Технологические и эксплуатационные уязвимости
Уязвимости ГСПД могут быть внесены на двух этапах жизненного цикла ГСПД - на технологическом и на эксплуатационном.
Внесение технологической уязвимости предполагает внесение в информационную сферу ГСПД на этапе ее проектирования и реализации различного рода ошибок программно-аппаратного обеспечения ГСПД, «закладок», «вирусов» и др., способствующих нарушителю осуществить впоследствии несанкционированные информационные действия. Технологические уязвимости могут быть внесены разработчиком программно-аппаратного обеспечения ГСПД на этапе его проектирования и реализации или же поставщиком программно-аппаратного обеспечения ГСПД на этапе его установки и первоначальной настройки.
Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения ГСПД. Эксплуатационные уязвимости могут быть внесены пользователем ГСПД, оператором ГСПД или администратором безопасности ГСПД.
Эксплуатационные и технологические уязвимости ГСПД могут присутствовать как в системе управления ГСПД, так и в самой сети передачи данных. Если уязвимость была внесена в ГСПД, то в этом случае она может присутствовать на первых трех уровнях модели ВОС - физическом, канальном и сетевом. Если же уязвимость была внесена в систему управления ГСПД, то тогда она дополнительно может относиться к транспортному, сеансовому, представительскому или прикладному уровню модели ВОС.
Нарушитель
способен внести
следующие типы технологических и
эксплуатационных уязвимостей: программные
уязвимости, аппаратные уязвимости,
программно-аппаратные уязвимости, а
также организационно-правовые уязвимости.
Программные уязвимости присутствуют в программном обеспечении ГСПД и могут быть внесены, например, в операционную систему узла ГСПД или ЦУС. Внесение аппаратных уязвимостей характерно лишь для аппаратного обеспечения ГСПД, например сетевых адаптеров или носителей информации узлов ГСПД и ЦУС. Программно-аппаратные уязвимости ГСПД сочетают в себе программные и аппаратные типы уязвимостей, рассмотренные выше.
Внесение административных уязвимостей предполагает некорректную разработку и реализацию политики безопасности ГСПД, которая представляет собой совокупность требований и правил по обеспечению ИБ ГСПД.
Внесение организационно-правовых уязвимостей может иметь место при зачислении недостаточно проверенных людей в штат сотрудников, занимающихся обслуживанием ГСПД, при слабой организации защиты периметра безопасности ГСПД и др.
Пути внесения уязвимостей
Уязвимости ГСПД могут быть внесены в информационные ресурсы и инфраструктуры ЦУС или узлов ГСПД, а также в магистральные каналы и абонентские каналы доступа.
Уязвимости ГСПД могут быть внесены преднамеренным или непреднамеренным путем. Уязвимости ГСПД, внесенные непреднамеренным (неумышленным) путем, связаны с некомпетентностью или халатностью персонала, работающего с ГСПД на ее технологическом или эксплуатационном этапе жизненного цикла. Примерами непреднамеренных эксплуатационных уязвимостей ГСПД являются: некомпетентное использование или настройка программно-аппаратного обеспечения ГСПД, неумышленное отключение средств защиты ГСПД, случайное удаление критической информации и др. В качестве примеров непреднамеренных технологических уязвимостей ГСПД можно привести неумышленное внесение ошибок на этапе проектирования или реализации программно-аппаратного обеспечения ГСПД.
Преднамеренное (или умышленное) внесение уязвимостей ГСПД связано с реализацией корыстных или иных целей нарушителя. Примерами преднамеренных технологических уязвимостей ГСПД является умышленное внесение в информационную сферу ГСПД «закладок», люков и вирусов, которые могут быть использованы нарушителем для выполнения несанкционированных действий. В качестве примеров преднамеренных эксплуатационных уязвимостей могут выступать: умышленный ввод ошибочных данных, преднамеренное использование криптографически нестойких ключей шифрования и др.