- •Вступ до інформаційної безпеки
- •Тема 1. Загальні поняття та положення з інформаційної безпеки
- •1.1. Загальні поняття про інформацію: визначення, особливості та властивості інформації
- •1.2. Поняття про інформаційну безпеку
- •Тема 2. Предмет та об’єкт захисту у інформаційній безпеці
- •2.1. Класифікація інформаційних систем, визначення поняття інформаційно-комунікаційної системи
- •2.2. Приклади сучасних систем обробки інформації
- •Тема 3. Загрози безпеці інформації
- •3.1. Поняття загрози інформації
- •3.2.Класифікація загроз інформаційної безпеки
- •3.2.1. Класифікація загроз інформаційної безпеки за її складовими
- •3.2.2. Класифікація загроз інформаційної безпеки за компонентами інформаційних систем, на яки вони націлені
- •3.2.3. Класифікація загроз інформаційної безпеки за характером впливу
- •3.2.3.1. Випадкові загрози
- •3.2.3.2. Навмисні загрози
- •3.2.4. Класифікація загроз інформаційної безпеки за розміщенням їх джерела
- •3.3. Поняття порушника інформаційної безпеки
- •3.4. Поняття про модель загроз та модель порушника
- •На порушення яких властивостей інформації або ас спрямована загроза:
- •Джерела виникнення загрози:
- •Можливі способи здійснення загрози:
- •Категорія осіб, до якої може належати порушник:
- •Тема 4. Основні складові системи інформаційної безпеки. Правове та законодавче регулювання
- •4.1. Характеристика системи регулювання інформаційної безпеки в Україні
- •4.2. Загальна характеристика нормативно-правової бази України з захисту інформації
- •4.3. Визначення поняття про інформаційну безпеку та суміжних понять в законодавстві України
- •4.4. Класифікація інформації та інформаційних систем за законодавством України
- •4.5. Порядок та умови доступу та обробки інформації за визначенням законодавством України
- •Тема 5. Основні методи та засоби захисту інформації
- •5.1. Методи захисту інформації від випадкових загроз
- •5.2. Методи захисту інформації від навмисних загроз
- •5.2.1. Методи та засоби системи охорони об’єктів від несанкціонованого проникнення на територію та заволодіння інформацією не уповноваженими та сторонніми особами
- •5.2.2. Організація збереження конфіденційної інформації від зловмисних дій персоналу та користувачів
- •Тема 6. Основні методи та засоби технічного захисту інформації
- •6.1. Захист інформації від витоку по оптичному каналу
- •6.2. Захист інформації від витоку по акустичному каналу
- •6.2.1. Захист акустичної інформації у приміщеннях
- •6.2.2. Захист акустичної інформації під час передавання її по технічним каналам
- •6.3. Захист інформації від витоку по каналу побічних електромагнітних випромінювань та наведень (пемвн)
- •Тема 7. Основні методи захисту інформації в комп’ютерних системах
- •7.1. Основі теоретичні положення захисту інформації в комп’ютерних системах
- •7.2. Захист від апаратних та програмних закладок, впроваджених на етапах розробки та виробництва
- •7.3. Захист від несанкціонованої зміни структур на рівні апаратних та програмних засобів у процесі експлуатації
- •7.4. Захист комп’ютерних систем від несанкціонованого доступу
- •7.5. Поняття про методи криптографічного захисту інформації
- •7.6. Захист комп’ютерних систем від вірусів та спаму
- •Тема 8. Основні методи захисту інформації в розподілених комп’ютерних (інформаційно-комунікаційних) системах
- •8.1. Архітектура мережі Інтернет
- •8.2. Загрози безпеці в інформаційно-комунікаційних системах
- •8.3. Основні підходи до захисту інформації в інформаційно-комунікаційних системах
- •Тема 9. Основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1. Базові визначення та основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1.1. Вимоги до складу, технічні та організаційні передумови створення ксзі
- •9.1.2. Характеристика інформаційної системи, як об’єкту захисту ксзі
- •9.1.3. Типові вразливості ікс на різних рівнях
- •9.2. Порядок створення, введення в дію, атестації та супроводження ксзі
- •3. На третьому етапі створення ксзі розробляється технічне завдання на створення ксзі.
- •4. На четвертому етапі створення ксзі здійснюється розробка проекту ксзі.
- •5. На п’ятому етапі створення ксзі здійснюється введення ксзі в дію.
Тема 8. Основні методи захисту інформації в розподілених комп’ютерних (інформаційно-комунікаційних) системах
8.1. Архітектура мережі Інтернет
8.2. Загрози безпеці в інформаційно-комунікаційних системах
8.3. Основні підходи до захисту інформації в інформаційно-комунікаційних системах
8.1. Архітектура мережі Інтернет
Інтернет (англ. –Internet)– це глобальна мережа, визначальною характеристикою якої є її побудова на стеку протоколівTCP/IP. Можна сказати, що Інтернет є одним з найвизначніших досягнень реалізації концепції відкритих систем. Назва “Інтернет” означає “складена мережа”, і походить від англійського “internetworking” – побудова гетерогенних (або складених) мереж. Можливості стеку протоколівTCP/IPдозволяють поєднувати між собою окремі підмережі (в Інтернет прийнято називати їх просто “мережі”), що побудовані на різних технологіях. Це можуть бути локальні мережіEthernet,TokenRingі багато інших, а також глобальні мережіX.25,FrameRelayта інші. Пізніше були розроблені технології передачі трафікаIPчерез мережі, що використовують інші принципи, в тому числіATM(віртуальні постійні або віртуальні комутовані канали) іISDN(комутація каналів).
Пристрої, що поєднують між собою різні мережі і здійснюють передачу пакетів між ними, називають мостами(англ. –bridge),шлюзами(англ. –gateway),маршрутизаторами(англ. –router). Ми не будемо концентруватись на технічних особливостях тих або інших пристроїв. Зазначимо лише, що в Інтернет прийнято використовувати термін “шлюз” в якості універсального. Ми, натомість, будемо здебільшого використовувати термін “маршрутизатор”, підкреслюючи програмно-реалізовану функцію вибору напрямку передачі пакета.
Інтернет є не єдиною глобальною мережею. Інтернет вважається мережею з порівняно низькою якістю послуг, він відповідає вимогам передачі комп’ютерного трафіка, але важко пристосовується до передачі потокового трафіка (аудіо, відео) і не підтримує на достатньому рівні якість сервісу (англ. – Quality of Service, QoS) [135]. Разом з тим, послуги Інтернет є дешевими і доступними. Крім того, якість послуг швидко зростає завдяки зростанню перепускної спроможності магістральних каналів і швидкому розвитку мереж, через які абоненти підключаються до провайдерів (постачальників послуг). За співвідношенням якості до ціни послуг Інтернет у багатьох випадках перемагає, і саме його послуги обираються організаціями різних форм власності для побудови своїх корпоративних мереж.
Слід пам’ятати, що Інтернет сформувався як розвиток проекту ARPANET Міністерства оборони США. Певною мірою, Інтернет став зовсім не таким середовищем, яким він спочатку проектувався. Деякі з технологій, які лежать в основі Інтернет, проектувались для забезпечення зручності, надійності і відмовостійкості, але не враховували можливість наявності внутрішніх зловмисників, що намагаються порушити нормальне функціонування мережі. Це справляє вплив на безпеку у мережі.
8.2. Загрози безпеці в інформаційно-комунікаційних системах
Комп’ютерні мережі внаслідок притаманних їм особливостей створюють умови для виникнення численних загроз безпеці інформації. Розподіл ресурсів та інформації у просторі робить можливим специфічний вид атак – так звані мережеві, абовіддаленіатаки (англ. –network attacks, remoteattacks). Під віддаленою атакою розуміють атаку на розподілену обчислювальну систему, що здійснюється програмними засобами по каналах зв’язку. Така атака може здійснюватись як на протоколи і мережеві служби, так і на операційні системи і прикладні програми вузлів мережі.
Одною з фундаментальних причин потенційної вразливості мереж є принцип їхнього функціонування. Інформаційний обмін у мережі здійснюється за допомогою механізму повідомлень. Людина практично не бере участь у штатному функціонуванні мережі. У вузлах мережі знаходяться апаратні і програмні засоби, які діють автоматично, без втручання оператора. Ці засоби призначені для того, щоби передавати і приймати дані з мережі. Для цього вони повинні відповідати на повідомлення-запити, які надходять з мережі і регламентуються протоколами взаємодії. Спеціальним чином створені запити можуть викликати такі відповіді автоматичних засобів, які призведуть до порушення політики безпеки. Крім того, атака може бути спрямованою не на комп’ютер у мережі, а на інформацію, що по мережі передається.
Мережа Інтернет становить особливу небезпеку через свою доступність і глобальний масштаб. В цій мережі присутні і активно діють численні зловмисники – як професіонали, так і просто допитливі підлітки, які знайшли інструменти злому – відповідне програмне забезпечення доступно у мережі – і тепер намагаються їх випробувати. В глобальній мережі одночасно діють численні представники кримінальних структур, різних політичних партій і течій, правоохоронних органів і спецслужб різних країн. Атака на систему, що підключена до мережі, може бути мотивована матеріально чи політично. А зловмисники, навіть якщо вдасться їх вистежити, можуть знаходитись у іншому правовому полі (в іншій державі) і бути недосяжними для покарання.
Коротко зупинимось на типових вразливостях розподілених систем.
Типові вразливості і типові атаки на мережі
В якості типових атак, які можуть застосовуватись для нападу на розподілені системи, і які слід моделювати під час випробувань стійкості систем до атак, визначимо такі:
вгадування паролів або атаки за словником;
реєстрація і маніпуляції з мережевим трафіком;
імпорт фальшивих пакетів даних;
експлуатація відомих вразливостей програмного забезпечення (мови макросів, помилки в ОС, служби віддаленого доступу тощо).
Аналіз успішних атак на мережеві системи дозволяє визначити ряд причин, через які такі системи є вразливими:
використання спільного середовища передачі (наприклад, Ethernet, радіоканал);
застосування нестійких алгоритмів ідентифікації віддалених активних і пасивних об’єктів;
використання протоколів динамічної (адаптивної) маршрутизації;
застосування алгоритмів віддаленого пошуку;
можливість анонімного захоплення активним об’єктом множини фізичних або логічних каналів зв’язку.
В якості типових віддалених атак виділяють такі:
аналіз мережевого трафіка;
підміна довіреного об’єкта в розподіленій системі;
впровадження в розподілену систему фальшивого об’єкта через нав’язування фальшивого маршруту;
впровадження в розподілену систему фальшивого об’єкта шляхом використання недоліків алгоритмів віддаленого пошуку;
відмова в обслуговуванні.