Научная статья на тему 'Модель нарушителя прав доступа в автоматизированной системе'

Модель нарушителя прав доступа в автоматизированной системе Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1026
562
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Жуков В. Г., Жукова М. Н., Стефаров А. П.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Модель нарушителя прав доступа в автоматизированной системе»

УДК 004.056

МОДЕЛЬ НАРУШИТЕЛЯ ПРАВ ДОСТУПА В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ

(Работа выполнена при поддержке ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России» на 2007-2013 гг.)

В.Г. Жуков, к.т.н.; М.Н. Жукова, к.т.н.; А.П. Стефаров

(Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева, г. Красноярск, [email protected], [email protected], [email protected])

Предложена методика построения модели нарушителя прав доступа в автоматизированной системе. Рассмотрена процедура классификации этих нарушителей.

Ключевые слова: модель нарушителя, несанкционированный доступ, информационная безопасность.

Основной задачей исследований в области информационной безопасности является разработка новых и совершенствование имеющихся методов и средств защиты информации.

Вопросы защиты информации регламентируются федеральными законами, указами президента РФ, постановлениями правительства РФ, государственными стандартами, а также нормативно-методическими документами ФСТЭК России и ФСБ России. При проведении работ по защите государственных информационных ресурсов требования нормативно-методических документов являются обязательными, в остальных случаях они носят рекомендательный характер.

Одной из задач мероприятий по защите информации является построение системы ее защиты, направленной на противодействие угрозам информационной безопасности.

Система защиты информации строится на основании модели нарушителя и модели угроз.

Модель нарушителя - это абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

Методика построения модели нарушителя прав доступа

Существующие сегодня подходы к построению модели нарушителя имеют ряд общих классификационных признаков, однако неполно описывают нарушителей, а их категории, представленные в различных источниках, не являются коррелированными.

При этом в нормативно-методических документах указывается, что необходимым условием разработки системы защиты является формирование модели угроз, а модель нарушителя тесно связана с моделью угроз и по сути является ее частью.

Смысловые отношения между ними следующие: в модели угроз содержится максимально полное описание угроз, а в модели нарушителя -описание предположения о возможностях нарушителя, являющегося источником угроз, которые он может использовать для разработки и проведе-

ния атак, а также об ограничениях на эти возможности.

Как правило, при построении модели нарушителя выделяют внутренних и внешних нарушителей, а также учитывают:

— наличие у нарушителей доступа к штатным средствам (совокупность программного, микропрограммного и технического обеспечения);

— уровень знаний нарушителей об объектах атак;

— уровень профессиональной подготовки нарушителей;

— возможность использования нарушителями различных средств для проведения атак;

— преследуемые нарушителями цели;

— возможный сговор нарушителей разных категорий.

Помимо этих аспектов, при построении модели нарушителя следует рассматривать перечень соответствия объектов доступа субъектам атак, описание каналов атак, обоснование исключения субъектов атак из числа потенциальных нарушителей, а также стадии жизненного цикла и уровни автоматизированных систем (АС), на которые может воздействовать нарушитель.

Для гарантированного решения задач защиты информации в АС (по ГОСТу Р 51624-2000) необходимо учитывать следующие уровни воздействия нарушителей: уровни технических каналов, несанкционированного доступа, вредоносного воздействия, закладных устройств, системы защиты информации.

Штатные средства, с использованием которых возможен несанкционированный доступ, могут быть самыми разными: программное, микропрограммное и техническое обеспечение средств вычислительной техники (СВТ) или АС. Следовательно, необходимо классифицировать уровень несанкционированного доступа к защищаемой информации.

Классификация уровней несанкционированного доступа к защищаемой информации может быть представлена в виде стека протоколов TCP/IP (см. [Kurose J.F., Ross K.W.]) либо в виде

иных моделей, отражающих сетевые принципы правил обмена данными между субъектами.

Учитывая вышеизложенное, уровни воздействия нарушителей прав доступа в АС могут быть следующими:

- уровень технических каналов;

- прикладной уровень стека протоколов TCP/IP;

- транспортный уровень стека протоколов TCP/IP;

- сетевой уровень стека протоколов TCP/IP;

- канальный уровень стека протоколов TCP/IP;

- физический уровень стека протоколов TCP/IP;

- уровень вредоносного воздействия;

- уровень закладных устройств;

- уровень системы защиты информации.

На основании предложенных классификационных признаков модель нарушителя будет представлена семью категориями нарушителей.

1. Субъекты, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к АС. Могут воздействовать на физический уровень стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации или самоутверждения. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак).

2. Зарегистрированные пользователи АС, осуществляющие ограниченный доступ к ресурсам АС с рабочего места. Могут воздействовать на физический, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.

3. Зарегистрированные пользователи АС, осуществляющие удаленный доступ к АС по локальным и (или) распределенным каналам передачи данных. Могут воздействовать на физический, сетевой, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.

4. Зарегистрированные пользователи с полномочиями системного администратора АС. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, а также с целью вывода из строя АС. При этом используют все средства

атак. Возможен сговор с нарушителями пятой и шестой категорий. Не имеют доступа к средствам защиты информации и протоколирования и к части ключевых элементов АС.

5. Зарегистрированные пользователи с полномочиями администратора безопасности АС. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия, уровень технических каналов, уровень системы защиты информации с целью хищения информации, а также с целью вывода из строя АС. При этом используют все средства атак. Возможен сговор с нарушителями четвертой и шестой категорий. Не имеют прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

6. Разработчики прикладного ПО и технических средств и лица, обеспечивающие их поставку, сопровождение и ремонт на защищаемом объекте. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия, уровень технических каналов, уровень закладных устройств с целью хищения информации, а также вывода из строя АС. При этом используют все средства атак. Могут вступать в сговор с нарушителями четвертой и пятой категорий, а также вносить ошибки, программные закладки, вредоносные программы в ПО и технические средства АС и имеют недекларированные возможности.

7. Внешние нарушители, которыми являются субъекты, осуществляющие воздействие за пределами контролируемой зоны. Могут воздействовать на все уровни с целью хищения информации, самоутверждения, а также вывода из строя АС. При этом используют методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

Данная классификация наиболее полно охватывает аспекты, рассмотренные научным сообществом и отраженные в нормативно-методической документации, а также позволяет однозначно классифицировать нарушителя.

Необходимо отметить, что для исключения субъектов атак из числа потенциальных нарушителей дается описание привилегированных пользователей АС, назначаемых из особо доверенных лиц и осуществляющих техническое обслуживание технических и программных средств АС, включая их настройку и конфигурирование. Как правило, привилегированные пользователи АС исключаются из числа потенциальных нарушителей.

Субъекты шестой категории, к которым относятся разработчики, могут быть исключены из потенциальных нарушителей на основании организационно-технических мер при заключении дого-

воров со сторонними организациями на разработку, поставку, сопровождение и ремонт прикладного ПО и технических средств.

Кроме того, следует учитывать ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они недоступны нарушителю). При определении ограничений на имеющиеся у нарушителя средства атак должны быть рассмотрены

- доступные в свободной продаже технические средства и ПО;

- специально разработанные технические средства и ПО;

- штатные средства.

На стадии разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств воздействие нарушителя можно исключить в случае, если в АС применяются сертифицированные технические и программные средства, проверенные на наличие недекларированных возможностей.

Обоснованные исключения субъектов атак из числа потенциальных нарушителей могут существенно снизить требования к средствам защиты АС и исключить категории нарушителей, которые не смогут осуществить атаку.

Алгоритм построения модели угроз и нарушителей представлен на рисунке.

Для определения угроз, уязвимостей и их комбинации, оценки вероятности их возникновения и степени воздействия на АС проводится анализ рисков. Вероятность реализации угрозы оценивается на основании идентификации источника и объекта угрозы. При выборе и реализации защитных мер должны учитываться ограничения, выявленные при анализе рисков. Снижение уровня рисков осуществляется также за счет снижения уровня угроз и степени уязвимости АС. Необходимо периодически пересматривать существующие и учитывать новые ограничения, так как они подвержены изменениям, как и состав АС.

При построении модели угроз предлагается классифицировать угрозы, источником которых является нарушитель, в соответствии с уровнями воздействия нарушителей, что позволит упростить процедуру взаимодействия моделей угроз и нарушителей, необходимую для построения перечня актуальных угроз.

На основании полученных от модели угроз данных (уровни воздействия нарушителей, на которых существуют угрозы, перечень угроз) осуществляется соотношение угроз с возможностями нарушителя той или иной категории.

Перечень угроз, классифицированных в соответствии с уровнями воздействия нарушителей, представляется в следующем виде: (У,, Ь\, Ь2, Ь3,

Начало

Формирование модели нарушителя

ГОСТ Р 51275-2006

Модель нарушителя

Конец

L4, L5, L6, L7, Ls, L9}, i=[1; N], где N - количество актуальных угроз; Lj - флаг для обозначения j-го уровня воздействия нарушителей, для которого актуальна У, угроза, j=[1; 9]; L9 - уровень закладных устройств; L8 - уровень системы защиты информации; L7 - уровень технических каналов; L6 - прикладной уровень эталонной модели TCP/IP; L5 - транспортный уровень эталонной модели TCP/IP; L4 - сетевой уровень эталонной модели TCP/IP; L3 - канальный уровень эталонной модели TCP/IP; L2 - физический уровень эталонной модели TCP/IP; Lx - уровень вредоносного воздействия.

Методика определения категории нарушителя в общем случае сводится к следующему алгоритму.

1. Выбирается признак классификации из множества L=(Lb L2, L3, L4, L5, L6, L7, L8, L9).

2. По значению выбранного j-го признака множество угроз У, разбивается на подмножества Уу.

3. Формируется вектор l существования актуальных угроз j-му уровню воздействия нарушителя по следующему правилу: j-й элемент вектора l равен единице, если |Уу|>0, и нулю в ином случае.

4. С помощью вектора l определяется максимальная категория нарушителя в соответствии с таблицей, начиная с нарушителя первой категории (Их).

Соотношение категорий нарушителя и уровней их воздействия

Категория У ровень

Li L2 L3 L4 L5 L6 L7 L8 L9

Hi 1 1 0 0 0 0 0 0 0

Н 1 1 0 0 1 1 0 0 0

Н 1 1 0 1 1 1 0 0 0

Н 1 1 1 1 1 1 0 0 0

Н 1 1 1 1 1 1 1 1 0

Н 1 1 1 1 1 1 1 0 1

Таким образом строится перечень актуальных угроз для каждой категории нарушителей.

При исключении субъектов атак из числа потенциальных нарушителей можно уменьшить максимальную категорию нарушителя, а следовательно, и количество актуальных угроз.

В заключение необходимо отметить, что предложенный алгоритм позволяет построить типовую модель нарушителя в соответствии с государственными требованиями. При этом данная модель отличается оригинальной однозначной классификацией нарушителей прав доступа в АС в соответствии с уровнями их воздействия на АС. Применение предложенной модели позволяет избежать привлечения специалистов по защите информации на этапе предпроектного обследования.

Литература

Kurose J.F., Ross K.W. Computer Networking: A Top-Down Approach, NY. Addison-Wesley, 2010.

УДК 621.398-506

ПРОБЛЕМА ОБНАРУЖЕНИЯ АНОМАЛИЙ В НАБОРАХ ВРЕМЕННЫХ РЯДОВ

С.Г. Антипов; М.В. Фомина, к.т.н.

(Национальный исследовательский университет МЭИ, г. Москва, [email protected], [email protected])

Рассматривается проблема обнаружения аномалий в наборах временных рядов. Исследуется случай, когда обучающее множество содержит наборы временных рядов единственного класса - положительные примеры. Предлагается новый алгоритм, позволяющий эффективно строить критерии для распознавания аномалии во временных рядах. Приводятся результаты программного моделирования.

Ключевые слова: временной ряд, аномалия, поиск исключений.

В последнее время большое внимание уделяется анализу временных рядов, которые используются в различных областях и описывают длительные процессы, протекающие во времени.

В общем случае временной ряд TS (Time Series) - это упорядоченная последовательность значений TS=<tsb ts2, ..., tsn>, описывающая про-

текание какого-либо длительного процесса. Значениями могут быть показания датчиков, цены на какой-либо продукт, курс валюты и т.п. На рисунке 1 приведен пример временного ряда, где /-я точка на графике соответствует значению полученному в момент времени / (время / полагается дискретным).

i Надоели баннеры? Вы всегда можете отключить рекламу.