Файл: 7_ua_.doc

Виходячи з основних положень об’єктно-орієнтованого підходу, слід в першу чергу визнати за застарілий традиційний розподіл на активні і пасивні єства (суб’єкти і об’єкти в звичній для дооб’єктной ІБ термінології). Подібний розподіл застарілий, принаймні, з двох причин.

По-перше, в об’єктному підході пасивних об’єктів немає. Можна вважати, що всі об’єкти активні одночасно і при необхідності викликають методи один одного. Які реалізовані ці методи (і, зокрема, як організований доступ до змінних і їх значень) - внутрішня справа об’єкту, що викликається; деталі реалізації приховані, інкапсульовані. Зухвалому об’єкту доступний інтерфейс, що тільки надається.

По-друге, не можна сказати, що якісь програми (методи) виконуються від імені користувача. Реалізації об’єктів складні, так що останні не можна розглядати всього лише як інструменти виконання волі користувачів. Швидше можна вважати, що користувач прямо або (як правило) побічно, на свій страх і ризик, "просить" деякий об’єкт про певну інформаційну послугу. Коли активізується метод, що викликається, об’єкт діє швидше від імені (в усякому разі, по волі) свого творця, ніж від імені користувача, що викликав його. Можна вважати, що об’єкти володіють достатньою "свободою волі", щоб виконувати дії, про які користувач не тільки не просив, але навіть не здогадується про їх можливість. Особливо це справедливо в мережному середовищі і для програмного забезпечення (ПО), одержаного через Internet, але може виявитися вірним і для комерційного ПО, закупленого за всіма правилами у солідної фірми.

Для ілюстрації приведемо наступний гіпотетичний приклад. Банк, ІС якого має з’єднання з Internet, придбав за рубежем автоматизовану банківську систему (АБС). Тільки через деякий час в банку вирішили, що зовнішнє з’єднання потребує захисту, і встановили міжмережевий екран.

Вивчення реєстраційної інформації екрану показало, що час від часу за рубіж відправляються IP-пакети, що містять якісь незрозумілі дані (напевно, зашифровані, вирішили в банку). Стали розбиратися, куди ж пакети прямують, і виявилося, що йдуть вони у фірму, АБС, що розробила. Виникла підозра, що в АБС вбудована закладка, щоб одержувати інформацію про діяльність банку. Зв’язалися з фірмою; там дуже здивувалися, спочатку всі заперечували, але врешті-решт з’ясували, що один з програмістів не прибрав з поставленого в банк варіанту налагоджувальну видачу, яка була організована через мережу (як передача IP-пакетів специфічного вигляду, з явно заданою IP-адресою робочого місця цього програміста). Таким чином, ніякого злого наміру не було, проте якийсь час інформація про платежі вільно гуляла по мережах.

В подальшій частині курсу, в лекції, присвяченій розмежуванню доступу, ми обговоримо, якомога кардинальним чином розв’язати подібні проблеми. Тут відзначимо лише, що при визначенні допустимості доступу важливе не тільки (і не стільки), хто звернувся до об’єкту, але і то, яка семантика дії. Без залучення семантики не можна визначити так звані "троянські програми", що виконують, крім декларованих, деякі приховані (звичайно негативні) дії.

Мабуть, слід визнати за застарілий і положення про те, що розмежування доступу направлено на захист від зловмисників. Приведений вище приклад показує, що внутрішні помилки розподілених ІС представляють не меншу небезпеку, а гарантувати їх відсутність в складних системах сучасна технологія програмування не дозволяє.

В дооб’єктной ІБ однією з найважливіших вимог є безпека повторного використовування пасивних єств (таких, наприклад, як області пам’яті, що динамічно виділяються). Очевидно, подібна вимога вступає в конфлікт з таким фундаментальним принципом, як інкапсуляція. Об’єкт не можна очистити зовнішнім чином (заповнити нулями або випадковою послідовністю біт), якщо тільки він сам не надає відповідний метод. За наявності такого методу надійність очищення залежить від коректності його реалізації і виклику.

Одним з найміцніших стереотипів серед фахівців по ІБ є трактування операційної системи як домінуючого засобу безпеки. На розробку захищених ОС виділяються значні кошти, часто в збиток решті напрямів захисту і, отже, в збиток реальної безпеки. В сучасних ІС, збудованих в багаторівневій архітектурі клієнт/сервер, ОС не контролює об’єкти, з якими працюють користувачі, рівно як і дії самих користувачів, які реєструються і враховуються прикладними засобами. Основною функцією безпеки ОС стає захист можливостей, що надаються привілейованим користувачам, від атак користувачів звичайних.

Це важливо, але безпека такими заходами не вичерпується. Далі ми розглянемо підхід до побудови програмно-технічного рівня ІБ у вигляді сукупності сервісів безпеки.

2.5 Основні визначення і критерії класифікації загроз

Загроза – це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Частіше всього загроза є слідством наявності вразливих місць в захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з’являється можливість використовувати слабке місце, і до моменту, коли пропуск ліквідовується, називається вікном небезпеки, асоційованим з даним вразливим місцем. Поки існує вікно небезпеки, можливі успішні атаки на ІС.

Якщо йдеться про помилки до ПО, то вікно небезпеки "відкривається" з появою засобів використовування помилки і ліквідовується при накладенні латок, що її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (декілька днів, іноді - тижнів), оскільки за цей час повинні відбутися наступні події:

повинне стати відомо про засоби використовування пропуску в захисті;
повинні бути випущені відповідні латки;
латки повинні бути встановлені в ІС, що захищається.

Ми вже указували, що нові вразливі місця і засоби їх використовування з’являються постійно; це значить, по-перше, що майже завжди існують вікна небезпеки і, по-друге, що відстежування таких вікон повинне проводитися постійно, а випуск і накладення латок - якомога більш оперативно.

Відзначимо, що деякі загрози не можна вважати слідством якихось помилок або прорахунків; вони існують через саму природу сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за допустимі межі існує через залежність апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найпоширеніші загрози, яким схильні сучасні інформаційні системи. Мати уявлення про можливі загрози, а також про вразливі місця, які ці загрози звичайно експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки. Дуже багато міфи існують у сфері інформаційних технологій (пригадаємо все ту ж "Проблему 2000"), тому незнання в даному випадку веде до перевитрати засобів і, що ще гірше, до концентрації ресурсів там, де вони не особливо потрібні, за рахунок ослаблення дійсно уразливих напрямів.

Підкреслимо, що саме поняття "загроза" в різних ситуаціях часто потрактує по-різному. Наприклад, для підкреслений відкритої організації загроз конфіденційності може просто не існувати - вся інформація вважається загальнодоступною; проте в більшості випадків нелегальний доступ представляється серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересів суб’єктів інформаційних відносин (і від того, який збиток є для них неприйнятним).

Ми спробуємо поглянути на предмет з погляду типової (на наш погляд) організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.

Загрози можна класифікувати по декількох критеріях:

по аспекту інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози направлені в першу чергу;
по компонентах інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);
за способом здійснення (випадкові/навмисні дії природного/техногенного характеру);
по тому, що розташовує джерела загроз (внутри/вне даної ІС).

Як основний критерій ми використовуватимемо перший (по аспекту ІБ), привертаючи при необхідності інші.

Контрольні запитання

Що таке інформаційна безпека?
Назвіть основні складові інформаційної безпеки.
Назвіть основні поняття об’єктно-орієнтованого підходу.
Що таке загроза?
Назвіть критерії класифікації загроз.

Список літератури

Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.
Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. – М.: КУДИЦ-ОБРАЗ, 2001.
Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.
Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.
Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.
Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.
Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»
Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.
Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.
Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»