- •Информационная безопасность компьютерных систем Введение
- •Лекция 2. Основные угрозы безопасности асои
- •Пути реализации угроз безопасности асои
- •Атаки на уровне систем управления базами данных
- •Атаки на уровне операционной системы
- •Атаки на уровне сетевого программного обеспечения
- •Защита системы от взлома
Информационная безопасность компьютерных систем Введение
Проблемы защиты информации волновали человечество с незапамятных времен. Необходимость защиты информации возникла из потребностей тайной передачи, как военных, так и дипломатических сообщений. Например, античные спартанцы шифровали свои военные сообщения. У китайцев простая запись сообщения с помощью иероглифов делала его тайным для чужестранцев.
Для обозначения всей области тайной (секретной) связи используется термин "криптология", который происходит от греческих корней "cryptos" - тайный и "logos" - сообщение. Криптология довольно четко может быть разделена на два направления: криптографию и криптоанализ.
Задача криптографа - обеспечить конфиденциальность (секретность) и аутентичность (подлинность) передаваемых сообщений.
Задача криптоаналитика - "взломать" систему защиты, разработанную криптографами. Он пытается раскрыть зашифрованный текст или выдать поддельное сообщение за настоящее.
Первые каналы связи были очень простыми, Их организовывали, используя надежных курьеров. Безопасность таких систем связи зависела как от надежности курьера, так и от его способности не попадать в ситуации, при которых могло иметь место раскрытие сообщения.
Создание современных компьютерных систем и появление глобальных компьютерных сетей радикально изменило характер и диапазон проблем защиты информации. В широко компьютеризированном и информатизированном современном обществе обладание реальными ценностями, управление ими, передача ценностей или доступ к ним часто основаны на неовеществленной информации, т.е. на информации, существование которой не обязательно связывается с какой-либо записью на физическом носителе. Аналогичным образом иногда определяются и полномочия физических и юридических лиц на использование, модификацию, копирование имеющей большое значение или конфиденциальной информации. Поэтому весьма важно создавать и применять эффективные средства для реализации всех необходимых функций, связанных с обеспечением конфиденциальности и целостности информации.
Поскольку информация может быть очень ценной или особо важной, возможны разнообразные злонамеренные действия по отношению к компьютерным системам, хранящим, обрабатывающим или передающим такую информацию. Например, нарушитель может попытаться выдать себя за другого пользователя системы, подслушать канал связи или перехватить и изменить информацию, которой обмениваются пользователи системы. Нарушителем может быть и пользователь системы, который отказывается от сообщения, в действительности сформированного им, или который пытается утверждать, что им получено сообщение, которое в действительности не передавалось. Он может попытаться расширить свои полномочия, чтобы получить доступ к информации, к которой ему предоставлен только частичный доступ, или попытаться разрушить систему, несанкционированно изменяя права других пользователей.
Для решения указанных и других подобных проблем не существует какого-то одного технического приема или средства. Однако общим в решении многих из них является использование криптографии и криптоподобных преобразований информации.
Появление новых информационных технологий и интенсивное развитие компьютерных сетей привлекают все большее внимание пользователей к глобальной сети Internet. Многие компании и организации подключают сегодня свои локальные сети к сети Internet, чтобы воспользоваться ее ресурсами и преимуществами. Бизнесмены и государственные организации используют Internet в различных целях, включая обмен электронной почтой, распространение информации среди заинтересованных лиц и т.п. В силу открытости своей идеологии Internet предоставляет злоумышленникам много возможностей для вторжения во внутренние сети предприятий и организаций с целью хищения, искажения или разрушения важной и конфиденциальной информации. Решение задач по защите внутренних сетей от наиболее вероятных атак через Internet может быть возложено на межсетевые экраны, иногда называемые брандмауэрами или firewall. Применяются и программные методы защиты, к которым относятся защищенные криптопротоколы SSL и SKIP.
Важным приложением, нуждающимся в эффективных средствах защиты информации, являются электронные платежные системы. В этих системах в качестве универсального платежного средства используются банковские пластиковые карты. Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существует ряд потенциально уязвимых мест, в частности, пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентами. Для обеспечения защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты: управление доступом на оконечных системах, обеспечение целостности и конфиденциальности сообщений, взаимная аутентификация абонентов, гарантии доставки сообщения и т.д. Качество решения указанных проблем существенно зависит от рациональности выбора криптографических средств при реализации механизмов защиты.
Наиболее перспективным видом пластиковых карт являются микропроцессорные смарт-карты, которые благодаря встроенному микропроцессору обеспечивают обширный набор функций защиты и выполнение всех операций взаимодействия владельца карты, банка и торговца,
Все большее значение приобретает электронная торговля через Internet, которая сегодня может рассматриваться как огромный информатизированный рынок, способный охватить практически все население планеты Земля. Интенсивное развитие различных видов коммерческой деятельности в Internet требует принятия надлежащих мер по обеспечению безопасности этого перспективного вида электронной коммерции.
Лекция 1. Основные понятия и определения
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства. Компьютеры управляют космическими кораблями и самолетами, контролируют работу атомных электростанций, распределяют электроэнергию и обслуживают банковские системы. Компьютеры являются основой множества автоматизированных систем обработки информации (АСОИ), осуществляющих хранение и обработку информации, предоставление ее потребителям, реализуя тем самым современные информационные технологии.
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей.
Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:
• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;
• резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
• сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности;
• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
• бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;
• повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные;
• развитие глобальной сети Internet, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.
Введем и определим основные понятия информационной безопасности компьютерных систем [18, 75].
Под безопасностью АСОИ понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.
Природа воздействий на АСОИ может быть самой разнообразной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов АСОИ, и ошибки персонала, и попытка проникновения злоумышленника.
Безопасность АСОИ достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Субъект - это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект - пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы - это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы - это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности АСОИ понимаются возможные воздействия на АСОИ, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в АСОИ. С понятием угрозы безопасности тесно связано понятие уязвимости АСОИ,
Уязвимость АСОИ - это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности АСОИ. Комплекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности - это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности.