- •Глава 1 Основные понятия и определения
- •Основы госполитики рф в области иб
- •Защита информации как объект правовой защиты
- •Основные понятия, термины и определения
- •Особенности современных ас как объектов защиты
- •2) По уровню возможностей (по использованным методам и средствам):
- •3) По времени действия:
- •4) По месту действия:
- •Загрузочные вирусы
- •Макровирусы
- •Polymorphic-вирусы
- •Резидентные dos вирусы
- •Резидентные загрузочные вирусы
- •Сетевые вирусы
- •Irc-вирусы
- •Основные направления организации защиты
- •Выбор антивирусных программ
- •Типы антивирусных программ
- •Методика использования антивирусных программ
- •Обнаружение неизвестного вируса
- •При лечении файлов:
- •Атака с использованием уязвимости протокола tcp
Особенности современных ас как объектов защиты
Особенности распределенных систем:
Территориальная разнесенность компонентов системы и интенсивность инф.
Широкий спектр исп способов хранения, передачи, представления инф
Создание интегрированных БД различного назначения, принадлежащих различным субъектам, либо наоборот – размещение необходимой субъекту инф в различных удаленных узлах сети
Абстрагирование владельцев данных от физических структур и места размещения данных
Использование режимов распределенной обработки данных
Участие в процессе Автоматизированной обработки данных большого числа пользователей и персонала различных категорий
Непосредственный и одновременный доступ к ресурсам большого числа пользователей различных категорий
Высокая степень разнородности используемых СВП связи и их ПО.
Компоненты АС(по ГОСТ):
Рабочие станции – отдельные ВМ или удаленные терминалы сети, на которых реализуются автоматизированные рабочие места пользователей(АРМ). АРМ – наиболее уязвимый компонент сети.(большая часть НСД приходится на них, но вред не особый) Причины: осуществляется почти весь ввод данных и процесс обработки, возможен доступ случайных посторонних людей, на мониторы выводится инф пользователей, имеющих различные виды доступа
Серверы(Post-машины) – (не)выделенные – ЭВМ высокой производительности, ориентированные на обслуживание рабочих станций сети. Сложно получить доступ, но потери максимальны
Межсетевые мосты(шлюзы, центра коммутации пакетов, коммуникационные ВМ и тд) - элементы, обеспечивающие соединение нескольких сетей ПД либо нескольких сегментов одной сети, имеющих различные протоколы взаимодействия.
Каналы связи. Требуют особых мер защиты
Уровни ИС с т.з. ЗИ:
Прикладное ПО – взаимодействие с user
Уровень СУБД – хранение и обработка Д в ИС
Уровень ОС – обслуживание СУБД и ПО
Уровень сети – взаимодействие узлов ИС
КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ АС И СУБЪЕКТОВ ИНФ.ОТНОШЕНИЙ
+Определения: угроза интересов субъекта, нарушение безопасности
Под угрозой обычно понимают потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Угрозу, нанесенную субъекту информационных соотношений, будем называть потенциально возможным событием, процессом или явлением, которое посредством воздействия может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.
Нарушением безопасности будем называть реализацию угрозы безопасности.
Основными видами угроз безопасности являются:
1. Стихийные бедствия и аварии.
2. Сбои и отказы оборудования ТехСредств АС.
3. Последствия ошибок проектирования и разработки АС.
4. Ошибки эксплуатации пользователем, оператором и другим персоналом.
5. Преднамеренные действия нарушителей и злоумышленников.
Классификация угроз по природе:
1. Естественные(объективные) - вызваны воздействием на АС и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
2. Искусственные(субъективные) - угрозы, вызванные деятельностью человека. Исходя из мотивации:
а) непреднамеренные(случайные) - угрозы, вызванные ошибками в проектировании АС, ошибки в ПО или действиями персонала.
б) преднамеренные(умышленные) - угрозы, связанные с корыстными устремлениями людей.
Использование угроз по отношению к АС может быть внешним и внутренним.
Основные искусственные непреднамеренные угрозы – действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла
1. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных или информационных частей.
2. Неправомерное включение оборудования или изменение режимов работы устройств и программ.
3. Неумышленная порча носителей информации.
4. Запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособной системы или осуществить необратимые изменения в системе.
5. Нелегальное внедрение и использование неучтенных программ с последующим необоснованным расходом ресурсов.
6. Заражение компьютера вирусами.
7. Неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной.
8. Разглашение, передача или утрата атрибутов разграничения доступа.
9. Проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими опасность системе и информации.
10. Игнорирование организационных ограничений(установленных правил)
11. Вход в систему в обход средств защиты.
12. Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности.
13. Пересылка данных по ошибочному адресу абонента.
14. Ввод ошибочных данных.
15. Неумышленное повреждение канала данных.
Основные преднамеренные искусственные угрозы:
1. Физ. разрушение системы или вывод из строя всех/отдельных наиболее важных компонентов АС.
2. Отключение или вывод из строя системы питания.
3. Действия по дезорганизации функц-я системы (забастовка, саботаж, создание активных помех).
4. Внедрение агентов в число персонала системы.
5. Вербовка персонала или отдельных пользователей, имеющих определенные полномочия.
6. Применение подслушивающих устройств, фото и видеосъемки.
7. Перехват побочных электромагнитных, акустических и других излучений устройств и линий связи.
8. Перехват данных, передаваемых по каналам связи и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток или имитации для проникновения в систему.
9. Хищение носителей информации.
10. Несанкционированное копирование носителей информации.
11. Хищение производственных отходов (распечаток, записей, списанных носителей информации).
12. Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.
13. Чтение информации из областей ОЗУ, используемых ОС или другими пользователями в асинхронном режиме, использования недостатки мультизадачных ОС.
14. Незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированных пользователей.
15. Несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования.
16. Вскрытие шифров криптозащиты информации.
17. Внедрение аппаратных спецвложений или программных закладок и вирусов.
18. Незаконное подключение к линиям связи с целью работы между строк, т.е. с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификации передаваемых сообщений.
19. Незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
КЛАССИФИКАЦИЯ КАНАЛОВ ПРОНИКНОВЕНИЯ В СИСТЕМУ И УТЕЧКИ ИНФОРМАЦИИ
Все каналы делятся на прямые и косвенные.
Косвенные каналы – их использование не требует проникновения в помещение, где расположены компоненты системы.
Для использования прямых каналов это проникновение обязательно. Прямые каналы могут использоваться без внесения изменений в компоненты системы и с изменением компонентов.
По типу основного средства, которое используется для реализации угрозы, каналы делятся на 3 группы, где таковыми средствами являются человек, программа или аппаратура.
По способу получения информации принято все каналы делить на физический, электромагнитный (перехват излучения), информационный, программно-математический.
При контактном НСД (физическом или программно-математическом) возможные угрозы информации реализуются путем доступа к элементам АС, к носителям информации, вводимой и выводимой информации, программному обеспечению, а также путем подключения к линиям связи.
При бесконтактном НСД возможные угрозы информации реализуются перехватом излучений аппаратуры автоматизированной системы, перехватом информации в линиях связи, вводом в линии связи ложной информации, а также визуальным наблюдением устройств вывода информации и прослушиванием переговоров системы и пользователей.
НЕФОРМАЛЬНАЯ МОДЕЛЬ НАРУШИТЕЛЯ АС
Нарушитель – лицо, предпринявшее попытку НСД по ошибке, незнанию или осознанно со злым умыслом или без такового, и использовавшее для этого различные возможности, методы и средства.
Злоумышленник- нарушитель, намеренно идущий на нарушение из корыстных побуждений.
Исследовав причины нарушений, можно либо повлиять на эти причины, либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.
Неформальная модель нарушителя должна отражать теоретические и практические возможности, априорные знания о месте, времени и т.п.
При разработке модели нарушителя определяются:
Предположение о категории лиц, к которым может принадлежать нарушитель.
Предположение о мотивах действий нарушителя (преследуемые цели).
Предположение о квалификации нарушителя и его техн.оснащённости (методы и средств)
Ограничения и предположения о характере возможных действий нарушителя.
По отношению к автоматизированной системе все нарушители могут быть либо внутренними, либо внешними.
Внутренним нарушителемможет быть лицо из следующих категорий:
Пользователи (операторы) системы;
Персонал, обслуживающий ТС, и сотрудники отделов разработки и сопровождения ПО
Технический персонал, обслуживающий здания (уборщицы, электрики и т.д.);
Сотрудники службы безопасности АС;
Руководители различных уровней должностной иерархии.
Внешние нарушители– кто угодно. Посторонние лица, которые могут быть нарушителями:
Клиенты;
Посетители;
Представители организаций, вз/действующих по вопросам обеспечения жизнедеят-ти предприятия;
Представители конкурирующих организаций или лица, действующие по их заданию;
Лица, случайно или намеренно нарушившие пропускной режим;
Любые лица за пределами контролируемой территории.
Можно выделить 3 основных мотива преступления:
Безответственность;
Самоутверждение;
Корыстный интерес.
Всех нарушителей можно классифицировать следующим образом:
По уровню знаний об автоматизированной системе:
а) знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, а также умеет пользоваться штатными средствами;
б) обладает высоким уровнем знаний и опытом работы с ТС системы и их обслуживанием;
в) обладает высокими умениями в области программирования и выч.техники, является квалифицированным специалистом в области проектирования и эксплуатации АС;
г) знает стр-ру, ф-и и механизм действия средств защиты, а также их сильные и слабые стороны.