Типовые информационные системы учреждений культуры и анализ методов их защиты Текст научной статьи по специальности «Компьютерные и информационные науки»

Т.А. Асмолов

ТИПОВЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ УЧРЕЖДЕНИЙ КУЛЬТУРЫ И АНАЛИЗ МЕТОДОВ ИХ ЗАЩИТЫ

В статье рассматриваются типовые информационные системы, применяемые в учреждениях культуры. Анализируются системы защиты рассмотренных систем и принципы, в соответствии с которыми они строятся. Анализ возможных угроз и анализ рисков помогают выбору мер безопасности, которые должны быть осуществлены, чтобы уменьшить риск до приемлемого уровня. Автором проведен анализ возможных угроз информационным системам и комплекс мероприятий, направленных на предотвращение их возникновения. Предложена классификация атак на информационные системы и способов их совершения. В заключение выделены общие стратегии, связанные с принятием решения в условиях риска воздействия на информационные системы.

Ключевые слова: информационные системы, методы защиты информации, угрозы информационной безопасности, методы защиты информационных систем, учреждения культуры, информационные ресурсы, уязвимость информационной системы.

Сегодня специалисты музеев и библиотек так или иначе вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие сто лет нам придется жить в обществе (среде) информационных технологий, куда перейдут все социальные проблемы человечества, в том числе и вопросы безопасности.

Широкое внедрение информационных технологий в жизнь современного общества, не только в сферу учреждений культуры, привело к появлению ряда общих проблем информационной безопасности. Необходимо:

© Асмолов Т.А., 2010

- гарантировать непрерывность и корректность функционирования важнейших информационных систем (далее ИС), обеспечивающих безопасность людей и экологической обстановки;

- обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

- защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Потенциальная уязвимость ИС по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, стратегических, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств1:

- целостности - информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений;

- доступности (готовности) - информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость;

- конфиденциальности - засекреченная информация должна быть доступна только тому, кому она предназначена.

Для решения проблем информационной безопасности необходимо сочетание законодательных, организационных, технологических и стандартизационных мероприятий.

Информационные системы можно рассмотреть как организационно-технические системы, представляющие собой совокупность следующих компонентов: технические средства обработки и передачи данных; системное и прикладное программное обеспечение (далее ПО); информация на различных носителях; персонал и пользователи системы.

Типовыми структурами таких информационных систем считаются:

- автономные рабочие станции;

- локальные системы коллективного пользования;

- глобальные системы коллективного пользования.

Автономные рабочие станции представляют собой один или несколько персональных компьютеров и т. д., не связанных между со-

бой. На любом из них пользователи работают раздельно во времени2. Обмен информацией осуществляется через сменные носители. Объектами защиты в автономных рабочих станциях являются: рабочие станции; сменные носители информации; пользователи и обслуживающий персонал; устройства визуального представления информации.

Локальные системы коллективного пользования создаются для коллективной обработки информации и/или совместного использования ресурсов. Оборудование размещено в одном помещении, здании или группе близко расположенных зданий. Структуры локальных систем коллективного пользования:

- без выделенного сервера (одноранговые сети); не требуют централизованного управления. Любой пользователь сам делает свои ресурсы доступными для других. Используется однотипная операционная система (далее ОС);

- с выделенным сервером/серверами. На рабочих станциях и серверах могут быть установлены рабочие станции; требуют централизованного административного управления;

- многотерминальные системы на базе малых и больших компьютеров. Основные ресурсы сосредоточены на сервере. Рабочие станции - терминалы. Общее руководство осуществляет администратор. На центральном компьютере и рабочих станциях используются различные ОС;

- многосегментные локальные сети. Состоят из нескольких сегментов, любой из которых является сетью с выделенным сервером. Объединение осуществляется через мост, в качестве которого может использоваться либо выделенный сервер, либо специальное устройство. Любым сегментом управляет свой администратор. В любом сегменте может использоваться своя ОС;

- смешанные сети; включают все ранее рассмотренные системы.

Объектами защиты в локальных системах коллективного пользования являются:

- все рабочие станции;

- выделенные серверы и центральный компьютер;

- локальные каналы связи;

- реквизиты доступа.

В глобальных системах коллективного пользования осуществляется совместная обработка информации и совместное использование ресурсов. Они отличаются от локальных систем тем, что:

- могут находиться на значительном удалении друг от друга;

- каналы связи не принадлежат собственнику системы;

- каналы связи являются коммутируемыми и взаимосвязанными;

- для использования каналов связи необходимо устройство сопряжения;

- подобные системы открытые, и подключиться к ним могут все желающие.

Объектами защиты в глобальных системах коллективного пользования служат те же, что и в локальных системах коллективного пользования (глобальные каналы связи; информация, передаваемая по глобальным каналам связи; информация о реквизитах доступа в глобальные системы коллективного пользования).

Системы защиты для перечисленных объектов строятся в соответствии со следующими принципами3.

Принцип системности. Системный подход предполагает необходимость учета всех взаимосвязанных взаимодействий и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности.

Принцип комплексности. Предполагает строить систему из разнородных средств, перекрывающих все существующие каналы реализации угрозы безопасности и не содержащих слабых мест на стыке отдельных компонентов.

Принцип непрерывной защиты. Защита должна существовать без разрывов в пространстве и времени. Это непрерывный целенаправленный процесс, предполагающий не только защиту в эксплуатации, но и проектирование защиты на стадии планирования системы.

Принцип разумной достаточности. Вложение средств в системы защиты должно быть построено таким образом, чтобы получить максимальную отдачу.

Принцип гибкости управления и применения. При проектировании системы защита может получиться либо избыточной, либо недостаточной.

Принцип открытости алгоритмов и механизмов защиты. Знание алгоритма и механизма защиты не позволяет осуществить взлом системы, в том числе и автору.

Принцип простоты применения защитных мер и средств. Все механизмы защиты должны быть интуитивно понятны и просты в использовании. Пользователь должен быть освобожден от выполнения малопонятной, объемной рутинной работы, так как он не должен обладать специальными знаниями.

Информация в системе, поддержанная информационной технологией, является критическим ресурсом, который позволяет использующим его организациям выполнять свои функции. При этом система будет выполнять эти функции эффективно только при осуществлении надлежащего контроля за информацией, чтобы гаран-

тировать, что она защищена от опасностей нежелательного или несанкционированного распространения, изменения или потери. Мероприятия по обеспечению безопасности предназначены для того, чтобы предотвратить или уменьшить данные и подобные угрозы. Необходимо решать задачи управления распределением средств защиты в организациях культуры, а также систематически проводить анализ возможных угроз и рисков, что, в свою очередь, поможет выбору мер безопасности, которые должны быть осуществлены, чтобы уменьшить риск до приемлемого уровня.

Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на телеметрическую информацию, хранящуюся в ней.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака -это реализация угрозы.

Исследователи обычно выделяют три основных вида угроз безопасности: угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. Угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова «раскрытие» используются термины «кража» или «утечка».

Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате определенных действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Стоит особо отметить, что уязвимость компьютерной системы делает возможным возникновение угрозы. Таким образом, возникает вероятностная связь между уязвимостью и атакой как реализацией угрозы.

Существуют две классификации атак на ИС. Первая - для атак на распределенные ИС, вторая - на локальные ИС. Основной особенностью распределенной системы является то, что ее компоненты распределены в пространстве, и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность и является основной для рассматриваемых удаленных атак на инфраструктуру и протоколы распределенных систем. В связи с тем что не было найдено научных исследований, в которых проводилось бы различие между локальными и удаленными информационными воздействиями на ИС, применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет наиболее точно раскрыть их сущность и условия их осуществления. Это связано с тем, что данный класс воздействий характеризуется сугубо специфичными признаками для распределенных вычислительных систем. Поэтому для описания удаленных атак предлагается следующая классификация:

1. По характеру воздействия:

- пассивные;

- активные.

2. По цели воздействия:

- нарушение конфиденциальности информации либо ресурсов системы;

- нарушение целостности информации;

- нарушение доступности системы.

3. По условиям начала осуществления воздействия:

- атака по запросу от атакуемого объекта;

- атака по наступлению ожидаемого события на атакуемом объекте;

- безусловная атака.

4. По наличию обратной связи с атакуемым объектом:

- с обратной связью;

- без обратной связи.

5. По расположению субъекта атаки относительно атакуемого объекта:

- внутрисигментное;

- межсегментное.

6. По уровню модели ISO / OSI, на котором осуществляется воздействие:

- физический;

- канальный;

- сетевой;

- транспортный;

- сеансовый;

- представительный;

- прикладной.

Исследования подтверждают тот факт, что независимо от используемых протоколов, топологии, инфраструктуры распределенных вычислительных систем механизмы реализации удаленных воздействий инвариантны по отношению к особенностям конкретной системы. Это объясняется тем, что распределенные вычислительные системы проектируются на основе одних и тех же принципов, а следовательно, имеют практически одинаковые проблемы безопасности. Таким образом, появляется возможность использования понятия «типовая удаленная атака». Одна из методик обеспечения безопасности, основанная на типовых удаленных атаках, заключается в последовательном осуществлении всех типовых удаленных воздействий с последующей оценкой защищенности системы. Различными исследователями предлагается следующий набор типовых механизмов воздействий:

1. Анализ сетевого траффика.

2. Подмена доверенного объекта или субъекта распределенной вычислительной системы:

- атака при установленном виртуальном канале;

- атака без установленного виртуального канала.

3. Ложный объект распределенной вычислительной системы:

- использование для организации удаленной атаки на распределенную вычислительную систему;

- селекция потока информации и сохранение ее на ложном объекте распределенной вычислительной системы.

4. Модификация информации:

- модификация передаваемых данных;

- модификация передаваемого кода;

- внедрение разрушающих программных средств;

- изменение логики работы исполняемого файла;

- подмена информации.

5. Отказ в обслуживании.

Локальные атаки совершаются в ИС, которые по своей структуре состоят из нескольких уровней, определяемых как:

а) уровень прикладного ПО, отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовые редакторы, редакторы электронных таблиц, почтовую программу и т. д.;

б) уровень системы управления базами данных (далее СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов ИС, работающих на этом уровне, является СУБД Oracle, MS SQL Server, Sybase и даже MS Access;

в) уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примерами элементов ИС, работающих на этом уровне, могут служить ОС Microsoft Windows NT, Sun Solaris, Novell Netware;

г) уровень сети, отвечающий за взаимодействие узлов информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать протоколы TCP / IP, IPS / SPX и SMB / NetBIOS.

Сами атаки классифицируются следующим образом:

- несанкционированный доступ к паролю и конфиденциальной информации;

- нарушение прав доступа;

- атаки типа «отказ в обслуживании»;

- загрузка враждебного содержания (программ типа «троянский конь», мобильного кода Java и ActiveX, вирусов).

Типовыми способами реализации локальных атак являются:

1) Неконтролируемый запуск программ:

а) в непредусмотренных ситуациях (переполнение буфера; неверная обработка системных ситуаций; непредусмотренные входные данные);

б) наличие люков (недокументированные вызовы и флаги; возможность отладки программ или процессов);

в) подмена: данных или программ в оперативной памяти; специальных управляющих переменных; файлов через ссылки или синонимы.

2) Наличие анонимного пользователя.

3) Человеческий фактор (слабые пароли; ошибки администрирования).

4) Совместимость с другими ОС:

- нестойкие криптоалгоритмы;

- обратно совместимые функции шифрования;

- наличие диалектов протоколов.

5) Использование общедоступных ресурсов.

6) Неконтролируемое использование модемов и других аппаратных средств.

7) Доступ к информации во временных файлах программ.

Система, основанная на исправлении ошибок в ПО, обнаружении сигнатур сетевых атак или вирусов, не сможет обнаружить новые ошибки в ПО, сетевые угрозы и новые вирусы, действующие по новой технологии, в чем мы часто убеждаемся, узнавая в новостях об очередной «эпидемии» вирусов. Обычно нам сообщается что были обнаружены новая уязвимость и вредоносная программа, которая ее использует для своего распространения, что вирус начал атаковать компьютеры в Интернете и распространяется с большой скоростью. Таким образом, существующие методы защиты не выполняют своих функций в полной мере и нуждаются в дополнении средствами защиты от еще не известных уязвимостей.

Но уязвимость не может быть неизвестной по своей природе. Если уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы, то при отсутствии информации о неудачной характеристике не возникает и не может возникнуть угроза сама по себе. Поэтому рассмотрение уязвимостей как базовой характеристики для построения какой бы то ни было системы обеспечения информационной безопасности не должно использоваться потому, что априори не сможет обеспечить полной защиты. Следовательно, необходима другая базовая единица анализа информации аудита для построения более надежных средств защиты информации. Как мы уже выяснили, это не может быть уязвимость или риск уязвимости. Это должна быть ситуация, приводящая к появлению уязвимостей. Общая последовательность событий до реализации атаки на ИС заключается в поиске уязвимостей, реализации механизма, использующего найденную уязвимость, и совершение атаки путем использования реализованного механизма. Первые два этапа невозможно ограничить, поскольку исследование ИС на предмет уязвимостей -это повседневная работа специалистов в области защиты информации от злоумышленников. Эти этапы совершаются на моделях реальных систем, не контролируются, не могут и не должны контролироваться третьей стороной, поскольку подобный контроль ограничит законные права граждан на свободу. Единственный этап, на котором мы можем контролировать и ограничивать злоумышленников, - это этап совершения атаки с использованием реализованного механизма. Мы не знаем, какая уязвимость используется, но можем перечислить все возможные физические способы доступа к системе и воздействия, которые могут быть совершены во время этого доступа. По сути, мы должны абстрагироваться от понятия угрозы и считать ее неизвестной, скрытой для анализа и рассматривать исключительно воздействия, риски воздействий и сопутствующие характеристики этих воздействий.

Можно выделить три общие стратегии, связанные с принятием решения в условиях риска воздействия:

1. Избежание риска. Состоит в полном ограничении соответствующего воздействия. Данная стратегия приводит к постепенному ограничению функций ИС и в конечном счете полной потере ее функциональности, так как любая функциональность связана с определенным уровнем риска воздействия.

2. Принятие риска воздействия. Данная стратегия приводит к постоянным колебаниям значений показателей информационной безопасности в соответствии с процессом совершения воздействий с использованием новых механизмов атак и защитой от них по мере появления исправлений к ПО.

3. Управление риском. Предполагает идентификацию, определение, оценку и разработку методов управления риском воздействия.

Примечания

1 Ефимов А.И. Проблема технологической безопасности программного обеспечения систем вооружения // Безопасность информационных технологий. 1994. № 3-4. С. 22-33.

2 Ефимов А.И., Ухлинов Л.М. Методика расчета вероятности наличия дефектов диверсионного типа на этапе испытаний программного обеспечения вычислительных задач // Вопросы защиты информации. 1995. № 3 (30). С. 86-88.

3 Казарин О.В. О создании информационных технологий, исходно ориентированных на разработку безопасного программного обеспечения // Вопросы защиты информации. 1997. № 1-2 (36-37). С. 9-10.