Причина неумышленных нарушений информационной безопасности. Нарушение безопасности информации. Системы шифрования дисковых данных
Угрозы информационной (компьютерной) безопасности – это различные действия, которые могут привести к нарушениям информационной безопасности. Другими словами, это потенциально возможные события/процессы или действия, которые могут нанести ущерб информационным и компьютерным системам.
Угрозы ИБ можно разделить на два типа: естественные и искусственные. К естественным относятся природные явления, которые не зависят от человека, например, ураганы, наводнения, пожары и т.д. Искусственные угрозы зависят непосредственно от человека и могут быть преднамеренные и непреднамеренные. Непреднамеренные угрозы возникают из-за неосторожности, невнимательности и незнания. Примером таких угроз может быть установка программ, которые не входят в число необходимых для работы, в дальнейшем нарушающих работу системы, что и приводит к потере информации. Преднамеренные угрозы, в отличие от предыдущих, создаются специально. К ним можно отнести атаки злоумышленников как извне, так и изнутри компании. Результат этого вида угроз – огромные потери компанией денежных средств и интеллектуальной собственности.
Классификация угроз информационной безопасности
В зависимости от различных способов классификации все возможные угрозы информационной безопасности можно разделить на следующие основные подгруппы:
Нежелательный контент включает в себя не только вредоносные программы, потенциально опасные программы и спам, которые непосредственно созданы для того, чтобы уничтожить или украсть информацию, но и сайты, которые запрещены законодательством, или нежелательные сайты, что содержат информацию, не соответствующую возрасту потребителя.
Источник: международное исследование EY в области информационной безопасности «Путь к киберустойчивости: прогноз, сопротивление, ответная реакция», 2016 год
Несанкционированный доступ – просмотр информации сотрудником, который не имеет разрешения пользоваться данной информацией, путем нарушения должностных полномочий. Несанкционированный доступ приводит к утечке информации. В зависимости от того, какая информация и где она хранится, утечки могут организовываться разными способами, а именно через атаки на сайты, взлом программ, перехват данных по сети, использование несанкционированных программ.
Утечка информации в зависимости от того, чем она была вызвана, может разделяться на умышленную и случайную. Случайные утечки происходят из-за ошибок оборудования, программного обеспечения и человека. А умышленные, в отличие от случайных, организовываются преднамеренно, с целью получить доступ к данным, нанести ущерб.
Потерю данных можно считать одной из основных угроз информационной безопасности. Нарушение целостности информации может быть вызвано неисправностью оборудования или умышленными действия пользователей, будь то они сотрудниками или злоумышленниками.
Не менее опасной угрозой является фрод (мошенничество с использованием информационных технологий). К мошенничеству можно отнести не только манипуляции с кредитными картами (кардинг) и взлом онлайн-банка, но и внутренний фрод. Целью этих экономических преступлений является обход законодательства, политики, нормативных актов компании, присвоение имущества.
Ежегодно по всему миру возрастает террористическая угроза постепенно перемещаясь в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на АСУ ТП различных предприятий. Но подобные атаки не проводятся без предварительной разведки, для чего и нужен кибершпионаж, который поможет собрать необходимые данные. Существует также такое понятие, как информационная война, которая отличается от обычной войны только тем, что в качестве оружия выступает тщательно подготовленная информация.
Источник угроз информационной безопасности
Нарушение информационной безопасности может быть вызвано как спланированными действиями злоумышленника, так и неопытностью сотрудника. Пользователь должен иметь хоть какое-то понятие об ИБ, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб компании и самому себе.
Чтобы пробиться через защиту и получить доступ к нужной информации злоумышленники используют слабые места и ошибки в работе программного обеспечения, веб-приложений, ошибки в конфигурациях файрволов, прав доступа, прибегают к прослушиванию каналов связи и использованию клавиатурных шпионов.
Потеря информации может быть обусловлена не только внешними атаками злоумышленников и неаккуратностью сотрудников, но и работниками компании, которые заинтересованы в получении прибыли в обмен на ценные данные организации, в которой работают или работали.
Источниками угроз выступают киберпреступные группы и государственные спецслужбы (киберподразделения), которые используют весь арсенал доступных киберсредств:
- нежелательный контент;
- несанкционированный доступ;
- утечки информации;
- потеря данных;
- мошенничество;
- кибервойны и кибертерроризм;
То, чем будет производиться атака, зависит от типа информации, ее расположения, способов доступа к ней и уровня защиты. Если атака будет рассчитана на неопытность жертвы, то возможно использование спам рассылок.
Оценивать угрозы информационной безопасности необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае. Например, чтобы исключить потерю данных из-за неисправности оборудования, нужно использовать качественные комплектующие, проводить регулярное техническое обслуживание, устанавливать стабилизаторы напряжения. Дальше следует устанавливать и регулярно обновлять программное обеспечение. Отдельное внимание нужно уделить защитному ПО, базы которого должны обновляться ежедневно:
- защита от нежелательного контента (антивирус, антиспам, веб-фильтры, анти-шпионы)
- фаерволы и системы обнаружения вторжений IPS
- защита веб-приложений
- анти-ддос
- анализ исходного кода
- антифрод
- защита от таргетированных атак
- системы обнаружения аномального поведения пользователей (UEBA)
- защита АСУ ТП
- защита от утечек данных
- шифрование
- защита мобильных устройств
- резервное копирование
- системы отказоустойчивости
Обучение сотрудников компании основным понятиям информационной безопасности и принципам работы различных вредоносных программ поможет избежать случайных утечек данных, исключить случайную установку потенциально опасных программ на компьютер. Также в качестве меры предосторожности от потери информации следует делать резервные копии. Для того чтобы следить за деятельностью сотрудников на рабочих местах и иметь возможность обнаружить злоумышленника, следует использовать DLP-системы.
Организовать информационную безопасность помогут специализированные программы, разработанные на основе современных технологий. Примером таких технологий предотвращения утечек конфиденциальных данных являются DLP-системы. А в борьбе с мошенничеством следует использовать анти-фрод системы, которые предоставляют возможность мониторить, обнаруживать и управлять уровнем фрода.
Классификация источников угроз
Классификация угроз информационной безопасности
Тема 2 - Угрозы информационной безопасности
Понятия угрозы безопасности объекта и уязвимости объекта были введены ранее. Для полного представления взаимодействия угрозы и объекта защиты введем понятия источника угрозы и атаки.
Угроза безопасности объекта - возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.
Источник угрозы - это потенциальные антропогенные , техногенные или стихийные носители угрозы безопасности.
Уязвимость объекта - это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.
Атака - это возможные последствия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Атака - это всегда пара «источник - уязвимость», реализующая угрозу и приводящая к ущербу.
Рисунок 2.1
Предположим , студент ходит на учебу каждый день и при этом пересекает проезжую часть в неположенном месте. И однажды он попадает под машину, что причиняет ему ущерб, при котором он теряет трудоспособность и не может посещать занятия. Проанализируем данную ситуацию. Последствия в данном случае - это убытки, которые студент понес в результате несчастного случая. Угрозой у нас выступает автомобиль, который сбил студента. Уязвимостью явилось то, что студент пересекал проезжую часть в неустановленном месте. А источником угрозы в данной ситуации явилась та некая сила, которая не дала возможности водителю избежать наезда на студента.
С информацией не намного сложнее . Угроз безопасности информации не так уж и много. Угроза, как следует из определения, - это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».
Проявления возможного ущерба могут быть различны:
Моральный и материальный ущерб деловой репутации организации;
Моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
Материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
Материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
Моральный и материальный ущерб от дезорганизации деятельности организации;
Материальный и моральный ущерб от нарушения международных отношений.
Угрозами безопасности информации являются нарушения при обеспечении:
2. Доступности;
3. Целостности.
Конфиденциальность информации - это свойство информации быть известной только аутентифицированным законным ее владельцам или пользователям.
Нарушения при обеспечении конфиденциальности:
Хищение (копирование) информации и средств ее обработки;
Утрата (неумышленная потеря, утечка) информации и средств ее обработки.
Доступность информации - это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.
Нарушения при обеспечении доступности:
Блокирование информации;
Уничтожение информации и средств ее обработки.
Целостность информации - это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений или разрушающих воздействий.
Нарушения при обеспечении целостности:
Модификация (искажение) информации;
Отрицание подлинности информации;
Навязывание ложной информации.
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние ис-точники.
Все источники угроз безопасности информации можно разделить на три основные группы:
1 Обусловленные действиями субъекта (антропогенные источники угроз).
2 Обусловленные техническими средствами (техногенные источники угрозы).
3 Обусловленные стихийными источниками.
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние. Внешние источники могут быть случайными или пред-намеренными и иметь разный уровень квалификации.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами но себе. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними и внутренними.
Третья группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне че-ловеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы.
Классификация и перечень источников угроз приведены в таблице 2.1.
Таблица 2.1 - Классификация и перечень источников угроз информационной безопасности
| Антропогенные источники | Внешние | Криминальные структуры |
| Потенциальные преступники и хакеры | ||
| Недобросовестные партнеры | ||
| Технический персонал поставщиков телекоммуникационных услуг | ||
| Представители надзорных организаций и аварийных служб | ||
| Представители силовых структур | ||
| Внутренние | Основной персонал (пользователи, программисты, разработчики) | |
| Представители службы защиты информации (администраторы) | ||
| Вспомогательный персонал (уборщики, охрана) | ||
| Технический персонал (жизнеобеспечение, эксплуатация) | ||
| Техногенные источники | Внешние | Средства связи |
| Сети инженерных коммуникации (водоснабжения, канализации) | ||
| Транспорт | ||
| Внутренние | Некачественные технические средства обработки информации | |
| Некачественные программные средства обработки информации | ||
| Вспомогательные средства (охраны, сигнализации, телефонии) | ||
| Другие технические средства, применяемые в учреждении | ||
| Стихийные источники | Внешние | Пожары |
| Землетрясения | ||
| Наводнения | ||
| Ураганы | ||
| Магнитные бури | ||
| Радиоактивное излучение | ||
| Различные непредвиденные обстоятельства | ||
| Необъяснимые явления | ||
| Другие форс-мажорные обстоятельства |
Все источники угроз имеют разную степень опасности К опуг, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям.
В качестве критериев сравнения (показателей) можно выбрать:
Возможность возникновения источника K 1 - определяет степень доступности к возможности использовать уязвимость для антропогенных источников, удаленность от уязвимости для техногенных источников или особенности обстановки для случайных источников;
Готовность источника К 2 - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы для антропогенных источников или наличие необходимых условий для техногенных и стихийных источников;
Фатальность К 3 - определяет степень неустранимости последствий реализации угрозы.
Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.
К опуг для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):
Угрозы , как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
Уязвимости безопасности информации могут быть:
Объективными;
Субъективными;
Случайными.
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.
Субъективные уязвимости зависят от действий сотрудников и, в основном устраняются организационными и программно-аппаратными методами.
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию, угрозам информационной безопасности.
Классификация и перечень уязвимостей информационной безопасности приведены в таблице 2.2.
Таблица 2.2 - Классификация и перечень уязвимостей информационной безопасности
| Объективные уязвимости | Сопутствующие техническим средствам излучения | Электромагнитные | Побочные излучения элементов технических средств |
| Кабельных линий технических средств | |||
| Излучения на частотах работы генераторов | |||
| На частотах самовозбуждения усилителей | |||
| Электрические | Наводки электромагнитных излучений на линии и проводники | ||
| Просачивание сигналов в цепи электропитания, в цепи заземления | |||
| Неравномерность потребления тока электропитания | |||
| Звуковые | Акустические | ||
| Виброакустические | |||
| Активизируемые | Аппаратные закладки устанавливаемые | В телефонные линии | |
| В сети электропитания | |||
| В помещениях | |||
| В технических средствах | |||
| Программные закладки | Вредоносные программы | ||
| Технологические выходы из программ | |||
| Нелегальные копии ПО | |||
| Определяемые особенностями элементов | Элементы, обладающие электроакустическими преобразованиями | Телефонные аппараты | |
| Громкоговорители и микрофоны | |||
| Катушки индуктивности | |||
| Дроссели | |||
| Трансформаторы и пр. | |||
| Элементы, подверженные воздействию электромагнитного поля | Магнитные носители | ||
| Микросхемы | |||
| Нелинейные элементы, подверженные ВЧ навязыванию | |||
| Определяемые особенностями защищаемого объекта | Местоположением объекта | Отсутствие контролируемой зоны | |
| Наличие прямой видимости объектов | |||
| Удаленных и мобильных элементов объекта | |||
| Вибрирующих отражающих поверхностей | |||
| Организацией каналов обмена информацией | Использование радиоканалов | ||
| Глобальных информационных сетей | |||
| Арендуемых каналов | |||
| Субъективные уязвимости | Ошибки (халатность) | При подготовке и использовании программного обеспечения | При разработке алгоритмов и программного обеспечения |
| При инсталляции и загрузке программного обеспечения | |||
| При эксплуатации программного обеспечения | |||
| При вводе данных (информации) | |||
| При настройке сервисов универсальных систем | |||
| Самообучающейся (самонастраивающейся) сложной системы систем | |||
| При эксплуатации технических средств | При включении/выключении технических средств | ||
| При использовании технических средств охраны | |||
| Некомпетентные действия | При конфигурировании и управлении сложной системы | ||
| При настройке программного обеспечения | |||
| При организации управления потоками обмена информации | |||
| При настройке технических средств | |||
| При настройке штатных средств защиты программного обеспечения | |||
| Неумышленные действия | Повреждение (удаление) программного обеспечения | ||
| Повреждение (удаление) данных | |||
| Повреждение (уничтожение) носителей информации | |||
| Повреждение каналов связи | |||
| Нарушения | Режима охраны и защиты | Доступа на объект | |
| Доступа к техническим средствам | |||
| Соблюдения конфиденциальности | |||
| Режима эксплуатации технических средств и ПО | Энергообеспечения | ||
| Жизнеобеспечения | |||
| Установки нештатного оборудования | |||
| Инсталляции нештатного ПО (игрового, обучающего, технологического) | |||
| Использования информации | Обработки и обмена информацией | ||
| Хранения и уничтожения носителей информации | |||
| Уничтожения производственных отходов и брака | |||
| Психогенные | Психологические | Антагонистические отношения (зависть, озлобленность, обида) | |
| Неудовлетворенность своим положением | |||
| Неудовлетворенность действиями руководства (взыскание, увольнение) | |||
| Психологическая несовместимость | |||
| Психические | Психические отклонения | ||
| Стрессовые ситуации | |||
| Физиологические | Физическое состояние (усталость, болезненное состояние) | ||
| Психосоматическое состояние | |||
| Случайные уязвимости | Сбои и отказы | Отказы и неисправности технических средств | Обрабатывающих информацию |
| Обеспечивающих работоспособность средств обработки информации | |||
| Обеспечивающих охрану и контроль доступа | |||
| Старение и размагничивание носителей информации | Дискет и съемных носителей | ||
| Жестких дисков | |||
| Элементов микросхем | |||
| Кабелей и соединительных линий | |||
| Сбои программного обеспечения | Операционных систем и СУБД | ||
| Прикладных программ | |||
| Сервисных программ | |||
| Антивирусных программ | |||
| Сбои электроснабжения | Оборудования, обрабатывающего информацию | ||
| Обеспечивающего и вспомогательного оборудования |
Все уязвимости имеют разную степень опасности K опуяз, которую можно количественно оценить, проведя их ранжирование.
При этом в качестве критериев сравнения можно выбрать:
Фатальность K 4 - определяет степень влияния уязвимости на неустранимость последствий реализации угрозы;
Доступность K 5 - определяет возможность использования уязвимости источником угроз;
Количество K 6 - определяет количество элементов объекта, которым характерен та или иная уязвимость.
K опуяз для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):
Модель нарушителя информационной безопасности - это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.
Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.
Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.
Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.
Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.
Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.
Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.
Нарушители бывают внутренними и внешними.
Среди внутренних нарушителей в первую очередь можно выделить:
Непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
Администраторов вычислительных сетей и информационной безопасности;
Прикладных и системных программистов;
Сотрудников службы безопасности;
Технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;
Вспомогательный персонал и временных работников.
Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:
Безответственность;
Ошибки пользователей и администраторов;
Демонстрацию своего превосходства (самоутверждение);
- «борьбу с системой»;
Корыстные интересы пользователей системы;
Недостатки используемых информационных технологий.
Группу внешних нарушителей могут составлять:
Клиенты;
Приглашенные посетители;
Представители конкурирующих организаций;
Сотрудники органов ведомственного надзора и управления;
Нарушители пропускного режима;
Наблюдатели за пределами охраняемой территории.
Помимо этого классификацию можно проводить по следующим параметрам.
Используемые методы и средства:
Сбор информации и данных;
Пассивные средства перехвата;
Использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
Активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.
Уровень знаний нарушителя относительно организации информационной структуры:
Типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
Высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
Обладание сведениями о средствах и механизмах защиты атакуемой системы;
Нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.
Время информационного воздействия:
В момент обработки информации;
В момент передачи данных;
В процессе хранения данных (учитывая рабочее и нерабочее состояния системы).
По месту осуществления воздействия:
Удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
Доступ на охраняемую территорию;
Непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.
В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.
Таблица 2.3 - Сравнительная характеристика нескольких моделей нарушителя
| Характеристика | Хакер-одиночка | Группа хакеров | Конкуренты | Госструктуры, спецподразделения |
| Вычислительная мощность технических средств | Персональный компьютер | ЛВС, использование чужих вычислительных сетей | Мощные вычислительные сети | Неограниченная вычислительная мощность |
| Доступ к интернету, тип каналов доступа | Модем или выделенная линия | Использование чужих каналов с высокой пропускной способностью | Собственные каналы с высокой пропускной способностью | Самостоятельный контроль над маршрутизацией трафика в Интернете |
| Финансовые возможности | Сильно ограничены | Ограничены | Большие возможности | Практически неограниченные |
| Уровень знаний в области IT | Невысокий | Высокий | Высокий | Высокий, разработчики стандартов |
| Используемые технологии | Готовые программы, известные уязвимости | Поиск новых уязвимостей, изготовление вредоносных программ | Современные методы проникновения в информационные системы и воздействия на потоки данных в ней | Доскональные знания информационных технологий: возможные уязвимости и недостатки |
| Знания о построении системы защиты объекта | Недостаточные знания о построении информационной системы | Могут предпринимать усилия для получения представления о принципах функционирования системы защиты | Могут предпринимать усилия для получения представления о принципах функционирования системы защиты, внедрять своего представителя в службу безопасности | В процессе сертификации системы представители госорганов могут получать достаточно полную информацию о ее построении |
| Преследуемые цели | Эксперимент | Внесение искажений в работу системы | Блокировка функционирования системы, подрыв имиджа, разорение | Непредсказуемые |
| Характер действий | Скрытый | Скрытый | Скрытый или открытый демонстративный | Может не утруждать себя сокрытием своих действий |
| Глубина проникновения | Чаще всего останавливается после первого успешного воздействия | До момента достижения поставленной цели или появления серьезного препятствия | До победного конца | Ничего не способно их остановить |
В основные задачи межсетевых экранов входит защита компьютеров от вторжения злоумышленников из внешней сети и последствий такого вторжения – утечки/изменения информации. Устанавливая межсетевой экран с требуемой конфигурацией на границу с внешней сетью, можно быть уверенным в том, что Ваш компьютер будет "невидим" извне (если только политикой администрирования не предусмотрен доступ к нему). Современные межсетевые экраны работают по принципу "запрещено все, что не разрешено", то есть Вы сами решаете для какого протокола или программы разрешить доступ во внутреннюю сеть .
Помимо функций сетевой защиты, межсетевой экран обеспечивает возможность нормального функционирования сетевых приложений.
Безусловно, межсетевой экран – это не панацея от всех бед компьютерного мира. Всегда необходимо принимать во внимание " человеческий фактор ", так как именно человек неосознанно (а порой и целенаправленно) может нанести вред информационной системе, выполнив действия, нарушающие политику безопасности. Это может быть утечка информации через подключение внешних носителей, установление дополнительного незащищенного Интернет -подключения, умышленное изменение информации санкционированным пользователем и т.п.
В данной книге предлагаются к рассмотрению условия и предпосылки возникновения угроз при хранении информации и передаче ее по сетям и системам связи, методы предупреждения угроз, защиты и обеспечения безопасности информации в целом, а также технологии и методы, позволяющие обеспечивать работу и безопасность сетей, на примере межсетевых экранов и Интернет -маршрутизаторов D-Link.
Обозначения, используемые в курсе
В курсе используются следующие пиктограммы для обозначения сетевых устройств и соединений:
Термины и определения в области информационной безопасности
Прежде всего, необходимо определиться с основными понятиями и терминами, относящимися к информационной безопасности.
В широком смысле информационная система есть совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать пользователей системы нужной информацией.
Информационная безопасность – защита конфиденциальности, целостности и доступности информации.
- Конфиденциальность : доступ к информационным ресурсам только авторизованным пользователям.
- Целостность : неизменность информации в процессе ее передачи или хранения.
- Доступность : свойство информационных ресурсов, определяющее возможность получения и использования информационных данных авторизованными пользователями в каждый момент времени.
Безопасность информации – состояние защищенности хранимой информации от негативных воздействий.
Сетевая безопасность – это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятия и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа.
Под сетевой безопасностью принято понимать защиту информационной инфраструктуры объекта (при помощи аутентификации, авторизации, межсетевых экранов, систем обнаружения вторжений IDS/IPS и других методов) от вторжений злоумышленников извне, а также защиту от случайных ошибок (с применением технологий DLP ) или намеренных действий персонала, имеющего доступ к информации внутри самого предприятия. DLP ( Data Leak Prevention ) – это современные технологии защиты конфиденциальной информации от возможных утечек из информационной системы с применением программных или программно-аппаратных средств. Каналы утечки могут быть сетевые (например, электронная почта ) либо локальные (с использованием внешних накопителей).
Аутентификация ( Authentication ) – процедура проверки идентификационных данных пользователя (чаще всего, логина и пароля) при доступе к информационной системе.
Авторизация ( Authorization ) – предоставление определенному пользователю прав на выполнение некоторых действий. Авторизация происходит после аутентификации и использует идентификатор пользователя для определения того к каким ресурсам он имеет доступ . В информационных технологиях с помощью авторизации устанавливаются и реализуются права доступа к ресурсам и системам обработки данных.
Аутентичность в передаче и обработке данных – целостность информации, подлинность того, что данные были созданы законными участниками информационного процесса, и невозможность отказа от авторства.
Защита информации представляет собой деятельность , направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных (случайных) воздействий на защищаемую информацию.
Возможные объекты воздействия в информационных системах:
- аппаратное обеспечение;
- программное обеспечение;
- коммуникации (обеспечение передачи и обработки данных через каналы связи и коммутационное оборудование);
- персонал.
Объектами воздействия с целью нарушения конфиденциальности, целостности или доступности информации могут быть не только элементы информационной системы, но и поддерживающей ее инфраструктуры, которая включает в себя сети инженерных коммуникаций (системы электро-, теплоснабжения, кондиционирования и др.). Кроме того, следует обращать внимание на территориальное размещение технических средств, которое следует размещать на охраняемой территории. Беспроводное оборудование рекомендуется устанавливать так, чтобы зона действия беспроводной сети не выходила за пределы контролируемой зоны.
Учитывая широкий спектр воздействия угроз, к защите информации необходим комплексный подход .
Контролируемая зона – это охраняемое пространство (территория, здание, офис и т.п.), в пределах которого располагается коммуникационное оборудование и все точки соединения локальных периферийных устройств информационной сети предприятия.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа пользователей к ресурсам информационной системы.
Санкционированный доступ к информации не нарушает правил разграничения доступа.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и/или правил разграничения доступа к информации.
Общая классификация угроз информационной безопасности
Угрозы безопасности информационных систем классифицируются по нескольким признакам (рис. 1.1).
Угрозы нарушения конфиденциальности направлены на получение (хищение) конфиденциальной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ . Несанкционированный доступ к информации, хранящейся в информационной системе или передаваемой по каналам (сетям) передачи данных, копирование этой информации является нарушением конфиденциальности информации.
Угрозы нарушения целостности информации , хранящейся в информационной системе или передаваемой посредством сети передачи данных , направлены на изменение или искажение данных, приводящее к нарушению качества или полному уничтожению информации. Целостность информации может быть нарушена намеренно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему (помехи). Эта угроза особенно актуальна для систем передачи информации – компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется авторизованными пользователями с обоснованной целью.
Угрозы нарушения доступности системы (отказ в обслуживании) направлены на создание таких ситуаций, когда определённые действия либо снижают работоспособность информационной системы, либо блокируют доступ к некоторым её ресурсам.
Причины случайных воздействий :
- аварийные ситуации из-за стихийных бедствий и отключения электроэнергии;
- ошибки в программном обеспечении;
- ошибки в работе обслуживающего персонала и пользователей;
- помехи в линии связи из-за воздействия внешней среды, а также вследствие плотного трафика в системе (характерно для беспроводных решений).
Преднамеренные воздействия связаны с целенаправленными действиями злоумышленника, в качестве которого может выступить любое заинтересованное лицо (конкурент, посетитель, персонал и т.д.). Действия злоумышленника могут быть обусловлены разными мотивами: недовольством сотрудника своей карьерой, материальным интересом, любопытством, конкуренцией, стремлением самоутвердиться любой ценой и т.п.
Внутренние угрозы инициируются персоналом объекта, на котором установлена система, содержащая конфиденциальную информацию. Причинами возникновения таких угроз может послужить нездоровый климат в коллективе или неудовлетворенность от выполняемой работы некоторых сотрудников, которые могут предпринять действия по выдаче информации лицам, заинтересованным в её получении.
Также имеет место так называемый " человеческий фактор ", когда человек не умышленно, по ошибке, совершает действия, приводящие к разглашению конфиденциальной информации или к нарушению доступности информационной системы. Большую долю конфиденциальной информации злоумышленник (конкурент) может получить при несоблюдении работниками-пользователями компьютерных сетей элементарных правил защиты информации. Это может проявиться, например, в примитивности паролей или в том, что сложный пароль пользователь хранит на бумажном носителе на видном месте или же записывает в текстовый файл на жестком диске и пр. Утечка конфиденциальной информации может происходить при использовании незащищенных каналов связи, например, по телефонному соединению.
Под внешними угрозами безопасности понимаются угрозы, созданные сторонними лицами и исходящие из внешней среды, такие как:
- атаки из внешней сети (например, Интернет), направленные на искажение, уничтожение, хищение информации или приводящие к отказу в обслуживании информационных систем предприятия;
- распространение вредоносного программного обеспечения;
- нежелательные рассылки (спам);
- воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения в информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем;
- перехват информации с использованием радиоприемных устройств;
- воздействие на информацию, осуществляемое путем несанкционированного использования сетей инженерных коммуникаций;
- воздействие на персонал предприятия с целью получения конфиденциальной информации.
В современном мире, когда стало возможным применять сервисы и службы с использованием информационной коммуникационной среды (электронные платежи, Интернет -магазины, электронные очереди и т.п.), многократно увеличивается риск именно внешних угроз.
Как правило, несанкционированный доступ , перехват, хищение информации, передаваемой по каналам связи, проводится средствами технической разведки, такими как радиоприемные устройства, средства съема акустической информации, системы перехвата сигналов с компьютерных сетей и контроля телекоммуникаций, средства съема информации с кабелей связи и другие.
В статье анализируются угрозы нарушения информационной безопасности информационных систем и существующие модели и методы противодействия компьютерным атакам. В статье так же рассматриваются проблемы обеспечения информационной безопасности.
Ключевые слова: информационная система, информационная безопасность, модели, методы, информационные угрозы
На сегодняшний день проблемам информационной безопасности (ИБ) как в масштабах государства, так и в
масштабах отдельного предприятия уделяется достаточное внимание, несмотря на это, количество потенциальных угроз не становится меньше.
Разнообразие угроз нарушения ИБ столь велико, что предусмотреть каждую достаточно трудно, но при этом задача выполнима.
С целью обеспечения заданного уровня защиты информации, необходимо, во-первых, выявить основные
угрозы нарушения ИБ для конкретного объекта информатизации, во-вторых спроектировать адекватную модель противодействия им и в дальнейшем еѐ реализовывать.
Под информационной угрозой обычно понимают потенциально существующую опасность преднамеренного или непреднамеренного (случайного) нарушения порядка хранения и обработки информации.
Процессы сбора, хранения, обработки и распространения информации, происходящие в информационной системе (ИС) обуславливают появление информационных угроз.
Угрозы ИБ можно классифицировать по нескольким основным критериям :
По природе возникновения (естественные, искусственные);
По аспекту ИБ (доступность, конфиденциальность, целостность);
По степени воздействия на ИС (пассивные, активные);
По компонентам ИС, на которые направлены угрозы (инфраструктура, каналы связи, аппаратное обеспечение, программное обеспечение);
По расположению источника угроз (внутренний, внешний);
По способу осуществления (случайные, преднамеренные).
На современном этапе развития средств защиты информации известны возможные угрозы ИБ предприятия независимо от формы собственности. К ним прежде всего относятся:
– преднамеренные действия сотрудников;
– случайные действия сотрудников;
– атаки хакеров с целью получения конфиденциальной информации или причинения вреда деятельности предприятия.
По мнению экспертов в области информационной безопасности более 90 % от всех преступлений в сфере информационных технологий совершают сотрудники организаций (внутренние пользователи).
На практике более часто информационные угрозы классифицируют исходя из их воздействия на основные свойства информации. Рассматривая данную проблему, в качестве основных свойств информации можно выделить :
· Целостность информации – свойство информации сохранять актуальность и непротиворечивость в процессе ее сбора, накопления, хранения, поиска и распространения; устойчивость информации к разрушению и несанкционированному изменению.
· Доступность информации – способность сохранять свою ценность в зависимости от оперативности ее использования и возможность быть предоставленной авторизированному пользователю в определенный период времени.
· Конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам предприятия (руководству, ответственным сотрудникам, пользователям информационной сети предприятия и т.п.) и терять свою ценность при раскрытии не авторизированному пользователю.
В дополнение вышеперечисленных свойств информации так же необходимо добавит значимость и уязвимость информации.
Значимость информации – это интегрированный показатель оценки качества информации, используемой в управлении конкретным видом деятельности, ее обобщающая характеристика, отражающая важность для принятия управленческих решений, практическую значимость для достижения конкретных результатов или реализации конкретных функций Уязвимость информации – возможность подвергнуться потенциальной утечке, физическому разрушению и несанкционированному использованию в рамках информационных процессов.
Из вышесказанного следует, что все более актуальной становится проблема обеспечения безопасности ИС. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий обеспечения безопасности информационной сферы, моделей и методов противодействия компьютерным атакам.
На основе анализа литературы по системам обнаружения и анализа компьютерных атак, приведенные методы как правило не имеют достаточного математического описания. В основном они формализованы в виде способов и функций средств обнаружения компьютерных атак, используемых в инструментальных средствах средств предупреждения и обнаружения компьютерных атак . Проблемные вопросы противодействия компьютерным атакам в современной литературе самостоятельного отражения не нашли, поэтому анализ рассматриваемых методов осуществлен для известных методов обнаружения и анализа атак. Методы обнаружения и анализа несанкционированных воздействий на ресурс информационной системы можно разделить на:
− методы анализа сигнатур,
− методы обнаружения аномальных отклонений.
Методы анализа сигнатур предназначены для обнаружения известных атак и основаны на контроле программ и данных в ИС и эталонной сверке последовательности символов и событий в сети с базой данных сигнатур атак. Исходными данными для применения методов служат сведения из системных журналов общего и специального программного обеспечения, баз данных и ключевые слова сетевого трафика ИС. Достоинством данных методов является незначительные требования к вычислительным ресурсам ИС, сохранение высокой оперативности выполнения технологического цикла управления (ТЦУ) в ИС и достоверности обнаружения и анализа атак. Недостатком методов анализа сигнатур является невозможность обнаружения новых (модифицированных) атак без строгой формализации ключевых слов сетевого трафика и обновления базы данных сигнатур атак.
Методы обнаружения аномальных отклонений предназначены для обнаружения неизвестных атак. Принцип их действия состоит в том, что выявляется аномальное поведение ИС отличное от типичного и на основании этого факта принимается решение о возможном наличии атаки. Обнаружение аномальных отклонений в сети осуществляется по признакам компьютерных атак, таким как редкие типы стеков протоколов (интерфейсов) для запроса информации, длинные пакеты данных, пакеты с редкими распределениями символов, нестандартная форма запроса к массиву данных.
Для применения методов обнаружения аномальных отклонений и уменьшения числа ложных срабатываний необходимы четкие знания о регламентах обработки данных и требованиях к обеспечению безопасности информации (установленном порядке администрирования), обновлениях контролируемых программ, сведения о технологических шаблонах выполнения ТЦУ в ИС. Способы применения методов обнаружения аномальных отклонений различаются используемыми математическими моделями :
· Статистическими моделями:
− вероятностными моделями;
− моделями кластерного анализа.
· Моделями конечных автоматов.
· Марковскими моделями.
· Моделями на основе нейронных сетей.
· Моделями на основе генной инженерии.
В методе обнаружения аномальных отклонений, в котором используются статистические модели, выявление аномальной активности осуществляется посредством сравнения текущей активности сетевого трафика ИС с заданными требованиями к технологическому шаблону (профилю нормального поведения) выполнения ТЦУ ИС.
В качестве основного показателя в вероятностных моделях обнаружения компьютерных атак используется:
− вероятность появления новой формы пакета передачи данных отличной от эталонной;
− математическое ожидание и дисперсия случайных величин, характеризующих изменение IP-адресов источника и потребителя информации, номеров портов АРМ источников и потребителей информации.
Статистические методы дают хорошие результаты на малом подмножестве компьютерных атак из всего множества возможных атак. Недостаток статистических моделей обнаружения аномальных отклонений состоит в том, что они не позволяют оценить объем передаваемых данных и не способны обнаружить вторжения атак с искаженными данными. Узким местом методов является возможность переполнения буфера пороговых проверок «спамом» ложных сообщений.
Для эффективного использования статистических моделей в методе обнаружения аномальных отклонений необходимы строго заданные решающие правила и проверка ключевых слов (порогов срабатывания) на различных уровнях протоколов передачи данных. В противном случае доля ложных срабатываний, по некоторым оценкам, составляет около 40 % от общего числа обнаруженных атак.
В основе моделей кластерного анализа лежит построение профиля нормальных активностей (например, кластера нормального трафика) и оценка отклонений от этого профиля посредством выбранных критериев, признаков (классификатора главных компонентов) компьютерных атак и вычислении расстояний между кластерами на множестве признаков атак. В моделях кластерного анализа используется двухэтапный алгоритм обнаружения компьютерных атак. На первом этапе осуществляется сбор информации для формирования множества данных кластеров аномального поведения ИС на низших уровнях протоколов передачи данных. На втором этапе выполняется сравнительный анализ полученных кластеров аномального поведения ИС с кластерами описания штатного поведения системы. Вероятность распознавания атак моделями кластерного анализа составляет в среднем 0,9 при обнаружении вторжений только по заголовкам пакетов передачи данных без семантического анализа информационной составляющей пакетов. Для получения достоверных данных с использованием моделей кластерного анализа необходим анализ порядка идентификации и аутентификации, регистрации абонентов, системных прерываний, доступа к вычислительным ресурсам в нескольких системных журналах ИС: аудита, регистрации, ресурсов, что приводит к задержке времени на принятие решений. Такая задержка часто делает невозможным применение моделей кластерного анализа в системах квазиреального масштаба времени.
Обнаружение атак с использованием модели конечных автоматов основано на моделировании конечными автоматами процессов информационного взаимодействия абонентов ИС по протоколам передачи данных. Конечный автомат описывается множествами входных данных, выходных данных и внутренних состояний. Атаки фиксируются по «аномальным» переходам ИС из состояния в состояние. Предполагается, что в ИС «штатные» переходы системы из состояния в состояние определены, а неизвестные состояния и переходы в эти состояния регистрируются как аномальные. Достоинством этой модели является упрощенный подбор классификационных признаков для ИС и рассмотрение малого числа переходов из состояния в состояние. Модель позволяет обнаруживать атаки в потоке обработки данных сетевыми протоколами в режиме близком к реальному масштабу времени. К недостаткам модели следует отнести необходимость разработки большого числа сложных экспертных правил для сравнительного анализа требуемых и аномальных состояний и переходов системы. Экспертные правила оценки состояний ИС взаимоувязаны с характеристиками сетевых протоколов передачи данных.
Методы обнаружения аномальных отклонений на основе марковских моделей основаны на формировании марковской цепи нормально функционирующей системы и функции распределения вероятностей перехода из одного состояния в другое. Эти сведения используются как обучающие данные. Обнаружение аномалий осуществляется посредством сравнения марковских цепей и соответствующих функций распределения вероятностей аномального и нормального функционирования ИС по значениям порога вероятностей наступления событий. На практике эта модель наиболее эффективна для обнаружения компьютерных атак, основанных на системных вызовах операционной системы, и требует дополнительных метрик условной энтропии для использования в системах квазиреального масштаба времени.
Методы обнаружения компьютерных атак на основе нейронных сетей применяют для предварительной классификации аномалий в ИС. Они базируются на идентификации нормального поведения системы по функции распределения получения пакетов данных (выполнения заданных команд оператора), обучении нейронной сети и сравнительного анализа событий по обучающей выборке.
Аномальное отклонение в ИС обнаруживается тогда, когда степень доверия нейросети своему решению лежит ниже заданного порога. Предполагается, что применению модели нейронных сетей для реализации механизмов защиты информации ИС от компьютерных атак предшествует обучение этих сетей заданным алгоритмам нормального функционирования. Недостатками методов обнаружения компьютерных атак с использованием нейронной сети являются сложный математический аппарат, который недостаточно эффективно работает в системах квазиреального масштаба времени, и сложность обучения сети для выявления неизвестных атак.
Модели обнаружения компьютерных атак на основе генной инженерии опираются на применение в сфере информационных технологий достижений генетики и моделей иммунной системы человека. Подход этой модели базируется на моделировании элементов иммунной системы человека в средствах обнаружения аномалий путем представления данных о технологических процессах в ИС цепочкой (вектором) признаков, и затем вычисления меры сходства между обучающей цепочкой признаков, характеризующих нормальное «поведение» ИС и тестовой цепочкой, характеризующей аномальное функционирование. Если согласование между данными обучающей и тестовой цепочек не найдено, то процесс интерпретируется как аномальный. Одна из основных трудностей применения этой модели состоит в выборе порога согласования данных, формирования необходимого объема данных обучающей и тестовой выборки и чувствительности к ложным срабатываниям.
Модель на основе генной инженерии (природной иммунной системы), применяется для обнаружения аномальных соединений по протоколу ТСР/IP по данным об IP-адресах: источника информации, потребителя информации и коммуникационных средств, с помощью которой соединяются абоненты в сети. Недостаток этих моделей заключается в том, что требуется сложная процедура настройки обучающей и тестовой выборок или данных о поведении индивидуума в ИС с привлечением высококвалифицированного оператора.
Таким образом, достоинством методов обнаружения аномальных отклонений является возможность анализа динамических процессов функционирования ИС и выявления в них новых типов компьютерных атак. Методы дают возможность априорного распознавания аномалий путем систематического сканирования уязвимых мест.
К недостаткам этих методов можно отнести необходимость увеличения нагрузки на трафик в сети, сложность реализации и более низкая достоверность обнаружения компьютерных атак в сравнении с сигнатурным анализом.
Ограничением методов обнаружения и анализа компьютерных атак является необходимость детальной информации о применении протоколов (стеков протоколов) передачи данных в ИС на всех уровнях эталонной модели взаимодействия открытых систем.
Сравнительный анализ существующих методов обнаружения компьютерных атак по анализу сигнатур и аномальных отклонений в ИС показал, что наиболее универсальным подходом к выявлению известных и неизвестных атак является метод обнаружения аномалий. Для повышения устойчивости функционирования ИС необходим комбинированный метод противодействия компьютерным атакам, который гибко использует элементы сигнатурного анализа, выявления аномалий и функционального анализа динамически выполняемых функций ИС.
Список литературы
1. Бетелин В.Б., Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие Издание третье, 2006 г., 208 с.
2. Бурков В.Н., Грацианский Е.В., Дзюбко С.И., Щепкин А.В. Модели и механизмы управления безопасностью. Серия «Безопасность». - СИНТЕГ, 2001 г., 160 с.
3. ГОСТ Р ИСО/МЭК 27033-3 - 2014 Информационная технология Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3 Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.
4. Девянин П.Н. Модели безопасности компьютерных систем. Издательский центр «Академия», 2005 г., 144 с.
5. Климов С.М., Сычев М.П., Астрахов А.В. Противодействие компьютерным атакам. Методические основы. Электронное учебное издание. - М.:МГТУ имени Н.Э. Баумана, 2013 г., 108 с.
6. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. ДМК Пресс, 2012 г., 591 с.
7. http://sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "Анализ угроз информационной безопасности деятельности промышленных предприятий", Балановская А.В., 2013 г.
Филиал ГОУ ВПО «МЭИ (ТУ)»
в г. Смоленске,
студентка 6-го курса
МЕТОДЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
В настоящее время компьютеры повсеместно прочно вошли в современный мир, во все сферы человеческой деятельности и науки, тем самым, создавая необходимость в обеспечении их различным программным обеспечением . Конечно, в первую очередь это связано с развитием электронной вычислительной техники и с её быстрым совершенствованием и внедрением в различные сферы человеческой деятельности.
Причиной столь интенсивного развития информационных технологий является все возрастающая потребность в быстрой и качественной обработки информации , потоки которой с развитием общества постоянно растут.
Объединение компьютеров в сети позволило значительно повысить производительность труда. Компьютерные сети используются как для производственных (или офисных) нужд, так и для обучения, общения и т. д.
Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации , циркулирующей в компьютерных системах. Возникла необходимость создания комплексных система обнаружения вторжений.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность информации компьютерной системы . К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей).
Под нарушением безопасности информационной системы будем понимать одну из ситуаций, которые могут быть организованы нарушителем. К ним относятся :
· Прерывание или разъединение .
Информация уничтожается или становится недоступной либо непригодной для использования. В этом случае нарушается доступность информации . Примером таких нарушений может быть воздействие нарушителя на элементы сети (линии связи (ЛС), узлы коммутации (УК), устройства управления, БД и так далее) с целью их уничтожения или приведение в нерабочее состояние.
· Перехват .
К информации открывается несанкционированный доступ. Нарушается конфиденциальность передаваемой информации . Примером такого типа нарушений является несанкционированное подключение к каналу связи.
· Модификация (искажение) .
К информации открывается несанкционированный доступ с целью изменения информации. При этом нарушается конфиденциальность передаваемой информации и ее целостность . Целью такого типа нарушений является изменение информации, передаваемой по сети.
· Фальсификация .
Нарушитель выдает себя за источник информации. При этом нарушается аутентичность информации (свойство, гарантирующее, что субъект или ресурс идентичны заявленным). Примером такого типа нарушений является отправка поддельных сообщений по сети.
Приведенные выше типы нарушений можно разделить на две группы :
· активные;
· пассивные.
Под активным воздействием на распределенную вычислительную систему понимается воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации распределенной вычислительной системы, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Очевидной особенностью активного воздействия, по сравнению с пассивным, является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. К этой группе относятся:
· прерывание - нарушение доступности и конфиденциальности;
· модификация - нарушение целостности;
· фальсификация - нарушение аутентичности.
Пассивным воздействием на распределенную вычислительную систему называется воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности.
Именно отсутствие непосредственного влияния на работу распределенной вычислительной системы приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в распределенной вычислительной системе служит прослушивание канала связи в сети. При пассивном воздействии, в отличие от активного, не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, ничего не изменится). Достаточно уверенно можно утверждать, что пассивные нарушения ставят своей конечной целью переход в группу активных нарушений.
Основные цели воздействия:
· нарушение конфиденциальности информации либо ресурсов системы;
· нарушение целостности информации;
· нарушение работоспособности (доступности) системы.
Цель большинства атак – получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. В первом случае имеется несанкционированный доступ к информации без возможности ее искажения (пассивное воздействие).
Искажение информации означает полный контроль над информационным потоком между объектами системы или возможность передачи сообщений от имени другого объекта. Очевидно, что искажение информации ведет к нарушению ее целостности, то есть, представляет собой активное воздействие.
Принципиально иной целью атаки является нарушение работоспособности системы. В этом случае основная цель взломщика - добиться, чтобы операционная система на атакованном объекте вышла из строя и, следовательно, для всех остальных объектов системы доступ к ресурсам данного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая атака «отказ в обслуживании».
По условию начала осуществления воздействия так же можно классифицировать атаки. Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных вычислительных системах существуют три вида условий начала осуществления удаленной атаки :
· атака по запросу от атакуемого объекта;
· атака по наступлению ожидаемого события на атакуемом объекте;
· безусловная атака.
В первом случае взломщик ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Важно отметить, что данный тип удаленных атак наиболее характерен для распределенных вычислительных систем.
Во втором случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки, и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.
В третьем случае начало осуществления атаки безусловно, по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
ЛИТЕРАТУРА
1. Новиков, С. Н . Защита информации в сетях связи с гарантированным качеством обслуживания: учебное пособие / . – Новосибирск, 20с.: ил.
2. Ховард, М. Защищенный код / М. Ховард, Д. Лебланк. - пер. с англ., - 2-е изд., исп. М.: Издательско-торговый дом «Русская Редакция», 20с.
3. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие / . - М.: ИД «Форум»: Инфа-М, 20с.
