Потенциальные угрозы. 1 страница

Работа средств компьютерной техники сопровождается электромагнитными излучениями и наводками на соединительные проводные линии, цепи "питания", "земля", возникающими вследствие электромагнитных воздействий в ближней зоне излучения, в которую могут попадать также провода вспомогательной и посторонней аппаратуры. Электромагнитные излучения, даже если они отвечают допустимым техническим нормам, не являются безопасными с точки зрения утечки секретной информации и несанкционированного доступа к ней.

В некоторых случаях информацию, обрабатываемую компьютерными средствами, можно восстановить путем анализа электромагнитных излучений и наводок. Для этого необходимы их прием и декодирование. Одно время считалось очень трудным делом расшифровать информацию, содержащуюся в излучении, и что поэтому восстановление информации после приема под силу только профессионалам, располагающим очень сложной аппаратурой обнаружения и декодирования. Однако исследования показали, что восстановление информации от некоторых компьютерных средств возможно с помощью общедоступных радиоэлектронных средств. В частности, при восстановлении информации с дисплеев можно использовать обычный черно-белый телевизор, в котором сделаны незначительные усовершенствования. Если дисплей является элементом компьютерной системы, то он может оказаться самым слабым ее звеном, которое сведет на нет все меры по увеличению безопасности излучений, принятые во всех остальных частях системы.

Применение в компьютерной технике импульсных сигналов прямоугольной формы и высокочастотной коммутации приводит к тому, что в спектре излучений будут компоненты с частотами вплоть до СВЧ. Хотя энергетический спектр сигналов убывает с ростом частоты, но эффективность излучения при этом увеличивается, и уровень излучений может оставаться постоянным до частот нескольких гигагерц. Резонансы из-за паразитных связей могут вызывать усиление излучения сигналов на некоторых частотах спектра.

Методы и средства защиты информации от побочного электромагнитного излучения и наводок информации.

В целях защиты секретной информации от утечки за счет побочного электромагнитного излучения и наводок производится измерение уровня опасных сигналов на расстоянии от источника (дисплея, печатающего устройства, кабеля и т. д.). Замеры производят в нескольких точках на разных расстояниях от источника с помощью специальной приемной аппаратуры (например, анализатора спектра НР 8586 А в диапазоне 30...100 МГц в режиме с полосой пропускания 10 кГц и пиковым детектированием). Если уровень сигнала на границе установленной зоны превысил допустимые значения, применяют защитные меры.

Защитные меры могут носить различный характер в зависимости от сложности, стоимости и времени их реализации, которые определяются при создании конкретной компьютерной системы. Такими мерами могут быть: доработка аппаратуры с целью уменьшения уровня сигналов, установка специальных фильтров, параллельно работающих аппаратных генераторов шума, специальных экранов и другие меры. В числе этих мер большие надежды возлагаются на применение в линиях и каналах связи волоконно-оптических кабелей, которые обладают следующими преимуществами: отсутствием электромагнитного излучения во внешнюю среду, устойчивостью к внешним электромагнитным излучениям, большой помехозащищенностью, скрытностью передачи, малыми габаритами (что позволяет прокладывать их рядом с уже существующими кабельными линиями), устойчивостью к воздействиям агрессивной среды.

С точки зрения защиты информации волоконно-оптические кабели имеют еще одно преимущество: подключение к ним с целью перехвата передаваемых данных представляет собой значительно более сложную задачу, чем подключение к обычному проводу или кабелю с помощью индуктивных датчиков и прямого подключения. Однако замена одного кабеля другим связана с введением электрооптических и оптико-электрических преобразователей, на которые и перекладывается проблема обеспечения безопасности информации.

Глава 9. Методы и средства защиты информации от случайных воздействий

В целях защиты функционирования информационных систем и систем автоматизации управления от случайных воздействий применяются уже известные средства повышения надежности аппаратуры и программного обеспечения комплекса средств автоматизации, а для защиты информации — средства повышения ее достоверности. Для предотвращения аварийной ситуации применяются специальные меры.

Методы и средства повышения надежности компьютерных систем и достоверности информации в настоящее время достаточно хорошо разработаны, по этим вопросам имеется обширная литература.

Первые методы и средства косвенным образом помогают существенно сократить влияние случайных воздействий и на информацию.

Мы остановимся лишь на введении в проблему и основных ее моментах, имеющих непосредственное отношение к обеспечению безопасности информации в рамках поставленной задачи и необходимых для анализа и выработки подхода к средствам повышения надежности с позиций безопасности информации, обрабатываемой в системе.

Проблема надежности автоматизированных систем решается тремя путями:

  • повышением надежности деталей и узлов;
  • построением надежных систем из менее надежных элементов за счет структурной избыточности (дублирование, утроение элементов, устройств, подсистем и т. п.);
  • применением функционального контроля с диагностикой отказа, увеличивающего надежность функционирования системы путем сокращения времени восстановления отказавшей аппаратуры.

Задачами функционального контроля (ФК) системы являются: своевременное обнаружение сбоев, неисправностей и программных ошибок, исключение их влияние на дальнейший процесс обработки информации и указание места отказавшего элемента, блока программы с целью последующего быстрого восстановления системы.

Существующие методы функционального контроля компьютерных систем могут быть разделены на программный, аппаратный и комбинированный (сочетание программного с аппаратным).

Сравнительная характеристика методов функционального контроля учитывает следующие факторы:

  • надежность обнаружения;
  • возможность исправления ошибок после сбоев без вмешательства оператора;
  • время, затрачиваемое на устранение случайных ошибок;
  • количество дополнительного оборудования;
  • способы применения: параллельно или с прерыванием обработки информации;
  • влияние контроля на быстродействие компьютерной системы или ее производительность;
  • указание места неисправности с необходимой точностью.

Программный контроль делится на:

  • программно-логический,
  • алгоритмический,
  • тестовый.

В связи с этим при создании компьютерных систем используются следующие показатели качества функционального контроля:

1. время обнаружения и локализации отказов аппаратуры с точностью до съемного элемента:

 

где тчисло экспериментов;

i — номер эксперимента;

tобнiвремя обнаружения отказа в i-м эксперименте;

2. 2) полнота контроля функционирования компьютерной системы:

 

где λк — суммарная интенсивность появления отказов составных частей, охваченных контролем;

λО — суммарная интенсивность отказов всех составных частей компьютерной системы;

3. 3) достоверность контроля:

 

Где nобн — общее число отказов, обнаруженных данной системой функционального контроля;

nПР — общее число отказов проведения функционального контроля при условии появления или искусственного введения отказов в каждом опыте.

Аппаратный контроль в отличие от программного может обеспечивать указание о наличии сбоя или неисправности непосредственно в момент его возникновения. Аппаратный контроль в комплексе средств автоматизации делится на:

    • контроль по модулю;
    • контроль при дублировании оборудования;
    • контроль при троировании оборудования с использованием мажоритарных элементов.

Системные методы включают:

    • оптимизацию структуры обработки;
    • поддержание характеристик оборудования в заданных пределах;
    • повышение культуры обработки;
    • обучение и стимулирование обслуживающего персонала;
    • создание оптимального числа копий и (или) предыстории программ исходных и текущих данных;
    • определение оптимальной величины пакетов данных и скорости первичной обработки,
    • процедур доступа к массивам данных и др.

В зависимости от характера информации, особенностей алгоритмов системы, а также от задач, стоящих перед ее адресатами, можно определить следующие зависимости содержания информации от ошибок при ее передаче:

    • смысловой объем информации в сообщении уменьшается пропорционально числу искаженных разрядов в кодовой комбинации данного сообщения;
    • искажение одного или нескольких разрядов приводит почти к полной потере остальной части информации, содержащейся в смысловом отрезке информации в сообщении.

Для выполнения этой задачи в настоящее время применяются специальные системотехнические решения:

    • изоляция областей доступа к информации;
    • специальная организация работы с информацией и данными, хранящимися в памяти компьютерной системы.

Анализ изложенного позволяет отметить следующие особенности требований к средствам функционального контроля и повышению достоверности с позиций защиты информации от несанкционированного доступа:

    • определенная целенаправленность мероприятий по функциональному контролю и повышению достоверности, выраженная в увязке технического представления информации с ее смыслом и содержанием;
    • определение зависимости безопасности информации от кратности ошибок при ее обработке.

Наиболее распространенная форма программно-логического контроля — это двойной счет со сравнением полученных результатов. Алгоритмический контроль заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по сокращенному алгоритму с достаточной степенью точности.

Программно-логический контроль позволяет надежно обнаруживать сбои, и для его осуществления не требуется дополнительного оборудования. Однако при нем более чем вдвое снижается производительность компьютера, не обнаруживаются систематические сбои, нельзя указать место отказа и тем более сбоя, требуется дополнительная емкость памяти для программы вычислений. При алгоритмическом контроле производительность компьютера выше, в остальном он обладает теми же недостатками и, кроме того, имеет ограниченное применение, так как не всегда удается найти для основного алгоритма сокращенный, который был бы значительно короче основного.

Тестовый контроль, как правило, применяется для проверки работоспособности комплекса средств автоматизации при помощи испытательных программ.

Тестовый контроль в отличие от программно-логического проверяет не процесс переработки информации, а пребывание комплекса средств автоматизации или его части в работоспособном состоянии. Кроме того, тестовый контроль не всегда обнаруживает сбои и во время проверки не может решать задачи по рабочей программе.

В настоящее время широкое применение находят методы аппаратного схемного контроля и комбинированный метод.

Контроль по модулю основывается на следующих принципах. Из теории чисел известно, что целое положительное число можно представить в виде сравнения:

 

(считается: А сравнимо с остатком ra модуля М), которое устанавливает следующее соотношение между числами А, ra и М:

 

где А, M, l и ra — целые числа;

Алюбое контролируемое n-разрядное число;

M — модуль, или делитель;

l — частное;

ra — остаток от деления А на модуль М (контрольный код числа А).

При данном методе контроля каждому контролируемому члену придается еще т дополнительных разрядов, в которые записывается контрольный код, т. е. остаток ra. Если записать все числа в виде сравнения (1), то после этого их можно будет складывать, перемножать, а результаты записывать в виде подобных сравнений:

 

 

Выражения (2) и (3) означают, что сумма (произведение) чисел сравнима с суммой (произведением) остатков этих чисел по модулю М.

Техническая реализация контроля по модулю заключается в разработке специальных схем, которые в технической литературе получили название "сверток". Эффективность контроля повышается с увеличением модуля. Однако с увеличением М непропорционально возрастает количество дополнительного оборудования и усложняются схемы контроля. Широкое распространение в компьютерных схемах получил контроль по модулю 2.

Дублирование оборудования позволяет путем сравнения выходных сигналов обнаружить отказ аппаратуры. Высокая эффективность такого контроля основывается на том, что вероятность одновременного отказа двух одинаковых элементов исчезающе мала. Недостатком этого метода является не всегда имеющаяся возможность определить, какой из каналов является исправным, и поэтому, чтобы процесс функционирования оставался исправным, приходится одновременно в каждом из каналов применять методы контроля, например контроль по модулю.

Троирование оборудования с элементами "голосования" позволяет наряду с увеличением вероятности безотказной работы увеличить и достоверность функционирования при помощи мажоритарных элементов. Данный метод требует, разумеется, увеличения объемов оборудования.

В настоящее время существует много разнообразных методов контроля, имеющих в зависимости от конкретных требований и условий различную степень применяемости. Некоторые из этих методов являются специализированными для определенных типов устройств и систем. Другие — приспособлены для проверки определенных видов операций и применяются в различных типах устройств.

Поскольку результат воздействия на информацию зависит от количества ошибок в данный момент времени, рассмотрим вероятность появления этих событий.

Ввод, хранение и обработка информации в комплексах средств автоматизации осуществляются при помощи кодов чисел и слов по определенному алгоритму. Появление сбоев приводит к тому, что в коде может возникнуть одиночная или групповая ошибка (двухкратная, трехкратная и т. д.). Ошибка может считаться одиночной, если она возникла в одном разряде кода числа или слова. Считая ошибки в каждом разряде кода независимыми, можно определить вероятность появления ошибки 1-й кратности при известной вероятности искажения одного разряда двоичного кода. В этом случае ошибки в каждом из разрядов подчиняются биноминальному распределению вероятностей. Вероятность появления однократной ошибки в n-разрядном двоичном коде может быть определена из выражения

 

где q — вероятность появления ошибки в отдельном разряде в течение одной операции.

Вероятность появления двухкратной ошибки:

 

Вероятность появления ошибок 1-й кратности:

 

Однако оценка значения Pi, аналитическим путем связана с трудностями, которые зависят от причин, вызывающих сбои. Получение статистического материала о сбоях каждого разряда также является проблемным вопросом.

Pi, может быть получено по более удобной формуле:

 

где tоп — длительность одной операции;

µp — интенсивность отказов оборудования, участвующего в передаче и хранении каждого разряда двоичного кода.

C увеличением кратности ошибки вероятность ее появления уменьшается. Вероятность появления ошибки с кратностью i = 4 пренебрежимо мала. Для оценки эффективности аппаратного контроля необходимо знать вероятность обнаружения (пропуска) ошибок различной кратности при выбранном методе контроля. В связи с этим общая вероятность пропуска ошибки

 

где Рi — вероятность появления ошибки i-й кратности;

PМ.ПР.i — вероятность пропуска ошибки i-й кратности при выбранном методе аппаратного контроля.

В настоящее время имеется достаточно учебной литературы по вероятности обнаружения ошибок различной кратности при аппаратном контроле по модулю. Вероятность обнаружения дополняет до единицы вероятность пропуска ошибок, т. е.

PМ.ПР.i = 1 - Робн

Например, вероятность появления двухкратной ошибки можно вычислить по формуле

 

Вероятность пропуска двухкратной ошибки при контроле по модулю 3 вычисляется по формуле

 

Способность средств функционального контроля обеспечить своевременно (до начала последующей обработки) обнаружение и блокировку ошибок заданной кратности определяет уровень достоверности контроля обработки информации. Существенную роль для качества функционального контроля играет плотность распределения его средств обнаружения ошибок по всей "площади" контролируемой компьютерной системы, т. е. полнота ее охвата функциональным контролем.

Одним из основных условий эффективного функционирования информационной системы с комплексом автоматизации является обеспечение требуемого уровня достоверности информации. Под достоверностью информации в информационной системе понимают некоторую функцию вероятности ошибки, т. е. события, заключающегося в том, что реальная информация в системе о некотором параметре не совпадает в пределах заданной точности с истинным значением.

Необходимая достоверность достигается использованием различных методов, реализация которых требует введения в системы обработки информации и данных информационной, временной или структурной избыточности. Достоверность при обработке данных достигается путем контроля и выявления ошибок в исходных и выводимых данных, их локализации и исправления. Условие повышения достоверности — снижение доли ошибок до допустимого уровня. В конкретных информационных системах требуемая достоверность устанавливается с учетом нежелательных последствий, к которым может привести возникшая ошибка, и тех затрат, которые необходимы для ее предотвращения.

Методы контроля при обработке информации в информационной системе классифицируют по различным параметрам: по количеству операций, охватываемых контролем, — единичный (одна операция), групповой (группа последовательных операций), комплексный (контролируется, например, процесс сбора данных); по частоте контроля — непрерывный, циклический, периодический, разовый, выборочный, по отклонениям; по времени контроля — до выполнения основных операций, одновременно с ними, в промежутках между основными операциями, после них; по виду оборудования контроля — встроенный, контроль с помощью дополнительных технических средств, безаппаратный; по уровню автоматизации — "ручной", автоматизированный, автоматический.

Различают системные, программные и аппаратныеметоды контроля достоверности.

Программныеметоды повышения достоверности информации состоят в том, что при составлении процедур обработки данных в них предусматривают дополнительные операции, имеющие математическую или логическую связь с алгоритмом обработки данных. Сравнение результатов этих дополнительных операций с результатами обработки данных позволяет установить с определенной вероятностью наличие или отсутствие ошибок. На основании этого сравнения, как правило, появляется возможность исправить обнаруженную ошибку.

Аппаратные методы контроля и обнаружения ошибок могут выполнять практически те же функции, что и программные. Аппаратными методами обнаруживают ошибки быстрее и ближе к месту их возникновения, а также ошибки, недоступные для программных методов.

Все перечисленные методы контроля обработки данных базируются на использовании определенной избыточности. При этом различают методы контроля со структурной, временной и информационной избыточностью.

Структурная избыточность требует введения в состав информационной системы дополнительных элементов (резервирование информационных массивов и программных модулей, реализация одних и тех же функций различными программами, схемный контроль в технических средствах системы и т. д.).

Временная избыточность связана с возможностью неоднократного повторения определенного контролируемого этапа обработки данных. Обычно этап обработки повторяют неоднократно и результаты обработки сравнивают между собой. В случае обнаружения ошибки производят исправления и повторную обработку.

Информационная избыточность может быть естественной и искусственной.

Естественная информационная избыточность отражает объективно существующие связи между элементами обработки, наличие которых позволяет судить о достоверности информации.

Искусственная информационная избыточность характеризуется введением дополнительных информационных разрядов в цифровом представлении обрабатываемых данных и дополнительных операций в процедуре их обработки, имеющих математическую или логическую связь с алгоритмом обработки данных. На основании анализа результатов дополнительных операций и процедур обработки данных, а также дополнительных информационных разрядов выявляется наличие или отсутствие ошибок определенного типа, а также возможности их исправления.

В работах по повышению достоверности информации рассматриваются совместно помехоустойчивость и надежность систем передачи и обработки информации с позиций качества таких систем.

Проанализируем способность средств функционального контроля и повышения достоверности информации к защите от случайных разрушений, модификации и утечки информации.

Известно, что отказы, сбои в аппаратуре и ошибки в программном обеспечении могут привести к нарушению функционирования компьютерной системы, к разрушению и изменению информации на ложную. Анализ принятого в современных автоматизированных системах представления информации в цифровом виде показывает, что на один байт приходится одна буква, цифра или символ. Одно слово может занимать в русском языке от 1 до 20 букв. Каждой букве, цифре и символу присвоены двоичные коды. Таблица кодов составлена так, что пропадание или появление одной 1 в разрядах приводит к изменению одной буквы (символа, цифры) на другую. При этом можно утверждать, что в этом случае имеет место однократная ошибка, которая относительно легко обнаруживается простыми средствами аппаратного контроля (например, контролем по модулю 2). В случае же появления двухкратной ошибки в байте измениться могут два разряда. Контроль по модулю 2 этого не обнаруживает, что уже может привести к незаметному изменению одной буквы на другую. В русском языке существуют слова, которые меняют свой смысл на другой при замене одной буквы другой. Это и есть модификация информации. При трехкратной ошибке вероятность этого события, естественно, увеличивается. Правда, вероятность появления трехкратной ошибки меньше по сравнению с двухкратной, но это слабый аргумент, так как ее величина при большом количестве аппаратных средств, интенсивности и накоплении их отказов может быть весьма ощутимой на большом отрезке времени работы компьютерной системы.

Если рассматривать искажение информации (без ее модификации) как разрушение информации, условием его возникновения может считаться однократная ошибка, несмотря на то, что пропадание одной буквы не всегда ведет к потере информации.

Для возникновения случайной утечки информации при ее обработке в компьютерной системе необходимо, чтобы в результате случайных воздействий был перепутан адрес получателя или в правильный адрес была выдана другая информация, для него не предназначенная. В первом случае, например, заменилась одна из букв другой (модификация), во втором — адресация ячеек памяти ОЗУ, из которого считывалась информация до ее передачи получателю (тоже модификация).

Таким образом, можно полагать, что в нашем случае утечка информации — это частный случай ее модификации. Следовательно, средства функционального контроля в принципе защищают информацию от случайных разрушений, модификации и утечки. Рассматривая вероятность появления этих событий при отсутствии функционального контроля, заметим, что для разрушения информации (какой-то ее части) достаточно однократной ошибки, для модификации и утечки необходимы дополнительные условия. Для наступления события, выражающегося в случайной распечатке или отображении информации на средствах, не предназначенных для этой цели, необходимо, чтобы из потока ошибок появилась такая, при которой какая-либо команда изменилась на команду "печать" или "отображение", и по санкционированной команде информация была бы взята не по тому адресу из памяти или была направлена не на то техническое средство системы. Возможны и другие ситуации. Для наступления события, выражающегося в модификации информации, необходимо, чтобы из потока ошибок появилась такая ошибка или группа ошибок, благодаря которым действительная информация изменилась бы на ложную, была бы не обнаружена и подверглась бы дальнейшей обработке.

Вероятность указанных событий зависит от многих факторов, но, анализируя приведенные относительные условия их наступления, можно дать им некоторую сравнительную оценку. Вероятность разрушения информации от случайных воздействий больше, чем ее модификации, а вероятность модификации информации больше вероятности ее утечки. Эта оценка необходима для выработки подхода к функциональному контролю с позиций защиты информации, который выражается в предъявлении к средствам функционального контроля дополнительных требований, выполнение которых может потребовать дополнительных средств. Дополнительные требования заключаются в реализации уменьшения вероятности модификации и утечки информации существующими средствами повышения надежности и достоверности информации.

Изоляция областей доступа к информации компьютерной системы осуществляется также в целях поддержки разграничения санкционированного доступа.

В целях исключения несанкционированного обмена между пользователями рекомендуется при проектировании сводить к минимуму число общих для них параметров и характеристик механизма защиты. Несмотря на то, что функции операционной системы и системы разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолированный программный модуль, т. е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет программировать систему разрешения доступа как автономный пакет программ с последующей независимой отладкой и проверкой. Данный пакет программ должен размещаться в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Всякая попытка проникновения со стороны, в том числе операционной системы, должна автоматически фиксироваться, документироваться и отвергаться, если вызов не предусмотрен.

Естественно, что реализация обособленного механизма защиты потребует увеличения объемов программ. При этом может возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.

Информация, содержащаяся в компьютерной системе, может быть поделена между пользователями, что требует размещения ее в непересекающихся областях, отведенных для ее хранения. В каждой из этих областей хранится совокупность информационных объектов, подлежащих в равной степени защите. В процессе эксплуатации системы необходимо обеспечить надежное разграничение доступа к информации. Для этой цели помимо организации доступа с помощью системы паролей в систему при проектировании закладываются дополнительные меры по изоляции областей доступа, нарушение которых по причине отказов и программных ошибок не приводило бы к несанкционированному доступу к информации. К таким мерам относится организация обращений процессора к памяти через регистр дескриптора, содержимое которого определяет границы доступной в данный момент области памяти путем задания адресов ее начала и конца. Таким образом, содержимое регистра является описанием (дескриптором) программы, так как она задает расположение объекта в памяти. Благодаря тому, что все обращения к памяти проходят через блок проверки дескрипторов, создается некоторый барьер.

В случае наличия в системе общего поля памяти, которое необходимо для решения поставленных задач, схемы защиты допускают обмен информацией между пользователями. Тогда применяются списковые и мандатные схемы защиты. Списковые схемы — те, в которых система охраны снабжается списком всех лиц, имеющих право доступа к информации (для получения права доступа достаточно предъявить свой идентификатор). Мандатные схемы — те, в которых система охраны реализует только один вид мандата, а пользователь должен иметь набор мандатов для доступа к каждому из необходимых ему объектов.