- •Аспекты и актуальность информационной безопасности гспд
- •Воздействия нарушителей (вн), виды нсд к гспд
- •Технологии передачи данных в гспд
- •1. Дейтаграммная служба
- •2. Виртуальные соединения
- •Задачи обеспечения информационной безопасности гспд
- •Характеристики защищенности информационной сферы гспд
- •Уязвимость гспд и ее проявления
- •Технологические и эксплуатационные уязвимости
- •Пути внесения уязвимостей
- •Субъекты нарушителей на информационную сферу (ис)
- •Модель воздействий нарушителя на технологическом уровне
- •Модель воздействий нарушителя на эксплуатационном уровне
- •Виды вн, нарушающие конфиденциальность информационной сферы
- •Способы реализации вн, нарушающих конфиденциальность ис
- •Виды вн, нарушающие целостность ис
- •Способы реализации вн, нарушающих целостность ис
- •Виды вн доступности ис
- •Способы реализации вн доступности ис
- •Классификация воздействий нарушителя на информационную сферу гспд
- •Угрозы информационной безопасности гспд, последствия вн, риски, ущерб от вн
- •Общее описание технологии х.25
- •Физический уровень стека протоколов технологии х.25
- •Канальный уровень стека протоколов технологии х.25
- •Воздействия нарушителя на канальном уровне стека протоколов сети х.25
- •Пакетный уровень стека протоколов технологии х.25
- •Общее описание технологии Frame Relay
- •Физический уровень технологии fr
- •Канальный уровень стека протоколов технологии fr
- •Сетевой уровень стека протоколов технологии fr
- •Общее описание технологии atm
- •Физический уровень стека протоколов технологии atm
- •Уровень атм стека протоколов технологии атм
- •Уровень адаптации стека протоколов технологии атм
- •Транспортный, сеансовый, представительский и прикладной уровни стека протоколов технологии atm
- •Краткие сведения о технологии tcp/ip
- •Уровень межсетевого взаимодействия стека протоколов технологии tcp/ip
- •Транспортный уровень стека протоколов системы управления ip-cemu
- •Прикладной уровень стека протоколов системы управления ip-cemu
Технологические и эксплуатационные уязвимости
Уязвимости ГСПД могут быть внесены на двух этапах жизненного цикла ГСПД - на технологическом и на эксплуатационном.
Внесение технологической уязвимости предполагает внесение в информационную сферу ГСПД на этапе ее проектирования и реализации различного рода ошибок программно-аппаратного обеспечения ГСПД, «закладок», «вирусов» и др., способствующих нарушителю осуществить впоследствии несанкционированные информационные действия. Технологические уязвимости могут быть внесены разработчиком программно-аппаратного обеспечения ГСПД на этапе его проектирования и реализации или же поставщиком программно-аппаратного обеспечения ГСПД на этапе его установки и первоначальной настройки.
Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения ГСПД. Эксплуатационные уязвимости могут быть внесены пользователем ГСПД, оператором ГСПД или администратором безопасности ГСПД.
Эксплуатационные и технологические уязвимости ГСПД могут присутствовать как в системе управления ГСПД, так и в самой сети передачи данных. Если уязвимость была внесена в ГСПД, то в этом случае она может присутствовать на первых трех уровнях модели ВОС - физическом, канальном и сетевом. Если же уязвимость была внесена в систему управления ГСПД, то тогда она дополнительно может относиться к транспортному, сеансовому, представительскому или прикладному уровню модели ВОС.
Нарушитель способен внести следующие типы технологических и эксплуатационных уязвимостей: программные уязвимости, аппаратные уязвимости, программно-аппаратные уязвимости, а также организационно-правовые уязвимости.
Программные уязвимости присутствуют в программном обеспечении ГСПД и могут быть внесены, например, в операционную систему узла ГСПД или ЦУС. Внесение аппаратных уязвимостей характерно лишь для аппаратного обеспечения ГСПД, например сетевых адаптеров или носителей информации узлов ГСПД и ЦУС. Программно-аппаратные уязвимости ГСПД сочетают в себе программные и аппаратные типы уязвимостей, рассмотренные выше.
Внесение административных уязвимостей предполагает некорректную разработку и реализацию политики безопасности ГСПД, которая представляет собой совокупность требований и правил по обеспечению ИБ ГСПД.
Внесение организационно-правовых уязвимостей может иметь место при зачислении недостаточно проверенных людей в штат сотрудников, занимающихся обслуживанием ГСПД, при слабой организации защиты периметра безопасности ГСПД и др.
Пути внесения уязвимостей
Уязвимости ГСПД могут быть внесены в информационные ресурсы и инфраструктуры ЦУС или узлов ГСПД, а также в магистральные каналы и абонентские каналы доступа.
Уязвимости ГСПД могут быть внесены преднамеренным или непреднамеренным путем. Уязвимости ГСПД, внесенные непреднамеренным (неумышленным) путем, связаны с некомпетентностью или халатностью персонала, работающего с ГСПД на ее технологическом или эксплуатационном этапе жизненного цикла. Примерами непреднамеренных эксплуатационных уязвимостей ГСПД являются: некомпетентное использование или настройка программно-аппаратного обеспечения ГСПД, неумышленное отключение средств защиты ГСПД, случайное удаление критической информации и др. В качестве примеров непреднамеренных технологических уязвимостей ГСПД можно привести неумышленное внесение ошибок на этапе проектирования или реализации программно-аппаратного обеспечения ГСПД.
Преднамеренное (или умышленное) внесение уязвимостей ГСПД связано с реализацией корыстных или иных целей нарушителя. Примерами преднамеренных технологических уязвимостей ГСПД является умышленное внесение в информационную сферу ГСПД «закладок», люков и вирусов, которые могут быть использованы нарушителем для выполнения несанкционированных действий. В качестве примеров преднамеренных эксплуатационных уязвимостей могут выступать: умышленный ввод ошибочных данных, преднамеренное использование криптографически нестойких ключей шифрования и др.