується рідкокристалічним дисплеєм і може програмуватися
для організації умовного доступу в приміщення.
Брелки
Останнім часом найбільше поширення отримали брелки наступних типів
контактні,
- "Тоuch-memory",
- радіобрелки,
- інфрачервоні.
Ідентифікаційні карти
Найбільш поширеними видами ідентифікаційних карт є:
- проксиміти (безконтактні, радіочастотні);
- магнітні;
- карти Віганда,
- штрих-кодові.
Рідше використовуються також перфоровані, голографічні і смарт-карти.
Нижче стисло описані принципи дії, а також достоїнства і недоліки
деяких із ідентифікаційних карт
Безконтактні радіочастотні електронні картки (проксиміти-картки).
Це найбільш зручний в використанні і перспективний на даний момент
тип карт. Вони спрацьовують на відстані і не вимагають чіткого
позиціонування, що забезпечує їх стійку роботу і зручність користувача, високу
пропускну спроможність.
Інформація записується на мікросхемі, що міститься в картці, і може
прочитуватися на відстані до 90 см.
Зчитувач генерує електромагнітне випромінювання певної частоти і, при
внесенні карти в зону дії зчитувача, це випромінювання через вбудовану в
карту антену живить чіп карти. Отримавши необхідну енергію для роботи,
карта пересилає на зчитувач свій ідентифікаційний номер за допомогою
електромагнітного імпульсу певної форми і частоти.
Електронні картки бувають пасивні і активні. Пасивні картки
програмуються один раз при виготовленні. Активні картки можна
перепрограмувати.
Магнітні картки
Найбільш поширений варіант карт.
Інформація написана на магнітному носії. Магнітні смуги (стрічки), на
яких записаний магнітний код. наклеюються на стандартну пластикову карту
119
120.
При ідентифікації необхідно карту плавно простягнути рукою черезщілину зчитувача.
Віганд-картки (картки Віганда)
Названі на ім'я вченого, що відкрив магнітний сплав, який має
прямокутну петлю гістерезіса.
В середині карти розташовані відрізки дроту з цього сплаву,
переорієнтація яких проводиться магнітним полем в процесі виготовлення.
Положення зволікання визначає код, відповідний даній картці. При
переміщенні вздовж зчитуючої головки проводиться зчитування інформації.
Картки і штрих-кодами
Використана відома в торгівлі технологія штрих-коду. Картки можуть
бути надруковані на будь-якому принтері або виготовлені вручну.
Системи автоматизованого контролю доступу.
Дослідження показали, що в години пік контролер контрольнопропускного пункту пропускає до 25 % осіб з дефектними і чужими
пропусками Після чотирьох годин роботи величина помилки зростає до 40%
За допомогою системи контролю доступу (СКД) здійснюється
автоматизований контроль доступу в підохоронні зони (на територію і в
приміщення).
Дії, які повинні бути виконані для організації санкціонованого доступу до
об'єктів і інформації:
1.
Ідентифікація (пізнання) осіб (виявлення осіб, доступ яким
дозволений).
2.
Здійснення пропускання на об'єкт осіб, доступ яким дозволений. За
допомогою систем санкціонованого доступу можна організувати допуск на
територію певних осіб і в певний час вирішувати такі задачі, як
✓
облік робочою часу,
✓
швидке визначення місцезнаходження співробітника,
✓
управління ліфтами, освітленням, вентиляцією і т.д..
Системи контролю доступу можна розділити на автономні і мережеві.
Автономні СКД призначені для управління одним або декількома
виконавчими пристроями без передачі інформації на центральний пункт
охорони і без контролю з боку оператора.
Мережеві СКД призначені для управління виконавчими пристроями і
обміном інформацією з центральним пунктом охорони і контролем.
управлінням системою з боку чергового оператора.
Системи контролю доступу складаються з таких блоків:
120
121.
пристрій ідентифікації (зчитувач),контролер;
виконавчий пристрій.
Пристрої ідентифікації (зчитувачі)
Пристрій ідентифікації (зчитувач) зашифровує інформацію, записану на
картках або ключах різних типів, і передає їм в контролер, частіше за все у
вигляді цифрової послідовності.
Ці пристрої розташовуються безпосередньо біля дверей і інших точок
проходу, що обмежують переміщення (турнікет, шлюз і ті). Крім того, вони
можуть виконувати ряд таких функцій, як управління відкриванням дверей,
контроль часу відкриття дверей, контроль однієї зони охорони.
Саме зчитувач і визначає зовнішній вигад і основні експлуатаційні
характеристики всієї системи.
Основні види зчитувачів:
✓
для зчитування з клавіатури і т.п.,
✓
зчитувачі штрих-кодів;
✓
для зчитування інформації з брелків різного типу;
✓
для зчитування інформації з ідентифікаційних карт різного типу;
✓
біометричні зчитувачі (при ідентифікації за біометричними
ознаками)
Зчитувачі можна поділити на контактні безконтактні.
Контролери
Контролер - пристрій, що виробляє сигнали дозволу доступу на основі
інформації, що надійшла від зчитувача. Один контролер може отримувати
інформацію від 2-8 зчитувачів.
Контролер необхідний для управління зчитувачами і виконавчими
пристроями. Він приймає рішення про доступ конкретного користувача, що
пред'явив засіб ідентифікації, через конкретну точку проходу в конкретний час
на основі інформації про конфігурацію системи і права користувачів системи
обмеження доступу, що зберігається в ньому.
Просте впізнання користувача
Найбільш поширеною і просто реалізованою процедурою є впізнання за
кодом або паролем. Під кодом (паролем) розуміється деяка послідовність
символів, що зберігається в секреті і пред'являється при зверненні до системи.
Коди (паролі) всіх підлягаючих розпізнаванню користувачів та пристроїв
зберігаються в ОП тій АС, в якій здійснюється процедура впізнання. Символи
паролю
(коду)
вибираються
випадково.
Однак
найважливішою
-
121
122.
характеристикою пароля є його довжина, оскільки при малій довжині можназдійснити перебір всіх можливих значень і таким чином отримати
несанкціонований доступ до системи.
Існує реальна можливість перехоплення пароля в процесі його передачі
по лінії зв'язку. Для усунення такої небезпеки можна вдатися до шифрування
пароля (коду). Однак при цьому виникають додаткові труднощі, пов'язані з
вибором, розподілом, зберіганням і використанням ключів, оскільки знання
зловмисником системи шифрування і використовуваних ключових установок
зводить нанівець ефект шифрування.
При роботі з паролями повинна дотримуватися і така міра обережності, як
попередження їх роздруківки або виведення на екран дисплеїв. При цьому
розуміється, що повинні бути прийняті особливо ретельні й ефективні заходи
захисту паролів і кодів в ОП АС.
Ускладнена процедура впізнання
Для підвищення ефективності впізнання за паролем (кодом) можуть
використовуватися різні ускладнені процедури: модифікація системи простих
паролів, виконання методу "запит - відповідь" і застосування методу
перехресного впізнання.
Найбільш поширеними методами модифікації схеми простих паролів є
випадкова вибірка символів пароля і одноразове використання паролів. При
використанні першого методу кожному користувачеві (влаштуванню)
виділяється достатньо точно довгий пароль (код), причому кожен раз для
впізнання використовується не весь пароль, а деяка його частина, обрана
випадковим чином. У цьому випадку в процесі пізнавання АС запитує в
користувача не весь пароль, а деякі його символи, причому кількість символів і
їх порядкові номери в паролі визначаються АС за допомогою датчика
випадкових чисел, щоб при кожному впізнанні вони змінювалися випадковим
чином.
При одноразовому використанні паролів кожному користувачеві
виділяється не один, а більше паролів, кожен з яких використовується лише
один раз. Паролі можуть вибиратися послідовно за списком або за схемою
випадкової вибірки. Цьому методу притаманні такі недоліки:
• користувач повинен пам'ятати всі паролі і їх послідовність (що при
великому числі паролів вельми скрутно) або мати при собі їх список (що
загрожує можливістю їх втрати або випадкового підглядання зловмисником);
• якщо пароль переданий з помилкою, користувач буде, знаходиться у
скрутному становищі при виборі подальших дій: чи повторити колишній
122
123.
пароль або використовувати наступний. Якщо при кожній помилцівикористовувати наступний пароль, то повний список паролів повинен бути
достатньо великим, а при повторному використанні одного і того ж паролю
порушується принцип одноразовості, крім того, пароль в такій ситуації може
бути перехоплений зловмисником;
• при великій кількості користувачів для генерації списку паролів
необхідно використовувати генератори випадкових послідовностей, що в
принципі дозволяє зловмисникові відновити паролі за допомогою
статистичного аналізу.
При використанні методу "запит - відповідь" в пам'яті АС завчасно
створюється і особливо захищається масив питань, що включає в себе питання
загального характеру, так і персональні питання, що відносяться до
конкретного користувача. Для розпізнавання користувача АС послідовно
ставить перед ним ряд випадково обираних питань, на які користувач повинен
дати відповідь. Розпізнавання вважається позитивним, якщо у відповідях
користувача число помилок не перевищує заданого порогу.
Метод перехресного впізнання полягає в тому, що процедура впізнання
повторюється періодично в процесі роботи користувача, причому моменти
повтору процедури вибираються випадково. При цьому кожен раз можуть
використовуватися різні особисті методи розпізнання.
Методи особливого надійного розпізнання
Особливо надійне впізнання повинно використовуватися в разі обробки
інформації підвищеної секретності, особливо в разі роботи в режимі
віддаленого доступу. При цьому використовуються суто індивідуальні
характеристики людини: голос, відбиток пальців, сітківка ока, малюнок,
особистий підпис і т.п.
Реалізація методів пізнання по перерахованим характеристикам
сполучена з вирішенням двох груп проблем: проблеми зняття індивідуальних
характеристик людини в процесі розпізнавання та проблеми аналізу та обробки
отриманих характеристик.
При пізнанні користувача по голосу в пам'яті АС заздалегідь формується
еталон його голосу, для чого користувач повинен вимовити перед мікрофоном
задану сукупність фраз. В процесі впізнання АС порівнює вимовлені фрази з
еталонними і приймає рішення про пізнання.
Надійність розпізнавання по голосу в ідеальних умовах досить висока,
але на неї справляють значний вплив такі чинники, як зміна голосу при застуді
та деяких інших захворюваннях (а можливо і просто від втоми), можливість
123
124.
імітації голосу зловмисником. З цих причин впізнання по голосу до останньогочасу не набуло широкого розповсюдження.
Впізнання за відбитками пальців і по сітківці ока, найбільш традиційний
метод пізнання, заснований на загальновідомому факторі, що відбитки і
сітківка є строго індивідуальними характеристиками людини. При належній
обробці відбитків і сітківки надійність впізнання може бути досить високою.
Схема процедури розпізнавання для цього випадку зрозуміла і загальновідома.
Основну працю при вирішенні цього завдання складає перетворення малюнків
відбитків пальців і сітківки ока в цифрову форму для подальшої їх обробки на
ЕОМ. Розробка та реалізація програмного забезпечення для вирішення цього
завдання не представляє особливих труднощів.
Впізнання по довжині пальців грунтується на менш очевидному і менш
відомому факті - довжина пальців, і співвідношення довжин окремих пальців
також є індивідуальними характеристиками людини. Вимірювання довжини
чотирьох пальців (без великого) дозволяє впізнати людину з імовірністю не
нижче 95%. У той же час пристрій для вимірювання довжини пальців є
настільки простим, що їм можна обладнати навіть невеликі термінали
користувачів.
Впізнання по фотографії пов'язано з наявністю в будові особи стійких
індивідуальних характеристик, сукупність яких не може бути імітована навіть
при гримуванні. У цю сукупність входять: будова і розташування вух,
геометричні співвідношення рис обличчя, знятого в анфас і в профіль,
геометричні параметри положення очей і т.п.
Аналогічно наведеним вище методом може проводиться впізнання по
особистому підпису, причому в системах такого типу використовуються не
тільки геометричні характеристики підпису, але й динамічні характеристики
процесу її написання. Ці параметри також утворюють сукупність
характеристик, що дозволяють досить надійність але зробити впізнання
користувача.
Слід зазначити, що високу надійність впізнання може забезпечити тільки
комбінована система, що використовує кілька різних методів, хоча вона і буде
достатньо складною і дорогою.
Методи розпізнання АС і її елементів користувачем
Таке впізнання необхідно для того, щоб користувач міг переконатися в
тому, що надані йому ресурси є саме ті, які призначені для роботи з ним, а не є
помилковими, фальсифікованими зловмисником для отримання секретних
даних, у тому числі і паролів.
124
125.
Розпізнавання користувачем системи та її окремих елементів такожможна здійснювати за допомогою паролів, тільки в цьому випадку сама система
буде пред'являти свій код (пароль) користувачеві. Цілком очевидно, що
користувач повинен знати такий пароль заздалегідь. Такий метод впізнання при
великому числі користувачів не може бути надійним.
Найбільш ефективним методом вирішення розглянутої задачі в даний час
вважається реалізація так званої "схеми рукостискання". При її реалізації
зазделегідь вибирається не дуже складне, але далеко не тривіальне
перетворення А (х, кt), де х - аргумент, а кt - ключ, що залежить від поточного
часу. Це перетворення повинно міститися в секреті, але бути відомим
користувачеві, і системі. Користувач разом із запитом на роботу посилає
вибране ним значення аргументу х (наприклад, своє ім'я). Система обчислює Ас
(х, кt) і посилає це значення користувачеві. Користувач обчислює Ап (х, кt).
Якщо Ас = Ап, упізнання вважається позитивним ("рукостискання відбулося").
Така схема впізнання може бути досить ефективною навіть при великому
числі користувачів, оскільки для кожного користувача неважко підібрати
окреме перетворення. Особливо просто реалізується режим "рукостискання"
при наявності шифрувальної апаратури, що сполучається як з терміналом, так і
з АС. Тоді в якості перетворення А (х, кt) може використовуватися
криптографічне перетворення, що реалізується в наявній криптографічній
системі.
Глава 14. Побудова систем технічного захисту інформації
Методологія системного аналізу – наука, що займається проблемою
прийняття рішень в умовах аналізу великої кількості інформації різної природи.
Методологія системного аналізу включає основні означення:
Елемент – деякий об’єкт (матеріальний, енергетичний, інформаційний), що
володіє рядом важливих для захисту властивостей, але внутрішня побудова не
має відношення до цілей розгляду.
Зв’язок – важливий для розгляду обмін між елементами речовиною,
енергією, інформацією.
Система – сукупність елементів, що має такі ознаки:
- зв’язки, що дозволяють за допомогою переходів по них від елемента до
елемента з’єднати два будь-яких елементи в сукупність;
- властивості, відмінні від властивостей окремих елементів сукупності.
Практично будь-який елемент із певної точки зору може бути розглянутим
як система.
125
126.
Велика система – система, що включає значне число однотипних елементіві однотипних зв’язків.
Структура системи – розчленування системи на групи елементів із
указівкою зв’язків між ними, незмінне на весь час розгляду, яке дає уявлення
про систему в цілому. Зазначене розчленування може мати матеріальну,
алгоритмічну або іншу основу. Структура системи може бути охарактеризована
за наявними у ній типами зв’язків. Найпростішім з них є послідовне,
паралельне з’єднання і зворотний зв’язок.
Структурно-складна система (складна система) – система, що складається з
елементів різних типів і має різнорідні зв’язки між ними.
Декомпозиція – розподіл системи на частини, зручні для будь-яких
операцій з цією системою. Приклади декомпозицій: розподіл об’єкта на окремо
проектовані частини, зони обслуговування; розгляд фізичного явища або
математичний опис окремо визначеної частини системи.
Ієрархія – структура з наявністю підпорядкованості, тобто нерівноправних
зв’язків між елементами, коли дія в одному з напрямків зумовлює набагато
більший вплив на елемент, чи в іншому. Види ієрархічних структур
різноманітні, але найбільш важливі дві – деревоподібна і ромбовидна.
Операція – будь-який захід (система дій), об’єднаний єдиним задумом і
спрямований на досягнення певної мети.
Мета дослідження операцій – попереднє кількісне обґрунтування
оптимальних рішень.
Усякий визначений вибір залежних від нас параметрів називається
рішенням. Оптимальним називається рішення, по тим чи іншим ознакам
кращим за інші.
Параметри, сукупність яких утворюється рішення, називається елементами
рішення.
Множиною допустимих рішень називаються задані умови, які фіксовані і
не можуть бути порушені.
Показник ефективності – кількісна міра, що дозволяє порівнювати різні
рішення по ефективності.
Принципи системного підходу – це положення загального порядку, які є
узагальненням досвіду роботи людини зі складними системами. Іх часто
вважають ядром методології. Відомо біля двох десятків таких принципів, з яких
можна розглянути наступні:
- принцип кінцевої цілі: абсолютний пріоритет кінцевої цілі;
126
127.
- принцип єдності: спільний розгляд системи як цілого і як сукупностіелементів;
- принцип зв’язності: розгляд будь-якої частини разом з іїзв’язками з
оточенням;
- принцип модульної побудови: корисним є виділення модулів у системі
і розгляд ії як сукупності модулів;
- принцип ієрархії: корисним є введення ієрархії елементів та (або) їхнє
ранжування;
- принцип функціональності: спільний розгляд структури і функції з
пріоритетом функції над структурою;
- принцип розвитку: врахування змінюваності системи, ії здатності до
розвитку, розширення, заміни частин, накопиченню інформації;
- принцип децентралізації: вплив на кінцевий елемент з вершини ієрархії
мінуючи проміжні елементи.
З урахуванням викладених означень та принципів, процес оптимального
проектування систем захисту інформації можна визначити як процес вибору
структури параметрів таким чином, щоб вибрати рішення, яке забезпечує
досягнення максимального значення показника ефективності.
З урахуванням викладених основних принципів системного аналізу, можна
сформулювати загальні підходи до створення систем захисту інформації – як
структурно-складних систем:
- встановлення границі системи, яка підлягає проектуванню, тобто
представлення системи у вигляді деякої ізольованої частини реального світу;
- вибір внутрішньо системних незалежних змінних, котрі повинні
адекватно описувати допустимі параметри або умови функціонування системи і
сприяти тому, щоб усі найважливіші техніко-економічні вимоги знайшли
відображення у формулюванні задачі;
- побудова моделі, яка описує взаємозв’язки між змінними задачі і відбиває
вплив незалежних змінних на значення показника ефективності;
- визначення показника ефективності, на основі якого можна оцінити
характеристики системи або ії проекту для того, щоб виявити «найкращій»
варіант або множину «найкращих» умов функціонування системи, яка
проектується;
- формування множини альтернативних проектних варіантів і розв’язання
оптимізаційної задачі, результатом якої є вибір проектної системи, оптимальної
за обраними показниками ефективності ії функціонування.
127
128.
Встановлення границі системи, яка підлягає проектуванню, тобтопредставлення системи у вигляді деякої ізольованої частини реального світу.
Чітке визначення границь системи, яка досліджується або проектується дає
можливість розмежувати множини елементів самої системи і їх властивостей, а
також множини зовнішніх впливів (загроз), в умовах яких здійснюється аналіз і
проектування системи.
Важливо відзначити, що розширення границь системи підвищує
розмірність і складність багатокомпонентної системи, якою є система захисту
інформації і, тим самим, ускладнює ії аналіз. Отже важно прагнути до
декомпозиції такої складної системи на підсистеми, які можна вивчати окремо
без зайвого спрощення реальної ситуації.
Вибір внутрішньо системних незалежних змінних, котрі повинні
адекватно описувати допустимі параметри або умови функціонування
системи і сприяти тому, щоб усі найважливіші техніко-економічні вимоги
знайшли відображення у формулюванні задачі.
Серед властивостей систем, які відбиваються в описах на певному
ієрархічному рівні, розрізняють властивості систем, елементів систем і
зовнішнього середовища, у якому має функціонувати об’єкт. Кількісний вираз
цих властивостей здійснюється за допомогою параметрів (вхідних, вихідних,
внутрішніх і зовнішніх).
Побудова моделі, яка описує взаємозв’язки між змінними задачі і відбиває
вплив незалежних змінних на значення показника ефективності.
У самому загальному випадку структура моделі включає основні рівняння
матеріальних і енергетичних балансів, співвідношення, які пов’язані з
проектними рішеннями, рівняння, що описують фізичні процеси, які
протікають у системі, нерівності, що визначають область припустимих значень
незалежних змінних і встановлюють ліміти наявних ресурсів. Елементи моделі
містять всю інформацію, яка звичайно використовується при розрахунку
проекту або прогнозуванні характеристик системи. Очевидно, процес побудови
моделі є дуже праце ємним і вимагає чіткого розуміння специфічних
особливостей системи, яка розглядається.
Моделі можуть бути фізичними (різного роду макети, стенди) і
математичними. Математична модель – сукупність математичних об’єктів
(чисел, змінних, векторів, множин тощо) і відношень між ними.
Математична модель об’єкта (системи) можуть бути функціональними,
якщо вони відбивають фізичні або інформаційні процеси, які протікають у
об’єкті (системі), що моделюється, та структурними, якщо вони відбивають
128
129.
тільки структурні (в окремому випадку геометричні) властивості об’єктів.Функціональні моделі об’єкта (системи) частіше за все являють собою системи
рівнянь, а структурні моделі об’єкта (системи) – це графи, матриці і т.п.
Математичну модель об’єкта (системи), яку отримано безпосереднім
об’єднанням математичних моделей елементів у загальну систему називають
повною математичною моделлю. Спрощення повної математичної моделі
об’єкта дає його макромодель.
Якщо позначити через X, E і Y вектори відповідно внутрішніх, зовнішніх і
вихідних параметрів, то очевидно, що Y є функцією X і E. Якщо ця функція
відома і може бути представлена в явній формі
, то ії називають
аналітичною моделлю.
Часто використовуються алгоритмічні моделі, у яких функція
задається у вигляді алгоритму.
Наявність такої математичної моделі дозволяє легко оцінювати вихідні
параметри по відомим значенням векторів X і E. Однак, існування залежності
не означає, що вона відома розробнику і може бути представлена
саме в такому вигляді щодо векторів Y і X. Як правило, математичну модель у
такому вигляді вдається одержати для дуже простих об’єктів.
Більш складний вид математичної моделі:
де X – вектор внутрішніх параметрів; E – вектор зовнішніх параметрів
системи; V – вектор незалежних змінних, які визначають вплив на систему
невідомих факторів (загроз); P – вектор заданих, заздалегідь відомих
параметрів системи, якими можна варіювати.
Визначення показника ефективності, на основі якого можна оцінити
характеристики системи або ії проекту для того, щоб виявити «найкращій»
варіант або множину «найкращих» умов функціонування системи, яка
проектується.
В інженерних застосуваннях звичайно, як показники ефективності,
вибирають показники економічного (витрати, прибуток і т.п.) або
технологічного (продуктивність, енергоємність, матеріалоємність і т.п.)
характеру. Найкращому варіанту системи завжди відповідає екстремальне
значення показника ефективності функціонування системи.
Вибір показників і критеріїв якості функціонування складної системи, яка
проектується, представляє важку проблему системного проектування, ії
129
130.
рішення лежить поза сферою математики. Практика показує, що вибірпоказників ефективності і критеріїв якості (критеріїв оптимальності) звичайно
здійснюється на основі досвіду, інтуїції, аналогії, тобто евристичних методів, і
в багатьох випадках є свого роду мистецтвом дослідника.
При цьому, якщо формалізований процес можна перевірити, півторити й у
подібних ситуаціях одержати той самий результат, то евристичні методи не
мають цю властивість. І проте вони також знаходять широке застосування.
Необхідність їхнього застосування продиктована невмінням або неможливістю
формалізувати проблему. Це відноситься і до вибору критеріїв якості
функціонування проектної системи.
Практика показала, що й у цьому випадку при застосуванні евристичних
методів можуть бути отримані гарні результати. Це особливо важливо при
вивченні і проектуванні систем захисту інформації, тому що встають
надзвичайно великі труднощі і складності в науковому обґрунтуванні критеріїв
оцінки якості функціонування системи, а також в узгодженні критерію для всієї
системи з критеріями для ії окремих частин (елементів).
Проблема обґрунтування критеріїв при системному проектуванні полягає у
встановленні ознак показників, по яким можуть бути виконані порівняння і
вибір кращого варіанта побудови системи.
Процедура вибору показників ефективності (і критеріїв якості) не може
бути алгоритмізована. Кожній системі відповідає множина критеріїв і
визначення, вибір найбільш придатних з них ставить творчу задачу. Очевидно,
рішення цієї задачі буде полегшено, якщо керуватися загальними підходами і
вимогами до критеріїв.
Основний принцип вибору показників ефективності сформульований ще
академіком Колмогоровим: показник ефективності повинен суворо відповідати
меті, яка повинна бути досягнута в результаті тих чи інших дій. Отже, під
ефективністю системи (процесу, прийнятих технічних рішень) розуміється
ступінь пристосованості системи до виконання поставленої задачі. Показник
ефективності, таким чином, повинен кількісно визначити міру відповідності
результатів функціонування системи поставленій задачі. Крім того, показник
ефективності повинен задовольняти ряду інших вимог для використання його в
системних дослідженнях: відповідати ієрархічній структурі побудови системи,
враховувати вплив всіх основних параметрів, дозволяти порівняння варіантів
побудови системи і т п.
Система захисту інформації розраховується на застосування в широкому
діапазоні умов, тому треба обирати раціональний варіант ії побудови, що
130
131.
задовольняє заданому діапазону умов ії застосування, деякі з яких можуть бутище невідомі. У цьому випадку завдання полягає у виборі такого
альтернативного рішення, що не будучі суворо оптимальним для однієї умови виявляється найбільш прийнятним для всього діапазону умов.
Узагальнюючі усе викладене, коротко можна сформулювати такі вимоги
до показників ефективності функціонування структурно-складних систем –
таких як система захисту інформації:
1. Відповідати меті, що повинна бути досягнута при використанні за
призначенням.
2. Допускати математичний (формальний) опис і кількісно визначати міру
відповідності досягнутого результату поставленій меті (об’єктивно
характеризувати ступінь виконання тієї задачі, для вирішення якої
призначається ці система захисту).
3. Досить повно відбивати істотні сторони проектної системи (тобто бути
представницьким стосовно ії основних характеристик і параметрів, що
варіюються), бути чуттєвим до змін технічних характеристик і параметрів, що
варіюються, раціональні значення яких потрібно визначити для різних умов
застосування системи.
4. Показувати рівень досягнутої науково-технічної досконалості системи
(характеризувати, у якій ступені ефективність відповідної системи захисту
відрізняється від гранично можливої – оптимальної або від ефективності
аналогічних найкращих варіантів побудови системи).
5. Бути простими, по можливості, наочними і доступними для сприйняття
за фізичним змістом, порівняно легко обчислюваними та аналізованими.
6. Відповідати ієрархічній схемі побудови системи.
7. Бути адекватними (враховувати найважливіші властивості, зовнішні
умови, внутрішньоструктурні зв’язки, специфіку розв’язаної задачі, способи
використання і взаємодії засобів системи та інших факторів).
8. Бути однозначними у статистичному сенсі (мати малу дисперсію).
9. Дозволяти оцінювати ефективність різних альтернативних варіантів
побудови системи, встановлювати відношення упорядкованості і т.п.
Для того, щоб показник задовольняв, основний принцип його формування
та інші зазначені вимоги, він повинен, насамперед, враховувати всі основні
особливості і властивості системи, а також ії функціонування і взаємодію з
зовнішнім середовищем. Показник ефективності залежить від структури
системи, ії параметрів, характеру і впливу на систему середовища і багатьох
інших зовнішніх і внутрішніх факторів, що визначають функціонування
131
132.
системи. Отже, показник ефективності є функціоналом процесуфункціонування системи.
Як правило, процеси в системі мають випадковий характер, тому показник
ефективності роботи системи захисту інформації також є випадковою
величиною. Тільки в окремих випадках користуються критеріями в
детермінованому вигляді.
Загальний вираз для показника ефективності визначається через наступні
позначення: Р – задані, заздалегідь відомі, але такі, що варіюються, параметри
системи; Х – реальні параметри, які розраховуються, що характеризують стан
системи (звичайно рішення знаходяться у припустимій області:
); E –
умови функціонування; V – невідомі фактори. Таким чином, для показника
ефективності системи це співвідношення має вигляд:
У загальному випадкуV- невизначеності, а, отже і Q- невизначена величина
і задача оптимального проектування системи втрачає визначеність. Перед
проектувальником стає задача: розробити систему так, щоб комплекс
показників якості системи, частина яких складає Q, приймав найкраще
значення. Отже, стає задача: що обрати за Q. Щоб зробити це, розробнику треба
чітко визначити: чого він вимагає від системи, яку задачу повинна вирішувати
система, тобто, форма показника ефективності, перш за все, залежить від
задачі, яку розв’язує система.
Формування множини альтернативних проектних варіантів і розв’язання
оптимізаційної задачі, результатом чого є вибір варіанта проектованої системи,
оптимального за обраними показниками ефективності ії функціонування.
Задачі, які розв’язані на цьому етапі проектування системи поділяються на
задачі синтезу та аналізу. Задачі синтезу пов’язані з отриманням проектних
варіантів, а задачі аналізу – з їхньою оцінкою.
Для кожного нового варіанта структури повинна корегуватися або заново
складатися модель і виконуватися оптимізація параметрів. Сукупність процедур
синтезу структури, складання моделі й оптимізації параметрів складають
процедуру синтезу об’єкта.
Розрізняють синтез параметричний і структурний. Мета структурного
синтезу – отримання структури об’єкта, тобто складу його елементів і способів
зв’язку між собою.
132
133.
Мета параметричного синтезу – визначення числових значень параметрівелементів. Якщо ставиться задача визначення найкращих у деякому змісті
структури та (або) значень параметрів, то така задача синтезу називається
оптимізацією. Часто оптимізація пов’язана тільки з параметричним синтезом,
тобто з розрахунком оптимальних значень параметрів при заданій структурі
об’єкта. Задачу вибору оптимальної структури називають структурною
оптимізацією.
Задачі аналізу під час проектування є задачами дослідження моделі
проектованого об’єкта.
На параметри, що характеризують стан системи X, як і на структуру
проектної системиS, можуть бути накладені певні обмеження Ох, Оs. В окремих
випадках можуть бути накладені обмеження на значення показника
ефективності (критерію якості) ОК. Система, яка задовольняє сукупності
вхідних даних
, має назву допустимої; сукупність таких систем
складає множину допустимих варіантів {МД}.
Допустима система, що задовольняє одночасно й обмеженням на критерії
якості К:
називається суворо допустимою, а їх множина – множиною суворо
допустимих варіантів {МСД}.
З усіх допустимих (суворо допустимих) система, що має найкраще (у
певному сенсі) значенням показника ефективності К, називається оптимальною
системою Sопт(So).
Задача пошуку оптимальної системи може бути сформульована в такий
спосіб: з множини можливих або припустимих (суворо припустимих) варіантів
системи Sзнайти таку систему So, що задовольняє сукупності вхідних даних
(E,X,K,Ox,Оs,Ок) і має при цьому найкраще значення показника якості К.
У випадках, коли як показник ефективності (і, відповідно критерій якості
К) приймає будь-який один показник, говорять про просте розв’язаннязадачі
оптимізації – склярну оптимізацію; у тих випадках, коли якість системи
характеризується комплексом показників kγ (γ = 1, …, М), говорять про складне
розв’язання задачі – про векторну оптимізацію (векторний синтез).
Методи розв’язання задачі, в основному, залежать від виду функцій
(функціоналів) виду обмежень, що накладаються на область можливих
параметрів і структур системи.
133
134.
Оптимізаційні задачі, які розв’язані в процесі оптимального проектування,звичайно поділяються на два класи:
Перший клас задач: на досягнення екстремального, оптимального значення
певної величини, яка оцінює кінцевий результат (ефект) функціонування
системи.
Другий клас задач на досягнення певного результату: система повинна
забезпечувати певний заданий результат (заданий ефект); який може бути
отримано або не отримано.
З урахуванням викладеного, за умови вибору як показників ефективності
системи сукупності досягнутого рівня захищеності оброблюваної інформації і
понесених витрат на створення систем захисту інформації, можна навести такі
формулювання прямої і зворотної задачі оптимального проектування систем
захисту інформації в інформаційно-телекомунікаційних системах (ІТС).
Постановка прямої задачі оптимального проектування систем захисту
інформації: спроектувати систему захисту інформації в ІТС, які забезпечує
максимальний рівень захищеності інформації (максимальну імовірність
збереження захищеності інформації, мінімальну імовірність НСД) при заданому
обмеженні на вартісні показники системи:
Постановка зворотної задачі оптимального проектування СЗІ в ІТС:
спроектувати СЗІ в ІТС, яка забезпечує заданий рівень захищеності інформації
(імовірність збереження захищеності інформації, не нижче, ніж задана) при
мінімальних показниках системи:
При розробці і побудові комплексних систем захисту інформації в
комп’ютерних системах необхідно притримуватися визначених методологічних
принципів проведення досліджень, проектування таких систем. Системи
захисту інформації відносяться до класу складних систем і для їх побудови
можуть використовуватися основні принципи побудови складних систем з
врахуванням специфіки задач, які вирішуються:
паралельна
розробка
автоматизованих
систем,
інформаційнотелекомунікаційних систем та систем захисту інформації;
системний підхід до побудови захищених систем;
многорівнева структура систем захисту інформації;
134
135.
централізоване управління систем захисту інформації;блочна архітектура захищених систем;
можливість розвитку систем захисту інформації;
сумісність програмного обладнання захищених систем с користувачами
та обслуговуючим персоналом.
Паралельна розробка автоматизованих систем, та систем захисту
інформації.
Перший принцип вимагає проведення одночасної паралельної розробки
захищених систем та механізмів захисту. Тільки в цьому випадку можливо
ефектно забезпечувати реалізацію всіх інших принципів. Причому в процесі
розробки захищених систем повинен виконуватися розумний компроміс між
створенням вбудованих механізмів захисту та блочних уніфікованих засобів і
процедур захисту. Тільки на етапі розробки захищених систем можливо
повністю врахувати взаємний вплив блоків і засобів захищеної системи і
механізмів захисту, добитися системності захисту оптимальним чином.
Системний підхід до побудови захищених систем.
Принцип системності є одним з основних концептуальних і
методологічних принципів побудови захищених систем. Він визначає:
аналіз усіх можливих загроз безпеки інформації;
забезпечення захисту на усіх циклах життя об’єкту;
захист інформації в усіх ланцюгах об’єкту;
комплексне використання механізмів захисту;
Потенційні загрози з’являються в процесі створення і використання
моделі загроз. В результаті досліджень повинні бути отримані дані про можливі
загрози безпеки інформації, про ступінь їх небезпеки і вірогідності реалізації.
При побудові систем захисту інформації враховуються потенційні загрози,
реалізація яких може привести до ущербаі вірогідність таких подій не є
близькою до нулю.
Захист ресурсів захищеної системи повинна виконуватися на етапах
розробки, виробництва, експлуатації і модернізації – тобто життєвого циклу
системи а також по всьому технологічному ланцюгу вводу, обробки, передачі,
зберігання та видачі інформації. Реалізація цих принципів дозволяє забезпечити
створення систем захисту інформації, в якої відсутні слабкі ланцюги на усіх
етапах життєвого циклу захищеної системи.
Механізми захисту, які використовуються при побудові захищених
систем, повинні бути взаємопов’язані по місту, часу і характеру
дії.Комплексність розуміється, як застосування в оптимальному поєднанні
135
136.
різних методів і засобів захисту інформації: технічних, програмних,криптографічних, організаційних і правових. Будь-яка, проста або складна
система захисту інформації повинна бути комплексною.
Многорівнева структура систем захисту інформації.
Цій принцип предполагає декілька рівнів, які перекривають один одного,
тобто такі системи необхідно будувати по принципу матрешек. Щоб дійти до
захищеної інформації, зловмиснику необхідно ”зламати” усі рівні захисту
(рис. 11).
Наприклад, для окремого об’єктузахищенноїсистемиможливовиділити 6
рівнів (перешкод)захисту:
1. Охорона по периметру території об’єкту.
2. Охорона по периметру будівлі.
3. Охорона приміщень.
4. Захист апаратних засобів.
5. Захист програмних засобів.
6. Захист інформації.
інформація
Рівні захисту
Рис. 11. Багаторівнева комплексна система захисту інформації
Централізоване управління систем захисту інформації.
Комплексні системи захисту інформації повинні мати централізоване
управління. В розподілених системах управління захистом виконується по
ієрархічному принципу. Централізація управління захистом інформації
пояснюється необхідністю проведення єдиної політики в області небезпеки
інформаційних ресурсів в межах підприємства, організації. Для реалізації
централізованого управління в системах захисту повинні бути спеціальні
засоби дистанційного контролю, розподілу ключів, розгородження доступу,
виготовлення атрибутів ідентифікації, тощо.
Блочна архітектура захищених систем.
136
137.
Одним з важливих принципів побудови захищених систем є використанняблочної архітектури. Застосування цього принципу дозволяє отримати цілий
ряд переваг:
спрощення розробки, контролю і верифікації засобів (програм, алгритмів);
можлива паралельність розробки блоків;
використання уніфікованих стандартних блоків;
спрощується модернізація систем;
простота експлуатації.
Базуючись на принципі блочної захищеної системи, можна представити
структуру ідеальної захищеної системи. В такій системі мається мінімальне
ядро захисту, яке відповідає нижньому кордону захищеності систем
визначеного класу (наприклад ПЕОМ). Коли системі необхідно забезпечити
більш вищий рівень захисту, то це досягається узгодженим підключенням
апаратних блоків або інсталяції додаткових програмних засобів.
В випадку необхідності можуть бути використані більш удосконалені
блоки захищеної системи, щоб не допустити зниження ефективності
застосування системи по прямому призначенню. Це пояснюється споживанням
частини ресурсів захищеної системи блоками захисту, які вводяться.
Стандартні вхідні і вихідні інтерфейси блоків дозволяють спростити
процес модернізації систем захисту інформації, альтернативно використовувати
апаратні або програмні блоки. В цьому проглядається аналогія з сімірівневою
моделлю OSI.
Можливість розвитку систем захисту інформації.
При побудові складних систем необхідно розглядати можливість їх
розвитку в напрямках збільшення числа користувачів і нарощування
можливостей мереж під час удосконалення інформаційних технологій.
З цією метою при побудові захищених систем визначається запас ресурсів
по відношенню з потребами на момент розробки. Найбільший запас
виробництва необхідно розглядати для найбільш консервативної частини
складних систем – каналів зв’язку. Частина резерву ресурсів систем може бути
необхідною під час розвитку систем захисту інформації. На практиці резерв
ресурсів, який пропонувався на етапі розробки, вичерпується вже на момент
повного вводу до експлуатації складних систем. Тому під час розробки
захищених систем закладається можливість модернізації системи. В цьому
смислі складні системи повинні бути відкритими та такими, які постійно
розвиваються. Термін відкритості відноситься також до захищених систем.
Причому механізми захисту постійно удосконалюються та потребують
137
138.
нарощування ресурсів захищених систем. Нові можливості, режими роботисистем, а також надходження нових загроз в свою чергу стимулюють розвиток
нових механізмів захисту. Важливе місце в процесі створення відкритих систем
грають міжнародні стандарти в області взаємодії засобів, підсистем. Вони
дозволяють використовувати підсистеми різних типів, які мають стандартні
інтерфейси взаємодії.
Сумісність програмного обладнання захищених систем с користувачами
та обслуговуючим персоналом.
Комплексна система захисту інформації повинна бути сумісною по
відношенню до користувачів і обслуговуючого персоналу. Вона повинна бути
максимально автоматизованою і не повинна вимагати від користувача
виконувати значнихоб’ємів, якіпов’язані з системою захистуінформації.
Комплексна система захисту інформації не повинна створювати перешкоди в
виконанні користувачем своїх функціональних обов’язків. В системі захисту
інформації необхідно закласти дії зняття захисту у зв’язку з відмовою засобів
для відновлення їх працездатності.
Запитання для самоконтролю
1.
Міри, що входять у комплексну систему захисту інформації?
2.
Що відноситься до показників першого та другого виду?
3.
Основні переваги та недоліки забезпечення інформаційної безпеки?
4.
Класифікація інформаційних систем за функціональним призначення?
5.
Класифікація програмних засобів захисту?
6.
Недоліки програмних засобів захисту?
7.
Класифікація криптографічних методів захисту?
8.
Вимоги до криптографічних методів захисту?
9.
Класифікація стеганографічних методів?
10. Класифікація загроз?
11. Шкідливе програмне забезпечення?
12. Загрози цілісності?
13. Загрози конфіденційності?
14. Вимоги до технічних засобів інформаційної безпеки?
15. Сукупність вимог до систем захисту інформації?
16. Організаційні заходи, що підвищують ефективність захисту
інформації?
17. Підсистеми загальної системи захисту?
18. Що повинні забезпечувати програмні засоби захисту?
19. Захист системи захисту від дій навколишнього середовища?
20. Фізичний захист стаціонарних об’єктів?
21. Системи тривожної сигналізації?
22. Сенсори систем?
138
139.
23.24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
Системи телевізійного спостереження?
Просте розпізнавання користувача?
Ускладнена процедура розпізнавання?
Методи особливо надійного розпізнавання?
Методи розпізнавання в автоматизованих системах?
Захист від копіювання?
Програми для системи безпеки?
Ідентифікація і аутентифікація?
Парольна аутентифікація?
Керування доступом?
Рольове керування доступом?
Ідентифікація за біометричними ознаками?
Основні елементи біометричної системи?
Біометричні системи ідентифікації?
Засоби контролю доступу?
Типи пропускних документів?
Системи автоматизованого контролю доступу?
Програми зовнішнього захисту?
Програми внутрішнього захисту?
Принципи системного підходу при побудові систем технічного захисту
інформації?
Загальні підходи до створення системи технічного захисту інформації?
Моделі системи?
Принципи вибору показників ефективності?
Принципи побудови комплексних систем захисту інформації?
Системний підхід до побудови захищених систем?
Багаторівнева система захисту?
Архітектури захищених систем?
Управління систем захисту інформації?
139
140.
РОЗДІЛ 3. НОРМАТИВНЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇБЕЗПЕКИ
Глава 15. Державні
інформаційної безпеки
стандарти
України,
щодо
забезпечення
Після законодавчої бази державні стандарти являють собою важливу
ступень організації відносин у сфері інформаційної безпеки. Цими
документами є:ДСТУ 3396.0; 3396.1; 3396.2.
• ДСТУ 3396.0-96 “Захист інформації. Технічний захист інформації.
Основні положення. ”;
• ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації.
Порядок проведення робіт. ”;
• ДСТУ 3396.2-97 “Захист інформації. Технічний захист інформації.
Терміни та визначення. ”;
• ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист
інформації. Цифровий підпис, що ґрунтується на еліптичних кривих.
формування та перевіряння ”.
• ДСТУ 3918-1999 (ISO/IES 1207:1995) “Інформаційні технології. Процеси
життєвого циклу програмного забезпечення ”.
• ДСТУ ISO/IES TR 13335-1:2003 “Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 1. Концепції та моделі
безпеки інформаційних технологій. ”
• ДСТУ ISO/IES TR 13335-2:2003 “Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 2. Керування та
планування безпеки інформаційних технологій”.
• ДСТУ ISO/IES TR 13335-3:2003 “Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 3. Методи керування
захистом інформаційних технологій”.
• ДСТУ ISO/IES TR 13335-4:2005 “Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 4. Вибір засобів
захисту”.
• ДСТУ ISO/IES TR 13335-5:2005 “Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 5. Настанова з
керування мережею безпеки”.
Далі слід розглянути Положення та Постанови Кабінету Міністрів
України.
140
141.
• Положення про технічний захист інформації в прикордонних військах.• Концепція технічного захисту інформації в Україні.
• Положення про порядок здійснення криптографічного захисту
інформації в Україні.
• Положення про технічний захист інформації в Україні.
• Положення про контроль за функціонуванням системи технічного
захисту інформації.
• Постанова КМ України “Про деякі питания захисту інформації, охорона
якої забезпечується державою”.
• Розпорядження Президента України “Про заходи щодо забезпечення
розвитку і функціонування Національної системи конфіденційного зв’язку”.
• Державна Програма інформаційно-телекомунікаційного забезпечення
правоохоронних органів, діяльність яких пов’язана з боротьбою із злочинністю.
ДСТУ 3396.0-96
Державний стандарт України ДСТУ 3396.0-96 отримав чинність від
01.01.1997 р. та установлює об’єкт захисту, мету, основні організаційнотехнічні положення технічного захисту інформації, неправомірний доступ до
якої може завдати шкоди громадянам, організаціям та державі.
Вимоги стандарту обов’язкові для підприємств та установ усіх форм
власності і підпорядкування, громадян, органів державної влади, органів
місцевого самоврядування, військових частин усіх військових формувань,
представництв України за кордоном, які володіють, користуються та
розпоряджаються інформацією, що підлягає технічному захисту.
Цей стандарт складається із таких частин:
• галузь використання;
• нормативні посилання;
• загальні положення;
• побудова системи захисту інформації;
• нормативні документи з ТЗІ.
Загальні положення Стандарту установлюють важливі положення щодо
ТЗІ.
Об’єктом технічного захисту є інформація, що становить державну або
іншу передбачену законодавством України таємницю, конфіденційна
інформація, що є державною власністю чи передана державі у володіння,
користування, розпорядження.
141
142.
Носіями інформації з обмеженим доступом ІзОД можуть бути фізичніполя, сигнали, хімічні речовини, що утворюються в процесі інформаційної
діяльності, виробництва й експлуатації продукції різного призначення.
Середовищем
поширення носіїв ІзОД можуть бути лінії зв’язку,
сигналізації, керування, енергетичні мережі, інженерні комунікації і споруди,
повітряне, водне та інше середовища, грунт, тощо.
Витік або порушення цілісності ІзОД можуть бути результатом реалізації
загроз безпеці інформації.
Мета ТЗІ може бути досягнута побудовою системи ЗІ, що є
організованою сукупністю методів і засобів забезпечення ТЗІ.
Технічний захист інформації здійснюється поетапно:
1 етап - визначення й аналіз загроз;
2 етап - розроблення системи захисту інформації;
3 етап - реалізація плану захисту інформації;
4 етап - контроль функціонування та керування системою захисту
інформації.
Відповідно розділ “Побудова системи захисту інформації ” складається з
таких підрозділів:
• визначення й аналіз загроз;
• розроблення системи захисту інформації ;
• реалізація плану захисту інформації;
•контроль функціонування та керування системою захисту інформації.
На першому етапі необхідно здійснити аналіз об’єкта захисту,
ситуаційного плану, умов функціонування підприємства, установи, організації,
оцінити ймовірність прояву загроз та очікувану шкоду від їх реалізації,
підготувати засадничі дані для побудови окремої моделі загроз.
На другому етапі слід здійснити розроблення плану ТЗІ, що містить
організаційні, первинні технічні та основні технічні заходи захисту ІзОД,
визначити зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з
урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу об’єкта
захисту.
Первинні технічні заходи передбачають захист інформації блокуванням
загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з
використанням засобів забезпечення ТЗІ.
142
143.
Рівень захисту інформації визначається системою кількісних та якіснихпоказників, які забезпечують розв’язання завдання захисту інформації на основі
норм та вимог ТЗІ.
На третьому етапі слід реалізувати організаційні, первинні технічні та
основні технічні заходи захисту ІзОД, установити необхідні зони безпеки
інформації, провести атестацію технічних засобів забезпечення інформаційної
діяльності, приміщень на відповідність вимогам безпеки інформації.
Засоби ТЗІ можуть функціонувати автономно або спільно з технічними
засобами забезпечення інформаційної діяльності у вигляді самостійних
пристроїв або вбудованих у них складових елементів.
На четвертому етапі слід провести аналіз функціонування системи
захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності
захисту, підготувати та видати засадничі дані для керування системою захисту
інформації.
Керування системою захисту інформації полягає у адаптації заходів ТЗІ
до поточного завдання захисту інформації. За фактами зміни умов здійснення
або виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
У разі потреби підвищення рівня захисту інформації необхідно виконати
роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Крім того, стандарт визначає порядок проведення робіт із стандартизації
та нормування у галузі ТЗІ, порядок розроблення, оформлення, погодження,
затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни
та скасування нормативних документів.
ДСТУ 3391.1-96
Державний стандарт України ДСТУ 3391.1-96 “Захист інформації.
Технічний захист інформації. Порядок проведення робіт” отримав чинність від
01.07.1997 року і має слідуючи розділи:
-
галузь використання;
нормативні посилення;
загальні положення;
організація проведення обстеження;
організація розроблення системи захисту інформації;
реалізація організаційних заходів захисту;
реалізація первинних технічних заходів захисту;
реалізація основних технічних заходів захисту;
приймання, визначення повноти та якості робіт.
143
144.
Також стандарт має додаток,у якому наведений склад засобів
забезпечення технічного захисту інформації.
Цей стандарт установлює вимоги до порядку проведення робіт з ТЗІ.
У розділі “Загальні положення” визначається здатність системи захисту
інформації протистояти впливу загроз.
Можливі такі варіанти постановки задач захисту інформації:
досягнення необхідного рівня захисту ІзОД за мінімальних затрат і
допустимого рівня обмежень видів інформаційної діяльності;
досягнення найбільш можливого рівня захисту ІзОД за доступних
затрат і заданого рівня обмежень видів інформаційної діяльності;
досягнення максимального рівня захисту ІзОД за необхідних затрат
і мінімального рівня обмежень видів інформаційної діяльності.
Захист інформації, яка не є державною таємницею, забезпечується, як
правило, застосуванням першого чи другого варіанту.
Захист інформації, яка становить державну таємницю, забезпечується
застосуванням третього варіанту.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації
повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціонування
системи захисту інформації і полягають в:
проведенні обстеження підприємства, установи, організації;
розробленні і реалізації організаційних, первинних технічних,
основних технічних заходів з використанням засобів забезпечення ТЗІ;
прийманні робіт у ТЗІ;
атестації систем забезпечення інформаційної діяльності на
відповідність вимогам нормативних документів системи ТЗІ.
Розділ “Організація розроблення системи захисту інформації” вимагає,
що на підставі матеріалів обстеження та окремої моделі загроз необхідно
визначити головні задачі захисту інформації і скласти технічне завдання на
розроблення системи захисту інформації.
Технічне завдання повинно включати основні розділи:
-
вимоги до систем захисту інформації;
вимоги до складу проектної та експлуатаційної документації;
етапи виконання робіт;
порядок внесення змін і доповнень до розділів технічного завдання;
вимоги до порядку проведення випробування системи захисту.
144
145.
Основою функціонування системи захисту інформації є план ТЗІ, щоповинен містити такі документи:
перелік розпорядчих, організаційно-методичних НД ТЗІ, а також
вказівки щодо їхнього застосування;
інструкції про порядок реалізації організаційних, первинних
технічних та основних технічних заходів захисту;
інструкції, що встановлюють обов’язки, права та відповідальність
персоналу;
календарний план ТЗІ.
Шостий розділ “Реалізація організаційних заходів захисту” визначає, що
організаційні заходи захисту інформації – комплекс адміністративних та
обмежувальних заходів, спрямованих на оперативне вирішення задач захисту
шляхом регламентації діяльності персоналу і порядку функціонування систем
забезпечення інформаційної діяльності та систем забезпечення ТЗІ.
Оперативне вирішення задач ТЗІ досягається організацією керування
системою захисту інформації.
Сьомий розділ – це розділ “Реалізація первинних технічних заходів
захисту”.
У процесі реалізації первинних технічних заходів потрібно забезпечити:
блокування каналів витоку інформації;
блокування несанкціонованого доступу до інформації чи її носіїв;
перевірку справності та працездатності технічних засобів
забезпечення інформаційної діяльності.
Усі заходи здійснюються відповідно до нормативних та експлуатаційних
документів, а також згідно діючих вказівок, методик та цього розділу
стандарту.
Вибір засобів забезпечення ТЗІ зумовлюється фрагментним або
комплексним способом захисту
інформації. Засоби ТЗІ застосовують
автономно або спільно з механічними засобами забезпечення інформаційної
діяльності для пасивного або активного приховування ІзОД.
Порядок атестації встановлюється НД ТЗІ.
ДСТУ 3396.2-97
Третім стандартом є ДСТУ 3396.2-97. Цей стандарт установлює терміни
та визначення понять у сфері ТЗІ. Він набрав чинності 01.01.1998 року.
Терміни, регламентовані у цьому стандарті,
обов’язкові для
використання в усіх видах організаційної та нормативної документації, а також
145
146.
для робіт зі стандартизації і рекомендовані для використання у довідковій танавчально-методичній літературі, що належить до сфери ТЗІ.
Для кожного поняття встановлено один стандартизований термін.
Терміни-синоніми подано як довідкові, вони є стандартизованими.
У стандарті як довідкові подано переклади термінів англійською та
російською мовами, визначень – російською мовою.
Стандарт складається із таких розділів:
галузь використання;
основні положення;
нормативні посилання;
види інформації, які підлягають технічному захисту;
загроза для інформації;
технічний канал витоку інформації;
технічний захист інформації;
організація технічного захисту інформації;
абеткові скорочення українських, англійських та російських
термінів.
ДСТУ 4145-2002
Державний
стандарт
4145-2002
“Інформаційні
технології.
Криптографічний захист інформації. Цифровий підпис, що ґрунтується на
еліптичних кривих. Формування та перевіряння” установлює механізм
цифрового підписування, що ґрунтується на властивостях груп точок
еліптичних кривих над полями GF(2m), та правила застосування цього
механізму до повідомлень, що їх пересилають каналами зв’язку та/або
обробляють у комп’ютеризованих системах загального призначення.
Стандарт має 13 розділів та 5 додатків.
1,2,3,4 розділи надають інформацію щодо сфери застосування,
нормативних посилань, термінів та визначень понять та позначень.
Розділ 5 “Зображення даних і перетворень даних” установлює формати
зображення математичних об’єктів, використовуваних у стандарті, і правила
перетворювання даних з одного типу до іншого.
Наводятся зображення полів, елементів полів, зображення еліптичних
кривих та перетворення.
У Розділі 6 “Обчислювальні алгоритми” описано правила реалізації
процедур, необхідних для побудови криптографічних алгоритмів.
146
147.
Розділ 7 “Обчислення загальних параметрів цифрового підпису”встановлює правила обчислення загальних параметрів цифрового підпису, а
при цьому слід враховувати, що загальні параметри цифрового підпису можуть
бути однаковими для довільного числа користувачів цифрового підпису.
У розділі 8 “Перевіряння правильності загальних параметрів цифрового
підпису” встановлено правила та умови перевіряння правильності загальних
параметров цифрового підпису. Висока криптографічна стійкість цифрового
підпису, який встановлено цим стандартом, гарантується тільки в тому
випадку, якщо загальні параметри цифрового підпису обчислені правильно,
тобто строго відповідно до цього стандарту.
Розділу 9 “Обчислення ключів цифрового підпису” та 10 “Перевіряння
правильності ключів цифрового підпису” встановлюють порядок обчислення
особистого ключа цифрового підпису і відкритого ключа цифрового підпису, а
також встановлює правила перевіряння правильності відкритого й особистого
ключів цифрового підпису. Слід враховувати, що висока криптографічна
стійкість цифрового підпису, обчисленого згідно з цим стандартом,
гарантується тільки в тому випадку, якщо особистий і відкритий ключі
цифрового підпису правильні, тобто обчислені строго відповідно до цього
стандарту.
У розділах 11 “Обчислення цифрового передпідпису” та 12 “Обчислення
цифрового підпису” встановлено алгоритми обчислення цифрового
передпідпису та цифрового підпису. В них приведені вхідні дані, алгоритми,
результати виконання алгоритму та самі алгоритми.
Розділ 13 “Перевіряння цифрового підпису” встановлює алгоритм
перевіряння цифрового підпису: результат виконання алгоритму повідомлення
“підпис дійсний” або “підпис недійсний”.
ДСТУ 3918-1999 (ISO/IES 1207:1995)
ДСТУ 3918-1999 (ISO/IES 1207:1995) Інформаційні технології. Процеси
життєвого циклу програмного забезпечення.
Стандарт запроваджує термінологію добре визначену загальну систему
понять для процесів життєвого циклу програмного забезпечення, яка може
використовуватися в індустрії програмного забезпечення. Він містить
визначення процесів, дій та завдань, які повинні застосовуватися під час
придбання системи, що містить програмне забезпечення, придбання
автономного програмного продукту та послуг на основі використання
147
148.
програмного забезпечення, а також під час постачання, розроблення,експлуатації та супроводу програмного продукту. Програмний компонент
програмно-апаратних засобів слід розглядати як складову частину програмного
забезпечення.
ДСТУ ISO/ІЕС TR 13335-1
ДСТУ ISO/IES TR 13335:2003. Інформаційні технології. Настанови з
керування безпекою інформаційних технологий. Частина 1. Концепція та
моделі безпеки інформаційних технологій.
Описує основні концепції керування та моделі, найсуттєвіші для введення
в процеси керування безпекою інформаційних технологий. Ці концепції і
моделі докладно буде розглянуто й деталізовано в решті частин для
забезпечення ідентифікування і керування всіма аспектами захисту в
інформаційних технологіях. Частина 1 необхідна для повного розуміння решти
частин ISO/IES TR 13335.
ДСТУ ISO/IES TR 13335:2003 має таку структуру:
- описує призначення цього стандарту;
- містить інформацію про допоміжні необхідні умови для керування
безпекою інформаційних технологій;
- містить загальний огляд концепцій і моделей захисту в інформаційних
технологіях;
- досліджує елементи безпеки інформаційних технологій;
- описує процеси, що їх використовують для керування безпекою
інформаційних технологій;
- містить огляд декількох моделей, необхідних для розуміння концепций,
описаних у цьому стандарті.
Концепції та моделі, які розглянуті в цьому стандарті, можна
використовувати для розроблення стратегії захисту активів інформаційних
технологій організації. Ці стратегії і пов’язані з ними методики захисту в
організації потрібно постійно переглядати, щоб можна було реагувати на
швидкі зміни в розвитку й використанні технологій та інформаційних служб.
Друга та третя частини ISO/IES TR 13335 описують, як ці концепції і моделі
можна дефективно використовувати в організації.
148
149.
ДСТУ ISO/IES TR 13335-2ДСТУ ISO/IES TR 13335-2:2003. Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 2. керування та
планування без пеки інформаційних технологій.
Подано рекомендації, призначені для тих, хто пов'язаний з керуванням
безпекою інформаційних технологій, і які стосуються відносин між ними. Ці
рекомендації можна використовувати для ідентифікації і керування усіма
аспектами безпеки інформаційних технологій.
Для повноцінного розуміння цього стандарту необхідно ознайомитися з
концепціями і моделями, описаними в частині першій.
Стандарт складається з 17 розділів. Розділи 5 і 6 подають інформацію про
цілі та основні засади цього стандарту. Розділ 7 подає загальний огляд різних
дій для успішного керування безпекою інформаційних технологій. Розділи з 8
по 16 конкретизують ці дії.
У частині 2 обговорюються обов’язки, процеси керування і колективна
відповідальність за ефективність програми захисту. Обговорення призначено
для ознайомлення керівного персоналу з основними процесами і функціями, які
мають значення в керування захистом інформаційних технологій. Подана в цій
частині інформація не може безпосередньо застосовуватися для всіх
організацій. Зокрема, малі організації навряд чи будуть мати всі ресурси для
повного виконання описаних функцій. У цих ситуаціях важливо, щоб основні
концепції функції застосовували в організації відповідним способом. Навіть у
деяких великих організаціях деякі функції, обговорених у цій частині, не
можуть бути застосовані точно за описом. В частині 3 досліджується декілька
технічних заходів, які можуть бути використані для виконування функцій,
описаних у частині 2. Наступні частини розглядають питання вибору засобів
захисту і певних засобів захисту для зовнішніх зв’язків.
ДСТУ ISO/IES TR 13335-3
ДСТУ ISO/IES TR 13335-3:2003. Інформаційні технології. Настанови з
керування безпекою інформаційних технологий. Частина 3. Методи керування
махистом інформаційних технологій.
Рекомендації, що наведені в стандарті, призначені для тих, хто
пов’язаний з керуванням безпекою інформаційних технологий, і стосується
відносин між ними. Ці рекомендації можна використовувати для
149
150.
ідентифікування і керування всіма аспектами без пеки інформаційнихтехнологий.
Для повноцінного розуміння цієї частини необхідно ознайомитися з
термінами, концепціями і моделями, описаними в ISO/IES TR 13335-1 та
ISO/IES TR 13335-2.
ДСТУ ISO/IES TR 13335-3:2003 має таку структуру:
подає інформацію щодо цілей цієї частини ISO/IES TR 13335-3;
дає загальний огляд процесу керування захистом в інформаційних
технологіях;
обговорює значення методик захисту інформаційних технологій і
їхній вміст;
подає загальний огляд чотирьох різних підходів, які організація
може використовувати для визначення вимог захисту;
докладно описує рекомендований підхід і супроводжується
відповідним описом застосування засобів захисту;
містить докладний розгляд програм компетентності в захисті і
процесу затвердження;
містить опис декількох завершальних дій, що необхідні для
забезпечення ефективної роботи засобів захисту.
У цій частині ISO/IES TR 13335 досліджено кілька методів, що є
важливими для керування безпекою інформаційних технологій. Ці методи
засновані на концепціях і моделях, поданих у ISO/IES TR 13335-1 і процесах
керування та обов’язках, обґрунтованих у ISO/IES TR 13335-2. Положення цієї
частини ISO/IES TR 13335-3 демонструють переваги і недоліки чотирьох
можливих стратегій аналізування ризику. Змішаний підхід і кілька методів, що
є корисними за такого застосування, описані докладно. Деякі організації,
особливо малі, не мають можливості застосовувати всі методи, подані в цій
частині ISO/IES TR 13335-3 згідно з описом. Та все ж важливо, щоб кожній із
цих методів був застосований відповідно до особливостей організації.
ДСТУ ISO/IES TR 13335-4
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 4. Вибір засобів
захисту.
Даний стандарт надає настанову з вибору засобів махисту, беручи до
уваги ділові потреби та проблеми безпеки. Описує процес вибору засобів
захисту згідно з ризиками безпеки та специфікою навколишнього середовища.
150
151.
Показує, як досягни достатньо високого рівня захисту, як його підтримати,застосовуючи базову безпеку. Надається пояснення того, як підхід, описаний у
цій частині ISO/IES TR 13335, забезпечує методи керування інформаційною
безпекою, викладені в ISO/IES TR 13335-3.
Мета цього стандарту – надати настанову з вибору засобів захисту. Ця
настанова застосована тоді, коли приймають рішення про вибір засобів захисту
інформаційної системи:
відповідно до типу і характеристик інформаційної системи;
відповідно до загального оцінювання загроз та наявних потреб
безпеки;
відповідно до результатів детального аналізування ризиків.
У доповнення до цієї настанови надані перехресні посилання для того,
щоб показати, де вибір засобів захисту може бути підтриманий використанням
загальнодоступних довідників, що містять засоби захисту.
Цей стандарт також визначає, як можна розробити довідник з базової
безпеки організації (чи частин організації).
ISO/IES TR 13335-4 описує різні способи вибору засобів захисту, які
можна використовувати для досягнення базової безпеки чи для допомоги
методам, описаним в ISO/IES TR 13335-3. ця частина ISO/IES TR 13335 також
містить огляд загальних засобів захисту, що можуть бути вибрані за допомогою
будь-якого підходу та за допомогою посилання на різні довідники з базових
засобів захисту, що містять детальніші описи цих засобів. Отже, описані різні
способи розроблення базової безпеки організації та переваги і недоліки
описаних варіантів. Ця частина ISO/IES TR 13335 може бути використана будьякою організацією, великою чи малою, яка хоче вибрати засоби захисту своїх
інформаційних систем.
ДСТУ ISO/IES TR 13335-5
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з
керування безпекою інформаційних технологий. Частина 5. Настанова з
керування мережною безпекою.
Надає настанову з керування мережею та телекомунікаціями для тих, хто
відповідає за керування інформаційною безпекою. У цьому стандарті
використано визначення та аналіз параметрів телекомунікацій, які необхідно
враховувати, щоб встановити вимоги до мережної безпеки.
151
152.
Цей стандарт відповідає ISO/IES TR 13335-4 та містить вступ, деописано, як визначити відповідні сфери застосування засобів захисту, повязані
із зєднаннями в комунікаційних мережах.
Сфера застосування цього стандарту не стосується порад щодо аспектів
детального проектування та реалізації сфер технічних засобів захисту.
Підхід прийнятий в цьому стандарті, перш за все, полягає в тому, щоб
підсумувати весь процес визначення та аналізування чинників, що належать до
комунікацій, які необхідно враховувати, щоб встановити вимоги до мережевої
безпеки, а потім надати вказівки стосовно потенційних сфер застосування
засобів захисту (при цьому зазначається, де можна використовувати положення
інших частин ISO/IES TR 13335).
Цей стандарт описує три простих критерії, які допомагають особам,
відповідальним за безпеку інформаційних технологій, визначити потенційні
сфери застосування засобів захисту.
Ці критерії визначають: (1) різні типи мережних з’єднань, (2) різні
мережні характеристики та відповідні споріднені взаємозв’язки та (3) типи
потенційних ризиків безпеки, пов’язаних з мережними з’єднаннями (та
використанням послуг, які надаються через ці з’єднання). Результати
об’єднання цих критеріїв потім використовують для визначення потенційних
сфер застосування засобів захисту. Згодом наводять короткий вступний опис
потенційних сфер застосування засобів захисту з посиланням на джерела, що
містять ґрунтовий опис.
У цьому стандарті наведено настанову з керування безпекою
інформаційних технологій для організації, яка приєднує свої інформаційні
системи до мереж. Далі цей стандарт описує три простих критерії для допомоги
особам, які відповідають за інформаційну безпеку в частині потенційних сфер
застосування засобів захисту.
До них належать:
різні типи мережних з’єднань;
різні мережні характеристики та пов’язані довірчі стосунки;
потенційні типи ризиків безпеки, пов’язані з мережними
з’єднаннями та використанням служб, які надають послуги через ці з’єднання.
Після цього критерії вибору заносять у матрицю, яка використовується
для показу потенційних сфер застосування засобів захисту. Згодом для
152
153.
потенційних сфер застосування засобів захисту наводять короткий вступнийопис.
Міжнародні стандарти, які використовуються у держааі, але не
стандартизовані в Україні. До них відносяться:
Глава 16. Міжнародні стандарти щодо забезпечення інформаційної
безпеки
Міжнародний стандарт ISO/IEС 18028 (27033)
Призначення ISO/IEC 18028 (27033) полягає в тому, щоб надати докладні
рекомендації з аспектів безпеки менеджменту, функіонування та використання
мереж інформаційних систем і їх сполук. Особи, відповідальні за забезпечення
в організації інформаційної безпеки в цілому і мережевої безпеки зокрема,
повинні бути здатні адаптувати матеріал, теперішнього стандарту для
відповідності своїм конкретним вимогам. Основними цілями частин стандарту
ISO/IEC 27033 є:
- Для ІСО/ІЕС 27033-1 «Огляд і концепція» - визначення та опис
концепцій, пов'язаних з мережевою безпекою, і надання рекомендацій з
менеджменту мережевої безпеки. Стандарт містить загальний огляд мережевої
безпеки та пов'язані з нею визначення, рекомендації щодо ідентифікації та
аналізу ризиків мережевої безпеки, і, крім того, визначення вимог мережевої
безпеки. Він також знайомить з тим, як досягати високої якості спеціалізованої
архітектури безпеки, а також з аспектами ризику, проектування, аспектами
заходів і засобів контролю та управління, пов'язаними з типовими мережевими
сценаріями і областями мережевих «технологій» (які докладно розглядаються в
наступних частинах стандарту ISO/IEC 27033);
- Для ІСО/ІЕС 27033-2 «Рекомендації з проектування та реалізації
безпеки» - визначення того, яким чином організації повинні домагатися
необхідної якості спеціалізованої архітектури мережевої безпеки, проектування
та реалізації, які забезпечать упевненість мережевої безпеки, відповідної
середовищу діяльності, використовуючи при необхідності послідовний підхід
до планування, проектування та реалізації мережевої безпеки із застосуванням
моделей/систем
(у
даному
контексті
терміни
«модель/система»
використовуються для формулювання в загальних рисах подання або опису, що
показує структуру і високорівневу діяльність деякого виду спеціалізованої
архітектури/проекту безпеки). Даний стандарт призначений для всього
персоналу, залученого в планування, проектування і реалізацію аспектів
архітектури мережевої безпеки (наприклад, для проектувальників і розробників
153
154.
мережевої архітектури, мережевих менеджерів і співробітників, відповідальнихза мережеву безпеку),
- Для ІСО/ІЕС 27033-3 Ризики, методи проектування і питання, що
стосуються заходів і засобів контролю та управління для типових, мережевих
сценаріїв - визначення конкретних ризиків, методів проектування і питань, що
стосуються заходів і засобів контролю та управління, пов'язаних з типовими
мережевими сценаріями. Даний стандарт призначений для персоналу,
залученого в планування, проектування і реалізацію аспектів архітектури
мережевої безпеки (наприклад, для проектувальників і розробників
стільникового архітектури, мережевих менеджерів і співробітників,
відповіповідальних за мережеву безпеку}.
Передбачається, що наступні частини ISO/IEC 27033 розглядатимуть:
ISO/IEC 27033-4 «Ризики, методи проектування і питання, що стосуються
заходів і засобів контролю та управління та забезпечення безпеки передачі
інформації між мережами з використанням стандартів.
ГОСТ ІСО/ІЕС 27033-1-2011
Даний стандарт буде представляти інтерес для всього персоналу,
залученого в детальне планування, проектування і реалізацій шлюзів безпеки
(наприклад, для проектувальників і розробників мережевий архитектури,
мережевих менеджерів і співробітників, відповідальні за мережеву безпеку);
ІСО (ІЕС 27033-5 «Ризики, методи проектування і питання, що
стосуються заходів і засобів контролю і управління для забезпечення безпеки
віртуальних «мереж» - визначення конкретних ризиків, методів проектування і
питань, що стосуються заходів і засобів контролю та управління для
забезпечення безпеки з'єднань, встановлених з використанням VPN. Даний
стандарт буде представляти інтерес для всього персоналу, залученого в
детальне планування, проектування і реалізацію боеопасності віртуальних
приватних мереж (наприклад, для проектувальників і розробників мережевої
архітектури, мережі в їх менеджерів і співробітників, відповідальних за
мережеву безпеку);
ISO/IEC 27033-6 - визначення конкретних ризиків, методів проектування
питань, що стосуються заходів і засобів контролю та управління для
забезпечення безпеки мереж з iP-конвергенцією, т. з. з конвергенцією даних,
мови і відео. Даний стандарт буде представляти інтерес для всього персонала,
залученого в детальне планування, проектування і реалізацію безпеки мереж з
IP-конвергенцією (наприклад, для проектувальників і розробників мережевої
154
155.
архітектури. Мережевих менеджерів і співробітників, відповідальних замережеву безпеку);
ISO/IEC 27033-7 - визначення конкретних ризиків, методів проектування і
питань, що стосуються заходів і засобів контролю та управління, для
забезпечення боеопасності бездротових мереж і радіомереж. Даний стандарт
буде представляти інтерес для всього персоналу, залученого в детальне
планування, проектування і реалізацію безпеки бездротових мереж і
радіомереж {наприклад, для проектувальників і розробників мережевої
архітектури, мережевих менеджерів і співробітників, відповідальних за
мережеву безпеку).
Слід підкреслити, що ISO / IEC 27033 надає додаткові деталізовані
рекомендації з реалізації заходів і засобів контролю та управління мережевою
безпекою, визначених у базовому стандарті ISO / IEC 27002.
Якщо у майбутньому будуть з'являться інші частини стандарту, він і
може становити інтерес для всього персоналу. залученого в детальне
планування, проектування і реалізацію мережевих аспектів, охоплених цими
частинами (наприклад, для проектувальників і розробників мережевої
архітектури, мережевих менеджерів і співробітників, відповідальних за
мережеву безпеку).
Слід зазначити, що справжній стандарт не є довідковим або нормативним
документом для регулюючих та законодавчих вимог безпеки. Хоча в ньому
підкреслюється важливість вплив факторів, які не можуть бути сформульовані
конкретно, тому що залежать від країни, виду основної діяльності і т. д.
Структура даного стандарту включає в себе:
- Огляд підходу до забезпечення мережевої безпеки (см. розділ 6);
- Короткий виклад процесу ідентифікації ризиків, пов'язаних з мережами,
та підготовки до идентифікації заходів і засобів контролю та управління
безпекою, т. з. встановлення вимог мережевої безпеки (див. Розділ 7);
- Огляд заходів і засобів контролю та управління, що підтримують
спеціалізовані архитектури мережевої безпеки та пов'язані з ними технічні
заходи і засоби контролю і управління, тобто огляд інших заходів і засобів
контролю та управління (технічних і нетехнічсскіх}, які застосовні не тільки до
мереж (див. розділ 8). Представляються відповідні посилання на ІСО 27001,
ІСО 27002 та ISO/IEC 27005;
- Ознайомлення з можливостями спеціалізованих архітектур безпеки, які
забезпечуватимуть мережеву безпеку, відповідну середовищі основної
діяльності організацій, застосовуючи послідовний підхід до планування і
155
156.
проектування мережевої безпеки з використанням при необхідності моделей(см . розділ 9);
- Знайомство з конкретними ризиками, методами проектування і
питаннями, що стосуються заходів і засобів контролю та управління,
пов'язаними з типовими мережевими сценаріями (тобто введення до змісту ІСО
27033-3) (див. розділ 10);
- Знайомство з конкретними ризиками, методами проектування і
питаннями, що стосуються заходів і засобів контролю та управління для
мережевої «технології» (т. в. Введення до частин 4-7 ІСО27033 і до інших
частин ISO / IEC 27033, поява яких можливе в майбутньому) (див. розділ 11 і
додаток А);
- Короткий виклад питань, пов'язаних з розробкою, реалізацією і
тестуванням комплексу програмних і технічних засобів і послуг із забезпечення
мережевої безпеки (див. розділ 12), експлуатації комплексу програмних і
технічних засобів і послуг із забезпечення мережевої безпеки (див. розділ 13) і
постійним моніторингом та перевіркою реалізації мережевої безпеки (див.
Розділ 14);
-Таблицю, що містить перехресні посилання між розділами ІСО27001,
ІСО27002 і розділами цього стандарту, де розглядаються заходи і засоби
контролю і управління, пов’язані з мережевою безпекою (див. додаток В).
Міжнародний стандарт ISO/IEС 18043
ISO / IEC 18043:2006 Інформаційні технології. Методи захисту. Вибір,
застосування та операції систем виявлення вторгнення.
Міжнародна організація по стандартизації (ISO) і Міжнародна
електротехнічна комісія (IEC) створили спеціалізовану систему всесвітньої
стандартизації. Національні організації, які є комітетами-членами ISO або IEC,
беруть участь у розробці міжнародних стандартів через технічні комітети,
засновані відповідною організацією для того, щоб займатися окремими
областями технічної діяльності. Технічні комітети ISO і IEC співпрацюють у
галузях, що становлять взаємний інтерес. Інші урядові та неурядові міжнародні
організації, які співпрацюють з ISO і IEC, також беруть участь у цій роботі. В
області інформаційної технології ISO і IEC заснували Спільний Технічний
комітет ISO / IEC JTC1. Проекти міжнародних стандартів розробляються згідно
з правилами, наведеними в Директивах ISO / IEC, Частина 2. Основним
завданням технічних комітетів є підготовка міжнародних стандартів. Проекти
міжнародних стандартів, прийняті технічними комітетами, розсилаються
комітетам-членам на голосування. Для публікації в якості міжнародного
156
157.
стандарту потрібно схвалення не менше 75% комітетів-членів, які взяли участьу голосуванні. Слід мати на увазі, що, можливо, деякі елементи цього
документа можуть бать об'єктом патентних прав. ISO не несе відповідальність
за визначення деяких чи всіх цих патентних прав.
ISO / IEC 18043 підготовлений Спільним Технічним комітетом ISO / IEC
JTC1, Інформаційні технології, Підкомітетом SC 27, Методи захисту в
Інформаційних технологіях.
Організації повинні не тільки знати коли, де і як відбулося вторгнення в
їхню мережу, систему або додаток, вони також повинні знати яке слабке місце
було використано і які заходи безпеки або відповідні опції обробки ризиків
(тобто перенесення ризику, прийнятна ступінь ризику, виключення ризику)
повинні бути реалізовані, щоб запобігти подібне вторгнення в майбутньому.
Організації повинні також розпізнавати і відображати кібернетичні
проникнення. Це вимагає аналізу хост і мережевого трафіку і / або
контрольного сліду для сигнатур атаки або специфічного шаблону, які зазвичай
вказують зловмисні чи підозрілі наміри.
У середині 1990 років організації почали використовувати системи
виявлення вторгнень (IDS) для здійснення цих потреб. Загальне застосування
IDS продовжує розширюватися з більш широким набором продуктів IDS, які
стали доступні для задоволення зростаючого рівня запитавши організацій в
підвищених можливостях виявлення вторгнення.
Для організації в порядку речей витягувати максимальні вигоди від IDS,
тому процес вибору IDS, введення в дію та операції повинні ретельно
плануватися і реалізовуватися належним чином підготовленим і досвідченим
персоналом. У випадку, коли цей процес успішно виконується, продукти IDS
можуть допомогти організації отримати інформацію про вторгнення і можуть
використовуватися як важливе запобіжний засіб у загальній інфраструктурі
інформаційної та комунікаційної технології (ICT).
Даний міжнародний стандарт забезпечує керівні принципи для
ефективного вибору IDS, введення в дію та експлуатацію, а також основні
відомості про IDS. Він також придатний для тих. організацій, які розглядають
залучення співвиконавців для реалізації можливостей виявлення вторгнення.
Інформацію за угодами на рівні послуг зовнішніх співвиконавців можна знайти
в процесах Менеджменту послуг в Інформаційних технологіях (ITSM) на базі
ISO / IEC 20000.
Область застосування
157
158.
У даному міжнародному стандарті передбачаються керівні принципи длядопомоги організаціям у використанні системи виявлення вторгнень (IDS).
Зокрема, в стандарті звертається увага на вибір, застосування та операції IDS.
Він також містить додаткову інформацію, на підставі якої ці керівні принципи
були отримані. Даний міжнародний стандарт може бути корисний:
a) організації в задоволенні таких вимог ISO / IEC 27001:
- Організація повинна реалізувати процедури та інші керуючі впливи,
здатні до
швидкому виявленню і відповідних діям при інцидентах захисту.
- Організація повинна виконувати процедури моніторингу і аналізу та
інші керуючі
впливу для належного розпізнавання невдалих і успішних порушень
захисту і
інцидентів.
b) організації в реалізації засобів управління, які задовольняють
наступним цілям захисту ISO / IEC 17799.
- Виявити несанкціоновані дії при обробці інформації.
- Системи повинні відслідковуватися, і події інформаційної безпеки
повинні реєструватися. Повинні використовуватися операторські журнали
реєстрації і журнали реєстрації несправностей для ідентифікації проблем
інформаційної системи ..
- Організація повинна дотримуватися всі відповідні юридичні вимоги,
застосовні до дій з моніторингу та реєстрації.
- Повинен використовуватися моніторинг системи для перевірки
ефективності прийнятих засобів управління і перевірки відповідності моделі
стратегії доступу.
Організація повинна визнати, що використання IDS не є єдиним і / або
вичерпним вирішенням для задоволення та відповідності вищеназваним
вимогам. Більш того, даний міжнародний стандарт не призначений бути
критерієм для оцінок відповідності будь-якого виду, наприклад, для
сертифікації як Системи Менеджменту Захисту Інформації (ISMS), сертифікації
продуктів і послуг IDS.
Міжнародний стандарт ISO/IEС 18044
ISO / IEC TR 18044:2004 Інформаційна технологія Методи і засоби
забезпечення безпеки МЕНЕДЖМЕНТ інцидентами інформаційної безпеки.
Типові політики інформаційної безпеки або захисні заходи інформаційної
безпеки (ІБ) не можуть повністю гарантувати захист інформації, інформаційних
158
159.
систем, сервісів чи мереж. Після впровадження захисних заходів, ймовірно,залишаться слабкі місця, які можуть зробити забезпечення інформаційної
безпеки неефективним, і, отже, інциденти інформаційної безпеки - можливими.
Інциденти інформаційної безпеки можуть надавати пряме чи непряме
негативний вплив на бізнес-діяльність організації. Крім того, будуть неминуче
виявлятися нові, раніше не ідентифіковані загрози. Недостатня підготовка
конкретної організації до обробки таких інцидентів робить практичну реакцію
на інциденти малоефективною, і це потенційно збільшує ступінь негативного
впливу на бізнес. Таким чином, для будь-якої організації, серйозно відноситься
до інформаційної безпеки, важливо приміняти структурний і плановий підхід
до:
- Виявлення, оповіщення про інциденти інформаційної безпеки та їх
оцінкою;
- Реагування на інциденти інформаційної безпеки, включаючи
активізацію відповідних захисних заходів для запобігання, зменшення наслідків
та (або) відновлення після негативних впливів (наприклад, в областях
підтримки і планування безперервності бізнесу);
- Витяганню уроків з інцидентів інформаційної безпеки, введенню
превентивних захисних заходів і поліпшенню загального підходу до
менеджменту інцидентів інформаційної безпеки.
Положення цього стандарту містять уявлення про менеджмент інцидентів
інфор ¬ маційно безпеки в організації з урахуванням сформованої практики на
міжнародному рівні.
Цей стандарт призначений для використання організаціями усіх сфер
діяльності при забезпеченні інформаційної безпеки в процесі менеджменту
інцидентів. Його положення можуть використовуватися спільно з іншими
стандартами, в тому числі стандартами, що містять вимоги до системи
менеджменту інформаційної безпеки та системі менеджменту якості організації
В цьому стандарті використані посилання на наступні міжнародні стандарти:
ISO / IEC 13335-1:2004 Інформаційна технологія-Методи забезпечення
безпеки - Управління безпекою інформаційних і телекомунікаційних
технологій-Частина 1 - Концепція і моделі управління безпекою інформаційних
і телекомунікаційних технологій
ISO / IEC 17799:2000 Інформаційна технологія-Практичні правила
управління інформаційної безпекою
159
160.
В якості основи загальної стратегії ІБ організації необхідновикористовувати структурний підхід до менеджменту інцидентів ІБ. Цілями
такого підходу є забезпечення таких умов:
- Події ІБ повинні бути виявлені і ефективно оброблені, зокрема,
визначені як відносяться або не відносяться до інцидентів ІБ;
- Ідентифіковані інциденти ІБ повинні бути оцінені, і реагування на них
має бути здійснено найбільш доцільним і результативним способом;
- Впливу інцидентів ІБ на організацію та її бізнес-операції необхідно
мінімізувати відповідними захисними заходами, що є частиною процесу
реагування на інцидент, іноді поряд із застосуванням відповідних елементів
плану (ів) забезпечення безперервності бізнесу;
- З інцидентів ІБ і їх менеджменту необхідно швидко витягти уроки. Це
робиться з метою покращення шансів запобігання інцидентів ІБ в майбутньому,
поліпшення впровадження і використання захисних заходів ІБ, поліпшення
загальної системи менеджменту інцидентів ІБ.
Для досягнення цілей менеджмент інцидентів ІБ поділяють на чотири
окремих етапи:
1) планування і підготовка;
2) використання;
3) аналіз;
4) поліпшення.
Будь-яка організація, що використовує структурний підхід до
менеджменту інцидентів ІБ, може витягти з нього значні переваги, які можна
об'єднати в такі групи:
- Поліпшення ІБ;
- Зниження негативних впливів на бізнес, наприклад, переривання бізнесу
і фінансові збитки як наслідки інцидентів ІБ;
- Посилення уваги до питань запобігання інцидентів;
- Посилення уваги до встановлення пріоритетів і збору доказів;
- Внесок в обгрунтування бюджету та ресурсів;
- Оновлення результатів менеджменту та аналізу ризиків на більш
високому рівні;
- Надання матеріалу для програм підвищення обізнаності і навчання в
області ІБ;
- Надання вхідних даних для аналізу політики ІБ та відповідної
документації.
Кожне з цих переваг розглядається нижче.
160
161.
Наявність зворотного зв'язку, по якій надходить інформація про те, якздійснюється менеджмент інцидентів ІБ, допомагає зберігати націленість дій
персоналу на боротьбу з реальними ризиками для систем, сервісів і мереж
організації. Ця важлива зворотний зв'язок не може бути ефективно реалізована
через процес реагування на інциденти ІБ, оскільки інциденти ІБ відбуваються
нерегулярно. Зворотній зв'язок може бути більш результативною за наявності
структурованої, добре продуманої системи менеджменту інцидентів ІБ, що
застосовує загальну структуру для всіх підрозділень організації. Дана загальна
структура повинна безперервно забезпечувати отримання від системи як можна
більш повних результатів і представляти собою надійну основу для швидкого
визначення можливих умов виникнення інциденту ІБ до його появи, а також
видавати відповідні сигнали оповіщення.
Менеджмент і аудит системи менеджменту ІБ забезпечують основу
довіри, необхідного для розширення спільної роботи з персоналом і зниження
недовіри щодо збереження анонімності, безпеки і доступності корисних
результатів. Наприклад, керівництво і персонал організації повинні бути
впевнені в тому, що сигнали оповіщення дадуть своєчасну, точну і повну
інформацію щодо очікуваного інциденту.
При впровадженні систем менеджменту інцидентів ІБ організаціям слід
уникати таких потенціальних проблем, як відсутність позитивних результатів і
занепокоєння з приводу питань, связаних з проблемами недоторканності
персональних даних. Необхідно переконати зацікавлені сторони в тому, що для
запобігання появи вищезгаданих проблем були зроблені певні кроки.
Таким чином, для побудови оптимальної системи менеджменту
інцидентів ІБ потрібно роздивитися ряд ключових питань, включаючи:
- Зобов'язання керівництва;
- Обізнаність;
- Правові та нормативні аспекти;
- Експлуатаційну ефективність і якість;
- Анонімність;
- Конфіденційність;
- Незалежність діяльності ГРІІБ;
- Типологію.
Міжнародний стандарт ISO/IEС 18045
Міжнародний стандарт ISO/IEC 18045:2005 підготовлений Спільним
технічним комітетам ІСО. 'МЕКСТК 1’ «Інформаційні технології», підкомітет
ПК 27 «Методи і спорідненості забезпечення безпеки VIT». Ідентичний
161
162.
ІСОУМЕК13045: 2005 текст опублікований організаціями - спонсорамипроекту «Загальні крітеріі» як« Загальна методологія оцінки безпеки
інформаційних технологій», версія 2.3.
Методологія оцінки безпеки інформаційних технологій (ВТУ
представлена в Настаящому стандарті, ідентичному ISO/IEC 18045.2005,
обмежена оцінками для оціночних рівнів довіри (ОРД) ОРД1 - ОРД4,
визначених у ISO/IEC 15403:2005. Це забезпечує керівництво для оцінки по
ОРД 5-7, а також для оцінок, що використовують інші пакети довіри.
Потенційні користувачі цього стандарту - перш за все оцінювачі, що
застосовують ISO/IEC 15400, і органи по сертифікації, що підтверджують дії
оцінювача, заявника оцінки, разробника, автора профілів захисту (ПЗ) і завдань
по безпеці (ЗБ) та інші сторони, зацікавлені в безпеці ІТ.
Цим стандартом визнано, що не на всі питання оцінки безпеки ІТ можна
знайти в ньому відповіді і що подальші інтерпретації будуть необхідні. У
конкретних системах оцінки має бути вирішено, як поводитися з такими
інтерпретаціями, хоча вони можуть бути підпорядковані угодами про взаємне
визнання. Список пов'язаних з методологією питань, які можуть бути визначені
в конкретній системі оцінки, наведений у додатку А.
Структура стандарту
Розділ 6 визначає угоди, що використовуються в цьому стандарті.
У розділі 7 описані загальні завдання оцінки без визначення вердиктів,
пов'язаних з ними, оскільки ці завдання не відображаються на елементи дій
оцінювача з ISO/IEC 15403-3.
Розділ 8 визначає оцінку профілю захисту.
Розділ 9 визначає оцінку завдання з безпеки.
У розділах 10-13 визначені мінімальні зусилля з оцінки, необхідні для
успішного виконання оцінки по ОРД1-ОРД4 та надано керівництво по
способам і засобам виконання оцінки. Розділ 14 визначає види діяльності з
оцінки усунення недоліків.
Додаток А охоплює базові методи оцінки, які використовуються для
надання технічних свідоцтв результатів.
Міжнародний стандарт ISO/IEС 17799-2000
Стандарт ISO/IEС 17799-2000 визначає практичні правила керування
інформаційною безпекою.У ведені в цьому документі представлені основні
цілі, що переслідуються при керування процесом управління безпекою
організації.
162
163.
Інформаційна безпека досягається шляхом реалізації відповідногокомплексу заходів з керування інформаційною безпекою, які можуть бути
представлені
політиками,
методами,
процедурами,
організаційними
структурами та функціями програмного забезпечення.
Організація пованна визначити свої вимоги до інформаційної безпеки з
урахуванням наступних трьох факторів.
По-перше, оцінка ризиків організації. За допомогою оцінки ризиків
відбувається виявлення загроз щодо активів організації, оцінка уразливості
відповідних активів та імовірність виникнення загроз, а також оцінка можливих
наслідків.
По-друге, юридичні, законодавчі, регулюючі та договірні вимоги, яким
повинна задовольняти організація, її торгівельні партнери, підрядники та
постачальники послуг.
По-третє, специфічний набір принципів та вимог, що розроблені
організацією по відношенню до оробки інформації.
Як видно з приведеної частини документа в забезпеченні інформаційної
безпеки організації на перший план виходить управління інформаційними
ризиками. Керування процесом забезпечення безпеки базується на результатх
оцінки ризиків. Вимоги до оцінки інформаційних ризиків організації
визначаються у відповідності з стандартом.
Вимоги до інформаційної безпеки визначаються за допомогою
систематичної оцінки ризиків. Рішення про расходи на заходи по управлінню
інформаційною безпекою повинні прийматися виходячи з можливого збитку,
нанесеного бузнесу в результаті порушень інформаційної безпеки.
Методи оцінки ризику можуть застосовуватися як для всієї організації,
так и для будь-якої її частини, окремих інформаційних систем, певних
компонентів систем або посуг, а саме там, де це практично можна виконати.
Результати цієї оцінки допоможуть у визначенні конкретних мір та
пріоритетів в області управління ризиками, пов’язаними з інформаційною
безпекою, а також впровадженню заходів з керування інформаційною безпекою
з метою мінімізації цих ризиків.
Уровень деталізації аналізу треба визначати в залежності від результатів
попередніх перевірок та рівня прийнятного ризику, що змінюється. Оцінка
ризиків зазвичай проодиться спочатку на верхньому рівні, при цьому ресурси
163
164.
спрямовуються в області найбільшого ризику, а потім на більш детальномурівні, що дозволяє розглянути специфічні ризики.
Вибір заходів з керування інформаційною безпекою повинен базуватися
на співвідношенні вартості їх реалізації до ефекту від зниження ризиків та
можливим збиткам у випадку порушення безпеки.
Деякі заходи з керування інформаційною безпекою, приведені в цьому
стандарті, можуть розглядатися як керуючі принципи для управління
інформаційною безпекою та застосовуватися для більшості організацій.
Таким чином, документ визначає собі місце в нормативній базі з
керування інформаційними ризиками як визначний набір засобів,
використовуючи які можна впливати на загальний рівень ризику для системи.
Це відображено у першій частині документа, що визначає область його
застосування.
Цей стандарт встановлює рекомендації з керування інформаційною
безпекою особам, які відповідальні за планування, реалізацію або підтримку
рішень безпеки в організації. Від призначений для забезпечення загальних
основ для розробки стандартів безпеки та вибору практичних заходів з
керування безпекою в організації, а також в інтересах забезпечення довіри в
ділових відносинах між організаціями.
Виконання стандарту передбачає проведення класифікації інформаційних
ресурсів.
Інформацію треба класифікувати, щоб визначити її пріоритетність,
необхідність та ступінь її захисту.
Інформація має різні ступені чутливості та критичності. Деякі види
інформації можуть вимагати додаткового рівня захисту або спеціальних
методів обробки. Систему класифікації інформації треба використовувати для
визначення відповідної множини рівней захисту та потреби в спеціальних
методах обробки.
В стандарті розглядаються питання безпеки, пов’язані з персоналом.
Метою даного розділу є мінімізація ризиків від помилок, пов’язаних з
людським чинником, крадіжок шахрайства або невірного використання засобів
обробки інформації.
В стандарті розглядається мінімізація ризиків загроз безпосереднього
впливу навколишнього середовища на систему. Розглянуті різні питання
протидії неавторизованому фізичному доступу до системи, пом’якшення
164
165.
наслідків дії зовнішніх факторів техногенного характеру. Треба відмітити, що урозділі зроблено акцент на те, що оцінка ризиків для активів безпосередньо
впливає на вибір засобів захисту для нейтралізації тієї або іншої загрози.
Восьма частина стандарту визначає порядок забезпечення безпеки
передачі, збереження та обробки даних в інформаційних системах.
Розмежування обов’язків – це спосіб мінімізації ризику позаштатного
використання систем внаслідок помилкових або зловмисних дій користувача.
Необхідно розглядати принцип розмежування обов’язків у відношенні функцій
керування, виконування певних задач та областей відповідності як спосіб
зменшення неавторизованої модифікації або невірного використання
інформації або сервісів.
Продуктивність системи безпосередньо впливає на рівень ризику,
пов’язанного з порушенням доступності інформації, тому стандарт визначає:
- захист від шкідливого програмного забезпечення;
- керування мережевими ресурсами;
- безпека носіїв інформації;
- обмін інформацією та установка ПЗ.
Запитання для самоконтролю
1.
Державні стандарти України, щодо забезпечення інформаційної
безпеки.
2.
ДСТУ 3396.0-96.
3.
ДСТУ 3391.1-96.
4.
ДСТУ 3396.2-97.
5.
ДСТУ 4145-2002.
6.
ДСТУ 3918-1999.
7.
ДСТУ ISO/IEC TR 13335-1:2003.
8.
ДСТУ ISO/IEC TR 13335-2:2003.
9.
ДСТУ ISO/IEC TR13335-3:2003.
10. ДСТУ ISO/IEC TR 13335-4:2003.
11. ДСТУ ISO/IEC TR 13335-5:2005.
12. Міжнародні стандарти, що використовуються щодо забезпечення
інформаційної безпеки?
13. ISO/IEC 18028 (27033).
14. ISO/IEC 18043.
15. ISO/IEC 18044.
16. ISO/IEC 18045.
17.
ISO/IEC 17799-2000.
165