Filiale di GOU VPO "MPEI (TU)"
nella città di Smolensk,
studente del 6 ° anno
METODI DI SICUREZZA DEL SISTEMA INFORMATIVO
Attualmente, i computer di tutto il mondo sono entrati saldamente nel mondo moderno, in tutte le sfere dell'attività umana e della scienza, creando così la necessità di fornire loro vari software. Naturalmente, ciò è dovuto principalmente allo sviluppo dell'informatica elettronica e al suo rapido miglioramento e attuazione in vari ambiti dell'attività umana.
La ragione di uno sviluppo così intenso della tecnologia dell'informazione è la crescente necessità di un trattamento delle informazioni rapido e di alta qualità, i cui flussi sono in costante crescita con lo sviluppo della società.
La combinazione di computer nella rete ha migliorato significativamente la produttività. Reti di computer sono utilizzati sia per esigenze di produzione (o ufficio), sia per formazione, comunicazione, ecc.
L'uso diffuso della tecnologia informatica nei sistemi automatizzati di elaborazione e controllo delle informazioni ha aggravato il problema della protezione delle informazioni circolanti nei sistemi informatici. Era necessario creare un sistema di rilevamento delle intrusioni integrato.
I sistemi di rilevamento delle intrusioni vengono utilizzati per rilevare alcuni tipi attività dannosache può interrompere sicurezza delle informazioni del sistema informatico. Tali attività includono attacchi di rete contro servizi vulnerabili, attacchi finalizzati all'escalation dei privilegi, accesso non autorizzato a file importanti e azioni dannose software (virus informatici, trojan e worm).
Sotto violazione della sicurezza del sistema informativocapiremo una delle situazioni che possono essere organizzate dal violatore. Questi includono :
· Interruzione o disconnessione.
Le informazioni vengono distrutte o diventano inaccessibili o inutilizzabili. In questo caso la disponibilità delle informazioni è violata. Un esempio di tali violazioni può essere l'impatto di un intruso su elementi di rete (linee di comunicazione (LS), nodi di commutazione (CC), dispositivi di controllo, database e così via) con l'obiettivo di distruggerli o renderli inattivi.
· intercettazione.
Accesso non autorizzato alle informazioni. La riservatezza delle informazioni trasmesse è violata. Un esempio di questo tipo di violazione è una connessione non autorizzata a un canale di comunicazione.
· Modifica (distorsione).
L'accesso non autorizzato viene aperto per modificare le informazioni. dove la riservatezza delle informazioni trasmesse e la sua integrità sono violate. Lo scopo di questo tipo di violazione è quello di modificare le informazioni trasmesse sulla rete.
· Falsificazione.
Un intruso finge di essere una fonte di informazioni. dove l'autenticità delle informazioni è violata(una proprietà che garantisce che l'oggetto o la risorsa siano identici a quanto richiesto). Un esempio di questo tipo di violazione è l'invio di messaggi falsi sulla rete.
I suddetti tipi di violazioni possono essere divisi in due gruppi:
· Attivo;
· Passivo.
L'influenza attiva su un sistema di elaborazione distribuito indica un impatto che ha un impatto diretto sul funzionamento del sistema (modificando la configurazione di un sistema distribuito sistema informatico, interruzione dell'operabilità, ecc.) e violazione della politica di sicurezza in essa adottata. Quasi tutti i tipi di attacchi remoti sono influenze attive. Una caratteristica ovvia di un effetto attivo, rispetto a un effetto passivo, è la possibilità fondamentale del suo rilevamento, poiché a seguito della sua attuazione si verificano alcuni cambiamenti nel sistema. Questo gruppo comprende:
· Interruzione - violazione dell'accessibilità e della riservatezza;
· Modifica - violazione dell'integrità;
· Falsificazione: violazione dell'autenticità.
Un effetto passivo su un sistema di elaborazione distribuito è un impatto che non influisce direttamente sul funzionamento del sistema, ma può violare la sua politica di sicurezza.
È l'assenza di un impatto diretto sul funzionamento di un sistema di elaborazione distribuito che rende quasi impossibile rilevare l'esposizione remota passiva. Un esempio di un'esposizione remota tipica passiva in un sistema di elaborazione distribuito è l'ascolto di un canale di comunicazione su una rete. Con un effetto passivo, a differenza di uno attivo, non rimangono tracce (nulla cambierà dal fatto che l'attaccante visualizzerà il messaggio di qualcun altro nel sistema). Si può affermare con certezza che le violazioni passive pongono come obiettivo finale la transizione al gruppo di violazioni attive.
I principali obiettivi dell'impatto:
· Violazione della riservatezza delle informazioni o delle risorse di sistema;
· Violazione dell'integrità delle informazioni;
· Violazione della salute (disponibilità) del sistema.
Lo scopo della maggior parte degli attacchi è ottenere un accesso non autorizzato alle informazioni. Esistono due possibilità fondamentali di accesso alle informazioni: intercettazione e distorsione. Nel primo caso, vi è un accesso non autorizzato alle informazioni senza possibilità di distorsione (effetto passivo).
La distorsione delle informazioni significa il controllo completo flusso di informazioni tra oggetti di sistema o la possibilità di inviare messaggi per conto di un altro oggetto. Ovviamente, la distorsione delle informazioni porta a una violazione della sua integrità, ovvero rappresenta un impatto attivo.
Uno scopo fondamentalmente diverso dell'attacco è quello di interrompere il sistema. In questo caso, l'obiettivo principale del cracker è garantire che il sistema operativo sull'oggetto attaccato fallisca e, quindi, per tutti gli altri oggetti nel sistema, l'accesso alle risorse di questo oggetto sarebbe impossibile. Un esempio di attacco remoto, il cui scopo è quello di interrompere le prestazioni del sistema, può essere un tipico attacco denial of service.
A seconda della condizione dell'inizio dell'impatto, gli attacchi possono anche essere classificati. L'esposizione a distanza, come qualsiasi altra, può iniziare a verificarsi solo a determinate condizioni. Nei sistemi di elaborazione distribuiti, esistono tre tipi di condizioni per iniziare un attacco remoto:
· Attacco su richiesta dell'oggetto attaccato;
· Attacco al verificarsi dell'evento atteso sull'oggetto attaccato;
· Attacco incondizionato.
Nel primo caso, il cracker si aspetta che un tipo specifico di richiesta venga trasmesso dal potenziale bersaglio dell'attacco, che sarà la condizione per l'inizio dell'impatto. È importante notare questo questo tipo Gli attacchi remoti sono più comuni per i sistemi di elaborazione distribuiti.
Nel secondo caso, l'attaccante controlla costantemente lo stato sistema operativo bersaglio remoto dell'attacco e quando si verifica un certo evento in questo sistema, l'effetto ha inizio. Come nel caso precedente, l'iniziatore dell'inizio dell'attacco è l'oggetto stesso attaccato.
Nel terzo caso, l'inizio dell'attacco è incondizionato, in relazione al bersaglio dell'attacco, cioè l'attacco viene eseguito immediatamente e indipendentemente dallo stato del sistema e dall'oggetto che viene attaccato. Pertanto, in questo caso, l'attaccante inizia l'inizio dell'attacco.
LETTERATURA
1. Novikov, S. N. Sicurezza delle informazioni nelle reti di comunicazione con qualità garantita del servizio: un manuale di formazione. - Novosibirsk, 20s.: Ill.
2. Howard M. Codice protetto / M. Howard, D. Leblanc. - Per. dall'inglese, 2 ° ed., spagnolo. M.: Casa editrice e commerciale "Russian Edition", anni '20.
3. Shangin, V.F. Sicurezza delle informazioni dei sistemi e delle reti di computer: libro di testo. indennità. - M.: Casa editrice "Forum": Infa-M, 20s.
Violazioni IB. Sicurezza dello spazio Internet e delle informazioni aziendali
Risultati del sondaggio
M.S. Saveliev
Vice direttore marketing
Azienda "Informzashchita"
Efficace strategia di protezione aziendale ambiente informativo (IP) richiede non solo il desiderio di garantire una sicurezza completa della rete aziendale, ma anche un'analisi dello stato attuale delle cose in questo settore e una valutazione delle azioni intraprese per analizzare i rischi esistenti e prevenire le violazioni. I risultati di uno studio condotto dalla rivista "Information Security / Information Security" possono essere utili per studiare i problemi di sicurezza delle informazioni (IS) dell'azienda.
I risultati di questo sondaggio indicano eloquentemente che la principale minaccia alla sicurezza dello spazio delle informazioni aziendali proviene proprio dall'interno dell'azienda.
Sistema informativo aziendale sull'igiene
Quasi nessuno degli intervistati ha subito violazioni IS significative da parte di aggressori esterni (Fig. 1). La metà degli intervistati afferma che non vi sono stati tentativi di penetrazione dell'IP aziendale dall'esterno. È vero, per una conclusione assolutamente accurata, sarebbe interessante prendere in considerazione un altro fatto: le aziende che partecipano al sondaggio hanno i mezzi per rilevare e prevenire attacchi esterni, ma una domanda del genere non è stata posta.
Nella pratica quotidiana, abbastanza spesso si deve affrontare il fatto che, nonostante la presenza di dispositivi di protezione nel loro arsenale, i dipartimenti di sicurezza delle informazioni delle aziende e delle organizzazioni non sono in grado di gestirli con successo. Una conferma indiretta di ciò è il quadro delle risposte alla domanda "Quanto è sviluppata la gestione del sistema di sicurezza delle informazioni?" (Fig. 2): anche un rimedio “igienico” come un antivirus viene utilizzato in modo inefficiente. Quasi un quinto degli intervistati non configura le opzioni nelle aziende aggiornamento automatico database antivirus: questa domanda è lasciata agli utenti. Da qui, ciò che segue è abbastanza ovvio: gli specialisti di gestione e IT delle società rispondenti potrebbero semplicemente non essere consapevoli di quali eventi si stanno verificando nei loro sistemi. A proposito, le minacce moderne, come, ad esempio, i virus bot, possono essere rilevate solo da segni sottili, o meglio, solo analizzando le difese attentamente configurate.
L'intruso più pericoloso è l'utente
Contrariamente alle affermazioni molto comuni nel 2006 sull'enorme pericolo rappresentato dalle minacce interne, un sondaggio della rivista ha mostrato che la maggior parte degli incidenti nella reale esperienza degli esperti di sicurezza delle informazioni sono azioni involontarie e involontarie dell'utente (Fig. 3). In effetti, gli utenti violano le regole dell'organizzazione per l'utilizzo dell'IP aziendale commettendo involontariamente un'azione (Fig. 4). Inoltre, è tipico che le regole di condotta nel campo della sicurezza delle informazioni per i dipendenti dell'azienda siano prudentemente descritte (Fig. 2) nella politica di sicurezza delle informazioni, nei doveri dei dipendenti e in altri documenti. Nonostante la presenza di istruzioni speciali e documenti informativi sulla sicurezza delle informazioni presso le loro aziende, ci sono molte violazioni della sicurezza dovute alla mancanza di consapevolezza degli utenti.
Ciò accade perché i requisiti dei documenti sulla sicurezza delle informazioni non vengono comunicati ai dipendenti? Rispondi alla domanda "In che modo i dipendenti della tua azienda vengono a conoscenza dei loro obblighi in materia di conformità con la sicurezza delle informazioni?" (Fig. 5), il 15% degli intervistati ha affermato che tali requisiti esistono solo sulla carta e che i dipendenti delle organizzazioni non ne sono informati in alcun modo. Corsi di formazione regolari nel campo della protezione delle informazioni si svolgono solo in un quinto delle aziende intervistate. Nella stragrande maggioranza dei casi, gli esperti di sicurezza delle informazioni sono in qualche modo presuntivi che i dipendenti debbano in qualche modo padroneggiare autonomamente il contenuto dei documenti normativi sulla sicurezza. Oserei affermare che anche la conoscenza di una firma non ha alcun effetto: siamo tutti abituati a sottoscrivere formalmente le istruzioni di sicurezza senza approfondire la loro essenza. Spesso ne fa a meno.
Inseguendo tre lepri
Che cosa è irto per noi con il 10% delle violazioni identificate? A giudicare dalla distribuzione uniforme delle risposte alla domanda "Descrivi l'importanza informazioni aziendali"(Fig. 6), pochi esperti di sicurezza delle informazioni comprendono davvero l'essenza del business protetto. Naturalmente, la domanda stessa viene posta in qualche modo semplice, ma in pratica è spesso necessario affrontare il fatto che alla ricerca di tre uccelli con una fava (integrità, riservatezza e accessibilità) ) molti sono pronti a cogliere non ciò che è critico, ma ciò che è "più facile da catturare". A volte tali tentativi iniziano a perdere il contatto con il buon senso: a un certo punto, tutti i servizi di sicurezza spendono per limitare la capacità di utilizzare unità USB e allo stesso tempo non controllato in alcun modo e-mail, fax, stampanti e altri mezzi per inviare informazioni all'esterno dell'organizzazione. I problemi di recupero delle informazioni e di operatività del sistema in caso di guasto sono generalmente ignorati. E a proposito, questa è una delle principali minacce, se ti fidi dei risultati delle risposte alla domanda: "Indica i tipi di utilizzo risorse di informazione le aziende con dipendenti che hanno violato i regimi stabiliti l'anno scorso? "(Fig. 4).
Questo fraintendimento spiega la contraddizione identificata dal sondaggio: nonostante la grande importanza che il management dell'azienda attribuisce ai problemi di sicurezza (Fig. 7), i TOP manager non hanno fretta di aumentare i finanziamenti per la sicurezza delle informazioni e migliorare i sistemi di protezione (Fig. 8).
Specialisti della sicurezza "succo di casa"
Dallo studio emerge chiaramente che molti esperti di sicurezza "stanno bollendo nel loro stesso succo": rispondendo alla domanda "Quali misure di gestione e di esame della sicurezza delle informazioni hanno applicato la vostra azienda nell'ultimo anno?" (Fig. 9), solo il 12,5% degli intervistati ha dichiarato di utilizzare i servizi e la consulenza dei consulenti di sicurezza professionali. Poco più del 6% si rivolge a standard e pratiche internazionali. Il resto preferisce verificare la realtà solo con la propria esperienza e l'esperienza dei propri colleghi. Va notato in particolare che una parte significativa degli intervistati è certa: il numero di incidenti relativi all'IS crescerà solo in futuro e diventerà più difficile rilevarli (Fig. 10). Tuttavia, la maggior parte degli intervistati spera in una panacea, un salvavita sotto forma di una sorta di soluzione ad alta tecnologia che li salverà da un pericolo incombente. È gratificante affermare che le speranze principali sono associate proprio alla corretta costruzione e gestione dei processi di difesa. E questo conferma la crescita osservata oggi negli standard di sicurezza internazionali accettati. Esperti moderni si impegnano consapevolmente a utilizzare le raccomandazioni degli standard nelle attività quotidiane.
Questo articolo è un tentativo di considerare le reali minacce alla sicurezza delle informazioni che possono sorgere in condizioni moderne. Va notato che l'articolo non pretende di essere un "libro di testo sulla sicurezza delle informazioni", e tutto ciò che viene presentato è esclusivamente l'opinione dell'autore.
L'errore tradizionale di molti capi di società russe è quello di sottovalutare o sopravvalutare le minacce alla sicurezza delle informazioni di un'impresa. Spesso percepiscono la sicurezza IT nella migliore delle ipotesi come una delle misure di supporto per garantire la sicurezza in generale, a volte non svolge almeno alcun ruolo significativo - dicono, questa è tutta la preoccupazione degli amministratori di sistema. Questa opzione è tipica principalmente per le piccole e in parte per le medie imprese. Il secondo estremo, la sopravvalutazione del valore della sicurezza IT, si trova principalmente tra le grandi aziende ed è caratterizzato dall'aumento di una serie di misure per garantire la sicurezza IT al livello di "iperstrategia", rispetto alla quale viene costruita la principale strategia aziendale.
Non è un segreto che nel mondo moderno, gli affari dipendono più o meno dalla tecnologia dell'informazione. I vantaggi dell'utilizzo dell'IT per le aziende sono evidenti: la velocità e la semplicità di generazione, distribuzione, manipolazione e ricerca di informazioni eterogenee, organizzazione in base a vari criteri, facilità di archiviazione, capacità di accesso da quasi qualsiasi parte del mondo ... Tutti questi vantaggi richiedono supporto e manutenzione ben calibrati, che, a sua volta, impone determinati requisiti sull'infrastruttura IT sottostante. D'altro canto, i sistemi di informazione spesso contengono informazioni la cui divulgazione è altamente indesiderabile (ad esempio, informazioni riservate o informazioni che costituiscono un segreto commerciale). La violazione del normale funzionamento dell'infrastruttura o l'accesso alle informazioni presenti nell'IP sono minacce alla sicurezza delle informazioni.
Pertanto, le minacce alla sicurezza delle informazioni di un'impresa possono essere suddivise in diverse classi:
- Minacce di accesso
- Minacce all'integrità
- Minacce alle violazioni della privacy
Le minacce alle violazioni dell'accessibilità sono minacce associate a un aumento del tempo necessario per ricevere una determinata informazione o servizio informazioni. La violazione dell'accessibilità è la creazione di tali condizioni alle quali l'accesso al servizio o alle informazioni sarà bloccato o possibile per un periodo che non garantirà il raggiungimento di determinati obiettivi aziendali. Si consideri un esempio: in caso di errore del server, in cui si trovano le informazioni necessarie per prendere una decisione strategica, la proprietà di disponibilità delle informazioni viene violata. Un esempio simile: in caso di isolamento per qualsiasi motivo (errore del server, errore dei canali di comunicazione, ecc.) server email possiamo parlare della violazione della disponibilità dei servizi IT "e-mail". Di particolare rilievo è il fatto che il motivo della violazione della disponibilità di informazioni o servizi di informazione non deve essere nell'area di responsabilità del proprietario del servizio o delle informazioni. Ad esempio, nell'esempio sopra, con una violazione della disponibilità del server di posta, il motivo (errore dei canali di comunicazione) potrebbe essere al di fuori dell'area di responsabilità degli amministratori del server (ad esempio, errore dei canali di comunicazione trunk). Va anche notato che il concetto di "accessibilità" è soggettivo in ogni momento nel tempo per ciascuna delle entità che consumano un servizio o informazioni in un determinato momento. In particolare, una violazione della disponibilità del server di posta per un dipendente può comportare il fallimento di singoli piani e la perdita di un contratto, e per un altro dipendente della stessa organizzazione, l'impossibilità di ricevere le ultime notizie.
Le minacce alle violazioni dell'integrità sono minacce associate alla probabilità di modifica di qualsiasi informazione archiviata nell'IP. La violazione dell'integrità può essere causata da vari fattori, dalle azioni intenzionali del personale al guasto dell'attrezzatura. La violazione dell'integrità può essere intenzionale o non intenzionale (la causa di una violazione involontaria dell'integrità può essere, ad esempio, un malfunzionamento dell'attrezzatura).
Le minacce alle violazioni della privacy sono minacce associate all'accesso alle informazioni al di fuori dei privilegi di accesso disponibili per un determinato argomento. Tali minacce possono derivare dal "fattore umano" (ad esempio, la delega accidentale di privilegi a un altro utente a un altro utente), malfunzionamenti nel funzionamento di software e hardware.
L'implementazione di ciascuna di queste minacce singolarmente o in combinazione porta a una violazione della sicurezza delle informazioni dell'azienda.
È un dato di fatto, tutte le misure per garantire la sicurezza delle informazioni dovrebbero essere basate sul principio di minimizzare queste minacce.
Tutte le misure per garantire la sicurezza delle informazioni possono essere condizionatamente considerate a due livelli principali: a livello di accesso fisico ai dati e a livello di accesso logico ai dati che sono il risultato di decisioni amministrative (politiche).
A livello di accesso fisico ai dati, vengono presi in considerazione meccanismi per proteggere i dati da accessi non autorizzati e meccanismi per proteggere da danni ai supporti fisici dei dati. La protezione contro l'accesso non autorizzato comporta il posizionamento delle apparecchiature del server con i dati in una stanza separata, il cui accesso è disponibile solo per il personale con l'autorità appropriata. Allo stesso livello, come mezzo di protezione, è possibile creare un sistema server distribuito geograficamente. Il livello di protezione contro i danni fisici comporta l'organizzazione di vari tipi di sistemi specializzati che impediscono tali processi. Questi includono: cluster di server e backup ( prenota copia) server. Quando si lavora in un cluster (ad esempio, due server) in caso di guasto fisico di uno di essi, il secondo continuerà a funzionare, pertanto le prestazioni del sistema di elaborazione e dei dati non saranno influenzate. Con l'organizzazione aggiuntiva del backup (server di backup), è possibile ripristinare rapidamente il sistema informatico e i dati anche in caso di errore del secondo server nel cluster.
Il livello di protezione contro l'accesso logico ai dati implica la protezione contro l'accesso non autorizzato al sistema (di seguito denominato sistema significa un sistema IT progettato per generare, archiviare ed elaborare dati di qualsiasi classe - dai semplici sistemi di contabilità alle soluzioni della classe ERP) come al livello base dati e al livello del kernel del sistema e dei moduli utente. La protezione a questo livello implica l'adozione di misure per impedire l'accesso al database sia da Internet che rete locale organizzazioni (quest'ultimo aspetto della sicurezza ha tradizionalmente ricevuto scarsa attenzione, sebbene questo aspetto sia direttamente correlato a un fenomeno come lo spionaggio industriale). La protezione del nucleo del sistema comporta, insieme alle misure sopra indicate, il calcolo dei checksum delle parti critiche del codice eseguibile e l'audit periodico di tali checksum. Questo approccio consente di aumentare il grado generale di sicurezza del sistema. (Va notato che questo evento non è l'unico; è dato come un buon esempio). La sicurezza a livello di moduli utente dichiara la crittografia obbligatoria del traffico trasmesso sulla rete locale (o via Internet) tra il client (modulo utente) e l'applicazione (core del sistema). Inoltre, la sicurezza a questo livello può essere garantita calcolando i checksum di questi moduli, seguendoli controllandoli e adottando l'ideologia della "separazione di dati e codice". Ad esempio, un sistema creato utilizzando la tecnologia thin client dal punto di vista della sicurezza a questo livello presenta un vantaggio rispetto a un sistema realizzato utilizzando la tecnologia thin client, poiché non fornisce accesso al codice di logica aziendale a livello di moduli utente (ad esempio, disassemblando l'eseguibile file). Anche il meccanismo di certificazione appartiene allo stesso livello di protezione nello scambio tra il modulo utente e il server, così come l'autenticità del modulo utente stesso è confermata dal terzo partecipante allo scambio - il centro di certificazione.
Allo stesso modo, a livello di protezione contro l'accesso logico a livello di database di accesso, è consigliabile calcolare i checksum delle tabelle critiche e tenere un registro dell'accesso degli oggetti al database. Nel caso ideale ("thin client"), solo l'applicazione server (server della logica di business) ha accesso al database e tutte le altre query del database (di terze parti) vengono bloccate. Tale approccio consentirà di eliminare diversi tipi di attacchi e di concentrare la politica di protezione del database per garantire la sicurezza "in punti critici".
La protezione a livello di decisioni amministrative comprende misure amministrative volte a creare una politica chiara e comprensibile in materia di IT, PI, sicurezza delle informazioni, ecc. Possiamo affermare che questo livello è primario in relazione all'utente, poiché è la protezione a livello di decisioni amministrative che può prevenire la maggior parte delle situazioni critiche legate alla sicurezza delle informazioni.
Dovrebbero essere prese in considerazione altre due importanti questioni relative alla sicurezza: i metodi e i mezzi per l'autenticazione dell'utente e la registrazione degli eventi che si verificano nell'IP.
L'autenticazione dell'utente si riferisce al livello logico di sicurezza delle informazioni. Lo scopo di questa procedura è, in primo luogo, informare l'IS su quale particolare utente sta lavorando con lui, per fornirgli i diritti e le interfacce appropriate; in secondo luogo, per confermare i diritti di questo particolare utente in relazione all'IP. Tradizionalmente, la procedura di autenticazione si riduce all'utente inserendo un nome utente (login) e una password.
Molto spesso, nelle applicazioni mission-critical, il modulo di immissione nome utente / password è un'applicazione che funziona in un tunnel software sicuro (raramente hardware), che crittografa incondizionatamente tutte le informazioni trasmesse sulla rete. Sfortunatamente, la situazione più frequente è quando il nome utente e la password vengono trasmessi in rete in una forma aperta (ad esempio, quelli più noti gratuiti funzionano secondo questo principio sistemi di posta su internet). Oltre al software (inserendo una combinazione nome utente / password), esistono anche soluzioni hardware-software e hardware per l'autenticazione dell'utente. Questi includono floppy disk e chiavette USB con file chiave (abbastanza spesso - in combinazione con l'inserimento del solito nome utente / password per confermare l'autorità per le azioni critiche), protetto dalla copia; Chiavette USB con un file chiave; scanner dell'iride; scanner di impronte digitali; sistemi di antropologia. Una delle opzioni per aumentare il grado di protezione dell'IP è limitare la durata della password e limitare il tempo di inattività dell'utente nell'IP. Limitare la durata di una password è l'emissione di una password che dura solo un determinato numero di giorni: 30, 60, ecc. Di conseguenza, con il cambio periodico delle password, aumenta il grado di protezione dell'IP nel suo insieme. Limitare il tempo di inattività dell'utente comporta la chiusura automatica di una sessione utente nel caso in cui l'attività dell'utente non sia stata registrata in questa sessione per un determinato periodo di tempo.
La registrazione di tutti gli eventi che si verificano nell'IP è necessaria per ottenere un quadro chiaro dei tentativi di accesso non autorizzati o delle azioni del personale non qualificate in relazione all'IP. Una situazione comune è l'introduzione di moduli specializzati nell'IP che analizzano gli eventi di sistema e prevengono azioni distruttive in relazione all'IP. Tali moduli possono funzionare in base a due prerequisiti: rilevamento delle intrusioni e prevenzione del superamento della disponibilità. Nel primo caso, i moduli analizzano statisticamente il comportamento tipico dell'utente e danno un "allarme" in caso di deviazioni evidenti (ad esempio, il lavoro dell'operatore alle 22-30 per la prima volta in due anni è decisamente sospetto); nel secondo caso, in base all'analisi della sessione corrente dell'utente, cercano di prevenire azioni potenzialmente distruttive (ad esempio un tentativo di eliminare qualsiasi informazione).
Nota:
IS - sicurezza delle informazioni
IT - Informatica
IP - sistemi di informazione o sistema di informazione (nel contesto)
Una minaccia alla sicurezza delle informazioni è intesa come un'attività accidentale o intenzionale di persone o un fenomeno fisico che può portare a una violazione della sicurezza delle informazioni. Di seguito sono riportati i principali tipi e aspetti delle minacce alla sicurezza delle informazioni.
2.2.1 Classificazione delle minacce alla sicurezza delle informazioni
L'intero insieme di potenziali minacce alla sicurezza delle informazioni per natura della loro occorrenza può essere diviso in due classi (Figura 7): naturale (obiettivo) e artificiale (soggettivo).
Figura 7 - Minacce alla sicurezza
Le minacce naturali sono minacce causate da impatti su un sistema automatizzato e sui suoi elementi di processi fisici oggettivi o catastrofi naturali indipendenti dalla persona.
Le minacce artificiali sono minacce alla sicurezza delle informazioni causate dalle attività umane. Tra questi, in base alla motivazione delle azioni, possiamo distinguere:
1. Minacce non intenzionali (involontarie, accidentali) causate da errori nella progettazione di un sistema automatizzato e dai suoi elementi, errori nel software, errori nelle azioni del personale, ecc.
2. Minacce intenzionali (intenzionali) associate alle aspirazioni egoistiche delle persone (aggressori).
Le fonti di minacce al sistema automatizzato possono essere esterne o interne. Le minacce interne sono realizzate dai componenti del sistema informativo stesso: hardware, software o personale.
Le principali minacce artificiali non intenzionali alla sicurezza delle informazioni includono azioni eseguite da persone per caso, per ignoranza, disattenzione o negligenza, per curiosità, ma senza intenzioni maligne:
1. Azioni involontarie che portano a un guasto parziale o completo del sistema o alla distruzione di hardware, software, risorse informative del sistema (danni involontari alle apparecchiature, cancellazione, corruzione di file con informazioni o programmi importanti, inclusi quelli di sistema, ecc.).
2. Arresto illegale delle apparecchiature o modifica delle modalità operative di dispositivi e programmi.
3. Corruzione involontaria di supporti di informazione.
4. Avvio di programmi tecnologici in grado di utilizzare in modo incompetente causando una perdita delle prestazioni del sistema (blocco o loop) o apportando modifiche irreversibili al sistema (formattazione o ristrutturazione dei supporti di archiviazione, eliminazione dei dati, ecc.).
5. Implementazione e utilizzo illegali di programmi non contabilizzati (giochi, istruzione, tecnologia, ecc., Che non sono necessari affinché il trasgressore esegua le proprie funzioni ufficiali), seguiti da spese irragionevoli di risorse (carico della CPU, acquisizione di RAM e memoria su supporti esterni).
6. Infezione di un computer con virus.
7. Azioni negligenti che portano alla divulgazione di informazioni riservate o alla loro pubblicazione al pubblico.
8. Divulgazione, trasferimento o perdita degli attributi di controllo dell'accesso (password, chiavi di crittografia, carte d'identità, pass).
9. Progettazione dell'architettura di sistema, tecnologia di elaborazione dei dati, sviluppo di programmi applicativi, con funzionalità che rappresentano un pericolo per l'operabilità del sistema e la sicurezza delle informazioni.
10. Ignorare le restrizioni organizzative (regole stabilite) quando si lavora nel sistema.
11. Accedere al sistema bypassando le funzioni di sicurezza (caricamento di un sistema operativo estraneo da supporti magnetici rimovibili, ecc.).
12. Uso, configurazione o disconnessione illegale delle apparecchiature di sicurezza da parte del personale di sicurezza.
13. Inoltro dei dati all'indirizzo errato dell'abbonato (dispositivo).
14. Immissione di dati errati.
15. Danni involontari ai canali di comunicazione.
Le principali minacce artificiali intenzionali includono:
1. Distruzione fisica del sistema (per esplosione, incendio doloso, ecc.) O guasto di tutti o alcuni dei componenti più importanti di un sistema informatico (dispositivi, portatori di informazioni importanti sul sistema, personale, ecc.).
2. Disabilitare o disabilitare i sottosistemi per garantire il funzionamento dei sistemi informatici (alimentazione, raffreddamento e ventilazione, linee di comunicazione, ecc.).
3. Azioni per disorganizzare il funzionamento del sistema (modifica delle modalità operative di dispositivi o programmi, sciopero, sabotaggio del personale, messa in scena di potenti interferenze radio attive alle frequenze di funzionamento dei dispositivi di sistema, ecc.).
4. L'introduzione di agenti nel numero del personale nel sistema (incluso, eventualmente, nel gruppo amministrativo responsabile della sicurezza).
5. Assunzione (tramite corruzione, ricatto, ecc.) Di personale o singoli utenti con determinati poteri.
6. L'uso di dispositivi di ascolto, riprese remote di foto e video, ecc.
7. Intercettazione di emissioni elettromagnetiche, acustiche e di altro tipo da dispositivi e linee di comunicazione, nonché raccolta di emissioni attive da mezzi tecnici ausiliari che non sono direttamente coinvolti nell'elaborazione delle informazioni (linee telefoniche, alimentazione, riscaldamento, ecc.).
8. Intercettazione dei dati trasmessi sui canali di comunicazione e loro analisi al fine di accertare i protocolli di scambio, le regole per entrare in comunicazione e l'autorizzazione dell'utente e i successivi tentativi di simularli per penetrare nel sistema.
9. Furto di supporti di archiviazione (dischi magnetici, nastri, chip di memoria, dispositivi di archiviazione e interi PC).
10. Copia non autorizzata di supporti di memorizzazione.
11. Furto di rifiuti industriali (stampe, registrazioni, supporti di archiviazione scartati, ecc.).
12. Lettura delle informazioni residue dalla RAM e dai dispositivi di archiviazione esterni.
13. Lettura delle informazioni dalle aree della RAM utilizzate dal sistema operativo (incluso il sottosistema di protezione) o da altri utenti, utilizzando in modo asincrono le carenze dei sistemi operativi multitasking e dei sistemi di programmazione.
14. Ricezione illegale di password e altri dettagli del controllo di accesso (sotto copertura, per negligenza degli utenti, per selezione, simulando l'interfaccia di sistema, ecc.), Seguita da travestimento come utente registrato ("mascherata").
15. Uso non autorizzato di terminali utente con caratteristiche fisiche uniche, come il numero stazione di lavoro rete, indirizzo fisico, indirizzo nel sistema di comunicazione, unità di codifica hardware, ecc.
16. Apertura di codici informativi crittografici.
17. Introduzione di investimenti speciali in hardware, segnalibri software e virus, ad es tali sezioni di programmi che non sono necessarie per svolgere le funzioni dichiarate, ma che consentono di superare il sistema di protezione, accedere segretamente e illegalmente alle risorse del sistema al fine di registrare e trasmettere informazioni critiche o disorganizzare il funzionamento del sistema.
18. Collegamento illegale alle linee di comunicazione allo scopo di lavorare "tra le linee", usando pause nelle azioni di un utente legittimo per suo conto, seguito dall'inserimento di messaggi falsi o dalla modifica di messaggi trasmessi.
19. Collegamento illegale alle linee di comunicazione con l'obiettivo di sostituire direttamente un utente legittimo disconnettendolo fisicamente dopo aver effettuato l'accesso e aver eseguito correttamente l'autenticazione, seguito da disinformazione e imposizione di messaggi falsi.
Molto spesso, per raggiungere questo obiettivo, l'attaccante non utilizza uno, ma una combinazione dei percorsi sopra indicati.
L'articolo analizza le minacce alla violazione della sicurezza delle informazioni dei sistemi di informazione e dei modelli e metodi esistenti per contrastare gli attacchi informatici. L'articolo discute anche i problemi di garantire la sicurezza delle informazioni.
Parole chiave: sistema informativo, sicurezza delle informazioni, modelli, metodi, minacce informative
Ad oggi, i problemi di sicurezza delle informazioni (IS) sia a livello statale che in Europa
viene prestata sufficiente attenzione alle dimensioni di una singola impresa, nonostante ciò, il numero di potenziali minacce non diminuisce.
La varietà di minacce alla violazione della sicurezza delle informazioni è così grande che è piuttosto difficile prevederle, ma il compito è fattibile.
Al fine di garantire un determinato livello di protezione delle informazioni, è necessario innanzitutto identificare le principali
le minacce di violazione della sicurezza delle informazioni per uno specifico oggetto di informatizzazione, in secondo luogo, progettano un modello adeguato per contrastarli e attuarlo in futuro.
Una minaccia di informazione è generalmente intesa come un potenziale pericolo di una violazione intenzionale o non intenzionale (accidentale) della procedura per la memorizzazione e l'elaborazione delle informazioni.
I processi di raccolta, archiviazione, elaborazione e diffusione delle informazioni che si verificano in un sistema informativo (IP) causano l'emergere di minacce informative.
Le minacce IS possono essere classificate in base a diversi criteri principali:
Per natura dell'evento (naturale, artificiale);
Sull'aspetto della sicurezza delle informazioni (accessibilità, riservatezza, integrità);
In base al grado di impatto sull'IP (passivo, attivo);
Dai componenti dell'IP a cui sono dirette le minacce (infrastruttura, canali di comunicazione, hardware, software);
Per posizione della fonte delle minacce (interna, esterna);
Con il metodo di attuazione (casuale, deliberato).
Allo stato attuale dello sviluppo di strumenti di sicurezza delle informazioni, sono note le possibili minacce alla sicurezza delle informazioni di un'impresa, indipendentemente dalla proprietà. Questi includono principalmente:
- azioni deliberate dei dipendenti;
- azioni casuali dei dipendenti;
- attacchi da parte di hacker al fine di ottenere informazioni riservate o danneggiare le attività dell'azienda.
Secondo gli esperti nel campo della sicurezza delle informazioni, oltre il 90% di tutti i reati nel campo della tecnologia dell'informazione è commesso da dipendenti di organizzazioni (utenti interni).
In pratica, le minacce informative sono più spesso classificate in base al loro impatto sulle proprietà di base delle informazioni. Considerando dato problema, poiché le principali proprietà delle informazioni possono essere identificate:
· Integrità delle informazioni: proprietà delle informazioni per mantenere la pertinenza e la coerenza nel processo di raccolta, accumulazione, conservazione, recupero e diffusione; resistenza delle informazioni alla distruzione e al cambiamento non autorizzato.
· Accessibilità delle informazioni - la capacità di mantenere il suo valore in base alla velocità del suo utilizzo e alla capacità di essere fornita a un utente autorizzato in un determinato periodo di tempo.
· La riservatezza delle informazioni è proprietà delle informazioni che devono essere conosciute solo da entità autorizzate e verificate (autorizzate) dell'impresa (direzione, impiegati responsabili, utenti della rete di informazioni dell'impresa, ecc.) E che perdono il loro valore se divulgate a un utente non autorizzato.
Oltre alle proprietà di informazioni di cui sopra, è anche necessario aggiungere significato e vulnerabilità delle informazioni.
L'importanza delle informazioni è un indicatore integrato di valutazione della qualità delle informazioni utilizzate nella gestione di uno specifico tipo di attività, delle sue caratteristiche generalizzanti, che riflette l'importanza di prendere decisioni manageriali, rilevanza pratica per raggiungere risultati specifici o implementare funzioni specifiche La vulnerabilità delle informazioni è la possibilità di potenziali perdite, distruzione fisica e non autorizzati utilizzo nell'ambito di processi informativi.
Da quanto sopra risulta che il problema di garantire la sicurezza dell'IP sta diventando sempre più importante. Ovviamente, la sua soluzione dovrebbe essere implementata sistematicamente, sulla base di uno studio completo delle tecnologie di sicurezza sfera dell'informazione, modelli e metodi per contrastare gli attacchi informatici.
Sulla base di un'analisi della letteratura sui sistemi per rilevare e analizzare gli attacchi informatici, i metodi sopra indicati di solito non hanno una descrizione matematica sufficiente. Fondamentalmente, sono formalizzati sotto forma di metodi e funzioni degli strumenti di rilevamento degli attacchi informatici utilizzati negli strumenti per prevenire e rilevare gli attacchi informatici. Le problematiche del contrasto degli attacchi informatici nella letteratura moderna non sono state riflesse in modo indipendente, pertanto l'analisi dei metodi considerati viene effettuata per metodi ben noti per rilevare e analizzare gli attacchi. I metodi per rilevare e analizzare le influenze non autorizzate sulla risorsa di un sistema informativo possono essere suddivisi in:
- metodi di analisi della firma,
- metodi per rilevare deviazioni anomale.
I metodi di analisi della firma sono progettati per rilevare attacchi noti e si basano sul controllo di programmi e dati nell'IS e sulla verifica di riferimento della sequenza di caratteri ed eventi nella rete con un database di firme di attacco. I dati iniziali per l'applicazione dei metodi sono informazioni dai registri di sistema di software generale e speciale, database e parole chiave del traffico di rete IP. Il vantaggio di questi metodi sono i requisiti insignificanti per le risorse informatiche dell'IS, l'elevata efficienza del ciclo di controllo tecnologico (TCU) nell'IS e l'affidabilità del rilevamento e dell'analisi degli attacchi. Lo svantaggio dei metodi di analisi della firma è l'incapacità di rilevare nuovi attacchi (modificati) senza una rigorosa formalizzazione parole chiave aggiornamenti del database delle firme di traffico e attacchi.
I metodi di rilevamento di anomalie anomale sono progettati per rilevare attacchi sconosciuti. Il principio della loro azione è che viene rilevato un comportamento IP anomalo che è diverso dal tipico e sulla base di questo fatto viene presa una decisione sulla possibile presenza di un attacco. Deviazioni anomale nella rete sono rilevate da segni di attacchi informatici, come rari tipi di stack di protocollo (interfacce) per la richiesta di informazioni, pacchetti di dati lunghi, pacchetti con rare distribuzioni di simboli e una forma non standard di richiesta per un array di dati.
Applicare metodi per rilevare deviazioni anomale e ridurre il numero falsi positivi È necessaria una chiara conoscenza delle regole per l'elaborazione dei dati e dei requisiti per garantire la sicurezza delle informazioni (l'ordine di amministrazione stabilito), gli aggiornamenti dei programmi monitorati, le informazioni sui modelli tecnologici per l'esecuzione della TCU in IS. I metodi per applicare metodi di rilevazione di anomalie anomale variano modelli matematici :
· Modelli statistici:
- modelli probabilistici;
- modelli di analisi dei cluster.
· Modelli di macchine a stati finiti.
· Modelli Markov.
· Modelli basati su reti neurali.
· Modelli basati sull'ingegneria genetica.
Nel metodo di rilevazione di deviazioni anomale, che utilizza modelli statistici, l'identificazione di attività anomale viene effettuata confrontando l'attività corrente del traffico di rete IS con i requisiti specificati per il modello tecnologico (profilo di comportamento normale) dell'IC TC.
I seguenti indicatori vengono utilizzati come indicatore principale nei modelli probabilistici per il rilevamento di attacchi informatici:
- la probabilità di una nuova forma di un pacchetto di trasferimento dati diverso dal riferimento;
- aspettativa matematica e varianza delle variabili casuali che caratterizzano il cambiamento di indirizzi IP della fonte e del consumatore di informazioni, numero di porte delle fonti AWP e consumatori di informazioni.
I metodi statistici danno buoni risultati su un piccolo sottoinsieme di attacchi informatici dall'intera serie di possibili attacchi. Lo svantaggio dei modelli statistici per il rilevamento di deviazioni anomale è che non ci consentono di stimare la quantità di dati trasmessi e non sono in grado di rilevare intrusioni di attacchi con dati distorti. Il collo di bottiglia dei metodi è la possibilità di traboccare il buffer dei controlli di soglia con spam di messaggi falsi.
Per un uso efficace dei modelli statistici nel metodo di rilevazione di deviazioni anomale, sono richiesti regole di decisione rigorosamente definite e verifica delle parole chiave (soglie di risposta) a vari livelli dei protocolli di trasferimento dei dati. Altrimenti, la percentuale di falsi positivi, secondo alcune stime, è circa il 40% del numero totale di attacchi rilevati.
I modelli di analisi dei cluster si basano sulla costruzione di un profilo delle normali attività (ad esempio un cluster di traffico normale) e sulla valutazione delle deviazioni da questo profilo utilizzando criteri selezionati, segni (un classificatore dei componenti principali) di attacchi informatici e il calcolo delle distanze tra i cluster su una varietà di segni di attacco. I modelli di analisi del cluster utilizzano un algoritmo in due fasi per rilevare gli attacchi del computer. Nella prima fase, le informazioni vengono raccolte per formare un insieme di cluster di dati di comportamento IS anormale ai livelli più bassi dei protocolli di trasferimento dei dati. Nella seconda fase, viene eseguita un'analisi comparativa dei cluster ottenuti del comportamento anormale dell'IS con i cluster che descrivono il comportamento normale del sistema. La probabilità di riconoscimento degli attacchi da parte dei modelli di analisi dei cluster è in media 0,9 quando si rilevano intrusioni solo sulle intestazioni dei pacchetti di trasferimento dati senza analisi semantica della componente informativa dei pacchetti. Per ottenere dati affidabili utilizzando modelli di analisi dei cluster, è necessaria un'analisi della procedura di identificazione e autenticazione, registrazione degli abbonati, interruzioni del sistema, accesso alle risorse informatiche in diversi registri del sistema IP: audit, registrazione, risorse, che portano a un ritardo nel processo decisionale, è necessario. Un tale ritardo spesso rende impossibile utilizzare i modelli di analisi dei cluster in sistemi con una scala temporale quasi reale.
Il rilevamento di attacchi mediante il modello di macchina a stati si basa sulla modellizzazione da parte della macchina a stati dei processi di interazione delle informazioni degli abbonati IS mediante i protocolli di trasferimento dei dati. Una macchina a stati è descritta da insiemi di dati di input, dati di output e stati interni. Gli attacchi sono registrati da transizioni "anormali" dell'IP da stato a stato. Si presume che nell'IS siano determinate le transizioni "regolari" di un sistema da stato a stato e che stati e transizioni sconosciuti a questi stati siano registrati come anomali. Il vantaggio di questo modello è una selezione semplificata delle caratteristiche di classificazione per IP e la considerazione di un piccolo numero di transizioni da stato a stato. Il modello consente di rilevare attacchi nel flusso di elaborazione dei dati mediante protocolli di rete in una modalità vicina alla scala dei tempi reali. Gli svantaggi del modello includono la necessità di sviluppare un gran numero di complesse regole di esperti per un'analisi comparativa degli stati e delle transizioni necessari e anomali del sistema. Le regole degli esperti per la valutazione dello stato dell'IP sono interconnesse con le caratteristiche protocolli di rete trasmissione dati.
I metodi per rilevare deviazioni anomale basati su modelli di Markov si basano sulla formazione della catena Markov di un sistema normalmente funzionante e sulla funzione di distribuzione di probabilità del passaggio da uno stato a un altro. Queste informazioni vengono utilizzate come dati di allenamento. Le anomalie vengono rilevate confrontando le catene di Markov e le corrispondenti funzioni di distribuzione della probabilità del funzionamento anomalo e normale dell'IS con i valori della soglia di probabilità dell'insorgenza degli eventi. In pratica, questo modello è più efficace per rilevare attacchi di computer basati sulle chiamate di sistema del sistema operativo e richiede metriche entropiche condizionali aggiuntive per l'uso in sistemi quasi in tempo reale.
I metodi di rilevamento di attacchi informatici basati su reti neurali vengono utilizzati per la classificazione preliminare delle anomalie nell'IP. Si basano sull'identificazione del comportamento normale del sistema da parte della funzione di distribuzione della ricezione di pacchetti di dati (esecuzione di determinati comandi dell'operatore), formazione rete neurale e analisi comparativa di eventi campione di formazione.
Una deviazione anomala nell'IP viene rilevata quando il grado di confidenza della rete neurale nella sua decisione si trova al di sotto di una soglia predeterminata. Si presume che l'uso di un modello di rete neurale per implementare meccanismi per proteggere le informazioni IS dagli attacchi dei computer sia preceduto dall'addestramento di queste reti con determinati algoritmi funzionanti. Gli svantaggi dei metodi di rilevamento degli attacchi informatici mediante una rete neurale sono il complesso apparato matematico che non funziona in modo efficace nei sistemi quasi in tempo reale e la complessità dell'addestramento della rete per rilevare attacchi sconosciuti.
I modelli per il rilevamento di attacchi informatici basati sull'ingegneria genetica si basano sull'applicazione dei risultati della genetica e sui modelli del sistema immunitario umano nel campo della tecnologia dell'informazione. L'approccio di questo modello si basa sulla modellizzazione di elementi del sistema immunitario umano in modo da rilevare anomalie presentando dati sui processi tecnologici nella catena IS (vettore) dei segni, e quindi calcolando una misura di somiglianza tra la catena di addestramento dei segni che caratterizza il normale "comportamento" dell'IS e la catena di test che caratterizza l'anormale funzionamento. Se non viene trovato alcun accordo tra i dati di addestramento e test, il processo viene interpretato come anomalo. Una delle principali difficoltà nell'applicazione di questo modello è la scelta di una soglia per il coordinamento dei dati, la formazione della quantità richiesta di addestramento e dati dei campioni di prova e la sensibilità ai falsi positivi.
Un modello basato sull'ingegneria genetica (il sistema immunitario naturale) viene utilizzato per rilevare composti anomali utilizzando il protocollo TCP / IP utilizzando i dati sugli indirizzi IP: fonte di informazione, consumatore di informazioni e strumenti di comunicazioneattraverso il quale gli abbonati sono connessi alla rete. Lo svantaggio di questi modelli è che richiedono una complessa procedura di configurazione per l'addestramento e la verifica di campioni o dati sul comportamento di un individuo nell'IP con il coinvolgimento di un operatore altamente qualificato.
Pertanto, il vantaggio dei metodi per rilevare deviazioni anomale è la capacità di analizzare i processi dinamici del funzionamento dell'IP e identificare nuovi tipi di attacchi informatici in essi. I metodi consentono il riconoscimento a priori delle anomalie mediante la scansione sistematica delle vulnerabilità.
Gli svantaggi di questi metodi includono la necessità di aumentare il carico sul traffico sulla rete, la complessità dell'implementazione e la minore affidabilità del rilevamento di attacchi informatici rispetto all'analisi delle firme.
Una limitazione dei metodi per rilevare e analizzare gli attacchi informatici è la necessità di informazioni dettagliate sull'uso dei protocolli (stack di protocolli) per la trasmissione di dati in IP a tutti i livelli del modello di riferimento per l'interazione di sistemi aperti.
Un'analisi comparativa dei metodi esistenti per rilevare gli attacchi informatici analizzando le firme e le deviazioni anomale nell'IP ha dimostrato che l'approccio più universale per rilevare attacchi noti e sconosciuti è il metodo di rilevamento delle anomalie. Per aumentare la stabilità del funzionamento dell'IP, è necessario un metodo combinato per contrastare gli attacchi informatici, che utilizza in modo flessibile gli elementi dell'analisi delle firme, identificando le anomalie e l'analisi funzionale delle funzioni IP eseguite dinamicamente.
Lista di referenze
1. Betelin V. B., Galatenko V. A. Fondamenti di sicurezza delle informazioni: corso di lettura: libro di testo terza edizione, 2006, 208 pagg.
2. Burkov V.N., Graziansky E.V., Dzyubko S.I., Schepkin A.V. Modelli e meccanismi di gestione della sicurezza. Serie "Sicurezza". - SINTEG, 2001, 160 s.
3. GOST R ISO / IEC 27033-3 - 2014 Tecnologia dell'informazione Metodi e strumenti di sicurezza. Sicurezza della rete Parte 3 Scenari di rete di riferimento. Minacce, metodi di progettazione e problemi di gestione.
4. Devyanin P.N. Modelli di sicurezza dei sistemi informatici. Academy Publishing Center, 2005, 144 pagg.
5. Klimov S.M., Sychev M.P., Astrakhov A.V. Contrastare gli attacchi informatici. Base metodica. Pubblicazione educativa elettronica. - M .: MSTU dal nome N.E. Bauman, 2013, 108 p.
6. Shangin V.F. Sicurezza delle informazioni nei sistemi e nelle reti di computer. DMK Press, 2012, 591 pagg.
7.http: //sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "Analisi delle minacce alla sicurezza delle informazioni delle imprese industriali", Balanovskaya A.V., 2013
