«А. А. Гладких, В. Е. Дементьев БАЗОВЫЕ ПРИНЦИПЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ Учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 Ульяновск 2009 УДК ...»
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
Государственное образовательное учреждение высшего профессионального
образования
УЛЬЯНОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
А. А. Гладких, В. Е. Дементьев
БАЗОВЫЕ ПРИНЦИПЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ
Учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 Ульяновск 2009 УДК 002:34+004.056.5 ББК 67.401+32.973.2-018.2 Г15 Рецензенты:
Кафедра «Телекоммуникационных технологий и сетей» Ульяновского государственного университета зав. кафедрой д-р техн. наук, профессор А.А.
Смагин;
Ульяновский ФГУП «Центр-Информ» ФНС РФ, директор В.А. Терентьев Утверждено редакционно-издательским советом университета в качестве учебного пособия Гладких А.А.
Базовые принципы информационной безопасности вычислительных сетей :
учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев;- Ульяновск :
УлГТУ, 2009.- 156 с.
ISBN 5-89146-344-X Излагаются основные принципы обеспечения информационной безопасности в ходе эксплуатации элементов вычислительных сетей, необходимые специалистам различных специальностей.
Пособие предназначено для студентов изучающих теоретические основы сетевых технологий и средств телекоммуникации (специальности «Управление персоналом», 21040665 «Управление качеством», 22050165 «Сети связи и системы коммутации», 23040165 «Прикладная математика»), и преподавателей, ведущих указанные дисциплины. Учебное пособие может использоваться также студентами других специальностей, связанных с обработкой информации.
УДК 002:34+004.056. ББК 67.401+32.973.2-018. © А.А. Гладких В.Е. Дементьев, ISBN 5-89146-344-X ©Оформление УлГТУ,
СПИСОК СОКРАЩЕНИЙ
АС – автоматизированная система ВС – вычислительная сеть ВТ – вычислительные технологии ВТСС – вспомогательные технические средства и системы ГМД – гибкий магнитный диск ИБ – информационная безопасность ИРК – информационно-расчетный комплекс ИТР – инженерно-технический работник ЗИ – защита информации КЗ – класс защиты ЛВС – локальные вычислительные сети МЭ – межсетевой экран НДВ – недекларируемые возможности НСД – несанкционированный доступ ПК – персональный компьютер ПЗУ – постоянное запоминающее устройство ОБС – обманная система ОС – операционная система ПЗУ – постоянное запоминающее устройство ПО – программное обеспечение СА – системы автоматизации САЗ – система активной защиты СВР – служба внешней разведки СЗИ – система защиты информации СУБД – система управления базами данных СУРБД – система управления распределенными базами данных ОТСС – основные технические средства и системы ТСОИ – технические средства обработки информации УЦ – удостоверяющий центр ФСБ – Федеральная служба безопасности ФСТЭК – Федеральная служба по техническому и экспортному контролю ЭД – электронный документ ЭЦП – электронно-цифровая подпись MBR – master boot record (главная загрузочная запись) PKI – public key infrastructure (инфраструктура открытых ключей)ВВЕДЕНИЕ
информационные технологии и т.п.) и, как следствие, информационной безопасности. Вопросы информационной безопасности на современном этапе рассматриваются как приоритетные в государственных структурах, в научных специального назначения (банковские системы, силовые ведомства и т.п.), являясь приоритетными в структуре государства, не могут оставаться в вопросах обеспечения информационной безопасности только на уровне традиционных средств: криптографическая защита, совершенствование систем разделения доступа, реализация специальных требований для абонентского трафика, проведение организационных мероприятий по усилению режима.организация, подключившись к глобальной сети Интернет. Однако при этом общедоступной сети – это возможные атаки на подключенные к ней локальные сети и компьютеры. Общепризнанно, что ежегодные убытки из-за недостаточно защищенных корпоративных информационных систем исчисляются десятками миллионов долларов. Видя свои преимущества от использования сетевых технологий, первоначально пользователи часто не придают значения выбору средств защиты информации, реально ставя под угрозу свое финансовое положение, репутацию и конкурентоспособность.
Защита информации – это лишь одна составляющая задачи обеспечения бесперебойной работы оборудования. Выход из строя того или иного узла в результате хакерской атаки приводит как к затратам на его восстановление, когда требуется обновить или заменить программное обеспечение, так и к потере части клиентуры. Можно представить, во сколько обойдется один день простоя сайта крупного Интернет-магазина. Поэтому при включении компьютера в сеть, при интеграции корпоративной информационной системы в сеть необходимо в первую очередь продумать вопросы обеспечения защиты этой системы.
Существующие на сегодняшний день методы и средства защиты информации в автоматизированных системах достаточно разнообразны, что, несомненно, отражает многообразие способов и средств возможных несанкционированных действий. Главным недостатком существующих методов и средств защиты информации, включая современные средства поиска уязвимостей автоматизированных систем и обнаружения несанкционированных действий, является то, что они, в подавляющем большинстве случаев, позволяют организовать защиту информации лишь от постфактум выявленных угроз, что отражает определенную степень пассивности обороны.
Адекватный уровень информационной безопасности в состоянии обеспечить только комплексный подход, предполагающий целенаправленное использование традиционных организационных и программно-технических правил обеспечения безопасности на единой концептуальной основе с одновременным поиском и глубоким изучением новых приемов и средств защиты.
Настоящее пособие не является инструкцией по применению тех или иных приемов защиты, его главная цель повышение общей культуры пользователя в вопросах информационной безопасности, т.е. предполагается определенное знание им основ современных сетевых и телекоммуникационных технологий. Имея базовый уровень подготовки в рассматриваемой предметной области, каждый специалист должен квалифицированно учитывать требования конкретных руководящих документов по обеспечению информационной безопасности, регламентирующих его деятельность на рабочем месте.
1. АНАЛИЗ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ
В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
1.1. Вычислительная сеть – как объект исследования Современные системы управления различных структур относятся к классу организационно-технических (человеко-машинных) систем. Они рассматриваются как совокупность взаимосвязанных и согласованных между собой технических элементов (средств, комплексов связи и автоматизации), представляющих иерархическую метрику должностных лиц, совершающих согласованные действия [3,6,21].Таким системам присущи специфические особенности, важнейшие из которых могут быть сформулированы следующим образом:
любые вычислительные сети (ВС) по своей сути предназначены для функционирования в потенциально конфликтных ситуациях, и игнорирование этого условия приводит к нежелательным последствиям, наиболее тяжелым из которых является экономический фактор;
современные и перспективные информационно-расчетные комплексы (ИРК) строятся по принципу распределенных приложений в соответствии с конкретной технологией;
технологии разрабатываются конкретными авторскими коллективами, имеющими собственные представления о степени сбалансированности целевого назначения программного продукта и безопасности его применения, поэтому многие технологии обладают рядом типовых угроз и уязвимостей;
построение перспективных механизмов обеспечения безопасности связывается не с защитой от выявленных уязвимостей, а с возможностью предотвращать новые, неизвестные методы проведения атак.
Объединяемые в сеть, средства обработки данных могут располагаться с различным удалением друг от друга. Каждому пользователю сети обеспечивается доступ ко многим ресурсам: аппаратным, программным и информационным, что дает основание считать сетевую концепцию наиболее автоматизированного управления (АУ) в целом.
Концепция вычислительной сети предполагает использование пакетов разработанных специально для сетевой технологии работы. К таковым относятся, в частности, системы управления распределенными базами данных (СУРБД), сетевые системы управления базами данных (СУБД), системы электронной почты. Применение данного программного обеспечения позволяет существенно расширить возможности ВС как с точки зрения реализуемых функций, так и по эргономическим показателям.
управления предоставляет персоналу широкие возможности, основными из использование внешней памяти; коллективное использование печатающих автоматических телефонных станций (АТС) по протоколу Х.25, сети обмена данными (технологии FR и АТМ) и другие вычислительные сети; обеспечение совместного функционирования совокупности ВС посредством организации мостов и/или шлюзов; разграничение доступа к информации по пользователям, содержанию, времени и машинным носителям.
представляют собой высокоскоростные вычислительные сети на базе мощных персональных ЭВМ, которые взаимодействуют между собой по прямым пользования.
Увеличение роли информационных систем в современных структурах специалистов и с точки зрения вскрытия возможностей таких систем с целью отрицательного воздействия на них [1,2]. Это привело к образованию предметной области, рассматривающей информационное противоборство как одну из важных составляющих борьбы за целостность информационного потенциала.
Новые информационные технологии (электронные СМИ, Интернет, мобильная связь, глобальная навигация, волоконные и беспроводные сети передачи данных) расширили возможности негативного информационного воздействия на ИРК [8]. Обострение борьбы за обеспечение информационного превосходства открывает перспективы усиления контроля за ресурсами конфликтующей стороны. В этой связи защиту собственного информационного ресурса одной из сторон следует рассматривать как составную часть сохранения целостности системы.
1.2. Структура информационного противоборства В условиях информационного конфликта одной из важных целей атакующей стороны является снижение показателей своевременности, противоборствующей системе до уровня, приводящего к срыву (потере) управления.
В соответствии с этим, содержание информационного противоборства включает две составные части, которыми охватывается вся совокупность действий, позволяющих достичь информационного превосходства над противником рис. 1.1. Первой составной частью служит противодействие информационному обеспечению управления противника (информационное противодействие). Оно включает мероприятия по нарушению конфиденциальности оперативной информации, внедрению дезинформации, блокированию добывания сведений, обработки и обмена информацией (включая физическое уничтожение носителей информации) и блокированию фактов внедрения дезинформации на всех этапах информационного обеспечения управления противника. Информационное противодействие осуществляется путем проведения комплекса мероприятий, включающих техническую разведку систем связи и управления, перехват передаваемой по каналам связи оперативной информации.
СИСТЕМА Б
СИСТЕМА А
Рис. 1.1. Структура информационного противоборства Вторую часть составляют мероприятия по защите информации, средств ее хранения, обработки, передачи и автоматизации этих процессов от воздействий противника (информационная защита), включающие действия по деблокированию информации (в том числе защиту носителей информации от физического уничтожения), необходимой для решения задач управления и блокированию дезинформации, распространяемой и внедряемой в систему управления.Информационная защита не исключает мероприятий по разведке, защите от захвата элементов информационных систем, а также по радиоэлектронной защите. Как известно, атаки могут производиться как из-за пределов сети (атаки по сети), так и по внутренним каналам (физические атаки). Поэтому информационная защита также делится на два вида: внешнюю и внутреннюю.
Для достижения своих целей атакующая сторона будет пытаться использовать оба вида атак. Сценарий ее действий заключается в том, чтобы с помощью физических атак завладеть некоторой информацией о сети, а затем с помощью атак по сети осуществлять несанкционированный доступ (НСД) к компонентам всей сети системы. По данным статистики доля физических атак составляет % от общего числа совершенных атак. На рис.1.2 дана оценка совершенных наглядности сравнительные данные по различным категориям нарушений приведены к десятибалльной шкале. Заметно, что 5 позиция во всех категориях является превалирующей.
Наиболее частым нарушениями по сети являются: сбор имен и паролей, подбор паролей, выполнение действий, приводящих к переполнению буферных устройств и т.п.
1 – рабочее место; 2 – разгребание мусора; 3 – поиск информации о сети; 4 – доступ к консоли;
Рис. 1.2. Оценка НСД в ходе физических атак на вычислительные сети по десятибалльной Действительно, в случае получения доступа к офисной технике, рабочим столам сотрудников, компьютерным системам и сетевым устройствам, атакующая сторона резко повышает шансы на успех в целях изучения уязвимых мест в системе защиты и проведения эффективной атаки.
Поиск уязвимых мест в информационно-расчетном комплексе (ИРК) занимает определенный интервал времени kT, в то время как атака производится на интервале t. Здесь kT >> t, при этом t достаточно мало, а k > 0. Определим k как коэффициент защиты. Если k, ИРК априорную информацию для преодоления защиты и проведения атаки на систему. Будем считать, что система защиты носит пассивный характер при k 1, при k >> 1 ресурс системы повышается в k раз.
Значения параметра k >> 1 обеспечивается за счет своевременного изменения конфигурации защиты или подготовки вместо реальных параметров ИРК ложных, обманных. Подготовку таких параметров целесообразно выделить в самостоятельную область защиты, не связывая ее с рядом фоновых задач по обеспечению безопасности ИРК.
1.3. Анализ проблемы защиты ресурсов вычислительных сетей Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей. Основными факторами, способствующими повышению информационной уязвимости, являются следующие:
обрабатываемой с помощью компьютеров и других средств автоматизации;
cocpeдoтoчeниe в единыx бaзax дaнныx инфopмaции paзличнoгo нaзнaчeния и paзличнoй пpинaдлeжнocти;
pacшиpeниe кpугa пользoвaтeлeй, имeющиx нeпocpeдcтвeнный дocтуп к pecуpcaм вычиcлитeльнoй cиcтeмы и нaxoдящимcя в нeй мaccивaм дaнныx;
усложнение режимов работы технических cpeдcтв вычислитeльныx cиcтeм;
автоматизация межмашинного обмена информацией, в том числе на больших расстояниях;
слабая подготовка (недостаточная квалификация) персонала.
Динамика изменения вскрытых уязвимостей системных компонентов по годам представлена на рис. 1.3 (в предположении, что все уязвимости, зарегистрированные за рассматриваемый период принять за 100%).
Рис. 1.3. Динамика изменения количества уязвимостей системных компонентов Снижение количества выявленных уязвимостей в последнее время может быть объяснено тем, что повысился уровень квалификации персонала, были найдены и устранены лежащие на поверхности ошибки ОС. Новые ОС, как правило, имеют закрытые коды и труднодоступны злоумышленникам для детального изучения и поиска уязвимостей. С выходом новых ОС, очевидно, следует ожидать очередного скачка в количестве уязвимостей или, по крайней мере, сохранения тенденции на уровне прежних лет, при этом обходимо понимать, что процентный показатель оперирует относительными понятиями и если перевести это на количественный показатель, то более 70 уязвимостей в год это недопустимо много. Можно сделать предположение о подготовленных, но не проведенных атаках, что представляет значительную потенциальную угрозу.
Данная позиция объясняется тем, что сложность программ постоянно возрастает, причем сложность архитектуры современного ПО так велика, что без повторного использования ранее созданного кода (программ) невозможно с приемлемой скоростью создавать новые программы, необходимые и востребованные на рынке. Сегодня практически никто не может себе позволить разрабатывать сложные программы с нуля, поэтому в них, как правило, повторно используется код с большой вероятностью содержащий еще не найденные ошибки, а вновь написанный код аккумулирует новые ошибки.
Классифицируя уязвимости, исходят из того, что атака – это вредоносное воздействие атакующей стороны на систему. Известные подходы к классификации рассматривают уязвимость как нечто статическое, уже случившееся, однако средства обеспечения безопасности, по сути, оперируют не уязвимостями, а атаками. Можно сказать, что атака – это реализация угрозы безопасности; действие, совершаемое злоумышленником.
Под угрозой понимается целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информации и приводит к ее случайному или преднамеренному изменению или уничтожению.
Все угрозы безопасности информации можно классифицировать по следующим признакам: по цели воздействия; по характеру воздействия и по способу возникновения (рис. 1.4).
В зависимости от характера воздействия нарушителя могут быть выделены активные и пассивные угрозы безопасности информации.
При пассивном вторжении (перехвате информации) нарушитель только наблюдает за прохождением информации в ВС, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации.
При активном вторжении нарушитель стремится изменить информацию, передаваемую в сообщении.
конфиденциальности работоспособности Рис. 1.4. Классификация угроз безопасности информации Причинами случайных угроз могут быть:
аварийные ситуации из-за стихийных бедствий и отключения электропитания;
отказы и сбои аппаратуры;
ошибки в программном обеспечении;
ошибки в работе обслуживающего персонала и пользователей;
помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. Действия нарушителя могут быть обусловлены разными мотивами: недовольством, взяткой, любопытством, конкуренцией и т. п.
Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал, сервисное звено и т. д.), так и люди, внешние по отношению к системе, так называемые «хакеры».
По частоте проявления преднамеренные угрозы можно выстроить в следующем порядке (рис 1.5):
злоупотребления в Internet со стороны сотрудников;
несанкционированный доступ со стороны сотрудников;
отказ в обслуживании;
атаки внешних злоумышленников;
кража конфиденциальной информации;
саботаж и финансовые мошенничества;
мошенничества с телекоммуникационными устройствами.
Рис.1.5. Частота обнаружения атак на вычислительные сети В таблице 1.1 представлены способы воздействия на перечисленные объекты, реализующие основные угрозы безопасности информации.
Из таблицы видно, что рассмотренные способы воздействия на аппаратные средства и программное обеспечение могут быть осуществлены только непосредственно авторизованными пользователями (должностными лицами органов управления, обслуживающим персоналом). Кроме того, воздействия на ПО и данные могут осуществляться удаленно, используя сетевые ресурсы. Исполнение угроз осуществляется посредством программных атак.
Раскрытие информации Нарушение работоспособности автоматизированной Незаконное тиражирование (воспроизведение) информации Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). Суть НСД состоит в получении нарушителем доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой политикой безопасности.
НСД может быть осуществлен как штатными средствами системы, так и специально созданными аппаратными и программными средствами.
Интересна статистика ведущей аудиторской компании Ernst & Young, затронувшая более 1300 организаций с годовым оборотом более 100 млн долларов. В соответствии с проведенным исследованием, около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51 %), так и в сфере информационной безопасности (46 %). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли информационной безопасности в мире (см. рис. 1.6).
Нехватка опытного и тренированного ИТперсонала Нехватка опытного и тренированного персонала Недостаточная вовлеченность топ-менеджмента Неправильное взаимодействие с топменеджмента Доступнось опытных и тренированных внешних Неправильное взаимодействие с "третьими" Рис. 1.6. Сдерживающие факторы индустрии информационной безопасности В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте. В 2008 году третьей по популярности причиной стало отсутствие финансирования (46 %), что также совершенно неудивительно. Денег, как известно, всегда не хватает, и отрасль информационной безопасности не является исключением.
Принципиально важным является набравший 42 % пункт «поддержка со стороны менеджмента». Ведь не секрет, что от нее очень сильно зависит успех любого (не обязательно информационной безопасности) проекта и пренебрегать ей нельзя ни в коем случае.
безопасности испытывает некоторые проблемы с доступностью технологий, а также c наличием грамотных консультантов. Однако эти трудности никак нельзя назвать критическими или непреодолимыми. По большому счету, предложение на современном рынке имеется, причем оно весьма неплохо отвечает потребностям потенциальных пользователей.
Несколько лет назад ответ на вопрос о роли информационной безопасности в бизнесе современной организации был очевиден. Компании неприятностей: заплатил деньги, внедрил решение и можешь спокойно сосредоточиться на основной деятельности.
Однако развитие рынка, рост количества угроз и средств обеспечения информационной безопасности. Сегодня ее нельзя воспринимать исключительно как защиту или страховку – она перерастает в нечто большее, а именно – в один из ключевых бизнес-активов современной организации. По мнению специалистов аналитического центра компании Perimetrix, внедрение технологий информационной безопасности может способствовать росту бизнеса напрямую, а не только с помощью минимизации рисков. И в будущем этот тренд будет только усиливаться.
По данным исследования Ernst & Young за 2007 г. (см. рис. 1.7), основным драйвером (причиной использования решений) современного рынка информационной безопасности для 64 % респондентов является необходимость соответствия различным нормативным актам. Такое положение вещей можно назвать привычным – по оценкам Ernst & Young, этот пункт возглавляет список с 2005 года. Интересно, что до 2005 года среди факторов, стимулирующих развитие информационной безопасности, первое место занимали классические вирусы и сетевые черви.
Интеграция ИБ-решений в корпаративный Технические угрозы: фишинг, шпионское Минимизация рисков внешних бизнеспартнеров Рис. 1.7. Драйверы рынка информационной безопасности При этом большинство нормативных актов влияют на информационную безопасность опосредованно. Так, например, основная цель закона SOX – обеспечить прозрачность внутреннего контроля и корректность информации в отчетах, а задача норматива Basel II – побудить финансовые компании резервировать операционные риски. Ни тот, ни другой не затрагивают информационной безопасности напрямую, однако, оба оказывают на нее преимущественно положительный характер.
По информации Ernst & Young на 2008 г. (см. рис. 1.8), в целом 80 % опрошенных полагают, что соответствие нормативным актам положительно влияет на информационную безопасность.
Специалисты аналитического центра компании Perimetrix считают данный вопрос чрезвычайно актуальным и для России в том числе. По данным различных исследований, большинство отечественных специалистов также положительно оценивают влияние, например, закона «О персональных данных», стандарта банка России «Обеспечение информационной безопасности нормативных актов на информационную безопасность.
Абсолютно не согласен Рис. 1.8. Положительное влияние соответствия нормативным актам на безопасность Таким образом, информационная безопасность перестает быть отдельным направлением деятельности организации и начинает определять ее бизнес в целом. Примерно 80 % респондентов Ernst & Young отметили, что решение задач информационной безопасности приводит к повышению эффективности ИТ-процессов. Приведем типичный пример. Большинство нормативных актов так или иначе требуют, чтобы конфиденциальная информация (сведения о клиентах, интеллектуальная собственность и т. д.) была выделена и должным образом защищена. Но для этого важно провести сортировку данных, хранящихся в корпоративной сети организации. А правильная классификация прямым образом влияет на бизнес – сотрудники перестают тратить время на поиск нужных документов на файл-серверах, которые сегодня часто представляют собой обычную свалку информации.
Представленная информация описывает третий по счету драйвер рынка информационной безопасности, а именно – о достижении тех или иных бизнесцелей (45 %). А на втором месте «расположилась» защита конфиденциальных данных, которая, с одной стороны, тесно пересекается с остальными драйверами (прежде всего, с нормативными актами), но в то же время является отдельно стоящей темой. Отметим, что за последний год ее актуальность выросла почти в полтора раза – с 41 % до 58 %.
Специалисты компании Perimetrix предполагают, что организации не хотят допускать утечки, поскольку каждая из них сопровождается серьезными материальными потерями. По данным исследования Ponemon Institute « Annual Study: The cost of data breach», средний ущерб от потери всего одной конфиденциальной записи (например, информации об одном клиенте) составляет почти 200 долларов, причем большая часть из этих средств приходится на репутационный урон. Хотелось бы отметить, что ущерб репутации оказался на пятом месте в перечне Ernst & Young.
Четвертым драйвером рынка, по мнению респондентов, является интеграция процессов обеспечения информационной безопасности в общую функцию компании по управлению рисками (см. рис. 1.9).
Рис. 1.9. Степень интеграции функций информационной безопасности и управления рисками Данные исследования говорят о том, что степень интеграции постепенно растет, и это логично вытекает из общей канвы развития рынка. Мы уже говорили, что безопасность превращается из опосредованной функции в средство решения прикладных бизнес-задач, а управление рисками как раз и является одной из них.
специфичными для отдельно взятой отрасли/региона. Принципиально важно, что среди них находятся внешние риски (фишинг, вирусы, шпионское ПО), а также развитие технологий безопасности. Другими словами, и тот и другой фактор влияют на современную ИБ не слишком сильно, и это обстоятельство также следует иметь в виду.
Профиль угроз, с которыми борются решения по информационной безопасности, постоянно меняется. Как следствие, организации вынуждены искать способы оценить эффективность внедренных продуктов. С ростом количества и сложности защитных систем эта задача становится существенно труднее, и зачастую с ней нельзя справиться, привлекая только внутренние ресурсы. Среди основных способов, используемых для оценки собственной защищенности, организации называют внутренний и внешний аудит, внутреннюю самооценку и внешнюю оценку независимыми компаниями.
Внешняя оценка независимыми Рис. 1.10. Способы оценки эффективности системы информационной безопасности Аналитики Ernst & Young рекомендуют применять все методики в комплексе. Причем делать это необходимо постоянно и объективно.
информационной безопасности будут предназначены для вытягивания денег из корпоративного бюджета.
Не менее важной представляется и задача внешнего контроля. Дело в том, что огромная масса проблем по безопасности возникает на стадии передачи информации сторонним компаниям. По сведениям Ponemon Institute, до 40 % утечек информации происходят по вине «третьих» организаций. Исключить этот процесс решительно невозможно, а как-то бороться с проблемой необходимо. По данным Ernst & Young, в 2007 году 78 % организаций выдвигают требования по информационной безопасности своим партнерам.
Подход крайне простой: хочешь работать с нами - будь добр соответствовать нашим запросам. Надо заметить, что в 2006 году этот показатель составлял %. Таким образом, мы видим еще один яркий пример прямого влияния ИБ на бизнес различных организаций.
Среди рекомендаций Ernst & Young по улучшению системы безопасности необходимо отметить усиление взаимосвязи информационной безопасности и бизнес-целей, интеграция информационной безопасности в систему управления нетрадиционных подходов для поиска специалистов.
1.4. Вероятностная модель несанкционированных действий При системном рассмотрении проблемы надежности системы обработки информации (в контексте безопасности информации), подвергающейся атакам, необходимо провести анализ поведения атакованной системы.
Допустим, множество НСД является конечным и насчитывает N компонент: Y = {Y1, Y2,..., YN }. Тогда при построении модели НСД на ИРК необходимо рассмотреть саму возможность атак каждого НСД из множества Y = {Y1, Y2,..., YN } на каждый элемент. Результатом такого исследования должна быть таблица интенсивностей атак из Y на элементы ИРК (табл. 1.2):
В этой таблице µ nm (t ) – интенсивность потока атак n-го НСД на m-й элемент ИРК. Поток атак на ИРК описывается распределением вероятностей промежутков времени между соседними атаками, которое обозначается:
A(t) = Р (время между последовательными атаками t).
Поток атак Yn на ИРК является простейшим.
На основе предельной теоремы для суммарного потока можно сделать вывод, что сумма потоков атак различных НСД на любой элемент будет сходиться к пуассоновскому потоку, для которого справедливо утверждение:
при сложении любого числа N независимых ординарных потоков будет получаться снова ординарный поток, интенсивность которого равна сумме интенсивностей складываемых потоков.
То есть для элемента программного обеспечения Еm интенсивность суммарного потока атак всех угроз из множества Y будет равна а для интенсивности потока атак на ИРК в целом будет справедливо:
Как показано в ряде работ, если параметр µ пуассоновского закона зависит от времени, т. е. поток возникновения атак неоднороден, то вероятность возникновения a атак на участке времени t описывается выражениями:
для элемента m и множества Y = {Y1,Y2,...,YN } :
для СОИ и множества НСД Y = {Y1, Y2,..., YN } :
Интенсивности потоков атак на элементы ИРК Еm определяются из таблицы 1.2 и соотношениями 1.1 и 1.2.
Зная, что число атак, попадающих на интервал t (где бы он ни находился), распределено по закону Пуассона, и полагая а=0, а также учитывая, что 0!=1, получим вероятность того, что за интервал времени t не произойдет ни одной атаки на ИРК Событие, состоящее в том, что на ИРК будет произведена хотя бы одна атака на интервале, является противоположным событию ненападения на ИРК на том же участке времени. Тогда вероятность атаки на интервале будет определяться следующим выражением:
Таким образом, для построения вероятностной модели воздействия множества атак Y на элементы ИРК необходимо:
определить множество потенциальных НСД - Y;
с каждым элементом ИРК Em связать подмножество НСД Ym относительно полного множества Y, которые могут воздействовать на этот элемент;
составить таблицу интенсивностей 1.2;
определить вероятностные характеристики потока атак на элемент Em (соотношения 1.3 и 1.4);
определить вероятностные характеристики (1.5, 1.6, 1.7) потока атак на ИРК.
На рисунке 1.11 представлен двухдольный граф для множества отношений элемент ИРК – множество атак. В левой части графа представлены возможные угрозы безопасности ИРК. При этом некоторые из них могут проявляться в неявном виде или вообще оказываются скрытыми от аналитика, следовательно, от специалиста по безопасности требуется большая разносторонняя аналитическая работа по вскрытию именно таких угроз.
Рис. 1.11. Двухдольный граф для множества отношений элемент ИРК – множество атак 1.5. Существующие подходы к повышению уровня защищенности Главным направлением в данной предметной области следует считать развитие рецепторных схем выявления несанкционированных действий, позволяющих использовать активные средства защиты в виде параметрической или структурной адаптации с целью увеличения параметра kt.
традиционные средства защиты: межсетевые экраны, криптомаршрутизаторы, серверы аутентификации и т. д. Очень часто противник в первую очередь атакует и пытается вывести из строя, имеющиеся защитные средства, обеспечивающие безопасность выбранной им цели.
Обнаруживать, блокировать и предотвращать нарушения политики безопасности можно несколькими путями. Первый и самый распространенный способ – это распознавание уже реализуемых атак. Это способ применяется в классических системах обнаружения атак. Однако недостаток средств данного класса в том, что атаки могут быть реализованы повторно. Поэтому было бы правильнее предотвращать атаки еще до их осуществления. В этом и заключается суть второго способа. Реализуется он путем поиска уязвимостей, которые могут быть использованы для совершения атаки. И, наконец, третий путь – выявление уже совершенных атак и предотвращение их повторения в дальнейшем.
Таким образом, системы обнаружения нарушений политики безопасности можно классифицировать следующим образом (рис. 1.12) Система анализа Системы обнаружения атак в Системы обнаружения Рис. 1.12. Классификация систем обнаружения атак по этапам осуществления атаки Системы анализа защищенности проводят всесторонние исследования систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют «мгновенный снимок» состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить возможность реализации атак.
Функционировать системы анализа защищенности могут на всех уровнях информационной инфраструктуры, т. е. на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов.
Связано это, в первую очередь, с универсальностью используемых протоколов.
Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т. п., позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС.
Контроль целостности позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход дает возможность контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание скорее на конечный результат атаки, а не на подробности развития атаки.
Аналогично системам анализа защищенности классические системы обнаружения атак также можно классифицировать по уровню информационной инфраструктуры, на котором обнаруживаются нарушения политики безопасности.
Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного ПО, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т. ч. и использующие известные уязвимости. Средства обнаружения атак функционируют сразу на двух этапах – втором и третьем. На втором этапе эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность корпоративной сети. Например, при проникновении противника в сеть через пользователя, у которого украли пароль. Также эффективно системы привилегированных пользователей (администраторов). И, наконец, эти системы корпоративной сети, дополняя возможности межсетевых экранов, и для защиты внутренних сегментов сети.
Вторым, не менее важным подходом является использование модели адаптивной защиты информации от несанкционированного доступа в условиях информационного противоборства. С позиции адаптивной защиты ВС от НСД при ведении компьютерной войны основными аспектами оборонительной противодействие НСД.
Ключевым аспектом технологии адаптивной защиты является переход от принципа «обнаружения и ликвидация НСД» к принципу «анализ – прогнозирование – предупреждение – противодействие». Для вычислительных сетей реализация данного принципа является обязательной, так как целенаправленное воздействие противника является для них вполне очевидным и предсказуемым явлением.
Основу системы адаптивной защиты (САЗ) составляет подсистема идентификации безопасности состояний ВС, которая в основном и определяет способность системы защиты информации (СЗИ) оперативно обнаруживать и предупреждать НСД к ее ресурсам. Реализация данной подсистемы может быть основана на следующих частных методах динамической идентификации:
обнаружение НСД на основе динамического анализа использования вычислительных ресурсов при выполнении прикладных программ;
обнаружение злоупотреблений пользователей на основе анализа данных аудита.
Осуществляя контроль вызовов системных функций в процессе выполнения прикладных программ в многопрограммном режиме и статистический анализ использования ими ресурсов вычислительной системы, можно в режиме реального времени обнаруживать деструктивные изменения программного кода и блокировать их реализацию в вычислительной среде.
Второй из предлагаемых частных методов адаптивной защиты – метод обнаружения злоупотреблений пользователей основан на анализе данных различных регистрационных журналов узлов сети (например, журнала безопасности, журнала системных событий, журналов приложений и т. п.).
Цель анализа – выявление неявных (скрытых) закономерностей и действий субъектов доступа – пользователей и инициируемых ими прикладных программ по отношению к объектам доступа – защищаемым информационным ресурсам.
Рассмотренные методы не позволяют в полном объеме решать проблему динамической идентификации состояний вычислительной сети, так как отражают лишь аспекты защиты от злоупотреблений пользователей и внедрения деструктивного кода. Однако их несомненным достоинством является возможность упреждения (предотвращения) НСД, что является основным принципом реализации технологии адаптивной защиты информации.
1.6. Механизм функционирования обманных систем в системе защиты информации в вычислительных сетях В условиях информационного противоборства, когда цена информации весьма высока, становится очевидным, что для обеспечения успешного противодействия атаке необходимо, чтобы нарушитель действовал в условиях априорной неопределенности (1 k K, где К достаточно велико).
Этого добиваются введением в контур защиты обманной системы (ОБС), целью которой является вовлечение нарушителя в своего рода «игру», тем самым увеличивается время, необходимое на обход СЗИ.
Работа обманных систем заключается в том, что они эмулируют те или иные известные уязвимости, которых в реальности не существует.
Исходя из названия видно, что обманные системы используют в качестве защитного механизма методы обмана. Естественно это требует ресурса аппаратных и программных средств, что на современном этапе развития вычислительной техники не представляет собой экзотической задачи, но теория вопроса разработана недостаточно и ждет своих исследователей.
Необходимо отметить, что обман, по указанной выше причине, очень редко используется в качестве защитного механизма. Существует множество различных вариантов использования обмана в благих целях. Вкратце перечислим некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi): сокрытие, камуфляж, дезинформация.
К этому целесообразно добавить методы провокаций (подталкивания).
В области информационной безопасности наибольшее распространение получил первый метод – сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит время, необходимое для «успешной»
реализации атаки.
Как правило, каждая операционная система обладает присущим только ей представлением механизма идентификации пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение;
текстом самого приглашения, местом его расположения и т.д. Камуфляж позволяет защититься от такого рода атак.
И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима.
Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:
увеличение числа выполняемых нарушителем операций и действий.
Чтобы заранее определить, является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять определенный объем дополнительных операций. Например, попытка запустить программу подбора паролей (например, Crack для Unix или L0phtCrack для Windows) на сфальсифицированный и несуществующий в реальности файл, приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий с определенной долей вероятности будет предполагать, что он не смог подобрать пароли, в то время как на самом деле программа «взлома» была просто обманута;
получение возможности для идентификации нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администраторы безопасности в состоянии проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры.
Обычно в информационной системе используются от 5 до зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т. д. Если обманные системы (например, RealSecure компании ISS) эмулируют использование еще 100 и более портов, то работа нападающего увеличивается в сто раз. Теперь злоумышленник обнаружит не 5а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т. д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под присмотром администраторов безопасности.
Есть и другая особенность использования обманных систем. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могли быть пропущены используемыми защитными средствами. В случае же использования обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним.
Обманная система может быть реализована двумя способами. Первый вариант представляет собой эмуляцию некоторых сервисов или уязвимостей только на том компьютере, на котором запущена обманная система (The Deception Toolkit; DTK). В этом случае никаких проблем с размещением обманной системы не возникает, так как она устанавливается на защищаемый узел.
Набор инструментальных обманных средств DTK является первым злоумышленников, пытающихся проникнуть в вычислительную сеть. Данное автоматизированные средства анализа защищенности путем создания ложных уязвимостей, что позволит своевременно обнаружить попытки НСД и противопоставить им эффективные средства защиты и, возможно, обнаружить атакующего.
DTK представляет собой набор программ на языке C и Perl, реализующих описанные выше механизмы обмана злоумышленников. Эти пользователей. DTK может функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP и имеющей реализацию транслятора с языка Perl. В частности под управлением большого числа различных Unix'ов.
А вот со вторым классом систем иногда может возникнуть некоторое недопонимание из-за того, что они эмулируют не отдельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие виртуальные узлы (CyberCop Sting, ManTrap).
CyberCop Sting «создает» виртуальную сеть на выделенном узле, работающем под управлением Windows NT. Каждый из виртуальных узлов имеет один или несколько IP-адресов, на которые можно посылать сетевой трафик и получать вполне «реальный» ответ. В более сложных случаях виртуально созданных узел может выступать в роли ретранслятора пакетов на невидимый, но реальный компьютер, который и отвечает на все запросы злоумышленника.
моделирования «приманки» для нарушителя не требуется большого количества компьютеров и маршрутизаторов, все реализуется на единственном компьютере (рис. 1.13).
Рис. 1.13. Применение системы CyberCop Sting для создания виртуального сегмента сети Для таких систем предложено два варианта их размещения.
Суть первого варианта заключается в том, что обманная система размещается в отдельном сегменте корпоративной сети.
Рис. 1.14. Размещение обманной системы в сегменте корпоративной сети Другим способом размещения ОБС является размещение такой системы в контролируемом сегменте сети. Узел с обманной системой подключается к тому же коммутатору или концентратору, что и рабочие узлы сегмента, и имеет адрес, незначительно отличающийся от адресов рабочих узлов. Например, IP – адреса сервера баз данных, файлового сервера и контроллера доменов – 200.0.0.100, 200.0.0.254, и 200.0.0.1 соответственно, а 200.0.0.200 – адрес обманной системы. Злоумышленник, определяя цель атаки путем сканирования узлов, попадает в созданную ловушку, давая сигнал администратору безопасности. Помимо схожего с рабочими IP-адреса, обманная система может иметь и близкое по звучанию DNS-имя, вводящее в заблуждение нарушителя.
Например, main.infosec.ru или fw.infosec.ru. При этом на одну обманную систему могут указывать несколько различных имен или IP-адресов, что реализуется путем использования псевдонимов (рис. 1.15).
Рис. 1.15. Размещение обманной системы в сегменте корпоративной сети Рассмотренные выше и другие существующие на сегодня ОБС работают с различными операционными системами, что наглядно демонстрирует таблица 1.3.
Операционные системы, используемые обманными системами The Deception Toolkit Различные версии Unix (после доработки и под Windows NT) RealSecure OS Sensor Windows NT, Windows 2000, Solaris, HP UX, AIX Для описания такой СЗИ предлагается вербальная модель, смысл которой поясняется схемой, представленной на рис. 1.16.
Рис. 1.16. Вербальная модель СЗИ с обманной системой С помощью обманных систем против злоумышленников применяют их же оружие, и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите.
Выполняющий все инструкции пользователь преодолевает все области О с наименьшими временными затратами. Нарушитель, пытаясь определить уязвимые места в СЗИ, сканирует поверхность упругого экрана, в результате чего он либо отражается от защитного экрана, либо поглощается областями О или О3. Так как площади эмулированных уязвимостей О3 значительно больше, чем реально существующих, то нарушитель с большей вероятностью попадает именно в «муляж». При этом до некоторого момента времени нарушитель не подозревает, что работает с обманной системой. Пытаясь закрепиться в системе и найти слабое место в следующей ступени защиты, он проявляет себя.
В момент работы обманной системы, настоящая система продолжает функционировать и успешно решать возложенные на нее задачи, а система «предупреждения НСД» принимает меры по вычислению нарушителя и формирует стратегию и тактику предупреждения НСД.
С развитием информационных технологий и вовлечением в них все большего числа пользователей увеличивается число уязвимостей вычислительных сетей, что приводит к росту числа угроз, которым может быть подвергнута система.
Проведенный анализ проблемы защиты информации показывает, что с ростом числа угроз безопасности ИРК необходимо совершенствование механизмов защиты.
1. В условиях применения концепции вычислительных сетей для обеспечения, например, управления банковскими структурами, информация, обрабатываемая в них, становится первостепенным объектом воздействия со стороны противника, что подтверждается анализом последних десятилетий.
При этом основная масса нарушений политики безопасности исходит от пользователей информационной системы.
2. Рост угроз приводит к необходимости совершенствования принятой политики безопасности, поиску технических (программных) средств защиты, не зависящих от квалификации персонала и повышения уровня трудозатрат администраторов безопасности. Существует реальная угроза несанкционированного изменения хода выполнения прикладных программ, защита от которой существующими средствами защиты информации не обеспечивается в полной мере.
3. Многие известные и широко распространенные способы защиты довольно статичны, они могут быть изучены за конечный интервал времени и успешно преодолены за конечный интервал времени, кроме того, квалифицированному нарушителю могут быть известны приемы оказания адекватного противодействия и обнаружения каналов НСД, что естественным образом ослабляет систему защиты.
4. Применение обманных систем не требует участия в ее работе легального пользователя и поэтому не усложняет правил его поведения в системе, не требуется специальная подготовка, повышение квалификации и т. п. Управление такой системой ведет узкий круг специалистов по политике безопасности.
5. Использование таких систем целесообразно основывать на разрешении игровых ситуаций, т. к. такая система не должна быть статичной, в случае необходимости желательно ее внезапное применение. Эти факторы носят негативный характер, они усложняют применение обманных систем в реальных СЗИ, но с учетом развития средств ВТ и определенному оживлению рынка такой продукции они вполне преодолимы.
6. Использование методов обмана позволяет в большей или меньшей мере ввести в заблуждение нарушителей и с некоторой долей вероятности отвести угрозу от реально работающей вычислительной сети.
Контрольные вопросы к главе 1. Раскройте суть информационного конфликта.
2. Какова структура информационного противоборства?
вычислительную сеть.
4. Какие вычислительные сети могут считаться неуязвимыми.
вычислительных сетей?
6. Дайте классификацию угроз безопасности вычислительных сетей.
7. Укажите возможные пути реализации угроз безопасности для вычислительных сетей.
8. Раскройте суть аналитической модели несанкционированных информационного процесса.
вычислительных сетей?
10. Дайте классификацию систем обнаружения атак на вычислительную сеть.
11. Какова, по современным взглядам, классификация систем обнаружения атак?
информационной защите вычислительных сетей?
13. Каков, на ваш взгляд, самый слабый элемент в защите целостности информационной системы?
2. ПРОГРАММНО-ТЕХНИЧЕСКИЕ СРЕДСТВА
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Материальным носителем информационной безопасности являются конкретные программно-технические решения, которые объединяются в комплексы в зависимости от целей их применения. Организационные меры вторичны относительно имеющейся материальной основы обеспечения информационной безопасности, поэтому в данном разделе пособия основное внимание будет уделено принципам построения основных программнотехнических решений и перспективам их развития.Угрозой интересам субъектов информационных отношений обычно называют потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты ИРК может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.
В силу особенностей современных ИРК, существует значительное число различных видов угроз безопасности субъектам информационных отношений.
Одним из распространенных видов угроз являются компьютерные вирусы. Они способны причинить значительный ущерб ИРК. Поэтому важное информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.
В нашей стране наиболее популярны антивирусные пакеты «Антивирус Касперского» и DrWeb. Существуют также другие программы, например «McAfee Virus Scan» и «Norton AntiVirus». Динамика изменения информации в данной предметной области высокая, поэтому дополнительную информацию по защите от вирусов можно найти в Internet, выполнив поиск по ключевым словам «защита от вирусов».
Известно, что нельзя добиться 100 %-й защиты ПК от компьютерных вирусов отдельными программными средствами. Поэтому для уменьшения распространения по корпоративной сети необходим комплексный подход, сочетающий различные административные меры, программно-технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно-технических средствах, можно выделить три основных уровня антивирусной защиты:
поиск и уничтожение известных вирусов;
поиск и уничтожение неизвестных вирусов;
блокировка проявления вирусов [6].
Уровни и средства антивирусной защиты схематично представлены на рис. 2.1.
распространенным является метод сканирования. Указанный метод заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая база данных сканирования с фрагментами кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентификации кода нового вируса, его сигнатура может быть введена в базу данных сканирования. В виду того, что сигнатура известна, существует возможность корректного восстановления (обеззараживания) зараженных файлов и областей. Следует добавить, что некоторые системы хранят не сами сигнатуры, а, например, контрольные суммы или имитоприставки сигнатур.
Антивирусные программы, выявляющие известные компьютерные вирусы, называются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами (фагами), докторами или дезинфекторами. Принято разделять сканеры на следующие:
транзитные, периодически запускаемые для выявления и ликвидации вирусов, резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).
К недостаткам сканеров следует отнести то, что они позволяют обнаружить только те вирусы, которые уже проникали в вычислительные системы, изучены и для них определена сигнатура. Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования.
Однако с увеличением объема базы данных сканирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь актуальной.
видоизменяют свой программный код. Это затрудняет или делает невозможным сканирования.
Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.
Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключается в проверке и сравнении текущих соответствующими ее незараженному состоянию. Понятно, что контроль целостности не является прерогативой системы антивирусной защиты. Он несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.
называемые ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут «только для чтения» файлов, дерево каталогов, сбойные накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами.
Ревизоры, как и сканеры, делятся на транзитные и резидентные.
К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими различные неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.
Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения файлов, зараженных неизвестными вирусами, обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.
Разновидностью контроля целостности системы является метод программного самоконтроля, именуемый вакцинацией. Идея метода состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.
Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы.
Они позволяют выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором.
Примером сканера с эвристическим анализатором является программа Dr Web фирмы «Диалог-Наука».
К недостаткам эвристических анализаторов можно отнести ошибки 1-го и 2-го рода: ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эвристики.
Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.
деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средств:
программы-фильтры, аппаратные средства контроля.
Программы-фильтры, называемые также резидентными сторожами и мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать «опасные» действия или выдавать запрос пользователю.
Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры часто являются «навязчивыми» и создают определенные неудобства в работе пользователя.
модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главной загрузочной записи диска (MBR). Включение указанных возможностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.
Наиболее полная защита от вирусов может быть обеспечена с помощью специальных контроллеров аппаратной защиты. Такой контроллер подключается к ISA-шине ПК и на аппаратном уровне контролирует все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может быть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, «опасные» операции и т. д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование.
К недостаткам указанных контроллеров, таких как ISA-плат, относят отсутствие системы автоконфигурирования, и, как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными.
При работе в глобальных сетях общего пользования, в частности в Internet, кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходящего трафика. Это может быть осуществлено путем реализации антивирусного прокси-сервера, либо интеграции антивирусной компоненты с межсетевым экраном. В последнем случае межсетевой экран передает антивирусной компоненте (или серверу) допустимый, например, SMTP, FTP и HTTP-трафик. Содержащиеся в нем файлы проверяются на предмет наличия вирусов и, затем, направляются пользователям. Можно сказать, мы имеем дело с новым уровнем антивирусной защиты – уровнем межсетевого экранирования.
2.1.4. Обзор возможностей антивирусных средств В настоящее время наблюдается тенденция в интегрировании различных антивирусных средств с целью обеспечения надежной многоуровневой защиты.
На российском рынке наиболее мощными являются антивирусный комплект DialogueScience’s Anti-Virus kit (DSAV) АО «ДиалогНаука» и интегрированная антивирусная система AntiViral Toolkit Pro (AVP) ЗАО «Лаборатория Касперского». Указанные комплексы высоко зарекомендовали себя в нашей стране, особенно при обеспечении антивирусной защиты информационных систем малого и среднего офиса. Рассмотрим возможности средства «Лаборатория Касперского».
Указанный программный продукт декларирует: «Одной из главных задач специалистов «Лаборатории Касперского» при создании Антивируса Касперского являлась оптимальная настройка всех параметров приложения.
Это дает возможность пользователю с любым уровнем компьютерной грамотности, не углубляясь в параметры, обеспечить безопасность компьютера сразу же после установки приложения». Окно-приглашение (главное окно) указанного антивирусного средства доступно для понимания пользователю любого уровня.
В случае необходимости пользователь может обратиться за помощью к справочной системе, нажав кнопку «? Справка» и получить ответ на интересующий его вопрос. Приведем без купюр содержание одного из информационных окон программного продукта.
Антивирус Касперского – это принципиально новый подход к защите информации. Главное в приложении – это объединение и заметное улучшение текущих функциональных возможностей всех продуктов компании в одно комплексное решение защиты. Приложение обеспечивает не только антивирусную защиту, но и защиту от неизвестных угроз. Больше не нужно устанавливать несколько продуктов на компьютер, чтобы обеспечить себе полноценную защиту. Достаточно просто установить Антивирус Касперского.
Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет максимально адаптировать Антивирус Касперского под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.
Рассмотрим детально нововведения Антивируса Касперского.
Новое в защите Теперь Антивирус Касперского защищает не только от уже известных вредоносных программ, но и от тех, что еще не известны. Наличие компонента проактивной защиты – основное преимущество приложения. Его работа построена на анализе поведения приложений, установленных на вашем компьютере, на контроле изменений системного реестра, отслеживании выполнения макросов и борьбе со скрытыми угрозами. В работе компонента используется эвристический анализатор, позволяющий обнаруживать различные виды вредоносных программ. При этом ведется история вредоносной активности, на основе которой обеспечивается откат действий, совершенных вредоносной программой, и восстановление системы до состояния, предшествующего вредоносному воздействию.
Изменилась технология защиты файлов на компьютере пользователя:
теперь вы можете снизить нагрузку на центральный процессор и дисковые подсистемы и увеличить скорость проверки файлов. Это достигается за счет использования технологий iChecker и iSwift. Такой режим работы приложения исключает повторную проверку файлов.
Процесс поиска вирусов теперь подстраивается под вашу работу на компьютере. Проверка может занимать достаточное количество времени и ресурсов системы, но пользователь может параллельно выполнять свою работу.
Если выполнение какой-либо операции требует ресурсов системы, поиск вирусов будет приостановлен до момента завершения этой операции. Затем проверка продолжится с того места, на котором остановилась.
Проверка критических областей компьютера, заражение которых может привести к серьезным последствиям, представлена отдельной задачей.
Вы можете настроить автоматический запуск этой задачи каждый раз при старте системы.
Значительно улучшена защита электронной корреспонденции на компьютере пользователя от вредоносных программ. Приложение проверяет на вирусы почтовый трафик на следующих протоколах:
IMAP, SMTP, POP3, независимо от используемого вами почтового NNTP, независимо от почтового клиента;
Независимо от типа протокола (в том числе MAPI, HTTP) в рамках работы плагинов, встроенных в почтовые программы Microsoft В таких широко известных почтовых клиентах как Microsoft Office Outlook, Microsoft Outlook Express и The Bat! встроены специальные модули расширения (плагины), позволяющие настраивать защиту почты непосредственно в почтовом клиенте.
Расширена функция оповещения пользователя о возникновении в работе приложения определенных событий. Вы сами можете выбрать способ уведомления для каждого из типов событий: почтовое сообщение, звуковое оповещение, всплывающее сообщение, запись в журнал событий.
Реализована проверка трафика, передаваемого через защищенное соединение по протоколу SSL.
удаленного несанкционированного управления сервисом Антивируса, а также защиты доступа к параметрам приложения с помощью пароля. Это позволяет избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей.
Добавлена возможность создания диска аварийного восстановления системы. С помощью этого диска можно провести первоначальную загрузку операционной системы после вирусной атаки и выполнить проверку компьютера на наличие вредоносных объектов.
Достаточно популярной у ряда пользователей является программа Dr. Web. Основная направленность Dr. Web состоит в обнаружение полиморфных вирусов. В настоящее время Dr. Web реализует наиболее эффективный эвристический анализатор неизвестных вирусов в мире. По данным журнала Virus Bulletin, это обеспечивает обнаружение до 80 – 91% неизвестных вирусов, в т. ч. 99 % макро-вирусов! На международных конкурсах Dr. Web несколько раз входил в тройку самых лучших антивирусов для DOS. Продукт достаточно компактный, что позволяет запускать его с дискеты.
В заключении отметим, что администратор сети, пользователи ПК должны постоянно следить за обновлением антивирусных средств и своевременно осуществлять комплекс мер по защите программно-аппаратных средств сети от высоковероятного поражения их вирусами.
2.2. Криптографические методы защиты информации Криптография – наука о шифрах. Долгое время сведения этой предметной области были строго засекречены, так как шифры применялись, в основном, для защиты государственных и военных секретов. В настоящее время методы и средства криптографии используются для обеспечения информационной безопасности не только государства, но и частных лиц и организаций. Дело здесь совсем не обязательно в секретах. Слишком много различных сведений «гуляет» по всему свету в цифровом виде. И над этими сведениями «висят»
угрозы недружественного ознакомления, накопления, подмены, фальсификации и т. п. Наиболее надежные методы защиты от таких угроз дает именно криптография. Но и она бессильна защитить информационное пространство пользователя, если он нарушает правила применения доступных ему шифров.
Поэтому знание основ криптографических методов защиты информации является неотъемлемой составляющей культуры современного человека, сталкивающегося практически ежедневно с применением современных сетевых технологий при эксплуатации средств вычислительной техники.
Темпы развития информационных технологий таковы, что косвенно многим уже приходилось пользоваться некоторыми криптографическими средствами: шифрование электронной почты, электронной подписи, интеллектуальные банковские карточки и др. Естественно, что при этом основной вопрос для пользователя – обеспечивает ли данное криптографическое средство надежную защиту. Но даже правильно сформулировать этот элементарный вопрос непросто. От какого противника защищаемся? Какие возможности у этого противника? Какие цели он может преследовать? Как измерять надежность защиты? Список таких вопросов можно продолжить.
Для ответа на них пользователю необходимы знания основных понятий криптографии. Цель данного раздела дать представление об основных понятиях современной криптографии: шифр, ключ, стойкость, электронная цифровая подпись, криптографический протокол и др.
Как передать нужную информацию нужному адресату в тайне от других?
Размышляя над задачей передачи конфиденциальных сведений, нетрудно прийти к выводу, что для этого есть три возможности.
1. Создать абсолютно надежный, недоступный для других канал связи между абонентами.
2. Использовать общедоступный канал связи, но скрыть сам факт передачи информации.
3. Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат.
Прокомментируем эти три возможности.
1. При современном уровне развития науки и техники сделать такой канал связи между удаленными абонентами для неоднократной передачи больших объемов информации практически нереально.
2. Разработкой средств и методов скрытия факта передачи сообщения занимается стеганография.
Первые следы стеганографических методов теряются в глубокой древности. Например, известен такой способ скрытия письменного сообщения:
голову раба брили, на коже головы писали сообщение и после отрастания волос раба отправляли к адресату.
Из детективных произведений хорошо известны различные способы тайнописи между строк обычного, незащищаемого текста: от молока до сложных химических реактивов с последующей обработкой.
Также из детективов известен метод «микроточки»: сообщение записывается с помощью современной техники на очень маленький носитель (микроточку), который пересылается с обычным письмом, например, под маркой или где-нибудь в другом, заранее обусловленном месте.
В настоящее время в связи с широким распространением компьютеров известно много тонких методов маскировки защищаемой информации внутри больших объемов информации, хранящейся в компьютере. Следует отметить, что стеганография и криптография – совершенно различные направления в теории и практике защиты информации.
3. Разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей занимается криптография.
Такие методы и способы преобразования информации называются шифрами.
Шифрование (зашифрование) – процесс применения шифра к защищаемой информации, т. е. преобразование защищаемой информации (открытого текста) в шифрованное сообщение (шифртекст, криптограмму) с помощью определенных правил, содержащихся в шифре.
Дешифрование – процесс, обратный шифрованию, т. е. преобразование шифрованного сообщения в защищаемую информацию с помощью определенных правил, содержащихся в шифре.
Криптография – прикладная наука, она использует самые последние достижения фундаментальных наук, в первую очередь, математики. С другой стороны, все конкретные задачи криптографии существенно зависят от уровня развития техники и технологии, от применяемых средств связи и способов передачи информации.
Что же является предметом криптографии? Для ответа на этот вопрос вернемся к задаче конфиденциальной передачи информации от одного субъекта к другому, чтобы уточнить ситуацию и используемые понятия.
Прежде всего заметим, что эта задача возникает только для информации, которая нуждается в защите. Обычно в таких случаях говорят, что информация содержит тайну или является защищаемой, приватной, конфиденциальной, секретной. Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные понятия:
государственная тайна;
военная тайна;
коммерческая тайна;
юридическая тайна;
врачебная тайна и т. д. [22] Далее будем говорить о защищаемой информации, имея в виду следующие признаки такой информации:
имеется какой-то определенный круг законных пользователей, которые имеют право владеть этой информацией;
имеются незаконные пользователи, которые стремятся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям во вред.
Для простоты мы вначале ограничимся рассмотрением только одной угрозы – угрозы разглашения информации, например, сведений о доходах.
Существуют и другие угрозы для защищаемой информации со стороны незаконных пользователей: подмена, имитация и др. Такие угрозы целесообразно рассмотреть отдельно. Рассмотрим процесс передачи секретных сведений по общедоступной системе связи с использованием средств криптографической защиты (см. рис. 2.2).
Здесь источник секретных сведений и их приемник – удаленные законные пользователи защищаемой информации: они хотят обмениваться информацией по общедоступному каналу связи. Криптоаналитик – незаконный пользователь (противник или злоумышленник), который может перехватывать передаваемые по каналу связи сообщения и пытаться извлечь из них интересующую его информацию. Особую роль в схеме играет источник ключа К, который вырабатывает ключ и в простейшем случае по защищенному от посторонних лиц каналу связи передает его приемной стороне. Эту формальную схему можно считать моделью типичной ситуации, в которой применяются криптографические методы защиты информации [7].
Отметим, что исторически в криптографии закрепились некоторые военные термины (противник, атака на шифр и др.). Они наиболее точно отражают смысл соответствующих криптографических понятий. Вместе с тем широко известная военная терминология, основанная на понятии кода (военно-морские коды, коды Генерального штаба, кодовые книги дипломатических представительств и миссий и т. п.), уже не применяется в теоретической криптографии. Дело в том, что за последние десятилетия сформировалась теория кодирования – большое научное направление, которое разрабатывает и изучает методы защиты информации от случайных искажений в каналах связи.
И если ранее термины «кодирование» и «шифрование» употреблялись как синонимы, то теперь это недопустимо. Так, например, очень распространенное выражение «кодирование – разновидность шифрования» становится просто неправильным.
семантическую составляющую, например, объем доступных средств на кредитной карточке. Криптография занимается методами преобразования информации, которые бы не позволили злоумышленнику извлечь ее смысловое содержание из перехватываемых сообщений. При этом по каналу связи передается уже не сама защищаемая информация, а результат ее преобразования с помощью шифра, и для противника возникает сложная задача вскрытия шифра.
Вскрытие или взламывание шифра – процесс получения защищаемой информации из шифрованного сообщения без знания ключа К [16].
Однако помимо перехвата и вскрытия шифра противник может пытаться получить защищаемую информацию многими другими способами. Наиболее известным из таких способов является агентурный, когда противник какимлибо путем склоняет к сотрудничеству одного из законных пользователей и с помощью этого агента получает доступ к защищаемой информации. В такой ситуации криптография бессильна.
Противник может пытаться не получить, а уничтожить или модифицировать защищаемую информацию в процессе ее передачи. Это совсем другой тип угроз для информации, отличный от перехвата и вскрытия шифра.
Для защиты от таких угроз разрабатываются свои специфические методы.
злоумышленника можно разделить на пассивное прослушивание канала связи (см. рис. 2.3) и активное нападение на систему обмена информацией с модификацией семантической составляющей в выгодном для себя (противника) варианте (см. рис. 2.4) [10].
Рис. 2.3. Сценарий пассивного перехвата информации Первая форма нападения на криптографический протокол относительно проста для большинства передающих сред, особенно для радиоканалов, где физическое соединение не требуется. При этом термин «пассивный перехват информации» означает, что противник до определенного момента времени пытается собрать некоторую информацию, не воздействуя на сам процесс передачи, т. е. поведение злоумышленника далеко не пассивно.
Рис. 2.4. Сценарий активной модификации информации Возрастающее использование сетей пакетной коммутации, где данные обрабатываются в каждом маршрутизаторе, означает, что нападение с подстановкой также вполне возможно. Хорошим действующим примером второго типа канала нападения (с перехватом сообщений) является брандмауэр (firewall) Internet – программно-аппаратное средство межсетевой защиты.
Осуществив получение по любому сценарию зашифрованного текста злоумышленник может совершить попытку взлома шифра, может собрать данные по ошибкам, допускаемым операторами в ходе обмена зашифрованной информацией, может собирать иную статистику для реализации взлома.
Наиболее грубой ошибкой пользователей является передача по общедоступному каналу одних и тех же сведений в открытом и зашифрованном виде. При этом наиболее уязвимой частью зашифрованного текста является адресная часть сообщения, которая с высокой вероятностью известна и по которой возможно осуществить вскрытие шифра.
По второму сценарию возможна модификация сообщения с расчетом внести в него ложные данные или путем имитации правдоподобного сообщения заставить пользователя сознательно выполнять неправильные действия.
При всех видах нападений следует предполагать, что сам алгоритм шифрования известен. Объясняется это тем, что в большинстве случаев шифр является коммерческим продуктом, который свободно продается на рынке.
коммерческих программ шифрования в целях повышенной защиты пытаются сохранять свои алгоритмы в секрете. Однако реверсировать машинный код обратно в ассемблерный – относительно простая задача, и неблагоразумно предполагать, что такие шифры не попадут в плохие руки.
Следовательно, на пути от одного законного пользователя к другому информация должна защищаться разными способами, противостоящими различным угрозам. Возникает ситуация цепи из разнотипных звеньев, которая защищает информацию. Естественно, противник будет стремиться найти самое слабое звено, чтобы с наименьшими затратами добраться до информации.
А значит, и законные пользователи должны учитывать это обстоятельство в своей стратегии защиты: бессмысленно делать какое-то звено очень прочным, если есть заведомо более слабые звенья («принцип равнопрочности защиты»).
Не следует забывать и еще об одной важной проблеме: проблеме соотношения цены информации, затрат на ее защиту и затрат на ее добывание.
При современном уровне развития техники сами средства связи, а также разработка средств перехвата информации из них и средств защиты информации требуют очень больших затрат. Прежде чем защищать информацию, следует оценить показатель экономической целесообразности применения криптосистемы. Следует решить альтернативную задачу: является ли защищаемая информация для противника более ценной, чем стоимость атаки и является ли она для пользователя более ценной, чем стоимость защиты.
Именно перечисленные соображения и являются решающими при выборе подходящих средств защиты: физических, стеганографических, криптографических и др.
Говоря о системе шифрования, необходимо различать инициатора передачи информации, получателя сообщения и априори предполагать о наличии противника, пытающегося разыграть один из перечисленных криптографических сценариев.
Инициатор передачи организует зашифрованную связь, ему принадлежит ведущая роль в криптосистеме. Именно он определяет целесообразность закрытия информации теми или иными средствами, заказывает ключевую документацию и организует ее доставку надежным каналом к получателю сообщения. При одном получателе процедура доставки ключа в большинстве практических приложений не вызывает трудностей, но они возникают, если получателей сообщений достаточно много. Так как ключ имеет определенный срок действия, то организатор зашифрованной связи обязан предусмотреть схему смены ключей, выработать правило их использования и контролировать процедуру их применения.
Приемник сообщения обязан выполнять предусмотренные старшей инстанцией правила пользования ключевой документацией и обеспечивать доведение полученной информации до соответствующих исполнителей.
Действия противника могут только прогнозироваться инициатором передачи данных и их получателем, поскольку свои намерения злоумышленник не декларирует. О действии противника, как правило, становится известно только после выявления материального, финансового или иного вида ущерба.
Приведенные рассуждения носят качественный характер. Для получения некоторого представления о количественных характеристиках криптографической системы необходимо более детально рассмотреть свойства отдельных элементов системы, понять принцип их работы и взаимодействия.
Источник секретных сведений (источник сообщений) передает информацию с использованием того или иного алфавита или системы счисления, если информация носит сугубо цифровой характер. Подлежащие передаче сведения формируются за счет усилий одного пользователя или группы лиц. Аналогичные сведения могут быть образованы и автоматическими устройствами, используемыми в информационном процессе.
Главной особенностью информации, представленной на естественном языке исполнителя, является наличие статистики в повторении букв алфавита того или иного языка, используемых для написания осмысленного текста.
Указанная статистическая зависимость является неравномерной. В ней есть буквы, которые в текстах повторяются больше других, а есть буквы, которые повторяются довольно редко. Например, наиболее повторяемой буквой русского языка является буква «о». Для английского языка такой буквой является буква «е». Наименее повторяемой в осмысленном тексте русского языка является буква «ъ».
Естественно, указанная статистика проявляется на достаточно больших злоумышленниками для взлома шифра без знания ключа.
Возьмем достаточно длинный осмысленный текст, написанный на русском языке, в котором содержится N букв. Решим рутинную задачу, определяя и суммируя появление каждой буквы в тексте. Пусть буква «а» в итоговом результате имеет значение накопленной суммы N а, тогда частота ее появления для данного текста будет определяться отношением. Подводя общий итог, можно заметить, что результатом эксперимента является цепочка неравенств вида Указанную закономерность можно представить в виде гистограммы (рис. 2.5).
Частость появления букв в тексте Буквы алфавита Рис. 2.5. Гистограмма появления букв в тексте русского языка закономерности получил название частотного анализа.
Принцип частотного анализа использовался выдающимися писателями А. Конан Дойлом в рассказе «Пляшущие человечки» и Э. По в рассказе «Золотой жук», когда главные герои этих произведений вскрывали содержание текстов, одинаковые буквы которых заменялись на некие условные знаки (другие буквы), всегда одинаковые для одних и тех же букв исходного текста.
Правила замены были понятен только отправителю сообщения и его получателю. В общей классификации шифров подобное преобразование исходного текста получило название шифра замены.
Известно, что код Морзе, используемый в слуховой радиосвязи, является неравномерным кодом, адаптированным к английскому языку. Его приспособленность заключается в том, что наиболее употребляемая буква этого языка «е» передается самым коротким знаком азбуки Морзе – единственной точкой [14].
Из сказанного можно сделать вывод: замена одних и тех же букв алфавита в скрываемом тексте на другие знаки (буквы), но всегда одни и те же для данной буквы алфавита, однозначно взламывается злоумышленником, который в своих действиях использует статистику языка, на котором написано сообщение.
Другим важным выводом является то, что шифрование одного открытого осмысленного текста другим осмысленным текстом не приводит к существенному нарушению статистики языка и лишь не намного увеличивает время взлома первого и второго сообщения с использованием частотного анализа.
Применительно к ЭВМ каждый знак текста, набранный пользователем, представляется одним байтом. Предположим, что используется алфавит русского языка. Тогда для представления в двоичной форме 32 основных букв такого алфавита требуется всего 5 бит, т. к. 25=32 [9]. Без потери общности рассуждений представим в виде таблицы 2.1 условное соответствие некоторых букв кириллицы набору двоичных символов. Из таблицы исключены буквы Ё, Й и Ъ.
Соответствие букв кириллицы набору двоичных символов содержится слово …ПОБЕДА… и пусть для зашифрования этого слова источником ключа сформирована последовательность …КМЫХЬЮ…. В схеме наложения шифра буква «К» преобразует букву открытого текста «П» в другую. Преобразование, как правило, осуществляется по модулю некоторого числа. В ЭВМ такое преобразование осуществляется по модулю числа два.
Обычно схема сложения по модулю два представляется в терминах алгебры логики как схема неравнозначности, которая формально выполняет операцию вида Y = X1 X 2 + X1 X 2 (таблица 2.2).
Заметно, что при сложении одинаковых значений Хi результирующее значение равно нулю. Представим исходный текст в виде таблицы соответствия между буквами алфавита и соответствующими наборами двоичного кода:
П О Б Е Д А
Такую же таблицу получим для символов источника ключа.
К М Ы Х Ь Ю
Результат работы схемы наложения шифра представляется таблицей 2.3, которая не требует особых комментариев. В результате по каналу связи будет передан зашифрованный текст … ДБШУЯЭ….Двоичное представление Символы зашифрованного
Д Б Ш У Я Э
Замечательным свойством схемы сложения по модулю два является то, что операция сложения символов равносильна операции вычитания. Это позволяет схему снятия шифра на приемной стороне построить по принципу схемы наложения шифра. Суть работа такой схемы представлена таблицей 2.4.Символы зашифрованного
Д Б Ш У Я Э
Двоичное представление Двоичное представление ОТ 01111 01110 00010 00110 00101 Очевидно, что во всех представленных последовательностях должна соблюдаться строгая синхронизация между символами. Например, если в таблице 2.3 двоичное представление ключа или зашифрованного текста сместить всего на один символ, то рашифрование текста не произойдет.Получатель увидит набор знаков, лишенный какого-либо смысла. Схемы подобного типа находят применение в реальных системах защиты, т. е.
проблемы снятия и наложения шифра принципиально решены.
Под ключом в криптографии понимают сменный элемент шифра, который применяется для шифрования конкретного сообщения. Безопасность защищаемой информации определяется в первую очередь именно этим элементом схемы шифрования. Сам шифр, шифрмашина или принцип шифрования стали считать известными противнику и доступными для предварительного изучения, но в них появился неизвестный для противника ключ, от которого существенно зависят применяемые преобразования информации. Теперь законные пользователи, прежде чем обмениваться шифрованными сообщениями, должны тайно от противника обменяться ключами или установить одинаковый ключ на обоих концах канала связи.
В общей схеме шифрования должен присутствовать недоступный противнику секретный канал связи для обмена ключами. Создать такой канал связи вполне реально, поскольку нагрузка на него при наличии малого числа пользователей, вообще говоря, небольшая. Подобные схемы получили название систем шифрования с частными ключами, а сами системы называются симметричными, т. к. обе связывающиеся стороны имеют один и тот же ключ.
Для противника появляется новая задача – определить ключ, после чего можно легко прочитать зашифрованные на этом ключе сообщения.
Отметим, что не существует единого шифра, подходящего для всех случаев. Выбор способа шифрования зависит от особенностей информации, ее ценности и возможностей владельцев по защите своей информации. Прежде всего, подчеркнем большое разнообразие видов защищаемой информации:
документальная, телефонная, телевизионная, компьютерная и т. д. Каждый вид информации имеет свои специфические особенности, и эти особенности сильно влияют на выбор методов шифрования информации. Большое значение имеют объемы и требуемая скорость передачи шифрованной информации.
Выбор вида шифра и его параметров существенно зависит от характера государственные, военные и др.) должны сохраняться десятилетиями, а некоторые (например, биржевые) – уже через несколько часов можно разгласить. Необходимо учитывать также и возможности того противника, от которого защищается данная информация. Одно дело – противостоять государственной структуре.
Способность шифра противостоять всевозможным атакам на него называют стойкостью шифра.
Под атакой на шифр понимают попытку вскрытия этого шифра.
Понятие стойкости шифра является центральным для криптографии.
Хотя качественно понять его довольно легко, но получение строгих доказуемых оценок стойкости для каждого конкретного шифра – проблема нерешенная. Это объясняется тем, что до сих пор нет необходимых для решения такой проблемы математических результатов. (Мы вернемся к обсуждению этого вопроса ниже.) Поэтому стойкость конкретного шифра оценивается только путем всевозможных попыток его вскрытия и зависит от квалификации криптоаналитиков, атакующих шифр. Такую процедуру иногда называют проверкой стойкости [16].
Важным подготовительным этапом для проверки стойкости шифра является продумывание различных предполагаемых возможностей, с помощью которых противник может атаковать шифр. Появление таких возможностей у противника обычно не зависит от криптографии, это является некоторой внешней подсказкой и существенно влияет на стойкость шифра. Поэтому оценки стойкости шифра всегда содержат те предположения о целях и возможностях противника, в условиях которых эти оценки получены.