Обоснование понятийного аппарата протокольной защиты информационно-телекоммуникационной сети

Дементьев Владислав Евгеньевич кандидат технических наук докторант, кафедра тридцать два, Военная академия связи 194064, Россия, г. Санкт-Петербург, Тихорецкий проспект, 3 Dement'ev Vladislav Evgen'evich PhD in Technical Science Doctoral Candidate at the Department No.32 of the Military Academy of Communications 194064, Russia, Saint Petersburg, ul. Tikhoretskii Prospekt, 3 dem-vlad@rambler.ru Другие публикации этого автора

Открытость и доступность современных информационно-телекоммуникационных систем (ИТКС) сделали их подверженными большому количеству воздействий. В последнее время вектор этих воздействий смещается от воздействия на информацию, как таковую, к воздействию на данные, обрабатываемые ИТКС или используемые ею в процессе своего функционирования. Кроме того, характер и виды воздействий приобретают форму изменения технологических процессов, протекающих в ИТКС, а так же нарушения штатных алгоритмов работы используемых технологий и протоколов, что существенно влияет на эффективность их функционирования.

Критерии защищенности ИТКС можно сформулировать так ^[58-60]:

постоянный контроль соединений между подсистемами, исключение соединений и блокирование сервисов, которые не являются необходимыми для функционирования ИТКС в штатном режиме;

обеспечение максимального уровня безопасности соединений, необходимых для функционирования ИТКС;

регулярный технический аудит элементов и подсетей ИТКС;

документирование инфраструктуры ИТКС, выделение элементов и подсистем, требующих дополнительных уровней защиты;

строгий и непрерывный процесс управления защитой ИТКС;

наличие регламентов, описывающих процессы внесения изменений в инфраструктуру ИТКС и контроль их выполнения.

Для оценки защищенности ИТКС можно применять три критерия ^{[62, 63]}: соответствие уровня ИБ ИТКС некому целевому уровню ИБ (характеристика возможных уровней приведена ниже); выполнение принципа “чёрного ящика”, когда исключается любое внешнее воздействие на ИТКС и при этом информация об объекте не покидает её пределов; количество инцидентов.

Характеризуя целевые уровни защиты ИТКС, допускается ссылаться на стандарт IEC 62443-1-1, аналог ^[63], предлагающий следующие варианты уровней:

уровень ИБ 0 – требования к информационной безопасности отсутствуют;

уровень ИБ 1 – для защиты от случайных или непреднамеренных нарушений (угроз);

уровень ИБ 2 – для защиты от преднамеренных нарушений (угроз) с применением простых средств и минимальных ресурсов, требующих общих навыков и минимальной мотивации;

уровень ИБ 3 – защита от преднамеренных нарушений (угроз) с применением сложных средств и умеренных ресурсов, требующих специфичных для объекта защиты навыков и умеренной мотивации;

уровень ИБ 4 – защита от преднамеренных нарушений (угроз) с применением сложных средств и максимальных ресурсов, требующих специфичных для объекта защиты навыков и максимальной мотивации.

В качестве наиболее важных выделяют следующие меры защиты ИТКС (их принятие одновременно служит критериями): наличие политики ИБ для ДЛ ПУ и эксплуатирующего личного состава ИТКС; идентификация и аутентификация пользователей в ИТКС; регистрация и учет событий для мониторинга и расследования инцидентов; контроль корректности функционирования служб; непрерывность защиты ИТКС.

Для количественной оценки защищенности автоматизированных систем используются подходы на основе модели системы защиты с полным перекрытием, в которой рассматривается взаимодействие области угроз, защищаемой области и системы защиты ^[32].

Для определения величины защищенности используется формула:

` ` `S=1/(sum_(AAbkinB)(P_(k)L_(k)(1-R_(k)))` , `P_(k)L_(k)in(0;1),R_(k)in(0;1)` ` `. (1)

где – вероятность появления угрозы, – величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), – степень эффективности механизма защиты.

На практике получение точных значений приведенных характеристик затруднено, т. к. понятия угрозы, ущерба и эффективности механизма защиты трудноформализуемы. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Оценка степени эффективности механизмов защиты всегда является субъективной.

К настоящему времени, формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно чаще используются неформальные классификационные подходы к анализу защищенности. Вместо стоимостных оценок, при построении и анализе неформальных моделей защиты, предполагается, в качестве характеристик, применять категорирование объектов: нарушителей (по целям, квалификации и доступным вычислительным ресурсам), информации (по уровням критичности и конфиденциальности), средств защиты (по функциональности и гарантированности реализуемых возможностей) и т. п. Такой подход не позволяет получать точные значения показателей защищенности, однако дает возможность классифицировать ИТКС по уровню защищенности и сравнивать их между собой.

В современных руководящих документах существуют конкретные требования ^[32-64], которые должны быть выполнены, чтобы обеспечить необходимый уровень защищенности от воздействий. Однако большинство из них содержит требования по защите информации, при ее обработке в ИТКС, лишь некоторые из них ^[62] содержат требования по защите самой сети, т.е. алгоритмов ее работы. Однако, данные требования направлены на достаточно специфичную область – АСУ ТП, которая по определению не обрабатывает информацию, а используется как среда управления технологическими процессами. Причем если информацию, передаваемую по сети, защищают криптографическими методами, то данные, характеризующие функционирование ИТКС в реальном времени (сигнализация, информация о составе, структуре и алгоритмах функционирования ее элементов, службах, протоколах, технологиях и т.п.) передаются в открытом виде и всегда будут доступны вследствие открытости архитектуры сети.

Между тем, в настоящее время достаточно часто происходят инциденты, сравнимые по технологии воздействия с вирусом Stuxnet, только в масштабах ИТКС. В процессе проведенных исследований были выявлены некоторые из них:

1. Потеря (сброс) пакетов.
2. Трафик, адресованный какому-то узлу, пересылается в ту часть сети, которая не может обеспечить его доставку – «слабый узел».
3. Через какую-либо часть сети будет пересылаться больше данных, нежели эта сеть способна обработать.
4. Большое количество трафика направляется для пересылки через один маршрутизатор, который не способен справиться с возросшим уровнем трафика и будет отбрасывать часть, большинство или все пакеты.
5. Данные, адресованные узлу, пересылаются по более длинному пути, чем обычно – «петля».
6. Данные передаются по замкнутому маршруту и никогда не будут доставлены – «круг».
7. Данные пересылаются через маршрутизатор или сеть, которые не должны видеть эти данные, информация при такой пересылке может просматриваться – «разглашение в процессе обработки».
8. Скорость пересылки в сеть изменяется быстрыми темпами, что приводит к значительным вариациям картины доставки пакетов (и может неблагоприятно влиять на работу системы контроля насыщения).
9. Сообщения какого-либо протокола сами по себе становятся значительной частью передаваемого через сеть трафика – «флуд пакетов».
10. Сообщения протокола маршрутизации сами по себе отнимают слишком много ресурсов маршрутизатора (например, пространства таблиц) – «флуд маршрутизации».
11. Данные пересылаются через некий маршрутизатор или сеть, которые являются подставными и могут служить для перехвата или искажения информации.
12. Ложные адреса (подмена адресов).
13. Воздействие на служебные данные протоколов (маршрутизации, сигнализации и т.п.), которые передаются в открытом виде –«искажение данных».
14. Использование ложных служебных сообщений протоколов для нарушения соединений между абонентами или элементами сети – «введение в заблуждение».
15. Синтаксические ошибки в заголовках пакетов, обрабатываемых различными протоколами, могут приводить к закрытию или нарушению соединения, нарушению или удалению маршрута, запуску несанкционированной процедуры установления соединения и т.п. – «модификация пакетов».
16. Удаление маршрутов приводит к каскадному эффекту, при котором изменения маршрутов распространяются через другие узлы, что приводит к нарушению функционирования работы всей сети – «скачки маршрутов».
17. Изменение размера или типа (флаги или код типа) атрибута протокола в пакете так, чтобы они не соответствовали значению атрибута. При изменении флагов эти флаги и код типа могут стать несовместимыми (например, обязательный атрибут будет указан как частный – partial), дополнительный атрибут может быть интерпретирован как обязательный и наоборот. При изменении кода типа атрибут может быть интерпретирован как тип и значение иного атрибута. Это может привести к разрыву соединения – «воздействие на данные заголовка».
18. Передача в сети пустого отклика (например, ACK), заставляющего легитимного партнера передавать служебный пакет, в результате чего будет разрываться соединение – «флуд откликов».
19. Генерация подставных пакетов в сети со специальным служебным флагом (например, RST), в результате чего узел сети будет разрывать соединение, освобождать связанные с ним ресурсы, удалять все связанные с соединением маршруты и запускать новый процесс выбора маршрутов.
20. Большой поток пакетов на определенный порт элемента сети может использоваться как DoS-атака на этот элемент в целом.
21. Удаленная остановка (например, Open Collision Dump) выполнения процесса какого-либо протокола заставляет элемент (узел) сети разрывать соединение, освобождать связанные с ним ресурсы протокола, удалять все связанные с соединением маршруты и запускать новый процесс выбора маршрутов – «удаленная остановка».
22. Изменение значений таймеров протокола может привести к тому, что один из корреспондентов (элементов, узлов сети) может решить, что соединение не отвечает и разорвать его, освободив ресурсы, удалив связанные маршруты и т. д.
23. Использование специально сформированных сообщений (например, ICMP Destination unreachable) для нарушения работы приложений, использующих в своей работе схему «запрос-отклик».
24. Создание потока сообщений (например, протокола ICMP), содержащих дезинформацию о недоступности некого хоста и отправленных якобы от имени этого хоста, что приведет к недоступности этого хоста для получателей потока сообщения.
25. Изменение специализированных параметров в заголовке пакета одного протокола (например, IP), вложенного в пакет другого протокола (например, ICMP или PIMv2 или PGM или URD) и отправленный по адресу IPv4, что приведет к перезагрузке элемента сети и запуске произвольного кода.
26. Использование сети сигнализации SS7 для раскрытия идентификационной информации об абонентах, их местоположении и нарушении их доступности.
27. Посылка специально сконструированных ложных посылок (например, ARP ответы) позволит изменить таблицу маршрутизации сетевого элемента сети, что в итоге приведет к прослушиванию сетевого трафика, перехвату и перенаправлению сетевых потоков, сессий, отказу в обслуживании.
28. Пересылка ложных пакетов с маршрутной информацией, что позволит изменить таблицу маршрутизации.
29. Посылка специально сформированного TCP пакета (с неправильно оформленным заголовком) на открытый порт маршрутизатора вызывает крах ядра, ведущий за собой рестарт устройства.

Таким образом, налицо тенденция расширения пространства угроз, уязвимостей и воздействий, их реализующих. Это приводит к тому, что известные способы и средства защиты не справляются со своими функциями, что подтверждается ростом количества инцидентов информационной безопасности, связанных с ИТКС ^[9]. Кроме того, расширение пространства угроз не позволяет корректно использовать концепцию контролируемых зон, представляющую объект защиты, как средство обработки информации ^[10]. Процесс технологического взаимодействия элементов ИТКС между собой, равно как и отдельных ИТКС, не рассматривается, появляющиеся новые виды и способы воздействия не укладываются в рамки известных шаблонов, и, как следствие, не обеспечивается требуемый уровень защищенности. Все это говорит о необходимости разрешения выявленных противоречий,связанных с возникновением новых видов воздействия и отсутствием адекватного терминологического аппарата, позволяющего их описать, а также разработкой новых подходов по защите ИТКС.

В данном случае целесообразно вести речь о введении нового термина – протокольное воздействие. В соответствии с ^[65] компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств. Однако, данный термин не учитывает специфики, связанной с воздействием на алгоритмы работы протоколов, тогда под протокольным воздействием предлагается понимать – спланированное целенаправленное воздействие на службы и протоколы информационного обмена, обмена данными, функционального и другого назначения через изменение параметров (формата и назначения) кадров, пакетов, примитивов, операций, служб на различных уровнях эталонной модели взаимодействия открытых систем.

Цель протокольного воздействия – модификация, уничтожение технологических ресурсов (данных), блокирование (перевод во внештатный режим работы) системы защиты, а так же изменение штатного функционирования ИТКС, приводящее к нарушению или блокированию информационного обмена или обмена данными.

Кроме того, для конкретизации понятия протокольное воздействие необходимо уточнить, что понимается в данном случае под объектом воздействия, т.е. какие данные являются целью. Известно определение данных – представление информации или сообщений в виде, подходящем для передачи, интерпретации или обработки с помощью компьютеров^[66]. В данном случае, под протокольными (технологическими) данными будем понимать совокупность служебных сообщений, передаваемых в процессе установления или восстановления связи, а так же функционирования ИТКС, содержание заголовков пакетов, кадров, элемента данных интерфейса (IDU), элемента данных службы (SDU), точки доступа к службе (SAP), управляющей информации (ICI), элементов данных протокола (PDU) и т.п., передаваемых в процессе информационного обмена, служебных команд, технологических процедур, регулярных сообщений сетевого оповещения, необходимых для выполнения задач ИТКС по своему предназначению. Тогда технологический трафик – данные, передаваемые в ИТКС между ее элементами в процессе реализации информационного обмена, а так же циркулирующие в ней независимо от обрабатываемой информации и необходимые для установления, восстановления или нормального функционирования технологических элементов ИТКС за определенный период времени.

Известно ^[37] определение защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. В данном случае предлагается уточнить понятие и ввести термин обеспечение протокольной защиты – комплекс научно-методических и практических решений, позволяющий идентифицировать признаки протоколов ИТКС, оценить их информативность, определить уровень протокольной защищенности ИТКС и его пороговое значение, спрогнозировать возможные протокольные воздействия, выбрать, в зависимости от значения показателя протокольной защищенности и возможных протокольных воздействий, оптимальную структуру системы протокольной защиты и наиболее эффективные алгоритмы противодействия протокольным воздействиям на ИТКС с целью поддержания ее нормального функционирования. Тогда протокольная защита ИТКС – деятельность, направленная на предотвращение модификации, удаления или иного воздействия на данные, используемые службами и протоколами ИТКС в процессе функционирования.

Показатель протокольной защищенности ИТКС – количественная характеристика, определяющая уровень требований, предъявляемых к достоверности и целостности данных в процессе функционирования протоколов или служб ИТКС или обмена технологическим трафиком.

Протокольная защищенность ИТКС – способность ИТКС защитить данные в процессе их обработки протоколами ИТКС, чтобы не допустить их несанкционированного изменения.

Известно ^[67] определение угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности. Предлагается понятие протокольная угроза – уязвимость или совокупность уязвимостей службы и(или) протокола, которые могут стать причиной нарушения достоверности или целостности технологических (протокольных) данных.

Известно ^[67] определение уязвимость – внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию. Предлагается термин уязвимость службы и(или) протокола – свойство (шаг, элемент, переменная) алгоритма функционирования, содержание передаваемых в заголовке кадра, пакета элемента данных интерфейса (IDU), элемента данных службы (SDU), точки доступа к службе (SAP), управляющей информации (ICI), элементов данных протокола (PDU) и т.п., изменение которых может привести к нарушению его штатного функционирования, блокированию информационного или технологического обмена либо других свойств ИТКС.

Известно ^[68] определение управляющее воздействие – воздействие на объект управления, предназначенное для достижения цели управления. Предлагается ввести термин управляющее воздействие на службу и(или) протокол – воздействие, предназначенное для изменения, корректировки либо восстановления процесса функционирования.

Таким образом, в рамках статьи были рассмотрены новые виды информационных воздействий на ИТКС – протокольные воздействия и предложен соответствующий понятийный аппарат. В дальнейшем предлагается уточнить, расширить и упорядочить исходные теоретические основы протокольной защиты и теоретико-методологическую базу, связанную с понятием протокольного воздействия.

Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также попробовать найти похожие статьи