О СИСТЕМНОМ ПОДХОДЕ К СОЗДАНИЮ МОДЕЛИ КОМПЬЮТЕРНЫХ УГРОЗ И ЕЕ РОЛИ В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КЛЮЧЕВЫХ СИСТЕМАХ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ  

скачать архив статьи
(ОБ ОДНОМ ПОДХОДЕ К РАЗВИТИЮ МОДЕЛИ ТЕХНИЧЕСКОЙ КОМПЬЮТЕРНОЙ РАЗВЕДКИ)

В актуальнейшей области компьютерной безопасности исследованы и успешно решены многие вопросы, но общего подхода на основе системного анализа к созданию обобщенной модели компьютерных угроз, адекватной современному уровню информационных технологий, пока так и не выработано. В данной статье предложен подход к решению этой сложной научной проблемы создания модели компьютерных угроз информационной безопасности.

В настоящее время в среде специалистов по компьютерной безопасности активизировались дискуссии о систематизации компьютерных угроз безопасности. Предлагаются самые различные подходы и модели компьютерной угрозы. С появлением нового термина: обеспечение безопасности информации в ключевых системах информационной инфраструктуры (ОБИ КСИИ) накал дискуссий обостряется, но общепризнанной модели так и не выработано. Необходимо напомнить, что широкая известность к термину "информационная инфраструктура" пришла в 1994 году, после знаменитого выступления вице-президента США Альберта Гора в Аргентине. А.Гор "рекламировал" Глобальную Информационную Инфраструктуру - Интернет именно как "глобальную массу связанных сетей ЭВМ". Таким образом, следует понимать под термином "информационная инфраструктура" термин "компьютерные сети". Все это добавляет актуальности системного анализа и создания общей модели компьютерных угроз.
В последние годы под моим научным руководством прошла серия научно-практических исследований, которая еще раз подтвердила разработанную и предложенную широкой научной общественности системную модель компьютерной угрозы, на основе выделения следующих 9 типов угроз: семантических, алгоритмических, вирусных, разграничительных, сетевых, потоковых, аппаратных, форматных и пользовательских технических компьютерных угроз. Представляется целесообразным и актуальным проанализировать в новых технических условиях девяти-типовую модель технической компьютерной угрозы. Особо подчеркнем, что все эти 9 типов необходимо учитывать в первую очередь при обеспечении безопасности информации в ключевых системах информационных инфраструктур, являющихся по существу гетерогенными территориально распределенными информационно-вычислительными сетями, аналогичными Интернет. Хотя, не все компьютерные сети имеют физическое подключение к Интернету, но практически все они используют однотиповые технические решения.
Будем исходить из того, что, любая классификация является некоторым абстрактным обобщением наших представлений об изучаемой предметной области. Это обобщение создается с некоторой целью и основывается на выделении некоторых основных признаков. Классифицировать компьютерные угрозы можно с разных точек зрения, соответственно, будем получать и разные результаты. В данной работе целевой функцией является обеспечение технической защиты информации, в соответствии с которой и предложен новый подход к созданию Модели компьютерных угроз информационной безопасности.
Под компьютерной разведкой было принято понимать получение информации из баз данных ЭВМ, включенных в компьютерные сети, а также информации об особенностях их построения и функционирования [1]. В настоящее время стало общепризнанным, что это слишком узкий, упрощенный подход к компьютерной разведке. Проведем системный анализ современных технических компьютерных угроз, а затем осуществим синтез новой классификации типов компьютерных разведок, т.е. типов технических компьютерных угроз.
Объектом защиты (ОЗ) информационной безопасности (ИБ) от технических компьютерных угроз (ТКУ) являются компьютерные системы и сети, которые включают: отдельные компьютеры, ПЭВМ, многопроцессорные ЭВМ и компьютерные системы, информационно-вычислительные сети, программно-аппаратные комплексы, программное обеспечение ЭВМ, периферийное компьютерное оборудование, различное оборудование, содержащее встроенные процессоры и микро-компьютеры и т.п.
В компьютерных системах и сетях обрабатывается, в т.ч. передается и хранится различная информация в виде фактографических сведений и различных данных. Объектами защиты от ТКУ, прежде всего, являются непосредственно сами компьютерные системы и сети. Кроме того, путем реализации ТКУ можно получать данные непосредственно о пользователях (людях и программах) компьютерных систем и сетей, о режимах их работы, об их интересах и т.п. Специально подчеркнем, что пользователями компьютерных сетей являются не только люди, но и отдельные программы или программно-аппаратные комплексы. Возможно включение в ТКУ известных: угроз ПЭМИН и радио, оптоволоконных, акустических и т.д. угроз компьютерным и телекоммуникационным сетям. Не относятся к ТКУ: втягивание в телеконференции, добывание паролей путем подкупа или обмана, передача данных через компьютерные сети, т.к. сеть в данном случае выступает не более чем как канал связи.
Таким образом, под ТКУ будем понимать добывание информации из компьютерных систем и сетей, характеристик их программно-аппаратных средств и пользователей. Следовательно, представляется целесообразным выделит три типа источников информации для ТКУ:
1) данные, сведения и информация обрабатываемые, в т.ч. передаваемые и хранимые, в компьютерных системах и сетях;
2) характеристики программных, аппаратных и программно-аппаратных комплексов;
3) характеристики пользователей компьютерных систем и сетей.
Компьютерные системы и сети строятся по многоуровневому принципу логического взаимодействия, алгоритмов обработки и передачи данных. Например, в эталонной модели взаимодействия открытых систем (ЭМВОС) выделяют семь уровней. Принципиально важным является факт образования, "логико-алгоритмической" надстройки нескольких уровней взаимодействия над одним физическим уровнем компьютерных систем и сетей. Например, на одинаковых компьютерах можно устанавливать совершенно различные программные комплексы для выполнения разнообразных задач. И, наоборот, на аппаратно разных физических компьютерах можно устанавливать одинаковые программные среды и комплексы для решения однотипных задач. Следовательно, такое многоуровневое построение компьютерных систем и сетей обуславливает наличие на одной физической среде нескольких различных логических, алгоритмических, программно-аппаратных совокупностей объектов защиты, сред передачи данных и средств добывания информации, образующих различные "виртуальные технические каналы утечки информации". По принципам построения программно-аппаратных комплексов, каналам утечки информации и функциональному предназначению ТКУ можно разделить на следующие виды компьютерных угроз информационной безопасности или на компьютерные каналы утечки информации.
Прежде всего, путем реализации ТКУ можно добывать информацию в виде различных сведений, описаний, сообщений из открытых баз данных компьютерных сетей или на основе обработки полученных в электронном виде сведений и "семантического" анализа различных электронных документов (тексты, графические файлы, аудиозаписи, мультимедиа и т.п.). Таким образом, формируется вполне определенная совокупность объектов защиты (тексты, сообщения и документы), среды их программной логической обработки и средств добывания в виде различных программных комплексов семантического анализа электронных документов. Иногда такой тип ТКУ называют "обрабатывающей разведкой", но так как этот термин не является однозначным, целесообразно этот тип ТКУ называть "семантической угрозой". Сразу подчеркнем, что в этом типе угрозы используются и другие методы обработки текстов: по ключевым словам, контент-анализа, синтаксический анализ и др. Однако, именно на уровне семантической обработки, которой могут предшествовать методы синтаксического анализа, формируются различные обработанные, обобщенные документы для последующей аналитической обработки специалистами, экспертами и аналитиками. Следовательно, данный тип ТКУ ("канал утечки") назовем семантической угрозой.
Следующий тип ТКУ обусловлен тем, что компьютерная техника и программное обеспечение закупается у посторонних производителей. Производители компьютеров могут вносить определенные изменения в состав и структуру компьютера, а также использовать различные аппаратные закладки для реализации специальных функций, в том числе и для последующего добывания информации из компьютеров. Сразу отметим, что разнообразные радиозакладки, микрофоны и т.п. могут не входить в ТКУ, т.к. относятся к другим видам технических угроз в зависимости от физической среды и решаемых задач. Кроме того, производители программного обеспечения также могут вносить в свои продукты различные программные закладки и недекларируемые возможности. Отдельные производители могут реализовывать совместные программно-аппаратные закладки. Так как все пользователи используют аппаратуру вместе с программами, то целесообразно объединить эти заранее вносимые изменения в один тип ТКУ. Все указанные выше закладки нарушают алгоритмы функционирования как аппаратуры, так и программ. Следовательно, данный тип ТКУ целесообразно называть алгоритмической угрозой.
По некоторой аналогии с предыдущим типом, рассмотрим использование вредоносных программ ("вирусов", "червей" и т.п.), которые для благозвучности и в соответствии со сложившейся терминологией можно обобщенно называть "вирусы". Отметим, что данные программы также оказывают воздействие на компьютерные системы и сети, но в отличие от алгоритмической угрозы, вредоносные программы применяются только на программном уровне и для уже функционирующих программных комплексов. Логико-физическое объединение объектов защиты на программном уровне, среды распространения, т.е. внедрения, обеспечения доступа вредоносных программ в уже действующие системы с последующим перехватом управления, модификацией или копированием данных из компьютеров, а также специальных средств-вирусов, позволяет выделить данный тип ТКУ, который для однозначности именования целесообразно называть: вирусная угроза.
В связи с повсеместным распространением компьютерных систем, все более широкое применение находит добывание информации или воздействие на нее путем физического контакта с самой компьютерной системой и нарушения режима доступа и разграничения полномочий различных пользователей компьютеров. В некотором смысле, данный вид добывания информации выходит за рамки ТКУ (близок к агентурной), но средства защиты информации на самом компьютере представляют собой традиционные программно-аппаратные комплексы недопущения несанкционированного доступа (НСД), известные с самого зарождения ЭВМ. Кроме того, пользователь компьютерной системы может совершенно неумышленно получить доступ к непредназначенной для него информации, что обуславливает рассмотрение этого канала утечки информации в рамках ТКУ. Более того, программно-аппаратные средства разграничения доступа, различные парольные защиты успешно использовались и ранее, даже до выделения ТКУ. Однако, исходя из определения ТКУ, и с учетом отличия от агентурных угроз, целесообразно включить данный вид угроз в ТКУ. По существу данная угроза основана на нарушении установленной системы разграничения или ограничения доступа, а данный тип ТКУ целесообразно называть: разграничительная угроза.
С появлением информационно-вычислительных сетей ЭВМ, называемых для краткости, компьютерные сети, появился новый тип ТКУ, основанный на добывании информации из компьютерных сетей путем удаленного доступа к ресурсам сетей, копирования информации, блокирования доступа, модификации, перехвата управления и/или скрытия, маскирования своих действий. Добывание информации осуществляется на основе реализации зондирования сети, инвентаризации и анализа уязвимостей сетевых ресурсов и последующего удаленного доступа к информации путем использования выявленных уязвимостей систем и средств сетевой (межсетевой) защиты ресурсов (межсетевые экраны, шлюзы и т.п.). Таким образом, формируется новый, отличный от всех других, канал добывания информации. Подчеркнем, что целью этой ТКУ является добывание фактографической информации из компьютеров путем удаленного доступа через информационно-вычислительные сети ЭВМ. Следовательно, данный тип ТКУ целесообразно называть: сетевая угроза.
В отличие от сетевой угрозы, следующий тип ТКУ является в некотором роде аналогом радиоэлектронной угрозы каналам связи компьютерных сетей путем добывания информации и данных на основе перехвата и обработки потока передаваемых по сетям данных, т.е. сетевого трафика, выявления структур компьютерных сетей и их технических программно-аппаратных характеристик. Перехват потока данных ведется комплексно, с использованием различным методов доступа к сетевому трафику. Прежде всего, перехват трафика может вестись средствами физического доступа к каналам связи компьютерных сетей с последующей обработкой на соответствующем логическом уровне, что и отличает этот тип угроз от радиоэлектронной, оптоэлектронной, акустической и т.п. угроз. Кроме того, перехват трафика и сбор служебной информации может вестись непосредственно в компьютерных сетях путем получения доступа к межсетевому уровню взаимодействия сетей, типа Интернет. Системообразующим, основным фактором данного типа ТКУ является именно перехват сетевого потока данных. Следовательно, данный тип ТКУ целесообразно называть: потоковая угроза.

продолжение статьи / скачать архив статьи
На самом низком, физическом уровне взаимодействия компьютерных систем и сетей добывается информация непосредственно об аппаратуре, оборудовании ("железе"), т.е. самих компьютерах, модулях и их составляющих. Прежде всего, данную информацию можно получать с помощью других видов технических угроз ИБ. Также добывание этой информации возможно путем получения (покупки) аппаратуры, отдельных модулей и их последующего изучения, испытания и т.д. Возможно добывание информации путем обработки сведений, полученных по другим каналам. В современных условиях от характеристик компьютеров и их модулей непосредственно зависят характеристики автоматизированных систем управления, систем сбора, передачи, обработки и представления информации, беспилотных транспортных средств, различных роботизированных систем и всех технических средств, использующих компьютерные технологии. Например, как известно, в криптографии именно от характеристик существующих компьютерной системы зависят основные параметры кодов. Данный тип ТКУ требует повышенного внимания и специального исследования. Исходя из названия уровня, данный тип ТКУ целесообразно называть: аппаратная угроза.
Вышеперечисленные типы ТКУ образуют как бы "горизонтальные" каналы добывания информации в модели угроз. Вместе с тем, имеет место и "вертикальный" канал добывания информации путем обработки и преобразования добытых данных в сведения, а затем в информацию для последующего ее представления заказчику, пользователям. К данным преобразованиям можно отнести фильтрацию, изменение форматов, декодирование, различные математические и логические преобразования, стеганографию и, в некотором смысле - криптографию, которая рассматривается отдельно. Данный тип ТКУ является относительно новым, но целесообразность его выделения обусловлена сложностью и наличием множества логических уровней в современных компьютерных системах, для которых обязательным условием их функционирования является использование различных форматов представления информации на разных уровнях взаимодействия компьютерных систем. Данный канал получения информации образуются путем соответствующих преобразований форматов от некоторых цифровых данных в сведения, сообщения, документы, вплоть до информации, которая поступает на вход семантической обработке. Исходя из особой важности преобразования форматов представления данных, эту ТКУ целесообразно называть: форматной угрозой.
В связи с повсеместным использованием компьютерных сетей, некоторая информация, самого верхнего уровня, о непосредственных пользователях-людях может добываться техническими средствами, что ранее было прерогативой исключительно агентурных методов. Например, путем системного анализа запросов человека в различные базы данных и к информационным ресурсам, участия его в телеконференциях, получения его адресно-именной информации и т.п. представляется возможным добывание информации о пользователях, их деятельности и интересах. Кроме того, путем обеспечения изучаемым пользователям доступа к информации, циркулирующей в специально созданной легендируемой (заманивающей) информационной инфраструктуре (приманка) также возможно добывание техническими средствами информации об интересах пользователей, их организационной принадлежности, функциональным обязанностям и других сведений (пороках, запросах, проблемах личного характера, психологического портрета и т.п.), которые могут использоваться для агентурных и других целей. Этот тип ТКУ целесообразно называть: пользовательская угроза.
На данном этапе развития компьютерных систем и сетей не целесообразно выделение других типов ТКУ, так как уже сформулированные 9 типов угроз охватывают все существующие многоуровневые "горизонтальные" и "вертикальные" каналы утечки информации из компьютерных систем и сетей. Объединение указанных типов также не целесообразно, так как все выделенные каналы добывания информации требуют разработки своих уникальных специфических методик оценок возможностей, а также рекомендаций по технической защите информации. Совмещение типов компьютерных угроз не позволит создать конкретные методики оценки, из-за разнородности каналов добывания информации. Тем не менее, важным является создание системной, комплексной "метаметодики" оценки компьютерных угроз для технической защиты информации. Однако, внутри указанных типов возможно выделение нескольких подтипов угроз, например, по виду добываемой информации на: фактографическую ("видовую") и параметрическую. Кроме того, внедрение автоматизированных комплексных систем добывания делает возможным представление практически всей аппаратуры и средств технического добывания в качестве периферийных устройств компьютерных систем. В настоящее время, практически все сложные приборы и устройства включают в свой состав компьютеры, процессоры и различные компьютерные модули для реализации функций обработки данных и информации. Еще раз подчеркнем, что все эти 9 типов компьютерных угроз необходимо учитывать в первую очередь при обеспечении безопасности информации в ключевых системах информационных инфраструктур - ОБИ КСИИ, являющихся по существу гетерогенными территориально распределенными информационно-вычислительными сетями или, другими словами, компьютерными сетями, аналогичными Интернет.
Таким образом, для систематизации компьютерных угроз по принципам построения аппаратуры и функциональному предназначению выделим:
компьютерную угрозу, обеспечивающую добывание информации из 1) компьютерных систем и сетей, 2) характеристик их программно-аппаратных средств и 3) пользователей, и включающую в себя:
1. семантическую угрозу, обеспечивающую добывание фактографической и индексно-ссылочной информации путем поиска, сбора и анализа структурируемой и неструктурируемой информации из общедоступных ресурсов или конфиденциальных источников компьютерных систем и сетей, а также путем семантической (аналитической) обработки полученных и накопленных массивов сведений и документов в целях создания специальных информационных массивов;
2. алгоритмическую угрозу с использованием программно-аппаратных закладок и недекларированных возможностей, обеспечивающую добывание данных путем использования заранее внедренных изготовителем программно-аппаратных закладок, ошибок и недекларированных возможностей компьютерных систем и сетей;
3. вирусную угрозу, обеспечивающую добывание данных путем внедрения и применения вредоносных программ в уже эксплуатируемые программные комплексы и системы для перехвата управления компьютерными системами;
4. разграничительную угрозу, обеспечивающую добывание информации из отдельных (локальных) компьютерных систем, возможно и не входящих в состав сети, на основе преодоления средств разграничения доступа (НСД к информации в АС), а также реализация несанкционированного доступа при физическом доступе к компьютеру или компьютерным носителям информации;
5. сетевую угрозу, обеспечивающую добывание данных из компьютерных сетей, путем реализации зондирования сети, инвентаризации и анализа уязвимостей сетевых ресурсов (и объектов пользователей) и последующего удаленного доступа к информации путем использования выявленных уязвимостей систем и средств сетевой (межсетевой) защиты ресурсов, а также блокирование доступа к ним, модификация, перехват управления либо маскирование своих действий;
6. потоковую угрозу, обеспечивающую добывание информации и данных путем перехвата, обработки и анализа сетевого трафика (систем связи) и выявления структур компьютерных сетей и их технических параметров;
7. аппаратную угрозу, обеспечивающую добывание информации и данных путем обработки сведений, получения аппаратуры, оборудования, модулей и их анализа, испытания для выявления их технических характеристик и возможностей, полученных другими типами ТКУ;
8. форматную угрозу, обеспечивающую добывание информации и сведений путем "вертикальной" обработки, фильтрации, декодирования и других преобразований форматов (представления, передачи и хранения) добытых данных в сведения, а затем в информацию для последующего ее наилучшего представления пользователям;
9. пользовательскую угрозу, обеспечивающую добывание информации о пользователях, их деятельности и интересах на основе определения их сетевых адресов, местоположения, организационной принадлежности, анализа их сообщений и информационных ресурсов, а также путем обеспечения им доступа к информации, циркулирующей в специально созданной легендируемой (заманивающей) информационной инфраструктуре (приманка).
Выводы. Для обеспечения технической защиты информации предложен и обоснован новый актуальный подход к созданию Модели технических компьютерных угроз информационной безопасности. Системный анализ показал, что объектами защиты от технических компьютерных угроз являются: компьютерные системы (сети) и характеристики их пользователей и программно-аппаратных средств. Синтез Модели ТКУ осуществлен на основе выделения следующих 9 типов угроз: семантических, алгоритмических, вирусных, разграничительных, сетевых, потоковых, аппаратных, форматных и пользовательских технических компьютерных угроз. Необходимо особо отметить, что все эти 9 типов компьютерных угроз необходимо учитывать в первую очередь при обеспечении безопасности информации в ключевых системах информационных инфраструктур - ОБИ КСИИ, являющихся по существу гетерогенными территориально распределенными компьютерными сетями, аналогичными Интернет.

Библиографический список
1. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки. М.: Российский гос. гуманитарный ун-т, 2002. 399с.

возврат на главную страницу
Продолжение работы на сайте
Используются технологии uCoz