Классификация возможностей проникновения в систему и утечек информации
Все каналы проникновения в систему и утечки информации разделяют на прямые и косвенные. Под косвенными понимают такие каналы, использование которых не требует непосредственного физического доступа к системе. Для использования прямых каналов такое проникновение необходимо. Прямые каналы могут использоваться без внесения изменений в компоненты системы или с изменениями компонентов.
По способу получения информации возможны следующие каналы утечки и источники угроз безопасности:
акустическое излучение информативного речевого сигнала;
электрические сигналы, возникающие при преобразовании информативного сигнала из акустического в электрический (микрофонный эффект) и распространяющиеся по проводам и линиям, выходящими за пределы контролируемой зоны (пространство – территория, здание, часть здания – в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств);
виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений (например, на оконные стёкла);
несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;
воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;
побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;
наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны;
радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации ("закладок"), модулированные информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
прослушивание телефонных и радиопереговоров;1
просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;2
хищение технических средств с хранящейся на них информацией или отдельных носителей информации.
Перехват информации или воздействие на нее с использованием технических средств могут вестись:
из-за границы контролируемой зоны из близлежащих строений и транспортных средств;
из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;
при посещении учреждения (предприятия) посторонними лицами;
за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в информационной системе, как с помощью технических средств самой системы, так и через информационные сети общего пользования.
Аутентификация, авторизация, аудит
К базовым категориям информационной безопасности также относятся понятия аутентификации, авторизации, аудита, т.н. принцип трёх «А». По счастливому стечению обстоятельств в англоязычной транскрипции названия этих терминов также начинаются с первой буквы латинского алфавита – «A».3
Аутентификация (authentication) – процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу шифрования отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла. В русском языке термин применяется в основном в сфере информационных технологий.
Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.
Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав, например, доступа к ресурсам) и идентификацией (процедурой распознавания субъекта по его идентификатору).
В любой системе аутентификации обычно можно выделить несколько элементов:
субъект, который будет проходить процедуру аутентификации;
характеристика субъекта — отличительная черта;
хозяин системы аутентификации, несущий ответственность и контролирующий её работу;
сам механизм аутентификации, то есть принцип работы системы;
механизм, предоставляющий или лишающий субъекта определенных прав доступа.
Ниже приведена таблица, наглядно иллюстрирующая описанные элементы системы аутентификации:
Элемент аутентификации
|
Пещера 40 разбойников
|
Регистрация в системе
|
Банкомат
|
Субъект
|
Человек, знающий пароль
|
Авторизованный пользователь
|
Владелец банковской системы
|
Характеристика
|
Пароль «Сезам, откройся!»
|
Секретный пароль
|
Банковская карта и персональный идентификатор
|
Хозяин системы
|
40 разбойников
|
Предприятие, которому принадлежит система
|
Банк
|
Механизм аутентификации
|
Волшебное устройство, реагирующее на слова
|
Программное обеспечение, проверяющее пароль
|
Программное обеспечение, проверяющее карту и идентификатор
|
Механизм управления доступом
|
Механизм, отодвигающий камень от входа в пещеру
|
Процесс регистрации, управления доступом
|
Разрешение на выполнение банковских операций
|
Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации:
Что-то, что мы знаем – пароль. Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля. Это делает парольный механизм сравнительно слабозащищённым.
Что-то, что мы имеем – устройство аутентификации. Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить о случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако, стоимость такой системы более высокая.
Что-то, что является частью нас – биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои минусы, биометрика остается довольно перспективным фактором.
Авториза́ция (authorization – разрешение, уполномочивание) – предоставление определённому лицу или группе лиц прав на выполнение определённых действий и/или прав на некоторый ресурс; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.
Авторизацию не следует путать с аутентификацией: аутентификация – это лишь процедура проверки подлинности данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла.
В англоязычной литературе можно встретить очень наглядное объяснение различий между аутентификацией и авторизацией. Два персонажа, Алиса и Боб4, отправляются в аэропорт, причём лететь должна Алиса, а Боб просто решил её проводить. При входе в здание аэропорта производится фейс-контроль, для чего наших героев просят предъявить контроллёрам какой-либо документ. Убедившись, что и Алиса и Боб именно те, кем назвались, их пропускают в зал ожидания. Но в дальнейшем на борт самолёта пропустят только Алису, т.к. у неё есть подтверждающий документ – авиабилет. В описанном примере фейс-контроль на входе в аэропорт – это аутентификация, посадка в самолёт, право полёта на котором подтверждает билет – авторизация (Алиса «авторизована» для выполнения полёта).
Аудит (auditing) – это набор процедур мониторинга и учета всех событий, в том числе тех, которые могут представлять потенциальную угрозу для безопасности системы.
Аудит позволяет «следить» за выбранными объектами и выдавать сообщения тревоги, когда, например, какой-либо рядовой пользователь или процесс попытается прочитать или модифицировать системный файл. Если кто-то пытается выполнить действия, выбранные системой безопасности для мониторинга, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя/процесс.
К термину аудит часто добавляется прилагательное «независимый». Это определение отражает возможность контроля и мониторинга системы независимо от её администратора. В «правильной» системе роли администратора и аудитора не должны совмещаться.
|
