Защита программ от взлома и нелегального копирования

может  проверить  длину  сообщений,  время  отправления,  частоту

сеансов  связи.  Последние два вида пассивных вторжений связывают

либо  с  анализом  трафика  /PURS86/,  либо  с  нарушением защиты

сеансов   связи.   Специальной  формой  защиты  каналов  передачи

является   двухуровневая   защита   линий   связи,   при  которой

реализуютсяследующие  уровни  защиты:  защита  процесса  передачи

сообщения  и шифрование текста самого сообщения. Тогда, даже если

шифрованный  текст  будет выделен из передаваемого сообщения, для

получения  исходного  текста потребуются дополнительные действия.

Это  позволяет двум объектам обмениваться секретными сообщениями,

а   злоумышленник,  осуществляющий  тайное  наблюдение,  остается

одураченным,  полагая,  что  он  в  состоянии читать передаваемые

сообщения.  Такой  механизм  называется  чистым каналом /SIMM84/.

Другое,   более  жестокое  требование,  используемое  для  защиты

передаваемых    сообщений,    состоит   в   том,   что   истинные

идентификаторы объектов сети (зарегистрированные и используемые в

процессе  верификации  защищенных объектов) должны быть скрыты не

только  от  пассивных  вторжений  со стороны незарегистрированных

пользователей,  но  также  и друг от друга. Такое средство защиты

называется   цифровым   псевдонимом   /CHAU81/.   В  этом  случае

пользователь    получает   разные   идентификаторы   для   разных

соединений,  тем  самым скрывая истинные идентификаторы не только

от   злоумышленников,  но  также  и  от  равноправных  партнеров.

Соответствующие    средства    защиты    ВС,    необходимые   для

противодействия  пассивным вторжениям в подсистемах связи состоят

в  следующем:  -  защита  содержания  сообщения; - предотвращение

возможности   анализа   трафика;   -  чистый  канал;  -  цифровой

псевдоним.  Злоумышленник  может организовать активные вторжения,

осуществляя   различные  манипуляции  над  сообщениями  во  время

соединения.   Сообщения   могут   быть   неявно   модифицированы,

уничтожены,    задержаны,   скопированы,   изменен   порядок   их

следования,  введены  в  сеть  через  линию связи в более позднее

время.  Могут быть также синтезированы ложные сообщения и введены

в  сеть  через  канал  передачи  данных.  В то время как активные

вторжения  представляют  собой  комбинации  способов, описанных в

разд.  1.2,  соответствующие механизмы защиты существенно зависят

от  способа  вторжения.  Поэтому целесообразно выделить следующие

категории  активных  вторжений: - воздействие на поток сообщений:

модификация,  удаление,  задержка, переупорядочение, дублирование

регулярных  и посылка ложных сообщений; - воспрепятствие передаче

сообщений;  -  осуществление  ложных  соединений.  Воздействие на

поток   сообщений   включает   угрозы   процедурам  подтверждения

подлинности,  целостности и порядку следования сообщений во время

соединения. В контексте коммуникационных функций ВС подтверждение

подлинности  сообщения  означает,  что  источник  сообщения можно

надежно   определить,  т.у.  указать,  что  полученное  сообщение

передано  данному  объекту  некоторым  другим  объектом в течение

времени соединения. Целостность сообщения означает, что сообщение

не  модифицировалось  в  процессе  передачи,  а  понятие "порядок

следования"  означает,  что  местоположение  сообщения  в  потоке

сообщений   может   быть   проверено.   Вторжение   в   процедуры

установления   подлинности   может   быть   осуществленно   путем

модификации  управляющей  информации, сопровождающей сообщения, и

таким образом сообщения будут отосланы в неправильном направлении

или  включать  фиктивные сообщения (специально сформированные или

сохраненные  из предшествующих соединений). Нарушение целостности

может  быть  вызвано  модификацией  части  данных  в сообщении, а

нарушение порядка следования - удалением сообщений или изменением

информации,  управляющей  передачей  сообщения.  Хотя  защита  от

воздействия  на  поток сообщений поддерживается коммуникационными

протоколами,  в  данном  контексте защита направлена на то, чтобы

пресечь умышленные вторжения, а не просто защищаться от случайных

непреднамеренных ошибок элементов сети. Поэтому процедура защиты,

обеспечивающая   противодействие   угрозам  целостности,  порядку

следования   и   подлинностим  отдельных  сообщений,  может  быть

определена   как   обеспечение   целостности   потока  сообщений.

Воспрепятствие  передаче  сообщения  -  вторая категория активных

вторжений  в  подсистемах  связи.  Она  объединяет  вторжения,  в

которых   злоумышленник  либо  удаляет  все  сообщения  во  время

соединения,  либо действует в более мягкой манере, задерживая все

сообщения, идущие в одном или обоих направлениях. Такое вторжение

может   быть  организовано  нелегальным  пользователем,  который,

генерируя интенсивный трафик фиктивных и подставных сообщений, не

дает  возможности  регулярным  сообщениям циркулировать по линиям

связи. Трудноуловимое различие между атаками на поток сообщений и

воспрепятствием  их  передаче  зависит  от  интенсивности  атак и

состояния  соединения. Например, механизмы защиты, обеспечивающие

целостность  потока сообщений, могут выявить некоторые вторжения,

препятствующие  передаче  сообщений. Но если соединение пассивно,

т.е.  все  сообщения разрешаются в любом направлении, то протокол

функционирования  объекта  на  одном  из  концов соединения может

оказаться  не  в  состоянии определить, когда следующее сообщение

должно  поступить  от  соответствующего объекта. В такой ситуации

невозможно  определить  угрозу с целью воспрепятствовать передаче

сообщения,  которая  полностью  прерывала  бы  поток  поступающих

сообщений. Чтобы защититься от таких вторжений, необходимы другие

механизмы  защиты. Cоответствующая процедура защиты сети могла бы

быть   названа   процедурой   поддержки   непрерывности  процесса

передачи.   Она   гарантирует  взаимодействующим  в  ВС  объектам

невозможность  нелегального  удаления  всех  сообщений в процессе

соединения без разрушения самого соединения. Осуществление ложных

соединений  -  третья категория активных вторжений в линии связи.

Она  объединяет вторжения, в которых злоумышленник либо повторяет

записи  предшествующих  законных  соединений, либо делает попытки

установить  соединение  под  неправильным  идентификатором. Чтобы

предупредить  такие вторжения, процедура инициализации соединения

должна   включать   некоторые   защищенные   механизмы,   которые

верифицируют целостность соединения (т.е. определяют, что попытка

соединения  была  выполнена  в  разрешенное  время). Таблица 1.2.

Функции,  процедуры  и  средства  защиты  линий связи ВС Функции,

процедуры   и   средства   защиты   от   пассивных   вторжений  *

Конфиденциальность         содержания         сообщения         *

Предотвращениевозможного   анализа   трафика  *  Чистый  канал  *

Цифровые  псевдонимы  Функции,  процедуры  и  средства  защиты от

активных  вторжений  * Поддержание целостности потока сообщений *

Поддержание   непрерывности   процесса   передачи  *  Поддержание

подлинности  соединения  Чтобы устранить возможность входа в ВС с

неправильным   идентификатором,  соединение  должно  поддерживать

защищенную   проверку   протоколов   объектов   на  каждом  конце

соединения (взаимоподтверждение). Хотя верификация идентификатора

объекта   -   сложная   проблема,   которая   может   потребовать

подтверждения  подлинности  и контроля защищенности вне ВС, часть

проблемы  идентификации  должна быть решена в рамках ВС. Хотя эта

категория   вторжений   аналогична  атакам  на  поток  сообщений,

процедура    инициализации    соединения    требует   привлечения

дополнительных  механизмов  защиты.  Такая процедура защиты может

быть  названа подтверждением подлинности соединения. В табл. 1.2.

представлены  функции,  процедуры  и средства защиты линий связи.

Защита  баз данных ВС Защита БД означает защиту самих данных и их

контролируемое  использование на рабочих ЭВМ сети, а также защиту

любой  сопутствующей информации, которая может быть извлечена или

сгенерирована  из этих данных. Управление данными при организации

защиты   информационных   баз   /ISO87/,   применяющие  различные

механизмы  защиты и криптографические ключи в качестве данных, не

входит  в  рассматриваемую группу средств защиты. такие процедуры

неявно  вошли  в  процедуры  защиты  объектов ВС. Защита данных в

процессе передачи между узлами сети поддержана процедурами защиты

линий  связи.  Когда рассматриваются процедуры защиты сетевых баз

данных,  то данные и их логические структуры представляются двумя

различными  способами.  Отдельные  объекты данных могут быть сами

объектами  защиты,  но  могут  быть  организованы  в структуры БД

(сегменты,  отношения,  каталоги  и  т.п.). Защита таких структур

рассматривается   в  основном  при  анализе  механизмов  контроля

доступа.  Подобный  подход  известен  как  внешняя защита данных.

Когда   такие  механизмы  защиты  относятся  к  защите  отдельных

объектов  данных,  содержащихся  в  сетевой  БД,  подход к защите

данных  определяется  как внутренняя защита данных /DENN79/. Ниже

дана  оценка  текущего  состояния  разработки функций, процедур и

средств внутренней защиты данных, их возможностям и ограничениям.

Функции, процедуры и средства защиты, которые обеспечивают защиту

данных  на  рабочих ЭВМ, могут быть описаны следующим образом: 1.

Защита  содержания  данных  (data  content protection) объединяет

функции,  процедуры  и  средства  защиты,  которые  предупреждают

несанкционированное    раскрытие    конфиденциальных   данных   и

информации  из  БД  /DENN79/. 2. Средства контроля доступа (acces

control  security  service)  разрешают  доступ  к  данным  только

полномочных  объектов  в  соответствии  со  строго  определенными

правилами  и условиями /BUSS81/. 3. Управление потоком защищенных

данных  (security-consistent flow of data) при передаче из одного

сегмента  БД  в  другой  обеспечивает перемещение данных вместе с

механизмами   защиты,  присущими  исходным  данным  /DENN79/.  4.

Предотвращение  возможности  выявления  (prevention of inference)

конфиденциальных  значений  из  данных, содержащихся в регулярных

или   схоластических   БД   /DENN79/,   в   результате  выявления

статистически достоверной информации. 5. Контроль согласованности

(consistency control) при использовании БД предполагает процедуры

защиты,  которые  обеспечивают  защиту  и  целостность  отдельных

элементов   данных,  в  частности  их  значений  (зависимость  от

значений).  Успешная реализация таких процедур в ВС означает, что

данные  в  БД  всегда  логически  связаны  и значения критических

данных  передаются  от узла к узлу только при наличии специальных

полномочий  /CONN72/.  6.  Контексная защита (contect protection)

данных, характерная для схем защиты динамических БД, также должна

быть  включена  в состав процедур защиты БД. В этом случае защита

отдельного  элемента БД в каждый данный момент времени зависит от

проведения  всей системы защиты, а также предшествующих операций,

выполненных  над  этим  элементом  (зависимость  от  предыстории)

/HART76/.    7.   Предотвращение   создания   несанкционированной

информации  (presentation of unauthorized information generation)

предполагает  наличие  средств, которые предупреждают, что объект

получает   (генерирует)   информацию,  превышающую  уровень  прав

доступа,  и  осуществляет  это,  используя логическую связь между

данными  в  БД /MUFT77/. В таблице 1.3 приведен перечень функций,

процедур  и  средств  защиты  сетевых  БД.  Таблица 1.3. Функции,

процедуры  и  средства  защиты  БД  в ВС Защита содержания данных

Средства  контроля  доступа  Управление потоком защищенных данных

Предотвращение  возможности  выявления  конфиденциальных значений

Контроль   согласованности   данных   (зависимость  от  значения)

Контекстная    защита   данных   (зависимость   от   предыстории)

Предотвращение  создания  несанкционированной  информации  Защита

подсистемы управления ВС Четвертая группа средств защиты - защита

процессов,  циркулирующих  в ВС. Здесь используются два понятия -

объект  и  среда.  Объект  - любой активный компонент ВС (как это

определено  выше), а среда - операционное окружение этого объекта

в тот интервал времени, когда объект активен и представляет собой

некоторое  расширительное  толкование  понятия субъекта /GRAH72/.

Некоторые  функции  управления  процессами  уже  упоминались  при

описании функций, процедур и средств защиты объектов и баз данных

ВС. Поскольку пользователи являются активными объектами ВС, то их

идентификация  и подтверждение подлинности ничем не отличается от

соответствующих  процедур  для  любых  других  компонентов  сети.

Аналогично  когда обсуждаются средства защиты управления доступом

к  сегментам БД, то можно воспользоваться теми же процедурами для

пресечения  нелегального  доступа к ресурсам сети. Среди большого

числа  различных  процедур управления процессами следует выделить

следующие   шесть:   -   обеспечение   защиты  ресурсов  сети  от