CC BY
48
УДК 621.3.019.3
H.В. СЕСПЕДЕС ГАРС1Я*
ОЦ1НКА Р1ВНЯ КОНФ1ДЕНЦ1ЙНОСТ1 ГАРАНТОЗДАТНИХ КОМП'ЮТЕРНИХ СИСТЕМ
1нститут проблем математичних машин i систем НАН Украши, Ктв, Украша_
Анотаця. У cmammi розглянут1 основт аспекти конф1денцтност1 гарантоздатних комп Ютер-них систем (ГКС), описано мехатзми та методи забезпечення конфiденцiйностi ГКС, запропоно-ваний метод ктьюсног ощнкирiвня конфiденцiйностi систем.
Ключовi слова: конфiденцiйнiсть, порушення конфiденцiйностi, методи забезпечення конфiден-цiйностi, оцтка конфiденцiйностi.
Аннотация. В статье рассмотрены основные аспекты конфиденциальности гарантоспособных компьютерных систем (ГКС), описаны механизмы и методы обеспечения конфиденциальности ГКС, предложен метод количественной оценки уровня конфиденциальности систем. Ключевые слова: конфиденциальность, нарушение конфиденциальности, методы обеспечения конфиденциальности, оценка конфиденциальности.
Abstract. The main aspects of confidentiality of dependable computer systems (DCS) were considered in the article. The mechanisms and methods of ensuring confidentiality of DCS were described. Method of quantitative evaluation of the level of privacy systems was proposed.
Keywords: confidentiality, breach of confidentiality, ensuring confidentiality methods, confidentiality assessment.
I. Вступ
Одшею i3 складових гарантоздатносп комп'ютерних систем (ГКС) е 1'х конфщенцшшсть. Конфщенцшшсть ГКС зводиться до того, щоб закрита або шша конфщенцшна шформащя була захищена, так як ii несанкщоноване розкриття може призводити до значних матерiа-льних втрат. Маеться на уваз^ що гарантоздатна комп'ютерна система повинна забезпечи-ти захист вщ несанкщонованого використання шформацп, тдмши шформацп та пошко-дження шформацп. Також в ГКС мае бути забезпечений захист вщ несанкщонованого використання, тдмши або пошкодження техтчного засобу (системи).
З розвитком шформацшних технологий проблема конфщенцшносп та конфщенцш-но'1' шформацп набувае бшьшо'1 значущосп. I в рiзних областях i рiзних крашах конфщенцшшсть i iнформацiя, що вiдноситься до конфщенцшно'1', визначаеться по-рiзному.
У крашах Свропейського союзу, наприклад, конфiденцiйнiсть шформацп регулю-еться за допомогою низки угод i директив, таких як директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.
Так, конвенщя «Про злочиншсть у сферi комп'ютерно'1 шформацп» (ETS N 185) спрямована на стримування, в тому чист дш, спрямованих проти конфiденцiйностi комп'ютерних даних i комп'ютерних мереж, систем. Згщно з даною конвенщею для протидп злочинам проти конфщенцшносп, доступностi та цiлiсностi комп'ютерних даних i систем, кожна сторона вживае законодавчi та iншi заходи, необхщш для того, щоб квалiфiкувати як кримшальний злочин згiдно з ii внутршшм законодавством:
• протизаконний доступ;
• неправомiрне перехоплення;
• вплив на даш;
• вплив на функщонування системи;
• протизаконне використання пристро'1'в [1].
© Сеспедес Гарая Н.В., 2014
ISSN 1028-9763. Математичш машини i системи, 2014, № 3
Часто конфщенцшшсть виявлясться залежною вiд часу. 1нформащя, яка вимагае спочатку величезних зусиль для свого захисту, поступово втрачае щншсть i це слщ брати до уваги при аналiзi. У якiй би областi не використовувалися комп'ютерш системи (КС) -теплоенергетика, авiацiя, космос, транспортне управлшня, фiнансова сфера i т.д i навiть в органах держуправлiння - завжди необхщно оцiнювати розмiри збитку, яю можуть виник-нути через витш конфщенцшно'1' шформацп. Конфiденцiйнiсть е важливим атрибутом для вiдкритих i розподiлених систем, в основi яких лежить мережева щеолопя, а також для систем критичного застосування.
Конфщенцшшсть е одшею i найбiльш важливою iз складових у галузi забезпечення шформацшно'1' безпеки, особливо для систем у критичних областях. На сьогодшшнш момент не юнуе ч^ких методик визначення кшьюсно'1' оцiнки конфiденцiйностi рiзних систем. У робот проаналiзовано iснуючi методи забезпечення конфiденцiйностi та запропо-новано метод кшьюсно'1' оцiнки атрибута «конфщенцшшсть» в ГКС.
2. Визначення поняття конфщенцшшсть
Для проведення аналiзу алгоршмв i методiв забезпечення конфщенцшносп необхiдно привести саме визначення поняття конфщенцшносп ГКС.
Пiд конфiденцiйнiстю ГКС слщ розумiти властивiсть системи (об'екта) забезпечува-ти захист вiд несанкцюнованого використання шформацп або технiчних засобiв, пiдмiни шформацп або технiчних засобiв, пошкодження шформацп або технiчних засобiв з боку внутрiшнього та / або зовшшнього впливу.
Таким чином можна видшити два типи конфщенцшносп: технiчна та iнформацiйна.
Основними метриками конфщенцшносп е ймовiрнiсть загроз, доступшсть i секрет-
нiсть.
Ймовгртсть загроз - ймовiрнiсть виникнення порушення конфщенцшносп техшч-них засобiв та (або) шформацп. Допустима ймовiрнiсть загроз забезпечуеться наявшстю комплексно'1 системи захисту техшчних засобiв та iнформацiйних ресурсiв.
Доступшсть - властивють технiчного засобу або шформацп, що забезпечуе фiзич-ну можливють змiни заданих параметрiв певними засобами в заданих точках за кшцевий час. Доступшсть забезпечуеться наявшстю у певних оаб паролiв доступу до техшчного засобу або шформацп.
Секретшсть - сукупшсть взаемопов'язаних засобiв i заходiв, спрямованих на збе-реження секретностi технiчних та (або) шформацшних ресурсiв. Секретнiсть забезпечуеться засобами засекречування конфщенцшних даних i наявнiстю технiчних засобiв захисту шформацп.
Багато компанш, наприклад, такi як Hewlett Packard, Google та ш., надають можли-вiсть вибору налаштувань конфiденцiйностi. Для запобiгання несанкцiонованого доступу до особиста шформацп або ii розголошення, забезпечення ii точностi та належного використання щ компанп використовують вiдповiднi фiзичнi, технiчнi та адмшютративш про-цедури.
3. Причини порушення конфщенцшносп ГКС i можливi загрози
Щоб сформулювати деякi бiльш конкретш цiлi в питаннях конфiденцiйностi, необхщно визначити причини ii порушення, а саме:
• прорахунки в розробщ системи;
• неч^ка робота програмних засобiв щодо забезпечення конфiденцiйностi;
• непрофесшш дп персоналу при взаемодп з КС ( зловмиснi / випадков^;
• недотримання адмiнiстративних процедур щодо забезпечення конфщенцшносп;
• вплив, завданий несанкцюнованими користувачами або програмами.
4. Методи забезпечення конфщенцшносп ГКС
Конфщенцшшсть шформацп в ГКС забезпечуеться програмно-апаратними засобами захи-сту шформацп. Таю засоби сприяють досягненню бiльш високих показникiв ефективностi, якщо застосовувати ix комплексно. До таких засобiв вщносять обладнання для криптогра-фiчного захисту мовно'1' шформацп, програми для криптографiчного захисту текстово'1' чи шшо'1 шформацп, програми для забезпечення аутентифшацп поштових повiдомлень за до-помогою електронного цифрового пщпису, програми забезпечення антивiрусного захисту, програми захисту вiд мережевих вторгнень, програми виявлення вторгнень, програми для приховування зворотно'1 адреси вщправника електронного листа. В обов'язковому порядку в корпоративну мережу повинш бути включеш служби шформацшно'1' безпеки, високо'1 го-товностi, централiзованого монiторингу та адмшютрування [2].
Подiбний перелiк програмно-апаратних засобiв, як правило, розробляеться фаxiв-цями в областi захисту шформацп з урахуванням багатьох факторiв, наприклад, характеристик ГКС, кшькосп користувачiв у цiй системi, вiдмiнностi рiвня доступу цих користу-вачiв та ш.
Деякi системи можуть мати вихщ в Internet, тому сьогодш на першому планi вини-кае проблема забезпечення безпеки КС з боку мережевого впливу. Цей сегмент не стать на мющ i постшно розвиваеться, причому дуже динамiчно. Основними засобами захисту КС були, е i залишаються мiжмережевi екрани. У лiтературi можна зустрiти 1'х синонiми, такi як брандмауер (firewall), фiльтруючий маршрутизатор та iн. [3].
Забезпечення конфщенцшносп в ГКС здшснюеться системою забезпечення конфь денцiйностi (СЗК) за допомогою щентифшацп та встановлення повноважень користувача [4]. У СЗК повинш встановлюватися вимоги до користувачiв щодо доступу до ресурсiв. Ц вимоги включають не тшьки встановлення необхщно'1' iдентичностi користувача, але i пщ-твердження того, що користувач е дшсно заявленим користувачем. Для цього користувач повинен надати системi деяку шформащю, яка закладена в систему i пов'язана з даним користувачем. При цьому повинш включатися функцп, призначенi для установки i перевiрки необхщно'1' iдентичностi.
СЗК повинш включати функцп', якi дають можливiсть додавати нових користувачiв i видаляти або позбавляти законно'1 сили старих користувачiв. Точно так само повинш включатися функцп для дозволу прийому, змши або перевiрки користувачами розшзнава-льно'1 шформацп, необxiдноi для перевiрки iдентичностi даного користувача. Повинш та-кож включатися функцii, яю гарантують цiлiснiсть або запобiгають неуповноваженого ви-користання розпiзнавальноi iнформацii, а також функцп для обмеження можливосп повто-рних спроб встановити помилкову щентичшсть.
У багатьох СЗК повинш встановлюватися вимоги для захисту даних шд час переда-чi по каналах зв'язку. Такий захист зазвичай згадуеться як захист зв'язку на вщмшу вщ комп'ютерного захисту.
Конфщенцшшсть ГКС можна ощнити кшьюстю i якiстю засобiв, призначених для забезпечення конфщенцшносп.
СЗК ГКС можуть будуватися з багатьох компонешив. Деякi компоненти не сприяють задоволенню цшей безпеки, iншi компоненти нацiленi на забезпечення безпеки. ^ компоненти вважаються такими, що забезпечують безпеку. Нареш^ можуть бути деяю компоненти, яю не забезпечують безпеку, але все ж таки повинш працювати правильно для забезпечення безпеки. Вони вважаються такими, що мають вщношення до безпеки. Поеднання компонешив, що забезпечують безпеку i яю мають вщношення до безпеки, часто називають Trusted Computing Base (TCB).
На пiдставi визначення функцш ГКС, яю в тш чи шшш мiрi забезпечують правиль-ну роботу системи, може бути оцшена критичнiсть цих функцш. Така класифшащя функ-цш е поxiдною вiд аналiзу вщмов та ix наслiдкiв. Класифiкацiя функцш за рiвнями крити-
чност (iнодi званими рiвнями цiлiсностi), разом з максимально допустимою тривалютю переривання обслуговування, дозволяе в процесi розробки системи вибрати вщповщш ме-хашзми обробки помилок i, особливо, вибрати принципи реконф^урацп для обробки не-справностi.
Рiшення задач конфщенцшносп покладаеться на послуги безпеки. Послуги, залеж-но вiд того, на виршення яких завдань вони спрямоваш, можна вiднести до одного з трьох клаав.
• Опорнi послуги безпеки. До даного класу вщносяться послуги, яю е загальними i лежать в основi реалiзацii бшьшосп iнших послуг безпеки. 1ншими словами, вони висту-пають в ролi базису для надбудови, до яко' входять послуги двох iнших клаав.
• Послуги запобiгання - це послуги безпеки, в основному орiентованi на запоб^ан-ня рiзного роду порушень безпеки.
• Послуги виявлення порушень i вiдновлення безпеки спрямоваш, насамперед, на виршення завдань виявлення порушень безпеки (до або тсля 'х здiйснення) i вiдновлення системи в безпечний стан.
Опорш послуги безпеки виступають в ролi базису для побудови вах iнших послуг безпеки. До даного класу вщносяться таю послуги безпеки.
1дентифтащя (привласнення iмен). Однозначно щентифшований об'ект та суб'екти шформацшних взаемин е необхщною умовою для реалiзацii бiльшостi послуг безпеки. 1дентифшащя забезпечуе можливiсть присвоення ушкального iдентифiкатора користува-чам, процесам, шформацшним та iншим ресурсам.
Управлтня криптографЫними ключами. Дана послуга обов'язкова у разi застосу-вання криптографiчних функцiй у будь-яких послугах безпеки. Пщ управлiнням ключами розумiють сукупшсть методiв i процедур, що здшснюють безпечне встановлення та управ-лшня ключовими взаемовiдносинами мiж авторизованими об'ектами.
Управлтня безпекою i адмШстрування. Пщ управлiнням безпекою розумiють по-ширення i управлiння iнформацiею, необхiдною для роботи послуг i механiзмiв безпеки. Ид адмшютруванням розумiють процеси налаштування параметрiв шсталяцп i експлуата-цп програмного i апаратного забезпечення послуг безпеки, а також облш внесених змiн до експлуатованого обладнання.
Захищенiсть системи являе собою сукупшсть властивостей системи, яю дозволяють довiряти технiчнiй реалiзацii системи. Розглядаеться не тшьки якiсть реалiзованих засобiв захисту, а й процедури 'х розробки, способи досягнення та виршення технiчних завдань.
Прикладами засобiв захищеностi системи е захист залишково' шформацп (або за-хист вщ повторного використання), мiнiмiзацiя повноважень, подш процесiв, модульнiсть та рiвнi розробки, мiнiмiзацiя кола обiзнаних осiб i т.д.
Залишкова тформащя - шформащя на пристро' пам'ятi, що залишилася вiд формально вiддалених операцшною системою даних. Iнформацiя може залишитися через форма-льне видалення файлу або через фiзичнi властивостi запам'ятовуючих пристро'в. Залишкова iнформацiя може призвести до випадкового розповсюдження конфщенцшно' шформацп, якщо сховище даних опиниться поза зоною контролю (наприклад, буде видалено або передано третш сторош). В даний час, щоб уникнути появи залишково' шформацп, засто-совуеться безлiч методiв. Залежно вщ ефективностi i призначення вони пщроздшяються на «очищення» i «знищення» тако' шформацп. Конкретнi методики використовують переза-писування, розмагнiчування, шифрування та фiзичне знищення.
Для якiсного забезпечення конфщенцшносп необхiдно слiдувати полiтицi конфщенцшносп (ПК), яка мае на увазi пiд собою кiнцеву безлiч умов, при виконанш яких санкць оноваш користувачi системи отримують певний доступ до шформацп та ресурсiв ГКС. Необхщш умови задаються у виглядi вимог i повиннi бути передбачеш й реалiзованi в СОК ГКС. Функцюнування конкретно' ПК базуеться на вщповщних механiзмах конфщен-
цшносп: оргашзащя щентифшацп i аутентифшацп, розподш ресурсiв, забезпечення вщмо-востiйкостi i т.д. У бiльшостi випадкiв механiзми конфiденцiйностi можуть складатися з автоматизованих i органiзацiйних компонентiв. Автоматизованi компоненти часто е части-ною основного обчислювального оточення, включаючи вiдповiдну безлiч процедур корис-тувача та адмшютратора.
5. Оц1нка р1вня конф1денц1йност1 ГКС
Спшьним для моделей забезпечення конфщенцшносп е те, що всi вони спрямоваш на введения певних обов'язкових процедур аналiзу конфiденцiйностi, програм, засобiв, ресурсiв i користувачiв, яю взаемодiють з ГКС.
Пропонуеться найбшьш загальний пiдхiд до оцiнки конфщенцшносп системи. Ко-жнiй метрицi конфщенцшносп вiдповiдае набiр критерпв, за якими вщбуваеться оцiнка конфiденцiйностi ГКС (табл. 1). Набiр критерпв може м^тися залежно вiд призначення i специфши функцiонування конкретно'!' ГКС.
Таблиця 1. Основт метрики i критерп оцiнки конфiденцiйностi
Метрики конфщенцшносп Найменування критерп
Ймовiрнiсть загроз Р0 -ймовiрнiсть порушень конфiденцiйностi техшч-них засобiв та (або) шфо-рмацп Наявнiсть функцiй щентифшацп i аутентифшацп
Наявнiсть функцiй перевiрки збереження конфщенцш-них даних
Наявнiсть функцiй контролю дотримання конфщенцш-ностi
Наявнiсть функцш вiдновлення конфiденцiйностi
Наявнiсть функцiй мошторингу та оповiщення порушень конфщенцшносп
Рiвень доступностi ЬА -здатшсть системи забезпе-чувати фiзичний захист вщ можливостi змiни заданих параметрiв технiчних i (або) iнформацiйних ресу-рсiв у заданих точках за кшцевий час Наявшсть паролiв доступу до шформацшних ресурсiв
Наявнiсть розподiлу зон (^вшв) доступу мiж користува-чами
Наявшсть стшкосп функцiонування при помилках кори-стувача, пов'язаних з конфiденцiйнiстю
Рiвень секретностi Ь5 -характеристика здатностi системи збер^ати секрет-нiсть технiчних i (або) ш-формацiйних ресурсiв Наявшсть техшчних засобiв захисту шформацп
Наявшсть захисту вщ несанкцiонованого доступу
Наявшсть криптографiчних засобiв захисту шформацп
Для визначення комплексно'! кшькюно' оцiнки рiвня гарантоздатностi системи в ць лому визначаються комплексы оцiнки !'!' основних атрибутiв. Комплексну оцшку конфще-нцiйностi визначимо за допомогою середнього арифметичного, яке визначаеться за формулою [5]:
т
Аонф = Е я А, (1)
м
де - численне значення ^ -то'' метрики конфщенцшносп; - ваговий коефщент ] -то'' метрики конфiденцiйностi; т - кшьюсть метрик конфiденцiйностi.
Ваговi коефщенти д > враховують важливiсть кожно! метрики серед iнших i визна-
чаються експертним методом (Е = 1).
]=1
Метрики конфщенцшносп мають якiсний вид представлення, тому для визначення !х комплексно! оцшки використовуеться експертний метод з ранжируванням за трирiвне-вою шкалою.
Конфiденцiйнiсть характеризуеться трьома метриками: вiрогiднiсть загроз Рп, рь вень доступностi ЬА, рiвень секретностi Ь5.
Як приклад визначимо комплексну ощнку ймовiрностi загроз Рп .
Експертним методом визначаемо рiвень критерпв ощнки ймовiрностi загроз. При цьому позначимо: В - високий рiвень; С - середнш рiвень; Н - низький рiвень. Комплексна ощнка ймовiрностi загроз визначаеться формулою [5]:
тн
Рп = 1 - Е Вн, - 0,5^ вс,,
]=1 >1
(2)
де тн - число показникiв низького рiвня; тс - число показниюв середнього рiвня; Вн, - нормований критерш низького рiвня; Вс. - нормований критерш середнього рiвня.
Вимоги нормування зводяться до того, щоб сума ваг уах критерпв дорiвнювала одиницi. Критерп оцiнки ймовiрностi загроз позначимо таким чином:
К1 - наявшсть функцiй щентифшацп i аутентифшацп;
К2 - наявнiсть функцiй перевiрки збереження конфiденцiйних даних;
К3 - наявшсть функцш контролю дотримання конфщенцшносп;
К4 - наявнiсть функцiй вщновлення конфiденцiйностi;
К5 - наявнiсть функцш мошторингу та оповiщення порушень конфщенцшносп.
У табл. 2 як приклад наведено рiвнi критерпв ймовiрностi загроз, проставлених сьома експертами. Визначимо комплексну ощнку ймовiрностi загроз Ра при значеннях вагових коефщенпв, якi також визначаються експертами, для вищеозначених критерпв:
В: = 0,25; В2 = 0,12; Вз = 0,13; В4 = 0,25; В5 = 0,25.
Таблиця 2. Експертна таблиця ранжирування критерпв оцшки ймовiрностi загроз
Експерти К1 К2 Кз К4 К5
1 В Н С В В
2 С Н Н В С
3 В С Н С В
4 С С С В С
5 В С Н С В
6 В Н С С В
7 В С Н В В
Кшьюсть критерпв низького рiвня дорiвнюе пн = 7 . Пронормуемо ваги критерпв низького рiвня:
т
с
0 12 • 3 013 • 4
g2,H = ^ = 0,051; g3ji = ^ = 0,074 .
Кшьюсть критерпв середнього piBra дорiвнюe nc = 14 . Пронормуемо ваги критерпв середнього piвня:
0,25 • 2 0,12 • 4 0,13 • 3
Въ =0,071; g2,с = 0,069 ; g3,c = 0,056 ;
0,25 • 3 0,25 • 2
В4,с = = 0,11; g5,c == 0,071.
Поставивши np0H0pM0BaHi ваги критерпв у формулу (2), отримаемо комплексну оцiнку ймовipностi загроз PD.
PD = 1 - (0,051 + 0,074) - 0,5(0,071 + 0,069 + 0,056 + 0,11 + 0,071) = 0,6865.
Аналопчно визначаються комплексы ощнки piвня доступносп LA та piвня секрет-ностi LS. Комплексна ощнка piвня конфiденцiйностi визначаеться за формулою (1).
6. Висновки
Конфщенцшшсть гарантоздатних КС зводиться до розробки заходiв, спрямованих на за-безпечення збереження i строго регламентовано'1' доступносп технiчних та iнфоpмацiйних pесуpсiв. Вс умови i параметри конфiденцiйностi встановлюються на етапах розробки i проектування ГКС i, в основному, зводяться до встановлення piзного piвня доступу персоналу до шформацп з piзним ступенем секpетностi i використання програмно-апаратних засобiв захисту шформацп. Для кожно'1' ГКС розробляеться полiтика конфщенцшносп, яка базуеться на певних методах i мехашзмах забезпечення конфiденцiйностi. У робот вперше запропоновано пiдхiд до кшьюсно'1' оцiнки piвня конфiденцiйностi ГКС, який може засто-совуватися для систем найpiзноманiтнiшого призначення, включаючи системи критичного використання. Отримана таким чином кшькюна ощнка конфщенцшносп дозволить надалi здшснити кiлькiсну оцiнку piвня гарантоздатносп системи в цiлому.
СПИСОК Л1ТЕРАТУРИ
1. Совет Европы. Конвенция о преступности в сфере компьютерной информации (ETS N 185). Будапешт [Електронний ресурс]. - Будапешт, 2001. - Режим доступу: http://www.alppp.ru/law/pravo-sudie /46/konvencija-o-prestupnosti-v-sfere-kompyuternoj-informacii—185-rus--angl-.html.
2. Галицкий А.В. Защита информации в сети. Анализ технологий и синтез решений / А.В. Галиц-кий, С.Д. Рябко, В.Ф. Шаньгин. - М.: ДМК Пресс, 2004. - 616 с.
3. Норткатт С. Защита сетевого периметра / Норткатт С.; пер. с англ. - К.: ООО «ТИД «ДС», 2004. - 672 с.
4. ITSEC. Information Technology Security Evaluation Criteria (ITSEC): Preliminary Harmonised Criteria. Document COM (90) 314, Version 1.2. Commission of the European.Communities [Електронний ресурс]. - 1991. - June. - Режим доступу: http://www.ssi. gouv.fr/ site documents/ITSEC/ITSEC-uk.pdf. Retrieved 2006-06-02.
5. Хамханова Д.Н. Основы квалиметрии: учебн. пособ. для студентов специальности 190800 «Метрология и метрологическое обеспечение» / Хамханова Д.Н. - Улан-Удэ, Россия: Изд-во ВСГТУ, 2003. - 76 с.
Стаття над1йшла до редакцп 27.05.2014
