Компенсация воздействий пользователя при работе с защищаемым информационным ресурсом
А. В. Воронов,
начальник отделения
информационной безопасности
Не так давно один мой знакомый высказал свое разочарование в средствах защиты информации. Более того, он пришел к выводу, что таковые вообще бесполезны. Разумеется, столь печальные убеждения овладели им не сами собой, но явились следствием конкретного случая. В организацию, где работает знакомый, поступил в ремонт компьютер с установленной системой защиты «Спектр-Z». Один из его коллег, человек любопытный, сумел преодолеть защиту и войти в систему. На мой вопрос: «Он что, профессиональный взломщик?», – мне ответили: «Нет, просто пароль администратора был «123»…
В настоящее время нередко можно услышать разговоры о низкой эффективности достаточно сложных, надежных и качественных средств защиты информации. Причина проста – человеческий фактор. Каковы бы ни были сложность и надежность системы защиты, человек своими действиями может свести их на «нет». Проблема эта не нова. Она возникла, когда в офисах организаций в большом количестве появились персональные ЭВМ, а стоимость обрабатываемой на них информации превысила стоимость компьютерного «железа».
Всякая нормально функционирующая и правильно настроенная система защиты теоретически должна отрабатывать любые попытки вторжения на «охраняемую территорию» – попытки доступа к защищаемому информационному ресурсу. Если доступ субъекту или процессу разрешен на основе соответствующих прав, то он его получает. Если доступ запрещен, то действия субъекта (процесса) блокируются, и отмечается факт несанкционированного доступа.
Графически эту модель функционирования системы защиты, развернутую во времени, можно представить следующим образом (рис. 1).
ось y – количество попыток доступа
в систему
ось x – количество фактических реакций
системы защиты на попытки доступа
Как видно, y = x , то есть все попытки доступа в течение времени функционирования системы защиты так или иначе ею отрабатываются.
В реальности на работу системы защиты всегда будет оказывать влияние человеческий фактор. И если несанкционированным воздействиям извне система, как правило, успешно противостоит, то перед воздействиями допущенных пользователей она может оказаться совершенно беззащитной. Причины этого могут быть как объективного, так и субъективного характера. Человеку свойственно ошибаться. Ошибки возможны как при создании системы защиты, так и при ее настройке, и при контроле функционирования. Плюс к этому администратор всегда может иметь субъективные симпатии и антипатии к определенным пользователям системы. Кроме того, сегодня встает вопрос о контроле действий самого администратора – задача практически не решаемая средствами современных операционных систем. Администратор сегодня – человек с неограниченными в системе правами и полным отсутствием контроля со стороны. Не надо быть сильным аналитиком, чтобы понять, к каким последствиям данная ситуация может привести.
Помимо администратора, опасность могут представлять и рядовые пользователи защищаемой системы. Одновременно с выдачей им прав на определенные действия с защищаемыми ресурсами на них налагаются определенные обязанности, как правило, отраженные в соответствующих инструкциях. Однако правда жизни такова, что положения инструкций исполняются далеко не всегда. Нарушения инструкций по защите информации можно разделить на два основных типа:
Эти нарушения могут происходить как умышленно, так и неумышленно.
Как правило, современные системы защиты при грамотной политике безопасности способны прореагировать на выполнение пользователем большинства запрещенных действий. Заставить пользователя выполнять требования инструкции с помощью штатных средств информационной системы (или системы защиты) достаточно сложно (например, закрыть сессию по окончании сеанса работы или проверить на наличие вирусов принесенную извне дискету). Для этого обычно необходимы дополнительные системные модули и алгоритмы взаимодействия, что усложняет и удорожает систему защиты.
В зависимости от технического и интеллектуального потенциала пользователя, а также от его личной заинтересованности типы и количество воздействий (действие или бездействие) на систему защиты информации могут различаться. Возможности системы защиты информации в этом случае можно условно разделить на три группы.
-
Система в состоянии обнаружить воздействие и активно на него прореагировать.
-
Система в состоянии обнаружить воздействие, но не в состоянии на него прореагировать (блокировать), при этом производится запись о событии в соответствующий журнал.
-
Система не в состоянии обнаружить воздействие.
Естественно, чем больше событий будет соответствовать первой группе и чем меньше – второй и третьей, тем надежнее будет система защиты.
Пользователей, санкционировано допущенных в систему, можно условно разделить на следующие группы.
-
Злоумышленник, целенаправленно воздействующий на систему защиты с целью выполнения каких-либо деструктивных действий с защищаемым ресурсом. В этом случае каждая попытка может оказаться опасной для защищаемого ресурса. Такой тип пользователя учитывается в моделях безопасности и отражается в политике безопасности.
-
Подготовленный пользователь, желающий расширить свои возможности в системе, где он работает, либо халатно относящийся к требованиям политики безопасности, считающий их завышенными, а потому – необязательными к исполнению. При этом каких-то деструктивных действий по отношению к защищаемым ресурсам им, как правило, не планируется, но его действия влекут за собой ослабление системы защиты (неявное нарушение политики безопасности).
-
Не подготовленный пользователь, нарушающий требования политики безопасности по незнанию.
В этом случае также происходит неявное нарушение политики безопасности. При этом возникает ситуация, опасная для защищаемого ресурса. Как правило, единичные случаи подобных нарушений могут не привлечь внимания злоумышленника, но с ростом количества нарушений вероятность использования их злоумышленником повышается. Также повышается вероятность реализации неумышленных угроз при воздействии техногенных или природных факторов. Таким образом, можно говорить о некотором пороговом количестве нарушений политики безопасности, которые система защиты оказалась не в состоянии блокировать. При его превышении вероятность реализации угрозы информации становится близкой к единице. Наступит или нет момент реализации угрозы, зависит от обстановки вокруг объекта защиты, то есть от наличия, характера и уровня воздействия источников угроз, находящихся поблизости.
Из рассмотренной ситуации можно сделать вывод о взаимосвязи безопасности объекта защиты, действий легальных пользователей, не являющихся злоумышленниками, и множества актуальных для объекта защиты источников угроз. Таким образом, мы получаем еще одну комплексную составляющую, которую необходимо учитывать при построении и эксплуатации системы защиты информации.
Так как под понятием модель мы подразумеваем некое описание исследуемого объекта, сделанное на основе интересующих нас признаков, то описание возможностей системы по компенсации действий пользователя при работе его с защищаемым информационным ресурсом можно назвать компенсационной моделью системы защиты информации.
В ранее рассмотренной модели функционирования системы защиты учитывались все виды воздействий пользователя на систему: как санкционированные, так и несанкционированные. Рассматривать далее санкционированные действия, не нарушающие политики безопасности информационной системы, нет необходимости, и в дальнейшем при рассмотрении «компенсационной модели» будут учитываться только несанкционированные действия пользователей системы. Таким образом, компенсационная модель описывает развернутые во времени возможности системы защиты информации по блокированию действий пользователей, неявно нарушающих политику безопасности этой системы. С учетом ранее рассмотренного рис. 1, графически это будет выглядеть следующим образом (рис. 2).
ось y – количество попыток нарушений
политики безопасности
ось x – количество реакций системы
защиты на попытки нарушений политики
безопасности
n – количество обнаруженных, но
не блокированных нарушений политики
безопасности
k – количество не обнаруженных попыток
нарушений политики безопасности
порог – пороговый график, обозначающий
граничный угол отклонения ( g?)
функции y = x + n + k
В случае если количество произведенных нарушений политики безопасности превышает количество заблокированных системой защиты, равенство x = y перестает существовать, и угол отклонения характеристического графика ( g ?) начинает расти.
Если характеристический график системы параллелен пороговому графику ( g?= g?), значит, количество неблокированных нарушений политики безопасности достигло предельного значения, за которым вероятность реализации какой-либо из угроз в отношении защищаемого объекта близка к единице. При равенстве или превышении угла g? углом g ? порогового графа наступает дискредитация (подрыв доверия) системы защиты.
Для более удобного рассмотрения модели изменим условия построения графиков. Пусть ось x – ось времени, а ось y – ось, отображающая количество блокированных и неблокированных нарушений политики безопасности пользователями (рис. 3).
вверх по оси Y отложено количество неблокированных попыток воздействия пользователей
вниз по оси Y отложено количество блокированных попыток воздействия пользователей
Т – период неизменности настроек и функциональных компонентов системы защиты
I и II – характеристические графики системы защиты информации
График I характеризует достаточно устойчивую систему
График II характеризует дискредитированную систему защиты
А – точка пересечения характеристического графика системы защиты информации
с пороговым графиком, условно – точка дискредитации
?B – значение величины порогового графика относительно нулевого отсчета
Так как продолжительность жизни любых реально существующих систем ограничено во времени, то и в нашем случае будем рассматривать временной отрезок существования системы защиты информации (Т), в течение которого она была неизменна с точки зрения настроек и функциональных компонентов (другими словами, не изменялся состав системы, ее архитектура и настройки). При изменении любой из этих характеристик может измениться соотношение блокируемых и не блокируемых воздействий, а соответственно, и положение характеристического графика системы.
В течение периода (Т) происходит накопление количества неблокированных попыток нарушения политики безопасности. При пересечении характеристическим графиком (II) порогового графика в точке (А) наступает дискредитация системы (аналогично рис. 2).
Все несанкционированные воздействия пользователей можно подразделить на определенные типы (группы), имеющие сходные алгоритмы, например: вирусное воздействие или использование легко подбираемого пароля. При улучшении характеристик системы защиты информации она становится способна блокировать сразу множество несанкционированных воздействий, объединенных в группу на основе сходных алгоритмов. Вследствие этого, нулевая граница, отделяющая количество блокируемых угроз от количества не блокируемых, поднимается на графике на величину, пропорциональную количеству воздействий вышеозначенной группы.
Пользователь в течение определенного времени способен произвести несколько не блокируемых воздействий одного типа, каждое из которых может привести к дискредитации системы защиты. Поэтому характеристический график системы защиты учитывает не количество типов несанкционированных воздействий, а количество самих воздействий.
Пороговый график не является характеристикой самой системы. Расчет порогового графика производится эмпирически, на основе анализа окружающей обстановки в месте расположения защищаемого объекта или типового варианта окружающей обстановки, а также потенциальных возможностей самой информационной системы с учетом развития информационных технологий. При этом в том числе должны учитываться:
-
вероятность реализации существующих угроз;
-
уровень опасности источников угроз (техническая оснащенность злоумышленника, методика использования им технического потенциала для доступа к объекту защиты, уровень силы воздействия природных и техногенных факторов);
-
количество зарегистрированных пользователей в защищаемой информационной системе.
Пороговый график в идеальном случае остается постоянной величиной. Но в реальности, при наличии динамически изменяющихся условий, величина порогового графика будет изменяться во времени.
Угол отклонения порогового графика должен определяться для каждой системы индивидуально, исходя из характера защищаемого ресурса, параметров системы защиты и окружающей обстановки.
Детальная методика расчета порогового графика – тема отдельной научной работы и в данной статье не рассматривается.
Для проведения анализа защищенности системы с точки зрения компенсации действий пользователя необходимо провести серию специальных экспериментов (см. «Жизнь и безопасность», 2004, № 2–3, с 400–403). В основу метода специального эксперимента положено следующее обстоятельство: любое явление действительности связано с условиями своего существования, а значит, и реакция объекта изучения зависит от воздействия на него окружающей обстановки. Следовательно, изменяя условия, в которых находится объект изучения, можно получить данные о его свойствах. В соответствии со своими техническими возможностями (для технических систем) или намерениями (для физического лица) изучаемый реагирует на эти вновь созданные условия, принимая их за подлинные (Гусев B. C., Ковалев В. М. Специальный эксперимент как метод выявления угроз безопасности хозяйствующих субъектов экономики. – «Жизнь и безопасность», 2002, № 1–2, с. 12–20).
Для проведения специального эксперимента необходимо:
-
составить перечень проверяемых возможных действий пользователя;
-
проанализировать и подготовить соответствующие условия, наиболее способствующие возможным нарушениям политики безопасности;
-
подготовленным специалистам провести соответствующее воздействие на защищаемую информационную систему;
-
проанализировать результат.
Будем считать действия пользователя, не являющимися явно деструктивными по отношению к защищаемому ресурсу, но направленными на нарушение политики безопасности: вследствие слабой подготовки пользователя, его халатности или умышленного нарушения им инструкций (любопытство, самоутверждение, получение дополнительных возможностей внутри защищенной системы и т. п.). Их можно условно разделить на следующие типы:
Умышленные:
-
подключение внешних или внутренних технических средств;
-
отключение внешних или внутренних технических средств;
-
использование внутренних возможностей операционной системы и различных ошибок администрирования;
-
использование дополнительного программного обеспечения;
-
игнорирование требований инструкций либо упрощение алгоритмов требуемых действий.
Неумышленные:
-
получение дополнительных прав по отношению к защищаемому ресурсу вследствие ошибок администрирования;
-
невыполнение предписываемых действий или выполнение запрещенных действий вследствие низкого уровня подготовки.
Система защиты должна быть в состоянии обнаружить эти действия или бездействие пользователя, соответственно – блокировать или инициировать их или провести мероприятия по восстановлению защищенности объекта. Для обеспечения устойчивости системы по отношению к рассматриваемым поступкам пользователя необходимо, во-первых, минимизировать количество возможных вариантов этих поступков и, во-вторых, снабдить систему защиты дополнительными контролирующими функциями. Поскольку основа всех бед – человек, то система защиты должна быть максимально изолирована от него, а человек (пользователь) – подконтролен ей.
Если рассмотреть эти вопросы более детально, то система защиты должна обеспечивать:
-
контроль качества аутентификационной информации;
-
контроль действий и длительности работы пользователя в открытом сеансе;
-
контроль целостности информационной системы на аппаратном и программном уровнях;
-
контроль целостности своих компонентов.
Итогом построения компенсационной модели конкретной системы защиты информации (определения слабых мест системы) и ее реализации на объекте станет комплекс организационно-технических мер по повышению ее надежности. Этим мы соблюдем принцип равнопрочности границ зон безопасности, описанный авторами пособия «Безопасность граждан и организаций», профессорами Э. П. Тепловым и Ю. П. Яниным, который гласит, что все границы охраняемых зон и все пути доступа в эти зоны должны быть надежно контролируемы.