Библиотека
|
ваш профиль |
Вопросы безопасности
Правильная ссылка на статью:
Дементьев В.Е.
Обоснование понятийного аппарата протокольной защиты информационно-телекоммуникационной сети
// Вопросы безопасности.
2016. № 3.
С. 19-29.
DOI: 10.7256/2409-7543.2016.3.19378 URL: https://nbpublish.com/library_read_article.php?id=19378
Обоснование понятийного аппарата протокольной защиты информационно-телекоммуникационной сети
DOI: 10.7256/2409-7543.2016.3.19378Дата направления статьи в редакцию: 02-06-2016Дата публикации: 14-06-2016Аннотация: В статье предлагается понятийный аппарат, составляющий основу протокольной защиты информационно-телекоммуникационной сети. Целью работы является разработка исходных теоретических основ протокольной защиты. Путем рассмотрения существующего описания уязвимостей и подходов по оценке защищенности информационно-телекоммуникационных сетей, а также уже известных типов угроз, выявлены их противоречия и недостатки. Предложена классификация и определение понятия протокольного воздействия, приведены некоторые примеры подобных воздействий, а также основные определения, раскрывающие суть этого понятия. в качестве основного метода исследования применяется анализ. Рассмотрены недостатки в терминологическом аппарате существующих нормативных и руководящих документов. Научная новизна заключается в том, что учитывается новый класс уязвимостей и связанных с ними угроз информационно-телекоммуникационной сети. Предлагаемые определения позволяют более детально описать технологические особенности сети и имеющиеся признаки, что, в дальнейшем, позволит разделить ее защиту на информационную и технологическую. Результаты статьи могут быть использованы для дальнейшего развития теоретических основ протокольной защиты информационно-телекоммуникационной сети. Ключевые слова: протокольное воздействие, протокольная защищенность, протокольная угроза, обеспечение протокольной защиты, уязвимость протокола, показатель протокольной защищенности, модификация пакетов, скачки маршрутов, технологический трафик, удаленная остановкаAbstract: The paper proposes a conceptual framework forming the grounds of the protocol-based protection of the information and telecommunications network. The purpose of this article is to develop theoretical foundations of the protocol-based protection. Based on a review of the existing descriptions of vulnerabilities and approaches to assessing the security of information and telecommunications networks and the known types of threats the author identifies their contradictions and shortcomings. The author proposes the classification and the definition of the concept of a protocol-based impact, gives some examples of such impacts and the main definitions revealing the essence of this concept. Analysis is the main research method. The author considers the shortcomings of the definitions of the existing normative documents. The scientific novelty lies in the fact that the study considers the new class of vulnerabilities and the related threats to the information and telecommunications network. The proposed definitions help describe the technological peculiarities and the existing features which will hereafter allow dividing its protection into the information and the technological ones. The results of the study can be used for the further development of theoretical foundations of the protocol-based protection of the information and telecommunications network. Keywords: remote shutdown, technological traffic, improvement of tours, packet modification, protocol vulnerability, protocol-based security index, protocol-based protection provision , protocol-based threat, protocol-based security, protocol-based impactВведение Открытость и доступность современных информационно-телекоммуникационных систем (ИТКС) сделали их подверженными большому количеству воздействий. В последнее время вектор этих воздействий смещается от воздействия на информацию, как таковую, к воздействию на данные, обрабатываемые ИТКС или используемые ею в процессе своего функционирования. Кроме того, характер и виды воздействий приобретают форму изменения технологических процессов, протекающих в ИТКС, а так же нарушения штатных алгоритмов работы используемых технологий и протоколов, что существенно влияет на эффективность их функционирования. 62 Теоретическая часть До настоящего времени сложилась следующая система описания угроз [1-10]: искажение информации, несвоевременность ее доставки; выявление демаскирующих признаков (ДМП) источников сообщений; получение семантической информации технической разведкой и уничтожение структурных элементов ТКС высокоточным оружием; копирование, искажение информации в процессе ее обработки и хранения на станциях (узлах) связи в результате несанкционированного доступа (НСД) к информации агентурно-технической разведки; нарушение конфигурации коммуникационного оборудования в результате НСД к его операционным системам (ОС); нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов, путем осуществления удаленных компьютерных атак на коммуникационное оборудование, серверы и рабочие станции (терминальное оборудование); копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем НСД к ОС серверов; копирование, искажение информации, нарушение правил установления и ведения сеансов связи, использование уязвимых сервисов, а также другие действия, ведущие к отказу в обслуживании санкционированных абонентов путем НСД к ОС рабочих станций (терминального оборудования); копирование, искажение информации путем НСД к базам данных (БД); разглашение информации. Однако, технологический прогресс, в том числе и в среде злоумышленников, не стоит на месте, постоянно появляются новые угрозы, которые реализуются путем эксплуатации неизвестных ранее или уже использовавшихся уязвимостей. Процесс воздействия своей целью ставит нарушение алгоритмов работы протоколов ИТКС таким образом, чтобы внешних признаков не было бы, сеть функционировала штатно, однако процесс информационного обмена нарушался. В процессе анализа [9-31], среди общих тенденций, которые наблюдаются в эволюции воздействий на ИТКС можно выделить следующие, представленные на рисунке 1. Как показал анализ нормативных документов [32-60] универсальных критериев защищенности, скорее всего, не существует – они должны определяться для ИТКС, сходных по назначению и архитектуре, тем не менее, имеются и общие черты в обеспечении защиты ИТКС. Существует подход к оценке уровня защищенности ИТКС с позиции надежности и защищенности тех элементов, получив доступ к которым, злоумышленник может нанести наибольший вред [48, 58-60]. Согласно ему, наивысший приоритет в защите ИТКС имеют: защита периметра; разграничение доступа к критичным серверам; защита серверов управления и рабочих станций, которые управляют ИТКС; защита критичных контроллеров ИТКС. Обеспечение их защиты позволяет нивелировать последствия большинства воздействий. Существует альтернативный подход, рассматривающий типовую топологию ИТКС как совокупность подсистем, сегментированных (в большинстве случаев) посредством межсетевых экранов [46, 61]. Это абонентская сеть передачи данных и транспортная сеть (где проходят технологические процессы; из нее в ряде случаев выделяют самостоятельную сеть, служащую для управления процессами обмена данными).
Рисунок 1 – Актуальные воздействия на ИТКС. Критерии защищенности ИТКС можно сформулировать так [58-60]: постоянный контроль соединений между подсистемами, исключение соединений и блокирование сервисов, которые не являются необходимыми для функционирования ИТКС в штатном режиме; обеспечение максимального уровня безопасности соединений, необходимых для функционирования ИТКС; регулярный технический аудит элементов и подсетей ИТКС; документирование инфраструктуры ИТКС, выделение элементов и подсистем, требующих дополнительных уровней защиты; строгий и непрерывный процесс управления защитой ИТКС; наличие регламентов, описывающих процессы внесения изменений в инфраструктуру ИТКС и контроль их выполнения. Для оценки защищенности ИТКС можно применять три критерия [62, 63]: соответствие уровня ИБ ИТКС некому целевому уровню ИБ (характеристика возможных уровней приведена ниже); выполнение принципа “чёрного ящика”, когда исключается любое внешнее воздействие на ИТКС и при этом информация об объекте не покидает её пределов; количество инцидентов. Характеризуя целевые уровни защиты ИТКС, допускается ссылаться на стандарт IEC 62443-1-1, аналог [63], предлагающий следующие варианты уровней: уровень ИБ 0 – требования к информационной безопасности отсутствуют; уровень ИБ 1 – для защиты от случайных или непреднамеренных нарушений (угроз); уровень ИБ 2 – для защиты от преднамеренных нарушений (угроз) с применением простых средств и минимальных ресурсов, требующих общих навыков и минимальной мотивации; уровень ИБ 3 – защита от преднамеренных нарушений (угроз) с применением сложных средств и умеренных ресурсов, требующих специфичных для объекта защиты навыков и умеренной мотивации; уровень ИБ 4 – защита от преднамеренных нарушений (угроз) с применением сложных средств и максимальных ресурсов, требующих специфичных для объекта защиты навыков и максимальной мотивации. В качестве наиболее важных выделяют следующие меры защиты ИТКС (их принятие одновременно служит критериями): наличие политики ИБ для ДЛ ПУ и эксплуатирующего личного состава ИТКС; идентификация и аутентификация пользователей в ИТКС; регистрация и учет событий для мониторинга и расследования инцидентов; контроль корректности функционирования служб; непрерывность защиты ИТКС. Для количественной оценки защищенности автоматизированных систем используются подходы на основе модели системы защиты с полным перекрытием, в которой рассматривается взаимодействие области угроз, защищаемой области и системы защиты [32]. Для определения величины защищенности используется формула: ` ` `S=1/(sum_(AAbkinB)(P_(k)L_(k)(1-R_(k)))` , `P_(k)L_(k)in(0;1),R_(k)in(0;1)` ` `. (1) где – вероятность появления угрозы, – величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), – степень эффективности механизма защиты. На практике получение точных значений приведенных характеристик затруднено, т. к. понятия угрозы, ущерба и эффективности механизма защиты трудноформализуемы. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Оценка степени эффективности механизмов защиты всегда является субъективной. К настоящему времени, формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно чаще используются неформальные классификационные подходы к анализу защищенности. Вместо стоимостных оценок, при построении и анализе неформальных моделей защиты, предполагается, в качестве характеристик, применять категорирование объектов: нарушителей (по целям, квалификации и доступным вычислительным ресурсам), информации (по уровням критичности и конфиденциальности), средств защиты (по функциональности и гарантированности реализуемых возможностей) и т. п. Такой подход не позволяет получать точные значения показателей защищенности, однако дает возможность классифицировать ИТКС по уровню защищенности и сравнивать их между собой. В современных руководящих документах существуют конкретные требования [32-64], которые должны быть выполнены, чтобы обеспечить необходимый уровень защищенности от воздействий. Однако большинство из них содержит требования по защите информации, при ее обработке в ИТКС, лишь некоторые из них [62] содержат требования по защите самой сети, т.е. алгоритмов ее работы. Однако, данные требования направлены на достаточно специфичную область – АСУ ТП, которая по определению не обрабатывает информацию, а используется как среда управления технологическими процессами. Причем если информацию, передаваемую по сети, защищают криптографическими методами, то данные, характеризующие функционирование ИТКС в реальном времени (сигнализация, информация о составе, структуре и алгоритмах функционирования ее элементов, службах, протоколах, технологиях и т.п.) передаются в открытом виде и всегда будут доступны вследствие открытости архитектуры сети. Между тем, в настоящее время достаточно часто происходят инциденты, сравнимые по технологии воздействия с вирусом Stuxnet, только в масштабах ИТКС. В процессе проведенных исследований были выявлены некоторые из них:
Таким образом, налицо тенденция расширения пространства угроз, уязвимостей и воздействий, их реализующих. Это приводит к тому, что известные способы и средства защиты не справляются со своими функциями, что подтверждается ростом количества инцидентов информационной безопасности, связанных с ИТКС [9]. Кроме того, расширение пространства угроз не позволяет корректно использовать концепцию контролируемых зон, представляющую объект защиты, как средство обработки информации [10]. Процесс технологического взаимодействия элементов ИТКС между собой, равно как и отдельных ИТКС, не рассматривается, появляющиеся новые виды и способы воздействия не укладываются в рамки известных шаблонов, и, как следствие, не обеспечивается требуемый уровень защищенности. Все это говорит о необходимости разрешения выявленных противоречий,связанных с возникновением новых видов воздействия и отсутствием адекватного терминологического аппарата, позволяющего их описать, а также разработкой новых подходов по защите ИТКС. В данном случае целесообразно вести речь о введении нового термина – протокольное воздействие. В соответствии с [65] компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств. Однако, данный термин не учитывает специфики, связанной с воздействием на алгоритмы работы протоколов, тогда под протокольным воздействием предлагается понимать – спланированное целенаправленное воздействие на службы и протоколы информационного обмена, обмена данными, функционального и другого назначения через изменение параметров (формата и назначения) кадров, пакетов, примитивов, операций, служб на различных уровнях эталонной модели взаимодействия открытых систем. Цель протокольного воздействия – модификация, уничтожение технологических ресурсов (данных), блокирование (перевод во внештатный режим работы) системы защиты, а так же изменение штатного функционирования ИТКС, приводящее к нарушению или блокированию информационного обмена или обмена данными. Кроме того, для конкретизации понятия протокольное воздействие необходимо уточнить, что понимается в данном случае под объектом воздействия, т.е. какие данные являются целью. Известно определение данных – представление информации или сообщений в виде, подходящем для передачи, интерпретации или обработки с помощью компьютеров[66]. В данном случае, под протокольными (технологическими) данными будем понимать совокупность служебных сообщений, передаваемых в процессе установления или восстановления связи, а так же функционирования ИТКС, содержание заголовков пакетов, кадров, элемента данных интерфейса (IDU), элемента данных службы (SDU), точки доступа к службе (SAP), управляющей информации (ICI), элементов данных протокола (PDU) и т.п., передаваемых в процессе информационного обмена, служебных команд, технологических процедур, регулярных сообщений сетевого оповещения, необходимых для выполнения задач ИТКС по своему предназначению. Тогда технологический трафик – данные, передаваемые в ИТКС между ее элементами в процессе реализации информационного обмена, а так же циркулирующие в ней независимо от обрабатываемой информации и необходимые для установления, восстановления или нормального функционирования технологических элементов ИТКС за определенный период времени. Известно [37] определение защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. В данном случае предлагается уточнить понятие и ввести термин обеспечение протокольной защиты – комплекс научно-методических и практических решений, позволяющий идентифицировать признаки протоколов ИТКС, оценить их информативность, определить уровень протокольной защищенности ИТКС и его пороговое значение, спрогнозировать возможные протокольные воздействия, выбрать, в зависимости от значения показателя протокольной защищенности и возможных протокольных воздействий, оптимальную структуру системы протокольной защиты и наиболее эффективные алгоритмы противодействия протокольным воздействиям на ИТКС с целью поддержания ее нормального функционирования. Тогда протокольная защита ИТКС – деятельность, направленная на предотвращение модификации, удаления или иного воздействия на данные, используемые службами и протоколами ИТКС в процессе функционирования.Показатель протокольной защищенности ИТКС – количественная характеристика, определяющая уровень требований, предъявляемых к достоверности и целостности данных в процессе функционирования протоколов или служб ИТКС или обмена технологическим трафиком. Протокольная защищенность ИТКС – способность ИТКС защитить данные в процессе их обработки протоколами ИТКС, чтобы не допустить их несанкционированного изменения. Известно [67] определение угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности. Предлагается понятие протокольная угроза – уязвимость или совокупность уязвимостей службы и(или) протокола, которые могут стать причиной нарушения достоверности или целостности технологических (протокольных) данных. Известно [67] определение уязвимость – внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию. Предлагается термин уязвимость службы и(или) протокола – свойство (шаг, элемент, переменная) алгоритма функционирования, содержание передаваемых в заголовке кадра, пакета элемента данных интерфейса (IDU), элемента данных службы (SDU), точки доступа к службе (SAP), управляющей информации (ICI), элементов данных протокола (PDU) и т.п., изменение которых может привести к нарушению его штатного функционирования, блокированию информационного или технологического обмена либо других свойств ИТКС. Известно [68] определение управляющее воздействие – воздействие на объект управления, предназначенное для достижения цели управления. Предлагается ввести термин управляющее воздействие на службу и(или) протокол – воздействие, предназначенное для изменения, корректировки либо восстановления процесса функционирования. 64 Заключение Таким образом, в рамках статьи были рассмотрены новые виды информационных воздействий на ИТКС – протокольные воздействия и предложен соответствующий понятийный аппарат. В дальнейшем предлагается уточнить, расширить и упорядочить исходные теоретические основы протокольной защиты и теоретико-методологическую базу, связанную с понятием протокольного воздействия. 68
Библиография
1. Коцыняк М. А., Максимов Р. В. Концепция решения проблемы защиты информации в автомати-зированных системах // Системы связи. Анализ. Син-тез. Управление. Выпуск 13. Под ред. В. П. Постюш-кова. – СПб.: Тема, 2004. С. 35-43.
2. Максимов Р. В. и др. Защита информации: Монография. – СПб.: ВУС, 2001. – 348 с. 3. https://software.dell.com/docs/2015-dell-security-annual-threat-report-white-paper-15657.pdf (дата обра-щения 5 марта 2016 года). 4. AFP: Stuxnet worm brings cyber warfare out of virtual world. Google.com (1 October 2010). Retrieved 8 November 2011. 5. Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon | Video on. Ted.com. Retrieved 8 Novem-ber 2011. 6. Gary Samore speaking at the 10 December 2010 Washington Forum of the Foundation for Defense of Democracies in Washington DC, reported by C-Span and contained in the PBS program Need to Know («Cracking the code: Defending against the superweapons of the 21st century cyberwar», 4 minutes into piece). 7. http://www.securitylab.ru/blog/personal/Business_without_danger/271560.php (дата обращения 05 марта 2016 года). 8. http://lukatsky.blogspot.ru/2016/02/blog-post_17.html (дата обращения 05 марта 2016 года). 9. http://www.ptsecurity.ru/download/PT_Positive_Research_2015_RU_web.pdf. (дата обращения: 15.02.2016). 10. http://www.kaspersky.ru/internet-security-center. (дата обращения: 15.02.2016). 11. US General: Iran's Cyber War Machine 'A Force To Be Reckoned With', Business Insider. Проверено 1 января 2013. 12. U.S. Hacked China Universities, Mobile Phones, Snowden Tells China Press. 13. N.S.A. Breached Chinese Servers Seen as Security Threat. 14. Cyberwar: War in the fifth domain (1 July 2010). Проверено 4 июля 2010. 15. Smith, George. «Iraqi Cyberwar: an Ageless Joke.»SecurityFocus. 10 Mar 2003. Web. 11Oct 2009. . (дата обращения 5 марта 2016 года). 16. Информационная безопасность критически важных объектов. http://www.it.ru.press_center/publications/7353 (дата посещения 5 марта 2016 года). 17. Hancock, Bill. «Security Views» Computers & Se-curity 18 (1999): 553-64. ScienceDirect. Web. 11 October 2009. . (дата обращения 5 марта 2016 года). 18. http://virusinfo.info/showthread.php?t=66818 (дата посещения 05 марта 2016 года). 19. http://www.cnews.ru/news/top/2015-12-21_bekdor_v_oborudovanii_juniper_vzvolnoval_fbr (дата посещения 05 марта 2016 года). 20. http://www.cnews.ru/news/top/raskryt_spisok_zhuchkov_anb_ssha_dlya (дата посещения 05 марта 2016 года). 21. [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", RFC 2119, BCP 14, March 1997. 22. [TCPMD5] Heffernan, A., "Protection of BGP Sessions via the TCP MD5 Signature Option", RFC 2385, August 1998. 23. [RFC4271] Rekhter, Y., Li, T., and S. Hares, Eds., "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, January 2006. 24. Н. Малых. Атаки на соединения TCP с помо-щью ICMP-пакетов. http://www.protocols.ru/Security/ICMPagainstTCP.shtml (дата обращения 5 марта 2016 года). 25. Braden, R., Requirements for Internet Hosts-Communication Layers, STD 3, RFC 1122, октябрь 1989. http://www.protocols.ru (датаобращения 05 марта 2016 г). 26. Postel, J., Internet Control Message Protocol, STD 5, RFC 792, сентябрь 1981. http://www.protocols.ru (датаобращения 05 марта 2016 г) 27. Baker, F., Requirements for IP Version 4 Routers, RFC 1812, июнь 1995. http://www.protocols.ru (датаоб-ращения 05 марта 2016 г) 28. Braden, R., Requirements for Internet Hosts-Communication Layers, STD 3, RFC 1122, октябрь 1989. http://www.protocols.ru (датаобращения 05 марта 2016 г) 29. Mogul, J., S. Deering, Path MTU discovery, RFC 1191, ноябрь 1990. http://www.protocols.ru (датаобра-щения 05 марта 2016 г) 30. http://www.cisco.com/support/RU/customer/content/9/97439/cisco-sa-20070124-crafted-ip-option.shtml. 31. Locating mobile phone using signaling system#7/-Tobias Engel, 2008. http://berlin.ccc.de~tobias/25c3-locating-mobile-phones.pdf. 32. ГОСТ Р ИСО/МЭК 15408-2008. Информацион-ная технология. Методы и средства обеспечения без-опасности. Критерии оценки безопасности информационных технологий. В трех частях. http://docs.cntd.ru/document/1200071694. (дата обращения: 15.02.2016). 33. Руководящий документ ГТК России. «Автома-тизированные системы. Защита от несанкциониро-ванного доступа к информации. Классификация ав-томатизированных систем и требования по защите информации». – М.: ГТК РФ, 1992. – 39 с. 34. Руководящий документ ГТК России. Концеп-ция защиты средств вычислительной техники и авто-матизированных систем от несанкционированного доступа к информации. – М.: ГТК РФ, 1992. – 12 с. 35. Приказ Минкомсвязи Российской Федерации от 25.08.2009 № 109 «Об утвержд |