Філія ГОУ ВПО «МЕІ (ТУ)»
в м Смоленську,
студентка 6-го курсу
МЕТОДИ ПОРУШЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНИХ СИСТЕМ
В даний час комп'ютери повсюдно міцно увійшли в сучасний світ, в усі сфери людської діяльності і науки, тим самим, створюючи необхідність в забезпеченні їх різним програмним забезпеченням. Звичайно, в першу чергу це пов'язано з розвитком електронної обчислювальної техніки і з її швидким вдосконаленням та впровадженням в різні сфери людської діяльності.
Причиною такого інтенсивного розвитку інформаційних технологій є все зростаюча потреба у швидкій і якісної обробки інформації, потоки якої з розвитком суспільства постійно зростають.
Об'єднання комп'ютерів у мережі дозволило значно підвищити продуктивність праці. Комп'ютерні мережі використовуються як для виробничих (або офісних) потреб, так і для навчання, спілкування і т. д.
Широке застосування комп'ютерних технологій в автоматизованих системах обробки інформації та управління призвело до загострення проблеми захисту інформації, що циркулює в комп'ютерних системах. Виникла необхідність створення комплексних система виявлення вторгнень.
Системи виявлення вторгнень використовуються для виявлення деяких типів шкідливої \u200b\u200bактивності, Яке може порушити безпеку інформації комп'ютерної системи. До такої активності відносяться мережеві атаки проти вразливих сервісів, атаки, спрямовані на підвищення привілеїв, неавторизований доступ до важливих файлів, а також дії шкідливого програмного забезпечення (Комп'ютерних вірусів, троянів і черв'яків).
під порушенням безпеки інформаційної системибудемо розуміти одну з ситуацій, які можуть бути організовані порушником. До них відносяться :
· Переривання або роз'єднання.
Інформація знищується або стає недоступною або непридатною для використання. В цьому випадку порушується доступність інформації. Прикладом таких порушень може бути вплив порушника на елементи мережі (лінії зв'язку (ЛЗ), вузли комутації (КК), пристрої управління, БД і так далі) з метою їх знищення або приведення в неробочий стан.
· перехоплення.
До інформації відкривається несанкціонований доступ. порушується конфіденційність переданої інформації . Прикладом такого типу порушень є несанкціоноване підключення до каналу зв'язку.
· модифікація (Спотворення).
До інформації відкривається несанкціонований доступ з метою зміни інформації. При цьому порушується конфіденційність інформації, що передається і її цілісність. Метою такого типу порушень є зміна інформації, що передається по мережі.
· фальсифікація.
Порушник видає себе за джерело інформації. При цьому порушується автентичність інформації(Властивість, яке гарантуватиме, що суб'єкт або ресурс ідентичні заявленим). Прикладом такого типу порушень є відправка підроблених повідомлень по мережі.
Наведені вище типи порушень можна розділити на дві групи:
· Активні;
· Пасивні.
Під активним впливом на розподілену обчислювальну систему розуміється вплив, що надає безпосередній вплив на роботу системи (зміна конфігурації розподіленої обчислювальної системи, Порушення працездатності і т. Д.) І порушує прийняту в ній політику безпеки. Практично всі типи віддалених атак є активними впливами. Очевидною особливістю активного впливу, в порівнянні з пасивним, є принципова можливість його виявлення, так як в результаті його здійснення в системі відбуваються певні зміни. До цієї групи належать:
· Переривання - порушення доступності та конфіденційності;
· Модифікація - порушення цілісності;
· Фальсифікація - порушення автентичності.
Пасивним впливом на розподілену обчислювальну систему називається вплив, яка не має безпосереднього впливу на роботу системи, але може порушувати її політику безпеки.
Саме відсутність безпосереднього впливу на роботу розподіленої обчислювальної системи призводить до того, що пасивне віддалене вплив практично неможливо виявити. Прикладом пасивного типового віддаленого впливу в розподіленої обчислювальної системи служить прослуховування каналу зв'язку в мережі. При пасивному впливі, на відміну від активного, не залишається ніяких слідів (від того, що атакуючий перегляне чуже повідомлення в системі, нічого не зміниться). Досить впевнено можна стверджувати, що пасивні порушення ставлять своєю кінцевою метою перехід в групу активних порушень.
Основні цілі впливу:
· Порушення конфіденційності інформації або ресурсів системи;
· Порушення цілісності інформації;
· Порушення працездатності (доступності) системи.
Мета більшості атак - дістати несанкціонований доступ до інформації. Існують дві принципові можливості доступу до інформації: перехоплення і спотворення. У першому випадку мається несанкціонований доступ до інформації без можливості її спотворення (пасивне вплив).
Спотворення інформації означає повний контроль над інформаційним потоком між об'єктами системи або можливість передачі повідомлень від імені іншого об'єкта. Очевидно, що спотворення інформації веде до порушення її цілісності, тобто, є активний вплив.
Принципово іншою метою атаки є порушення працездатності системи. У цьому випадку основна мета зломщика - домогтися, щоб операційна система на атакованому об'єкті вийшла з ладу і, отже, для всіх інших об'єктів системи доступ до ресурсів даного об'єкта був би неможливий. Прикладом віддаленої атаки, метою якої є порушення працездатності системи, може служити типова атака «відмова в обслуговуванні».
За умовою початку здійснення впливу так само можна класифікувати атаки. Віддалене вплив, також як і будь-яка інша, може почати здійснюватися тільки за певних умов. У розподілених обчислювальних системах існують три види умов початку здійснення віддаленої атаки:
· Атака за запитом від атакується об'єкта;
· Атака по настанню очікуваної події на атакується об'єкті;
· Безумовна атака.
У першому випадку зломщик очікує передачі від потенційної мети атаки запиту певного типу, який і буде умовою початку здійснення впливу. Важливо відзначити, що даний тип віддалених атак найбільш характерний для розподілених обчислювальних систем.
У другому випадку атакуючий здійснює постійне спостереження за станом операційної системи віддаленої мети атаки, і при виникненні певної події в цій системі починає вплив. Як і в попередньому випадку, ініціатором здійснення початку атаки виступає сам об'єкт, що атакується.
У третьому випадку початок здійснення атаки безумовно, по відношенню до мети атаки, тобто атака здійснюється негайно і безвідносно до стану системи і атакується об'єкта. Отже, в цьому випадку атакуючий є ініціатором початку здійснення атаки.
ЛІТЕРАТУРА
1. Новиков, С. Н. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування: навчальний посібник /. - Новосибірськ, 20с .: ил.
2. Ховард, М. Захищений код / \u200b\u200bМ. Ховард, Д. Лебланк. - пров. з англ., - 2-е изд., ісп. М .: Видавничо-торговий дім «Російська Редакція», 20с.
3. Шаньгина, В. Ф. Інформаційна безпека комп'ютерних систем і мереж: навч. посібник / . - М .: ВД «Форум»: Инфа-М, 20с.
Порушення ІБ. Інтернет і безпеку корпоративного інформаційного простору
Результати опитування
М.С.Савельев
Заступник директора з маркетингу
Компанії "Інформзахист"
Ефективна стратегія захисту корпоративної інформаційної середовища (ІС) вимагає не тільки прагнення до забезпечення всебічної безпеки мережі компанії, але і аналізу реального стану справ в цій галузі і оцінки дій, що робляться для аналізу існуючих ризиків і попередження порушень. Результати дослідження, проведеного журналом "Information Security / Інформаційна безпека", можуть виявитися корисними для вивчення проблем інформаційної безпеки (ІБ) компанії.
Результати даного опитування красномовно свідчать про те, що основна загроза безпеці корпоративного інформаційного простору виходить саме зсередини компанії.
"Гігієна" інформаційної системи компанії
Практично ніхто з опитаних не стикався зі значними порушеннями ІБ компанії з боку зовнішніх зловмисників (рис. 1). Половина респондентів стверджує, що на їх пам'яті не траплялося спроб проникнення в корпоративну ІС ззовні. Правда, для абсолютно точного висновку було б цікаво враховувати і ще один факт: чи мають компанії, які беруть участь в опитуванні, засоби для виявлення і запобігання зовнішніх атак, але таке питання не було поставлено.
У повсякденній практиці досить часто доводиться стикатися з тим, що, незважаючи на наявність в своєму арсеналі засобів захисту, відділи ІБ компаній і організацій не в змозі успішно їх експлуатувати. Непрямим підтвердженням тому служить картина відповідей на питання "Наскільки розвинене управління системою забезпечення ІБ?" (Рис. 2): неефективно використовується навіть таке "гігієнічний" засіб захисту, як антивірус. У компаніях майже п'ятої частини респондентів не провадиться настройка опцій автоматичного оновлення антивірусних баз - це питання віддається на відкуп користувачам. Звідси цілком очевидно наступне: керівництво і IT-фахівці компаній-респондентів можуть просто не підозрювати про те, які події відбуваються в їх системах. До слова, сучасні загрози, такі, як, наприклад, бот-віруси, можна виявити лише по ледь вловимим ознаками, а точніше - тільки шляхом аналізу ретельно налаштованих засобів захисту.
Найнебезпечніший порушник - користувач
Всупереч досить поширеним в 2006 р твердженнями про величезну небезпеку, що виходить від інсайдерських погроз, опитування журналу показав, що велика частина інцидентів в реальному досвіді фахівців з ІБ - це ненавмисні, ненавмисні дії користувачів (рис. 3). Фактично користувачі порушують встановлені в організації правила використання корпоративної ІС, незлонамеренно зробивши ту чи іншу дію (рис. 4). Причому характерно, що правила поведінки в області ІБ для співробітників компаній завбачливо описані (рис. 2) і в політиці з інформаційної безпеки, і в обов'язках співробітників, і в інших документах. Незважаючи на засвідчене учасниками анкетування наявність в їх компаніях спеціальних інструкцій і документів по ІБ, має місце безліч порушень безпеки через необізнаність користувачів.
Чи не відбувається це тому, що вимоги документів з ІБ до співробітників не доводяться? Вответ на питання "Як співробітники Вашої компаній дізнаються про свої обов'язки в сфері дотримання ІБ?" (Рис. 5), 15% респондентів заявили, що подібні вимоги існують лише на папері, і співробітників організацій про них ніяк не інформують. Регулярні тренінги в області захисту інформації проводяться лише в п'ятій частині опитаних компаній. У переважній же більшості випадків фахівці з ІБ дещо самовпевнено вважають, що співробітники якимось чином самостійно повинні оволодіти вмістом нормативних документів з безпеки. Смію стверджувати, що навіть ознайомлення "під розпис" не дає ніякого ефекту: ми всі звикли формально підписуватися під інструкціями з техніки безпеки, не вникаючи в їх суть. Нерідко і зовсім обходиться без такого.
У гонитві за трьома зайцями
Чим же для нас чреваті 10% виявлених порушень? Судячи по рівномірному розподілі відповідей на питання "Охарактеризуйте важливість корпоративної інформації"(Рис. 6), мало хто з фахівців з ІБ дійсно розбираються в суті захищається бізнесу. Звичайно, і сам питання поставлено кілька прямолінійно, але в практиці досить часто доводиться стикатися з тим, що в гонитві за трьома зайцями (цілісністю, конфіденційністю і доступністю ) багато хто готовий ловити не те, що критично, а то, "кого легше зловити". Часом такі спроби починають втрачати зв'язок зі здоровим глуздом: В якийсь момент всі сили служби безпеки витрачаються на обмеження можливості використовувати USB-носії, і при цьому ніяк не контролюються електронна пошта, Факси, принтери та інші засоби, що дозволяють відправити інформацію за межі організації. Проблеми відновлення інформації та працездатності системи у разі збою взагалі залишаються поза увагою. А між іншим це одна з головних загроз, якщо довіряти результатам відповідей на питання: "Вкажіть типи користування інформаційними ресурсами компанії співробітниками з порушенням встановлених режимів в минулому році? "(рис. 4).
Не таким чи нерозумінням пояснюється виявлене опитуванням протиріччя: незважаючи на величезне значення, яке керівництво компаній надає питань безпеки (рис. 7), збільшити фінансування на забезпечення ІБ і вдосконалювати системи захисту TOP-менеджери не поспішають (рис. 8).
Фахівці з безпеки "у власному соку"
З дослідження абсолютно очевидно, що багато фахівців з безпеки "варяться у власному соку": відповідаючи на питання "До яких заходів з управління та експертизи ІБ зверталася Ваша компанія за минулий рік?" (Рис. 9), тільки 12,5% опитаних заявили про те, що користуються послугами і консультаціями професійних консультантів з безпеки. Ще трохи більше 6% звертаються до світових стандартів і практик. Інші вважають за краще звіряти дійсність лише з власним досвідом і досвідом своїх колег. Слід особливо відзначити той факт, що значна частина опитаних впевнена: кількість інцидентів, пов'язаних з ІБ, в майбутньому буде тільки зростати, і виявляти їх стане складніше (рис. 10). Однак більшість респондентів сподіваються на деяку панацею, на паличку-виручалочка у вигляді якогось високотехнологічного рішення, яке врятує їх від небезпеки, що насувається. Відрадно констатувати, що основні надії пов'язуються саме з правильним вибудовуванням і управлінням процесами захисту. І це підтверджує спостережуваний сьогодні зростання інтересу до прийнятих міжнародних стандартів з безпеки. Сучасні фахівці усвідомлено прагнуть використовувати рекомендації стандартів в повсякденній діяльності.
В даній статті робиться спроба розглянути реальні загрози інформаційній безпеці, які можуть виникнути в сучасних умовах. Слід зазначити, що стаття не претендує на статус «підручника з інформаційної безпеки», і все викладене в ній - виключно думку автора.
Традиційною помилкою багатьох керівників російських компаній є недооцінка або переоцінка загроз інформаційній безпеці підприємства. Найчастіше ІТ безпеку сприймається ними в кращому випадку як одне з допоміжних заходів щодо забезпечення безпеки в цілому, іноді ж їй взагалі не відводиться хоч скільки-небудь істотної ролі - мовляв, це все турбота системних адміністраторів. Подібний варіант характерний перш за все для невеликих і частково - для середніх компаній. Друга крайність - переоцінка значення ІТ безпеки - зустрічається в основному серед великих компаній і характеризується зведенням комплексу заходів щодо забезпечення ІТ безпеки в ранг «гіперстратегіі», щодо якої будується основна стратегія діяльності.
Ні для кого не секрет, що в сучасному світі бізнес в тій чи іншій мірі залежимо від інформаційних технологій. Переваги від застосування ІТ для бізнесу очевидні: швидкість і простота породження, поширення, маніпуляцій і пошуку різнорідної інформації, упорядкування її за різними критеріями, простота зберігання, можливість доступу практично з будь-якої точки світу ... Всі ці переваги вимагають добре налагодженої підтримки і супроводу, яка, в свою чергу, висуває певні вимоги до базової ІТ інфраструктури. З іншого боку, в інформаційних системах, часто знаходиться інформація, розголошення якої є вкрай небажаним (наприклад, конфіденційна інформація, або інформація, що становить комерційну таємницю). Порушення режиму нормального функціонування інфраструктури або отримання доступу до інформації, яка розташована в ІС, є загрозами інформаційній безпеці.
Таким чином, загрози інформаційної безпеки підприємства можна умовно розділити на кілька класів:
- Загрози порушення доступності
- Загрози порушення цілісності
- Загрози порушення конфіденційності
Загрози порушення доступності - це загрози, пов'язані зі збільшенням часу отримання тієї чи іншої інформації або інформаційної послуги. Порушення доступності є створення таких умов, при яких доступ до послуги або інформації буде або заблокований, або можливий за час, який не забезпечить виконання тих чи інших бізнес-цілей. Розглянемо приклад: в разі виходу з ладу сервера, на якому розташована необхідна для прийняття стратегічного рішення інформація, порушується властивість доступності інформації. Аналогічний приклад: в разі ізоляції з якої-небудь причини (вихід з ладу сервера, відмова каналів зв'язку і т.д.) поштового сервера можна говорити про порушення доступності ІТ послуги «електронна пошта». Особливо слід відзначити той факт, що причина порушення доступності інформації або інформаційної послуги не обов'язково повинна перебувати в зоні відповідальності власника послуги або інформації. Наприклад, в розглянутому вище прикладі з порушенням доступності поштового сервера причина (відмова каналів зв'язку) може лежати поза зоною відповідальності адміністраторів сервера (наприклад, відмова магістральних каналів зв'язку). Також слід зазначити, що поняття «доступність» суб'єктивно в кожен момент часу для кожного із суб'єктів, які споживають послугу або інформацію в наразі часу. Зокрема, порушення доступності поштового сервера для одного співробітника може означати зрив індивідуальних планів і втрату контракту, а для іншого співробітника тієї ж організації - неможливість отримати випуск свіжих новин.
Загрози порушення цілісності - це загрози, пов'язані з імовірністю модифікації тієї чи іншої інформації, що зберігається в ІС. Порушення цілісності може бути викликано різними факторами - від навмисних дій персоналу до виходу з ладу обладнання. Порушення цілісності може бути як умисним, так і ненавмисним (причиною ненавмисного порушення цілісності може виступати, наприклад, несправне працююче обладнання).
Загрози порушення конфіденційності - це загрози, пов'язані з доступом до інформації поза привілеїв доступу, наявного для даного конкретного суб'єкта. Подібні загрози можуть виникати внаслідок «людського фактора» (наприклад, випадкове делегування того чи іншого користувачеві привілеїв іншого користувача), збоїв роботі програмних і апаратних засобів.
Реалізація кожної із зазначених загроз окремо або їх сукупності призводить до порушення інформаційної безпеки підприємства.
Власне кажучи, всі заходи щодо забезпечення інформаційної безпеки повинні будуватися за принципом мініманізаціі зазначених загроз.
Всі заходи щодо забезпечення ІБ умовно можна розглядати на двох основних рівнях: на рівні фізичного доступу до даних і на рівні логічного доступу до даних, які є наслідком адміністративних рішень (політик).
На рівні фізичного доступу до даних розглядаються механізми захисту даних від несанкціонованого доступу та механізми захисту від пошкодження фізичних носіїв даних. Захист від несанкціонованого доступу передбачає розміщення серверного устаткування з даними в окремому приміщенні, доступ до якого має лише персонал з відповідними повноваженнями. На цьому ж рівні в якості засобів захисту можливе створення географічно розподіленої системи серверів. Рівень захисту від фізичного пошкодження передбачає організацію різного роду спеціалізованих систем, що запобігають подібні процеси. До їх числа відносять: серверні кластера і back-up ( резервного копіювання) Сервера. При роботі в кластері (наприклад, двох серверів) в разі фізичного відмови одного з них другий буде продовжувати роботу, таким чином працездатність обчислювальної системи і даних не буде порушена. При додаткової організації резервного копіювання (back-up сервера) можливе швидке відновлення обчислювальної системи і даних навіть у разі виходу з ладу другого сервера в кластері.
Рівень захисту від логічного доступу до даних передбачає захист від несанкціонованого доступу в систему (тут і далі по тексту під системою розуміється ІТ система, призначена для породження, зберігання і обробки даних будь-якого класу - від простих облікових систем до рішень класу ERP) як на рівні баз даних, так і на рівні ядра системи і користувальницьких форм. Захист на цьому рівні передбачає вжиття заходів щодо запобігання доступу до бази даних як з Інтернет, так і з локальної мережі організації (на останній аспект забезпечення безпеки традиційно звертається мало уваги, хоча цей аспект безпосередньо пов'язаний з таким явищем, як промислове шпигунство). Захист ядра системи передбачає, поряд з позначеними вище заходами, обчислення контрольних сум критичних частин исполнимого коду і періодичний аудит цих контрольних сум. Подібний підхід дозволяє підвищити загальну ступінь захищеності системи. (Слід зазначити, що зазначений захід не є єдиним, воно наводиться як вдалий приклад). Забезпечення безпеки на рівні користувача форм декларує обов'язкове шифрування трафіку, що передається по локальній мережі (або через Інтернет) між клієнтом (користувальницької формою) і додатком (ядром системи). Також безпеку на цьому рівні може забезпечуватися обчисленням контрольних сум цих форм, з подальшою їх перевіркою, прийняттям ідеології «поділу даних і коду». Наприклад, система, побудована за технологією «тонкого клієнта» з позицій забезпечення безпеки на даному рівні має перевагу перед системою, побудованої за технологією «товстого клієнта», оскільки на рівні користувача форм не дає доступ до коду бізнес-логіки (наприклад, шляхом дизассемблирования виконуваного файлу). До цього ж рівня захисту відноситься механізм сертифікації, коли в обміні між користувальницької формою і сервером, а також справжність самої користувальницької форми підтверджується третім учасником обміну - центром сертифікації.
Аналогічно, на рівні захисту від логічного доступу на рівні баз даних доступу доцільно обчислювати контрольні суми критично важливих таблиць, і вести журнал обліку доступу об'єктів до бази даних. В ідеальному випадку ( « тонкий клієнт») Доступ до бази даних має лише серверний додаток (Сервер бізнес-логіки), а всі інші (сторонні) запити до БД блокуються. Подібний підхід дозволить виключити кілька типів атак і сконцентрувати політику захисту БД на забезпеченні безпеки «за критичними точками».
До захисту на рівні адміністративних рішень відносять адміністративні заходи, спрямовані на створення чіткої і зрозумілої політики щодо ІТ, ІС, інформаційної безпеки і т.д. Можна сказати, що даний рівень є по відношенню до користувача первинним - оскільки саме захист на рівні адміністративних рішень здатна запобігти більшість критичних ситуацій, пов'язаних з інформаційною безпекою.
Слід розглянути ще два важливих питання, пов'язаних з безпекою - методи і засоби аутентифікації користувачів і протоколювання подій, що відбуваються в ІС.
Аутентифікація користувачів відноситься до логічному рівню забезпечення інформаційної безпеки. Мета цієї процедури полягає в тому, щоб по-перше, повідомити ІС, який саме користувач працює з ним, для надання йому відповідних прав і інтерфейсів; по-друге, підтвердити права даного конкретного користувача по відношенню до ІС. Традиційно процедура аутентифікації зводиться до введення користувачем імені користувача (логіну) та пароля.
Досить часто, в критично важливих додатках, форма введення імені користувача / пароля є працююче в захищеному програмному (рідше - апаратному) тунелі додаток, безумовно шифрувальне всю передається по мережі інформацію. На жаль, найбільш частою є ситуація, коли ім'я користувача і пароль передаються по мережі у відкритому вигляді (наприклад, за цим принципом працюють більшість відомих безкоштовних поштових систем в мережі Інтернет). Крім програмних (введення комбінації ім'я користувача / пароль) існують і програмно-апаратні і апаратні рішення для аутентифікації користувачів. До них відносяться дискети і USB-носії з ключовим файлом (Досить часто - в комбінації з введенням звичайного імені / пароля, для підтвердження повноважень на критичні дії), захищеним від копіювання; одноразово записувані USB-носії з ключовим файлом; сканери райдужної оболонки ока; сканери відбитків пальців; системи антропології. Одним з варіантів підвищення ступеня захисту ІС є обмеження часу дії пароля і обмеження часу бездіяльності користувача в ІС. Обмеження часу дії пароля являє собою видачу пароля, який діє лише кілька діб - 30, 60 і т.д. Відповідно, з періодичною зміною паролів підвищується ступінь захищеності ІС в цілому. Обмеження часу бездіяльності користувача передбачає автоматичне закриття сеансу користувача в разі, якщо в цьому сеанс не була зафіксована призначена для користувача активність протягом певного періоду часу.
Протоколювання всіх подій, що відбуваються в ІС, необхідно для отримання чіткої картини про спроби несанкціонованого доступу, або по некваліфікованим діям персоналу по відношенню до ІС. Частою ситуацією є введення в ІС спеціалізованих модулів, які аналізують системні події, і запобігають деструктивні дії по відношенню до ІС. Подібні модулі можуть працювати, виходячи з двох передумов: виявлення вторгнень і запобігання перевищення доступності. У першому випадку модулі статистично аналізують типова поведінка користувача, і видають «на сполох» в разі помітних відхилень (наприклад, робота оператора в 22-30 перший раз за два роки є безумовно підозрілої); у другому випадку на основі аналізу поточного сеансу роботи користувача намагаються запобігти потенційно деструктивні дії (наприклад, спробу видалення будь-якої інформації).
Примітка:
ІБ - інформаційна безпека
ІТ - інформаційні технології
ІС - інформаційні системи або інформаційна система (по контексту)
Під загрозою інформаційної безпеки розуміється випадкова або навмисна діяльність людей або фізичне явище, які можуть привести до порушення безпеки інформації. Далі розглянуті основні види та аспекти загроз інформаційній безпеці.
2.2.1 Класифікація загроз інформаційній безпеці
Всі безліч потенційних загроз інформаційній безпеці по природі їх виникнення можна розділити на два класи (рисунок 7): природні (об'єктивні) і штучні (суб'єктивні).
Малюнок 7 - Загрози безпеки
Природні загрози - це загрози, викликані впливами на автоматизовану систему і її елементи об'єктивних фізичних процесів або стихійних природних явищ, незалежних від людини.
Штучні загрози - це загрози інформаційної безпеки, викликані діяльністю людини. Серед них, виходячи з мотивації дій, можна виділити:
1. Ненавмисні (ненавмисні, випадкові) загрози, викликані помилками в проектуванні автоматизованої системи та її елементів, помилками в програмному забезпеченні, помилками в діях персоналу і т.п ..
2. Навмисні (умисні) загрози, пов'язані з корисливими устремліннями людей (зловмисників).
Джерела загроз по відношенню до автоматизованої системи можуть бути зовнішніми або внутрішніми. Внутрішні загрози реалізуються компонентами самої інформаційної системи - апаратно-програмним забезпеченням або персоналом.
До основних ненавмисним штучним загрозам інформаційної безпеки відносяться дії, що здійснюються людьми випадково, через незнання, неуважність або недбалість, з цікавості, але без злого умислу:
1. Ненавмисні дії, що призводять до часткової або повної відмови системи або руйнування апаратних, програмних, інформаційних ресурсів системи (ненавмисна псування устаткування, видалення, спотворення файлів з важливою інформацією або програм, в тому числі системних і т.п.).
2. Неправомірне відключення обладнання або зміна режимів роботи пристроїв і програм.
3. Ненавмисна псування носіїв інформації.
4. Запуск технологічних програм, здатних при некомпетентне використання викликати втрату працездатності системи (зависання або зациклення) або здійснюють незворотні зміни в системі (форматування або реструктуризацію носіїв інформації, видалення даних і т.п.).
5. Нелегальне впровадження і використання неврахованих програм (ігрових, навчальних, технологічних та ін., Які не є необхідними для виконання порушником своїх службових обов'язків) з подальшим необґрунтованою витратою ресурсів (завантаження процесора, захоплення оперативної пам'яті і пам'яті на зовнішніх носіях).
6. Зараження комп'ютера вірусами.
7. Необережні дії, що призводять до розголошення конфіденційної інформації, Або роблять її загальнодоступною.
8. Розголошення, передача або втрата атрибутів розмежування доступу (паролів, ключів шифрування, ідентифікаційних карток, перепусток).
9. Проектування архітектури системи, технології обробки даних, розробка прикладних програм, з можливостями, що представляють небезпеку для працездатності системи і безпеки інформації.
10. Ігнорування організаційних обмежень (установлених правил) при роботі в системі.
11. Вхід в систему в обхід засобів захисту (завантаження сторонньої операційної системи зі змінних магнітних носіїв і т.п.).
12. Некомпетентне використання, настройка або неправомірне відключення засобів захисту персоналом служби безпеки.
13. Пересилання даних за помилковою адресою абонента (пристрої).
14. Введення помилкових даних.
15. Ненавмисне пошкодження каналів зв'язку.
До основних навмисним штучним загроз відносяться:
1. Фізичне руйнування системи (шляхом вибуху, підпалу тощо) або виведення з ладу всіх або окремих найбільш важливих компонентів комп'ютерної системи (пристроїв, носіїв важливої \u200b\u200bсистемної інформації, осіб з числа персоналу тощо).
2. Відключення або виведення з ладу підсистем забезпечення функціонування обчислювальних систем (електроживлення, охолодження та вентиляції, ліній зв'язку та ін.).
3. Дії по дезорганізації функціонування системи (зміна режимів роботи пристроїв або програм, страйк, саботаж персоналу, постановка потужних активних радіоперешкод на частотах роботи пристроїв системи і т.п.).
4. Впровадження агентів в число персоналу системи (в тому числі, можливо, і в адміністративну групу, яка відповідала за безпеку).
5. Вербівка (шляхом підкупу, шантажу і т.п.) персоналу або окремих користувачів, які мають певні повноваження.
6. Застосування підслуховуючих пристроїв, дистанційна фото і відеозйомка та т.п ..
7. Перехоплення побічних електромагнітних, акустичних та інших випромінювань пристроїв і ліній зв'язку, а також наведень активних випромінювань на допоміжні технічні засоби, безпосередньо не беруть участь в обробці інформації (телефонні лінії, мережі живлення, опалення і т.п.).
8. Перехоплення даних, переданих по каналах зв'язку, і їх аналіз з метою з'ясування протоколів обміну, правил входження в зв'язок і авторизації користувача і подальших спроб їх імітації для проникнення в систему.
9. Розкрадання носіїв інформації (магнітних дисків, стрічок, мікросхем пам'яті, запам'ятовуючих пристроїв і цілих ПЕОМ).
10. Несанкціоноване копіювання носіїв інформації.
11. Розкрадання виробничих відходів (роздруківок, записів, списаних носіїв інформації і т.п.).
12. Читання залишкової інформації з оперативної пам'яті і з зовнішніх запам'ятовуючих пристроїв.
13. Читання інформації з областей оперативної пам'яті, використовуваних операційною системою (в тому числі підсистемою захисту) або іншими користувачами, в асинхронному режимі використовуючи недоліки мультизадачних операційних систем і систем програмування.
14. Незаконне отримання паролів і інших реквізитів розмежування доступу (агентурним шляхом, використовуючи недбалість користувачів, шляхом підбору, шляхом імітації інтерфейсу системи і т.д.) з подальшою маскуванням під зареєстрованого користувача ( «маскарад»).
15. Несанкціоноване використання терміналів користувачів, що мають унікальні фізичні характеристики, такі як номер робочої станції в мережі, фізичну адресу, адресу в системі зв'язку, апаратний блок кодування і т.п ..
16. Розтин шифрів криптозахисту інформації.
17. Впровадження апаратних спец вкладень, програмних закладок і вірусів, тобто таких ділянок програм, які не потрібні для здійснення заявлених функцій, але дозволяють долати систему захисту, таємно і незаконно здійснювати доступ до системних ресурсів з метою реєстрації та передачі критичної інформації або дезорганізації функціонування системи.
18. Незаконне підключення до ліній зв'язку з метою роботи «між рядків», з використанням пауз в діях законного користувача від його імені з наступним введенням помилкових повідомлень або модифікацією переданих повідомлень.
19. Незаконне підключення до ліній зв'язку з метою прямої підміни законного користувача шляхом його фізичного відключення після входу в систему і успішної аутентифікації з подальшим введенням дезінформації та нав'язуванням неправдивих повідомлень.
Найчастіше для досягнення поставленої мети зловмисник використовує не один, а деяку сукупність з перерахованих вище шляхів.
У статті аналізуються загрози порушення інформаційної безпеки інформаційних систем і існуючі моделі і методи протидії комп'ютерним атакам. У статті також розглядаються проблеми забезпечення інформаційної безпеки.
Ключові слова: інформаційна система, інформаційна безпека, моделі, методи, інформаційні загрози
На сьогоднішній день проблем інформаційної безпеки (ІБ) як в масштабах держави, так і в
масштабах окремого підприємства приділяється достатня увага, незважаючи на це, кількість потенційних загроз не стає менше.
Різноманітність загроз порушення ІБ настільки велике, що передбачити кожну досить важко, але при цьому завдання здійсненне.
З метою забезпечення заданого рівня захисту інформації, необхідно, по-перше, виявити основні
загрози порушення ІБ для конкретного об'єкта інформатизації, по-друге спроектувати адекватну модель протидії їм і надалі еѐ реалізовувати.
Під інформаційною загрозою зазвичай розуміють потенційно існуючу небезпеку навмисного або ненавмисного (випадкового) порушення порядку зберігання і обробки інформації.
Процеси збору, зберігання, обробки і поширення інформації, що відбуваються в інформаційній системі (ІС) зумовлюють появу інформаційних загроз.
Загрози ІБ можна класифікувати за кількома основними критеріями:
За природою виникнення (природні, штучні);
За аспекту ІБ (доступність, конфіденційність, цілісність);
За ступенем впливу на ІС (пасивні, активні);
За компонентів ІС, на які спрямовані загрози (інфраструктура, канали зв'язку, апаратне забезпечення, програмне забезпечення);
По розташуванню джерела загроз (внутрішній, зовнішній);
За способом здійснення (випадкові, навмисні).
На сучасному етапі розвитку засобів захисту інформації відомі можливі загрози ІБ підприємства незалежно від форми власності. До них насамперед належать:
- навмисні дії співробітників;
- випадкові дії співробітників;
- атаки хакерів з метою отримання конфіденційної інформації або заподіяння шкоди діяльності підприємства.
На думку експертів в області інформаційної безпеки більш 90% від усіх злочинів в сфері інформаційних технологій здійснюють співробітники організацій (внутрішні користувачі).
На практиці частіше інформаційні загрози класифікують виходячи з їх впливу на основні властивості інформації. розглядаючи дану проблему, В якості основних властивостей інформації можна виділити:
· Цілісність інформації - властивість інформації зберігати актуальність і несуперечність в процесі її збору, накопичення, зберігання, пошуку і розповсюдження; стійкість інформації до руйнування і несанкціонованого зміни.
· Доступність інформації - здатність зберігати свою цінність в залежності від оперативності її використання і можливість бути наданою авторизованого користувачеві в певний період часу.
· Конфіденційність інформації - це властивість інформації бути відомою тільки допущеним і які пройшли перевірку (авторизацію) суб'єктам підприємства (керівництву, відповідальним співробітникам, користувачам інформаційної мережі підприємства і т.п.) і втрачати свою цінність при розкритті НЕ авторизованого користувачеві.
На додаток перерахованих вище властивостей інформації так само необхідно додасть значимість і вразливість інформації.
Значимість інформації - це інтегрований показник оцінки якості інформації, використовуваної в управлінні конкретним видом діяльності, її узагальнююча характеристика, що відображає важливість для прийняття управлінських рішень, практично багато важать для досягнення конкретних результатів або реалізації конкретних функцій Уразливість інформації - можливість піддатися потенційної витоку, фізичного руйнування і несанкціонованого використання в рамках інформаційних процесів.
З вищесказаного випливає, що все більш актуальною стає проблема забезпечення безпеки ІС. Очевидно, що її вирішення має здійснюватися системно, на основі всебічного дослідження технологій забезпечення безпеки інформаційної сфери, Моделей і методів протидії комп'ютерним атакам.
На основі аналізу літератури по системам виявлення і аналізу комп'ютерних атак, наведені методи як правило не мають достатнього математичного опису. В основному вони формалізовані у вигляді способів і функцій засобів виявлення комп'ютерних атак, які використовуються в інструментальних засобах засобів попередження та виявлення комп'ютерних атак. Проблемні питання протидії комп'ютерним атакам в сучасній літературі самостійного відображення не знайшли, тому аналіз розглянутих методів здійснено для відомих методів виявлення та аналізу атак. Методи виявлення та аналізу несанкціонованих впливів на ресурс інформаційної системи можна розділити на:
- методи аналізу сигнатур,
- методи виявлення аномальних відхилень.
Методи аналізу сигнатур призначені для виявлення відомих атак і засновані на контролі програм і даних в ІС і еталонної звірці послідовності символів і подій в мережі з базою даних сигнатур атак. Вихідними даними для застосування методів служать відомості з системних журналів загального і спеціального програмного забезпечення, баз даних і ключові слова мережевого трафіку ІС. Перевагою даних методів є незначні вимоги до обчислювальних ресурсів ІС, збереження високої оперативності виконання технологічного циклу управління (ТЦУ) в ІС і достовірності виявлення і аналізу атак. Недоліком методів аналізу сигнатур є неможливість виявлення нових (модифікованих) атак без суворої формалізації ключових слів мережевого трафіку і оновлення бази даних сигнатур атак.
Методи виявлення аномальних відхилень призначені для виявлення невідомих атак. Принцип їх дії полягає в тому, що виявляється аномальна поведінка ІС відмінне від типового і на підставі цього факту приймається рішення про можливу наявність атаки. Виявлення аномальних відхилень в мережі здійснюється за ознаками комп'ютерних атак, таким як рідкісні типи стеків протоколів (інтерфейсів) для запиту інформації, довгі пакети даних, пакети з рідкісними розподілами символів, нестандартна форма запиту до масиву даних.
Для застосування методів виявлення аномальних відхилень і зменшення числа помилкових спрацьовувань необхідні чіткі знання про регламентах обробки даних і вимогах до забезпечення безпеки інформації ( установленому порядку адміністрування), оновлення контрольованих програм, відомості про технологічні шаблонах виконання ТЦУ в ІС. Способи застосування методів виявлення аномальних відхилень розрізняються використовуваними математичними моделями :
· Статистичними моделями:
- імовірнісними моделями;
- моделями кластерного аналізу.
· Моделями кінцевих автоматів.
· Марківського моделями.
· Моделями на основі нейронних мереж.
· Моделями на основі генної інженерії.
У методі виявлення аномальних відхилень, в якому використовуються статистичні моделі, виявлення аномальної активності здійснюється за допомогою порівняння поточної активності мережевого трафіку ІС з заданими вимогами до технологічного шаблоном (профілем нормального поведінки) виконання ТЦУ ІС.
В якості основного показника в імовірнісних моделях виявлення комп'ютерних атак використовується:
- ймовірність появи нової форми пакета передачі даних відмінною від еталонної;
- математичне очікування і дисперсія випадкових величин, що характеризують зміну IP-адрес джерела і споживача інформації, номерів портів АРМ джерел і споживачів інформації.
Статистичні методи дають хороші результати на малому підмножині комп'ютерних атак зі всієї безлічі можливих атак. Недолік статистичних моделей виявлення аномальних відхилень полягає в тому, що вони не дозволяють оцінити обсяг переданих даних і не здатні виявити вторгнення атак з перекрученими даними. Вузьким місцем методів є можливість переповнення буфера порогових перевірок «спамом» помилкових повідомлень.
Для ефективного використання статистичних моделей в методі виявлення аномальних відхилень необхідні строго задані вирішальні правила і перевірка ключових слів (порогів спрацьовування) на різних рівнях протоколів передачі даних. В іншому випадку частка помилкових спрацьовувань, за деякими оцінками, становить близько 40% від загального числа виявлених атак.
В основі моделей кластерного аналізу лежить побудова профілю нормальних активностей (наприклад, кластера нормального трафіку) і оцінка відхилень від цього профілю за допомогою обраних критеріїв, ознак (класифікатора головних компонентів) комп'ютерних атак і обчисленні відстаней між кластерами на безлічі ознак атак. У моделях кластерного аналізу використовується двоетапний алгоритм виявлення комп'ютерних атак. На першому етапі здійснюється збір інформації для формування безлічі даних кластерів аномального поведінки ІС на нижчих рівнях протоколів передачі даних. На другому етапі виконується порівняльний аналіз отриманих кластерів аномального поведінки ІС з кластерами опису штатного поведінки системи. Імовірність розпізнавання атак моделями кластерного аналізу становить в середньому 0,9 при виявленні вторгнень тільки по заголовкам пакетів передачі даних без семантичного аналізу інформаційної складової пакетів. Для отримання достовірних даних з використанням моделей кластерного аналізу необхідний аналіз порядку ідентифікації і аутентифікації, реєстрації абонентів, системних переривань, Доступу до обчислювальних ресурсів в декількох системних журналах ІС: аудиту, реєстрації, ресурсів, що призводить до затримки часу на прийняття рішень. Така затримка часто унеможливлює застосування моделей кластерного аналізу в системах квазіреальність масштабу часу.
Виявлення атак з використанням моделі кінцевих автоматів засноване на моделюванні кінцевими автоматами процесів інформаційної взаємодії абонентів ІС по протоколам передачі даних. Кінцевий автомат описується множинами вхідних даних, вихідних даних і внутрішніх станів. Атаки фіксуються по «аномальним» переходам ІС зі стану в стан. Передбачається, що в ІС «штатні» переходи системи зі стану в стан визначено, а невідомі стану і переходи в ці стану реєструються як аномальні. Перевагою цієї моделі є спрощений підбір класифікаційних ознак для ІС та розгляд малого числа переходів зі стану в стан. Модель дозволяє виявляти атаки в потоці обробки даних мережевими протоколами в режимі близькому до реального масштабу часу. До недоліків моделі слід віднести необхідність розробки великого числа складних експертних правил для порівняльного аналізу необхідних і аномальних станів і переходів системи. Експертні правила оцінки станів ІС взаємопов'язані з характеристиками мережевих протоколів передачі даних.
Методи виявлення аномальних відхилень на основі марковських моделей засновані на формуванні марковської ланцюга нормально функціонуючої системи і функції розподілу ймовірностей переходу з одного стану в інший. Ці відомості використовуються як навчальні дані. Виявлення аномалій здійснюється за допомогою порівняння марковских ланцюгів і відповідних функцій розподілу ймовірностей аномального і нормального функціонування ІС за значеннями порога ймовірностей настання подій. На практиці ця модель найбільш ефективна для виявлення комп'ютерних атак, заснованих на системних викликах операційної системи, і вимагає додаткових метрик умовної ентропії для використання в системах квазіреальність масштабу часу.
Методи виявлення комп'ютерних атак на основі нейронних мереж застосовують для попередньої класифікації аномалій в ІС. Вони базуються на ідентифікації нормального поведінки системи за функцією розподілу отримання пакетів даних (виконання заданих команд оператора), навчанні нейронної мережі і порівняльного аналізу подій за навчальною вибіркою.
Аномальне відхилення в ІС виявляється тоді, коли ступінь довіри нейромережі своїм рішенням лежить нижче заданого порогу. Передбачається, що застосування моделі нейронних мереж для реалізації механізмів захисту інформації ІС від комп'ютерних атак передує навчання цих мереж заданим алгоритмам нормального функціонування. Недоліками методів виявлення комп'ютерних атак з використанням нейронної мережі є складний математичний апарат, який недостатньо ефективно працює в системах квазіреальність масштабу часу, і складність навчання мережі для виявлення невідомих атак.
Моделі виявлення комп'ютерних атак на основі генної інженерії спираються на застосування в сфері інформаційних технологій досягнень генетики і моделей імунної системи людини. Підхід цієї моделі базується на моделюванні елементів імунної системи людини в засобах виявлення аномалій шляхом подання даних про технологічні процеси в ІС ланцюжком (вектором) ознак, і потім обчислення міри подібності між навчальною ланцюжком ознак, що характеризують нормальне «поведінку» ІС і тестової ланцюжком, що характеризує аномальне функціонування. Якщо узгодження між даними навчальної та тестової ланцюжків, не знайдено, то процес інтерпретується як аномальний. Одна з основних труднощів застосування цієї моделі полягає у виборі порога узгодження даних, формування необхідного обсягу даних навчальної та тестової вибірки і чутливості до помилкових спрацьовувань.
Модель на основі генної інженерії (природного імунної системи), застосовується для виявлення аномальних з'єднань по протоколу TCP / IP за даними про IP-адреси: джерела інформації, споживача інформації та комунікаційних засобів, За допомогою якої з'єднуються абоненти в мережі. Недолік цих моделей полягає в тому, що потрібна складна процедура настройки навчальної та тестової вибірок або даних про поведінку індивідуума в ІС із залученням висококваліфікованого оператора.
Таким чином, гідністю методів виявлення аномальних відхилень є можливість аналізу динамічних процесів функціонування ІС і виявлення в них нових типів комп'ютерних атак. Методи дають можливість апріорного розпізнавання аномалій шляхом систематичного сканування вразливих місць.
До недоліків цих методів можна віднести необхідність збільшення навантаження на трафік в мережі, складність реалізації і більш низька вірогідність виявлення комп'ютерних атак в порівнянні з сигнатурним аналізом.
Обмеженням методів виявлення та аналізу комп'ютерних атак є необхідність детальної інформації про застосування протоколів (стеків протоколів) передачі даних в ІС на всіх рівнях еталонної моделі взаємодії відкритих систем.
Порівняльний аналіз існуючих методів виявлення комп'ютерних атак з аналізу сигнатур і аномальних відхилень в ІС показав, що найбільш універсальним підходом до виявлення відомих і невідомих атак є метод виявлення аномалій. Для підвищення стійкості функціонування ІС необхідний комбінований метод протидії комп'ютерним атакам, який гнучко використовує елементи сигнатурного аналізу, виявлення аномалій і функціонального аналізу динамічно виконуваних функцій ІС.
Список літератури
1. Бетелін В.Б., Галатенко В.А. Основи інформаційної безпеки: курс лекцій: навчальний посібник Видання третє, 2006 року, 208 с.
2. Бурков В.Н., Грацианский Є.В., Дзюбко С.І., Щепкін А.В. Моделі і механізми управління безпекою. Серія «Безпека». - Сінтег, 2001 г., 160 с.
3. ДСТУ ISO / IEC 27033-3 - 2014 Інформаційна технологія Методи і засоби забезпечення безпеки. Безпека мереж. Частина 3 Еталонні мережеві сценарії. Загрози, методи проектування і питання управління.
4. Девянин П.М. Моделі безпеки комп'ютерних систем. Видавничий центр «Академія», 2005 р, 144 с.
5. Климов С.М., Сичов М.П., \u200b\u200bАстрахов А.В. Протидія комп'ютерним атакам. Методичні основи. Електронне навчальне видання. - М.: МГТУ імені Н.Е. Баумана, 2013 р 108 с.
6. Шаньгина В.Ф. Захист інформації в комп'ютерних системах і мережах. ДМК Пресс, 2012, 591 с.
7. http://sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "Аналіз загроз інформаційній безпеці діяльності промислових підприємств", Балановська А.В., 2013 р
