Рассматриваются теоретико-экспериментальные аспекты обеспечения защищённости информации, перерабатываемой в эргатических системах, от несанкционированного доступа по нетрадиционным (скрытым) информационным каналам. Приведены результаты компьютерного моделирования.
В настоящее время создание и развитие отечественных информационно-компьютерных технологий характеризуется широким применением зарубежного технического и программного обеспечения, как общесистемного, так и специального. Фирмы-производители компьютерной техники не гарантируют при этом отсутствие в поставляемом оборудовании встроенных аппаратно-программных "закладок" (АПЗ), компьютерных "вирусов" и др. вредоносных недокументированных возможностей (типа Aureate/Radiate, Gator, Look2Me, Loki, Back Office 2000 и др. - см. http://cexx.org/aureate.htm; http://simplythebest. net/info/spyware/gator_spyware.html). Вместе с тем вероятность наличия деструктивных "злонамеренных" компонентов в используемых компьютерных средствах обусловлена высоким уровнем развития зарубежной микропроцессорной элементной базы (размер АПЗ может составлять несколько К-байт) и технологий транспортировки и внедрения программ-агентов из глобальных телематических сетей (типа сети Интернет).
Данное обстоятельство служит основанием предполагать, что при определённых условиях деструктивные компоненты могут быть активизированы как непосредственно, так и дистанционно (например, по информационным каналам Интернет) с целью обеспечения несанкционированного доступа к привилегированной (конфиденциальной) информации, перерабатываемой в эргатических (человеко-машинных) системах (эргасистемах). Для нейтрализации соответствующих угроз безопасности конфиденциальной информации как документированной информации, доступ к которой ограничен в соответствии с законодательством РФ, проводятся государственная сертификация импортного программного обеспечения и специальные проверки импортного технического обеспечения, характеризуемые определёнными временными и материальными затратами.
Тем не менее, современное состояние развития и использования сетевых технологий на базе совершенной импортной компьютерной техники обеспечивает возможность осуществления несанкционированного доступа (НСД) к перерабатываемой в эргасистеме привилегированной информации по так называемым нетрадиционным информационным каналам (НИК), "невидимым" для современных средств защиты информации, даже при условии использования в эргасистеме сертифицированных и проверенных компонентов [2, 16].
Под
нетрадиционным информационным каналом (unusual, covert, subliminal channel; тайный, латентный, скрытый, потайной канал) понимается несанкционированный способ (организационный механизм) скрытой передачи нелегальной информации по действующим ("традиционным") каналам связи [9]. При этом возможно нарушение системной политики безопасности. Например, способ временной модуляции ("задержка - ускорение") санкционированного приёма потоков различной внутрисистемной легальной информации, осуществляемой принимающим абонентом (высокого уровня конфиденциальности) и распознаваемой ("детектируемой") передающим абонентом (низкого уровня конфиденциальности), в результате чего в обратном направлении (!) как бы скрытно передаётся нелегальная информация (например, секретный шифр или ключ).
Следовательно, гарантированную защиту привилегированной информации, перерабатываемой в эргасистеме, можно обеспечить только путём выявления и нейтрализации всех возможных информационных каналов НСД как традиционных, так и НИК. Однако в настоящее время отсутствуют соответствующие эффективные методы и средства, а также не разработана продуктивная теория выявления, контроля и нейтрализации НИК (известны лишь отдельные опубликованные результаты её разработки). Поэтому гарантированное обеспечение информационной безопасности эргасистем представляет собой новую актуальную научную и важную прикладную
проблему.
Концептуальные аспекты. Решение данной проблемы возможно, в частности, на базе известной концепции гарантированной защиты информации на основе всестороннего контроля каналов, суть которой заключается в синтезе аппаратно-программной среды, изолированной от внешнего нарушителя информационной безопасности, в которой АПЗ не могут выполнять свои деструктивные функции. В отличие от других известных подходов данная концепция базируется на принципе строгой формализации доказательства изоляции наиболее "чувствительных" аппаратно-программных модулей при сохранении высокой скорости переработки информации, что и обеспечивает гарантированность её защищённости. Иными словами предлагаемая концепция базируется на формально-математическом доказательстве гарантированности защиты информации.
Наличие такого доказательства может служить основанием отказа от дорогостоящих и ненадёжных процедур поиска не документированных возможностей в импортном программном и техническом обеспечении, что позволит значительно снизить расходы на сертификацию и специальные проверки. С использованием соответствующего математического аппарата представляется возможным создать надёжное оборудование гарантированно защищённой переработки привилегированной информации.
Функция всестороннего контроля информационных каналов в эргасистеме включает, в частности, следующие четыре взаимосвязанные задачи: выявление НИК; оценка пропускной способности НИК и опасности, которую несёт их скрытое функционирование; выделение сигнала или получение какой-либо информации, передаваемой по НИК; противодействие функционированию НИК вплоть до их нейтрализации (уничтожения).
Для решения данных сложных задач необходимо разработать соответствующий формально-математический аппарат, который, в частности, позволит также осуществлять:
количественное оценивание защищённости информации, перерабатываемой в реальной эргасистеме, от НСД, осуществляемого с использованием современных НИК;
формализованное обоснование требований к архитектуре создаваемой эргасистемы, выполнение которых обеспечит гарантированную защиту информации, перерабатываемой в эргасистеме, от НСД с использованием НИК.
В основу такого аппарата, учитывая множественность объектов, связей и отношений в современных информационных сетях, следует положить эффективные статистические критерии (правила) выявления и оценки скрытых каналов (например, построенных на преобразовании метрических расстояний между повторениями выделенного атрибута сообщения).
Целостная же разработка формально-математического аппарата представляется возможной на основе адекватной прикладной классификации и концептуально-логического моделирования современных НИК в эргасистеме.
Классификация и модели НИК. Классификация НИК в эргасистемах возможна по ряду практически значимых признаков, наиболее существенными из которых в настоящее время представляются следующие: механизм передачи данных; типы моделей нелегальных информационных потоков; уровень абстракции описания эргасистемы; механизм кодирования при передаче данных.
По первому признаку, т. е. в зависимости от задействованных при передаче информации механизмах, НИК можно разделить на две большие группы:
стеганографические (технически скрытые в сообщении-"контейнере");
сублимографические (организационно нарушающие действующую в эргасистеме политику безопасности).
Каналы первой группы используют для скрытой передачи данных стеганографические схемы, которые призваны скрыть сам факт передачи информации на фоне передачи данных, не вызывающих подозрений - "контейнера". В зависимости от типа задействованного механизма встраивания данных в "контейнер" эти каналы можно разделить на структурированные и неструктурированные.
Структурированные
стеганографические схемы используют для встраивания данных в "контейнеры" с формально описанной структурой и формальными правилами обработки.
Широко распространенным подвидом данного типа каналов являются стеганографические каналы в пакетных сетях передачи данных.
Сублимографические НИК представляют собой внутренние информационные потоки в эргасистеме, неразрешённые реализованной в эргасистеме политикой безопасности. Для скрытых каналов данного типа характерно использование для передачи нелегальной информации некоторого разделяемого информационно-вычислительного ресурса. В зависимости от способа использования разделяемого ресурса, среди этих скрытых каналов можно выделить каналы по времени, каналы по памяти, каналы в базах данных и знаний (БДЗ), а также - комбинированные каналы.
Скрытые каналы по времени используют в той или иной форме временную модуляцию занятости разделяемого ресурса.
Скрытые каналы по памяти используют разделяемый ресурс как промежуточный буфер при передаче данных.
Скрытые каналы в БДЗ - это каналы, использующие зависимости между данными, возникающие в реляционных базах данных и знаний.
Скрытые комбинированные каналы могут сочетать в себе рассмотренные организационные механизмы.
В случае, когда понятие "нетрадиционный информационный канал" в эргасистеме эквивалентно понятию "нелегальный информационный поток", становится возможным классифицировать каналы данного типа по второму признаку, т. е. по типам моделей информационных потоков, используемых для их построения/поиска.
К первой подгруппе можно отнести скрытые каналы, являющиеся нелегальными информационными потоками в системах с многоуровневой и дискреционной политиками безопасности. Эти каналы описываются с помощью известных моделей, таких, например, как модель "Белла - Лападула", модель "Take-grant", и др.
Ко второй подгруппе относятся скрытые каналы в эргасистеме, описываемые "шенноновской" моделью информационного потока.
К третьей подгруппе - каналы, описываемые автоматными моделями потоков, например, известной моделью "Gogen - Meseguer".
Скрытые каналы можно также классифицировать и в зависимости от уровня абстракции описания эргасистемы, на котором функционирует скрытый канал, т. е. по третьему признаку - на каналы в оборудовании, в микрокоде, в ядре операционной системы, в прикладном программном обеспечении.
В зависимости от используемого при передаче информации механизма кодирования, т. е. по четвёртому признаку, НИК можно классифицировать на детерминированные и стохастические.
Реляционная модель угроз. В соответствии с нормативной концепцией, изложенной в руководящих документах ФСТЭК [16], модельное описание информационных угроз эргасистеме должно включать следующие виды описаний:
1) описание основных предположений относительно использования эргасистемы, в том числе, особенности физического окружения;
2) перечисление защищаемых активов;
3) описание всех угроз активам эргасистемы, которое должно содержать:
описание источника угрозы - нарушителя, его компетентности, доступных ему ресурсов и мотивации к нападению;
описание возможностей для нападения, методов и используемых для этого "уязвимостей", характерных для эргасистемы;
описание актива, подвергающегося нападению.
описание последствий реализации угрозы и возможных деструктивных действий.
1. Предположительно эргасистема представляет собой распределённую человеко-машинную систему, компоненты которой (локальные вычислительные системы - ЛВС) соединены между собой через глобальную вычислительную систему (ГВС) общего доступа по защищённым каналам связи. Защищённые каналы связи строятся узлами защиты, находящимися на границе ЛВС и ГВС и реализующими функции виртуальной частной (закрытой) сети.
2. В качестве защищаемых активов рассматриваются следующие основные компоненты эргасистемы: физическое оборудование, программное обеспечение и перерабатываемая привилегированная (конфиденциальная) информация.
3. Нарушитель, не имея прямого доступа к информации и компонентам эргасистемы, обладает возможностью контролировать узлы ГВС, через которые происходит взаимодействие компонентов эргасистемы. У рассматриваемого нарушителя имеются значительные интеллектуальные, вычислительные и финансовые ресурсы. Мотивация нарушителя считается высокой. Кроме того, некоторые компоненты эргасистемы содержат "аппаратно-программные закладки" нарушителя.
В данном случае информационные угрозы активам эргасистемы можно разделить на следующие группы, включая угрозы:
нарушения конфиденциальности перерабатываемой в эргасистеме информации;
нарушения целостности информации, перерабатываемой в эргасистеме;
нарушения целостности программного обеспечения, используемого в эргасистеме;
несанкционированного доступа к ресурсам эргасистемы;
расширения интеллектуальных возможностей АПЗ;
нарушения работоспособности аппаратного обеспечения эргасистемы.
Модельное описание перечисленных угроз можно представить наглядно в табличной (реляционной) форме с конкретными примерами их реализации [11]. Функционально достаточная упорядоченная совокупность разработанных авторами реляционных описаний наиболее вероятных информационных угроз эргасистеме в целом представляет собой конструктивную реляционную модель потенциальных угроз.
Компьютерное моделирование [12] ряда организационных (комбинаторных - основанных на временных перестановках информационных пакетов) способов НСД, осуществляемого с использованием различных (детерминированного и стохастического) сублимографических НИК, дало положительные результаты по подтверждению реализуемости рассмотренных угроз и позволило экспериментально получить соответствующие количественные вероятностно-временные оценки.
Экспериментальный анализ влияния механизмов противодействия на работу НИК показал, что поскольку различные НИК используют различную модуляцию потока пакетов, для перекрытия каждого из них одни механизмы противодействия являются эффективными и делают передачу данных по НИК практически невозможной, другие затрудняют передачу нелегитимной информации по НИК и снижают их пропускную способность, третьи не оказывают на НИК никакого влияния (см. таблицу).
Таблица– Эффективность методов противодействия НИК
| Тип НИК | Метод противодействия НИК |
| Перемешивание | Буферизация | Ложныйтрафик | Выравнивание |
| Модуляция расстояний | ± | 0 | ± | 0 |
| Модуляция временныхинтервалов | ± | ± | ± | ± |
| Перестановка пакетов по длинам | ± | 0 | ± | ± |
| Примечание: `±` – частичное подавление; `0` – отсутствие подавления |
В случае применения таких механизмов противодействия НИК, как выравнивание длин пакетов и вставка ложного трафика, НИК с модуляцией расстояний между пакетами обеспечивает приём лишь части переданных по нему сигналов. Использование буферизации и выравнивания длин пакетов не оказывает на данный НИК никакого влияния вследствие того, что порядок следования пакетов в этом случае остается неизменным.
Применение перемешивания пакетов для противодействия НИК с модуляцией временных интервалов между пакетами приводит к уменьшению доли принятых по НИК сигналов с увеличением длины перемешиваемого буфера. При использовании выравнивания длин пакетов и вставке ложного трафика с увеличением интенсивности применения средства противодействия существенного снижения доли принятой по НИК информации не происходит. Применение буферизации потока пакетов также приводит к снижению доли принятых данных, однако в том случае, если длина буфера, использованная при передаче сигнала НИК и при буферизации, совпадает, наблюдается резкое повышение доли принятой информации. Это связано с тем, что модуляция потока, используемая данным каналом, сходна с результатами буферизации потока.
Доля нелегитимной информации, принятой по НИК с перестановкой пакетов по длинам, равномерно уменьшается с ростом интенсивности всех методов противодействия, кроме буферизации. Это связано с тем, что при буферизации порядок следования пакетов и их длины не изменяются. При выравнивании длин пакетов размываются различия между длинами соседних пакетов, что затрудняет приём сигнала НИК. В случае выравнивания длин всех пакетов до максимальной длины, в потоке не остается пакетов с различными длинами, вследствие чего приём сигнала данного НИК невозможен. При добавлении ложных пакетов наблюдается рост доли принятых по НИК данных в случае добавления 100% ложных пакетов. В этом случае половина пакетов потока, поступающего к приёмнику НИК, является ложными, однако за счёт того, что вставка происходит случайно и равномерно, часть сигналов, отправленных передатчиком, все же может быть обнаружена приёмником.
В связи с этим для эффективного подавления НИК необходимо при выборе механизмов (методов) противодействия учитывать тип и параметры модуляции, используемой НИК. Выбор механизмов противодействия и их параметров случайным образом может оказаться крайне неэффективным. При этом увеличение интенсивности механизмов противодействия (увеличение длины буфера, в рамках которых происходит перемешивание пакетов, увеличение количества ложных пакетов и др.) неизбежно приводит к ухудшению характеристик легитимного канала связи вплоть до полной невозможности его использования. Часть существующих архитектур эргасистем не позволяет обеспечить защиту от НСД с использованием НИК. Для других архитектур, при выполнении ряда условий и требований, возможно гарантированное снижение пропускной способности НИК ниже установленной границы, или их полное устранение, не позволяющее нарушителю осуществить НСД.
В процессе передачи данных по исследованным НИК измеренные характеристики трафика изменяются в сравнении с трафиком, в котором отсутствуют НИК, тем сильнее, чем больше пропускная способность НИК практически для всех схем кодирования, используемых НИК. Ни один из способов противодействия НИК не обеспечивает подавление всех рассмотренных НИК. Изменяя параметры модуляции, применяемой НИК, возможно обойти алгоритм противодействия, хотя это приведет к снижению пропускной способности НИК и ухудшению характеристик легитимного канала связи.
Повышая интенсивность средств противодействия, тип которых правильно подобран в зависимости от применяемой НИК модуляции, возможно снизить пропускную способность НИК до заданного предела. При этом, однако, характеристики легитимного канала связи резко ухудшаются вплоть до невозможности его использования.
В целом имеющиеся экспериментальные результаты позволяют сделать следующий основополагающий вывод: обеспечение гарантированной защиты современных эргасистем от НСД по НИК возможно при использовании "туннелирования" стандартных протоколов с использованием протоколов с минимальной избыточностью, не позволяющих модулировать поток пакетов. При этом пакеты стандартного протокола должны инкапсулироваться в пакеты протокола "туннелирования".
Таким образом, на основе комплексного теоретико-экспериментального анализа защищённости современных эргасистем от НСД по нетрадиционным (скрытым) информационным каналам, предложены прикладная классификация НИК, позволяющая оценить современное состояние проблемы обеспечения полноты их контроля; модели НИК, определяющие механизмы (схемы) их образования, а также функционально достаточная реляционная модель информационных угроз эргасистеме, обусловленных наличием НИК; оценена эффективность некоторых методов противодействия конкретным типам НИК, позволяющим снизить пропускную способность НИК или полностью устранить их.
Полученные в настоящее время соответствующие частные формально-математические результаты [1, 4 - 8, 13 - 15, 17 - 20] имеют важное теоретическое и прикладное значение в области гарантированного обеспечения информационной безопасности эргасистем.
С учётом всех современных достижений в данной области сотрудниками отечественного ООО "Криптоком" (www.cryptocom.ru) разработан соответсвующий ГОСТ 53113-2008 [3], состоящий из двух частей: Часть 1 - Общие положения; Часть 2 - Рекомендации организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Данный ГОСТ, являющийся, по существу, первым в мире стандартом, позволит профильным учреждениям и компаниям организовать рациональную коллективную разработку методов противодействия НИК (скрытым каналам) и гарантированного обеспечения информационной безопасности эргасистем.
Для формирования продуктивной теоретической базы создания и разработки эргасистем нового поколения, обладающих повышенной (гарантированной) информационной безопасностью, необходимы дальнейшие согласованные широкомасштабные теоретико-прикладные исследования. Это позволит также сократить прямые и эксплуатационные затраты на информационную защиту существующих эргасистем.
Список литературы
1. Видякин В. В., Колодзей А. В. Статистическое обнаружение скрытых каналов в сетях передачи данных // Труды Междунар. конф. "Информационные системы и технологии IST`2004" (8 - 10 октября 2004 г.) НАН Беларуси. - Минск: БГУ, 2004. - C. 54.
2. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: Стандарты, 2002.
3. ГОСТ Р 53113-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. - М.: Стандарты, 2008.
4. Грушо А. А. Скрытые каналы и безопасность информации в компьютерных системах // Дискретная математика. - 1998. - Т. 10. - Вып. 1. - С. 3 - 9.
5. Грушо А. А. О существовании скрытых каналов // Дискретная математика. - 1999. - Т. 11. - Вып. 1. - С. 24 - 28.
6. Грушо А. А., Тимонина Е. Е. Оценка времени, требуемого для организации скрытого канала // Дискретная математика. - 2003. - Т. 15. - Вып. 2. - С. 40 - 46.
7. Грушо А. А., Тимонина Е. Е. Преодоление защиты от скрытых каналов // Обозрение прикладной промышленной математики. - М.: ТВП, 2003. - Т. 10. - Вып. 3. - С. 638 - 640.
8. Круглов И. А. Скрытые каналы в стохастических информационных протоколах // Труды Междунар. конф "Информационные системы и технологии IST`2004" (8 - 10 октября 2004 г.) НАН Беларуси. - Минск: БГУ, 2004. - C. 55.
9. Ловцов Д. А. Информационная теория эргасистем: Тезаурус. - М.: Наука, 2005. - 248 c.
10. Ловцов Д. А. Информационно-сублимографическая технология коммуникации в эргасистеме // Труды I Всеросс. научн.-практ. конф. "Информационные технологии в образовании, науке и производстве" (2 - 6 июля 2007 г.) / РАО - Серпухов: ИИО РАО, 2007. - С. 395 - 398.
11. Ловцов Д. А., Ермаков И. В. Классификация и модели нетрадиционных информационных каналов в эргасистеме // НТИ РАН. Сер. 2. Информ. процессы и системы. - 2005. - N 2. - С. 1 - 7.
12. Ловцов Д. А., Ермаков И. В. Защита информации от доступа по нетрадиционным информационным каналам // НТИ РАН. Сер. 2. Информ. процессы и системы. - 2006. - N 9. - С. 1 - 9.
13. Мызников О. Н., Ткач С.А. Проведение экспериментальных исследований по подтверждению реализуемости способов НСД к информации, осуществляемых с использованием НИК // Труды VII Междунар. науч.-практ. конф. "Информационная безопасность" ТРТУ. - Таганрог, 2005. - С. 133 - 135.
14. Мызников О. Н., Назаров И. В. Оценка времени обучения аппаратно-программной закладки для организации нетрадиционных информационных каналов // Труды Кубанского ГТУ. - Т. XIX. - Сер.: Информатика и управление. - Вып. 3. - Краснодар, 2005. - С. 27 - 29.
15. Мызников О. Н., Назаров И. В., Сызранов А. П. Скрытый канал как актуальная научная проблема // Труды Кубанского ГТУ. - Т. XIX. - Сер. Информатика и управление. - Вып. 3. - Краснодар, 2005 . - С. 45 - 49
16. РД. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. - М.: Гостехкомиссия России, 2002. (Введён в действие Приказом Гостехкомиссии России от 19.06.02 N 187).
17. Ронжин А. Ф. О некоторых вероятностных характеристиках одной стеганографической схемы // Труды Междунар. конф "Информационные системы и технологии IST`2004" (8 - 10 октября 2004 г.) НАН Беларуси. - Минск: БГУ, 2004. - C. 56.
18. Ронжин А. Ф. Информационные протоколы на конечном множестве // Обозрение прикладной и промышленной математики. - М.: ТВП, 2004. - Т. 11. - Вып. 1. - С. 135 - 136.
19. Ронжин А. Ф. Расширения информационных протоколов, основанных на отображениях конечных множеств // Дискретная математика. - 2004. - Т. 16. - Вып. 2. - С. 11 - 16.
20. Симанков В. С., Тарасов Е.С. Методический подход к анализу и выработке приёмов противодействия использованию нетрадиционных информационных каналов // Изв. Таганрогского РТУ. Информационная безопасность. - 2005. - N 4. - С. 137 - 142.
Д. А. Ловцов, - заведующий кафедрой правовой информатики, информационного права и математики Российской академии правосудия, доктор технических наук, профессор, заслуженный деятель науки РФ
14.04.2009,
www.viperson.ru
