В

В.О.Голубєв

 

ОРГАНІЗАЦІЯ ЗАХИСТУ ІНФОРМАЦІЇ НА ОСНОВІ ЗАСТОСУВАННЯ

ТЕХНОЛОГІЇ СПОСТЕРЕЖЕНІСТІ КОМП'ЮТЕРНИХ СИСТЕМ

 

Застосування сучасних інформаційних технологій стало таким, що нарівні з проблемами надійності і стійкості їх функціонування виникла проблема забезпечення безпеки циркулюючої у ній інформації. За таких умов створилися можливості витоку інформації, порушення її цілісності та блокування. Витік інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, - це одна з основних можливих загроз національній безпеці України в інформаційній сфері [1].

Необхідною передумовою реалізації національних інтересів України є повноцінне її входження у світовий інформаційний простір. Динамічне його формування, глобалізація та дедалі більша відкритість телекомунікаційних і комп'ютерних мереж, швидкий розвиток інформаційних технологій, продуктів та послуг створюють принципово нові можливості для економічної співпраці, обміну інформацією, духовними цінностями, взаємного культурного збагачення, прогресу науки і техніки.

Разом з цим, зростає кількість загроз, поширюються злочини в сфері компютерної інформації, так званні “кіберзлочини, загострюється проблема захисту інформації у автоматизованих системах (АС) яка в сучасних умовах визначається наступними чинниками:

·         високими темпами зростання парку засобів обчислювальної техніки і зв’язку, розширенням областей використання електронно-обчислювальних машин (ЕОМ);

·         залученням в процес інформаційної взаємодії все більшого числа людей і організацій;

·         підвищенням рівня довір’я до автоматизованих систем управління і обробки інформації, використанням їх в критичних технологіях;

·         ставленням до інформації, як до товару, переходом до ринкових відносин, з властивою ним конкуренцією і промисловим шпигунством, в області створення і збуту (надання) інформаційних послуг;

·         концентрацією великих обсягів інформації різного призначення і приналежності на електронних носіях;

·         наявністю інтенсивного обміну інформацією між учасниками цього процесу;

·         кількісним і якісним вдосконаленням способів доступу користувачів до інформаційних ресурсів;

·         загостренням протиріч між об’єктивно існуючими потребами суспільства в розширенні вільного обміну інформацією і надмірними або навпаки недостатніми обмеженнями на її поширення і використання;

·         диференціацією рівнів втрат (збитку) від знищення, модифікації, витоку або незаконного блокування інформації;

·         різноманіттям видів загроз і можливих каналів несанкціонованого доступу до інформації;

·         зростанням числа кваліфікованих користувачів обчислювальної техніки і можливостей по створенню ними програмно-технічних впливів на систему;

·         розвитком ринкових відносин (в області розробки, постачання, обслуговування обчислювальної техніки, розробки програмних засобів, в тому числі засобів захисту).

 

Під  автоматизованою системою ми розуміємо – органі­заційно-технічну систему, що реалізує інформаційну технологію і об’єднує ОС, фізичне середовище, персонал і  інформацію, яка обробляється [2].

Для  вирішення проблеми безпеки АС 5 липня 1994  року  був  прийнятий Закон України “Про  захист інформації в автоматизованих системах” [3], який встановив  правові  засади забезпечення реалізації та непорушності права власності на  інформацію.  Незважаючи на закріплення в свій час прогресивних положень, які встановили основи правового регулювання питань захисту інформації в автоматизованих системах, цей закон вже не в повній мірі відповідає тим змінам, які обумовив бурхливий розвиток  інформатизації нашого суспільства за останні  роки.

Природно, в такій ситуації виникає потреба в захисті інформації від несанкціонованого доступу, знищення, модифікації і інших злочинних і небажаних дій.

В усіх аспектах проблеми зaхисту інформації в АС основним елементом є аналіз загроз, яким піддається система. Загрози інформації в АС можна розділити на два класи:

·         об’єктивні (природні), що характеризуються впливом на об’єкт захисту фізичних процесів або стихійних природних явищ, які не залежать від людини;

·         суб’єктивні, пов’язані з діяльністю людини. 

Серед останніх можна виділити:

·         ненавмисні, викликані помилковими  діями співробітників і відвідувачів об’єкта;

·         навмисні, що є результатом навмисних дій порушників.

Навмисні загрози можуть виникати як зсередини системи (з боку учасників процесу обробки інформації ), так і ззовні (з боку сторонніх осіб).

Навмисні загрози інформації в автоматизованих системах є найбільш чисельним у класифікації видів загроз. До їх переліку входять:

·         проникнення у систему через комунікаційні канали зв’язку з присвоєнням повноважень легального користувача з метою підробки, копіювання або знищення даних. Реалізується розпізнаванням або підбором паролів і протоколів, перехопленням паролів при негласному підключенні до каналу під час сеансу зв’язку, дистанційним перехопленням паролів у результаті прийому електромагнітного випромінювання;

·         проникнення в систему через комунікаційні канали зв’язку при перекоммутації каналу на модем порушника після входження легального користувача в мережу й пред’явлення ним своїх повноважень з метою присвоєння прав цього користувача на доступ до даних;

·         копіювання інформації і паролів при негласному пасивному підключенні до локальної мережі або прийомі електромагнітного випромінювання мережевого адаптеру;

·         виявлення паролів легальних користувачів при негласному активному підключенні до локальної мережі при імітації запиту операційної системи мережи;

·         аналіз трафіка при пасивному підключенні до каналу зв’язку або при перехопленні електромагнітного випромінювання апаратури для виявлення протоколів обміну;

·         підключення до каналу зв’язку в ролі активного ретранслятора для фальсифікації платіжних документів, зміни їх утримання, порядку проходження, повторної передачі, затримання доставки ;

·         блокування каналу зв’язку власними повідомленнями, що викликає відмову від обслуговування легальних користувачів;

·         відмова абонента від факту прийому (передачі) інформації або створення помилкових відомостей про час прийому (передачі) повідомлень для зняття з себе відповідальності за виконання цих операцій;

·         несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;

·         оголошення себе іншим користувачем (маскування) для порушення адресації повідомлень або виникнення відмови у законному обслуговуванні;

·         зловживання привілеями супервізора для порушення механізмів безпеки локальної мережі;

·         перехоплення електромагнітного випромінювання від дисплеїв, серверів або робочих станцій для копіювання інформації і виявлення процедур доступу;

·         збір і аналіз використаної друкованої інформації, документації та інших матеріалів для копіювання інформації або виявлення паролів, ідентифікаторів, процедур доступу і ключів;

·         візуальне перехоплення інформації, виведеної на екрани дисплеїв або вводу з клавіатури для виявлення паролів, ідентифікаторів і процедур доступу;

·         негласна перебудова устаткування або програмного забезпечення з метою впровадження засобів несанкціонованого доступу до інформації (програм-перехоплювачів і “троянських коней”, апаратури аналізу інформації тощо), а також знищення інформації або устаткування (наприклад, за допомогою програм-вірусів, ліквідаторів із дистанційним управлінням тощо);

·         знищення інформації або створення збоїв в комп’ютерній системі за допомогою вірусів для дезорганізації діяльності АС. Реалізується шляхом внесення вірусів у систему в неробочий час або користування співробітником “подарунком” у вигляді нової комп’ютерної гри;

·         викрадення устаткування, у тому числі окремих плат, дисководів, мікросхем, кабелів, дисків, стрічок з метою продажу. Призводить до втрати працездатності системи, а іноді й до знищення даних;

·         викрадення магнітних носіїв з метою одержання доступу до даних та програм;

·         знищення устаткування, магнітних носіїв або дистанційне знищення інформації;

·         зчитування інформації з жорстких і гнучких дисків (у тому числі залишків “стертих” файлів), магнітних стрічок при копіюванні даних з устаткування на робочих місцях у неробочий час;

·         копіювання даних з терміналів, залишених без нагляду в робочий час;

·         копіювання даних з магнітних носіїв, залишених на столах або в комп’ютерах, шафах тощо;

·         копіювання даних з устаткування і магнітних носіїв, прибраних у спеціальні сховища;

·         використання залишеного без нагляду устаткування у робочий час;

·         внесення змін у дані, записані на залишених без нагляду магнітних носіях;

·         встановлення програмних закладок для передачи інформації або паролів по легальних каналах зв’язку з комп’ютерною системою (електронної пошти);

·         підміна елементів устаткування, що були залишені без нагляду у робочий час;

·         встановлення ліквідаторів уповільненої дії або з дистанційним управлінням (програмних, апаратних або апаратно-програмних);

·         внесення змін або зчитування інформації у базах даних або окремих файлах через присвоєння чужих повноважень у результаті добору паролів з метою копіювання, підробки або знищення фінансової інформації;

·         виявлення паролів при викраденні або візуальному спостереженні;

·         використання програмних засобів для подолання захисних можливостей системи;

·         несанкціоноване перевищення своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки;

·         вилучення інформації із статистичних баз даних у результаті використання семантичних зв’язків між секретною та несекретною інформацією з метою добування конфіденційних відомостей.

 

            Як ми бачимо є найширший спектр варіантів шляхів навмисного несанкціонованого доступу до даних і втручання в процеси обробки і обміну інформацією. Правильно побудована система захисту інформації в АС - важлива складова успішного проведення аналізу ризику і забезпечення безпеки роботи автоматизованої системи.

Забезпечення інформаційної безпеки починається з розробки політики безпеки інформації, яка регламентує права кожного користувача і груп користувачів, час та повноваження доступу, перелік загальних ресурсів, сценарії входу в мережу, правила роботи з глобальною мережею Internet тощо. Кожний співробітник організації повинен бути ознайомлений з політикою безпеки і дотримуватись її. Здійснювати контроль за дотриманням політики безпеки зобов'язаний адміністратор безпеки. Більшість випадків порушення безпеки автоматизованих систем пов'язані саме із зневагою до організаційно-правових заходів, або взагалі відсутністю політики безпеки. Одним з ефективних рішень для оперативного виявлення таких порушень є застосування технології спостереженісті (моніторінгу) інформації в автоматизованих системах.

У роботі будь-якої автоматизованої системи одним із самих "вузьких" місць є персонал і, відповідно, розробка тих або інших організаційних заходів, які складають основу політики безпеки. Особливу небезпеку являють різні впливи на  інформаційні ресурси із застосуванням  спеціальних знань так званої  «соціальної інженерії» і інших напрямів,  що використовуються для реалізації загроз типу "людський фактор". "Людський фактор" фактично завжди присутній при успішній реалізації загроз, що приводять до серйозного збитку.

Істотна частина проблем забезпечення безпеки інформації в таких випадках може бути вирішена тільки тоді, коли обчислювальні (компьютерні) системи, що входять до складу автоматизованих систем,  будуть володіти такою властивістю, як спостереженість.

Для забезпечення спостереженісті, необхідно зібрати достовірну інформацію, яка  може бути підставою  для прийняття тих або інших організаційних рішень і розробки політики безпеки.

Для вирішення вищевказаних проблем, одним з підприємств України (www.anna.zp.ua), була розроблена система безпеки (СБ) “СОВА”, яка проходить сертифікацію у Департаменті спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України. Додатково на кафедрі оперативно-розшукової діяльності Запорізького юридичного інституту МВС України, у рамках Американсько-Українського науково-дослідницького партнерства, проводяться дослідження СБ “СОВА”  з метою використання її для розслідування «кіберзлочинів».

            СБ “СОВА”  - це мережева програмно-апаратна система безпеки, яка призначена для автоматизованого забезпечення спостереженісті комп'ютерних (обчислювальних) систем користувачів автоматизованої системи,  які працюють під керуванням операційної системи Windows 95/98/NT виробництва фірми Microsoft (США) в автоматизованих системах,  що базуються на TCP/IP мережах.

В СБ “СОВА” реалізована така функція захисту як спостереженість (accountability)   властивість комп'ютерної (обчислювальної) системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно встановлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки інформації  і/або забезпечення відповідальності за певні дії. Система безпеки здійснює  такі дії як реєстрація (audit, auditing), що забезпечує збирання та аналіз інформації щодо використання користувачами і процесами функцій та об’єктів, які контролюються комплексом засобів захисту та веде журнал реєстрації (audit trail) у вигляді  упорядкованої  сукупності реєстраційних записів, кожен з яких заноситься комплексом засобів захисту за фактом здійснення контрольованої події.

СБ “СОВА” забезпечує надання адміністратору безпеки автоматизованої системи можливості прийняття організаційних рішень на підставі достовірної інформації з метою забезпечення розробки політики безпеки автоматизованої системи, а саме:

·        локалізувати  випадки спроб несанкціонованого доступу до інформації з точною вказівкою дати, часу і мережевого робочого місця,  з якого така спроба здійснювалася;

·        локалізувати випадки компрометації інформації, зокрема факти ознайомлення з інформацією і/або її модифікації;

·        визначити факти несанкціонованої інсталяції програмного забезпечення на обчислювальні (комп'ютерні) системи;

·        проконтролювати факти використання обчислювальних (комп`ютерних) систем в неробочий час (нічні години та святкові дні) і виявити  мету такого використання;

·        визначити всі випадки несанкціонованого використання модемів в локальній мережі, шляхом аналізу фактів запуску несанкціоновано встановлених спеціалізованих програмних засобів;

·        визначити електронні адреси, на які зроблена несанкціонована передача інформації і визначити що було передано;

·        визначити всі випадки  набору на клавіатурі  критичної інформації  і словосполучень;

·        визначити нецільове використання обчислювальних (комп'ютерних) систем – (гра на комп'ютері в робочий  час, відвідування порносайтів в Інтернет тощо);

·        визначити завантаженість обчислювальних (комп'ютерних) систем (за часом діб, по днях тижня тощо) з метою наукової організації труда користувачів тощо.

 

Таким чином, система безпеки “СОВА” є ефективним засобом для захисту інформації в автоматизованих системах і протидії “кіберзлочинам”. Адміністратор безпеки може визначити і локалізувати всі спроби несанкціонованого доступу до інформації, що містить комерційну таємницю, факти втрати конфіденційної інформації тощо, з точною вказівкою дати, часу, імені комп'ютера, імені користувача, що здійснив порушення, а також зміст скомпроментованої інформації. Відомості журналу реєстрації дозволять визначити також і одержувача інформації, якому вона була направлена. На наш погляд, своєчасне застосування технології спостереженісті комп'ютерних систем на основі системи безпеки “СОВА”, надає правоохороним органам дуже потрібний сьогодня засіб для ефективної боротьби з кіберзлочинами.

 

1.       Концепція технічного захисту інформації в Україні // Урядовий кур’єр, 1997, 12 листопада.

2.       НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. // Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України. – Київ, 1999.

3.       Закон України ‘‘Про захист інформації в автоматизованих системах’’ //ВВР № 31 1994.– 286 с.