Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Угрозы безопасности информации



Под угрозами безопасности информации понимаются потенциально возможные события, процессы или явления, которые могут привести к утрате целостности, конфиденциальности или доступности информации. Понятие "утрата целостности" включает несанкционированное изменение, полное или частичное уничтожение информации.

Сравнение понятий "информационный риск" и "угроза безопасности информации" позволяет сделать следующие выводы. Оба они связаны со случайными событиями в информационной системе, оказывающими негативное влияние на информацию. Однако при рассмотрении угроз безопасности информации не рассматриваются проблемы качества информации и полный ущерб предприятия. Упор делается на изучение сущности угроз с целью противодействия им на правовом, организационном и особенно технологическом уровне.

Существует множество подходов к классификации угроз безопасности информации. Так все угрозы безопасности информации могут быть разделены на две группы: внешние и внутренние.

Внешние угрозы исходят от источников, не входящих в состав ИС. Внутренние же угрозы порождаются внутри самой информационной системы. Сложившийся стереотип о наибольшей опасности, грозящей безопасности системы извне, опровергается статистическими данными. На долю внутренних угроз приходится 80% всех зарегистрированных угроз безопасности информации.

Разделение на внутренние и внешние угрозы полезно для выбора приоритетов при определении политики информационной безопасности. Но оно не позволяет проводить более детальную классификацию угроз, направленную на выбор комплекса методов и средств защиты от угроз определенного класса. Так компьютерный вирус может быть создан и внедрен пользователем или специалистом из подразделения обслуживания. Аналогичный вирус может попасть в систему и извне. Средства же защиты от такой угрозы не зависят от происхождения вируса. Кроме того, некоторые угрозы порождаются как внешними факторами, так и внутренними.

Поэтому целесообразно все множество потенциальных угроз безопасности информации классифицировать таким образом, чтобы выделенная группа угроз парировалась некоторым подмножеством методов и средств защиты. При таком подходе часто удается выделить группы угроз, противодействие которым осуществляется определенными подразделениями предприятия. Все угрозы безопасности информации делятся на случайные и преднамеренные (рис. ).

Случайные угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.

Реализация угроз этого класса приводит к наибольшим потерям (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам ИС любыми угрозами). В результате реализации таких угроз возможно непосредственное нарушение целостности и доступности информации, а также создание предпосылок для злоумышленных действий в отношении информации.

Характеризуя угрозы информации в ИС, не связанные с преднамеренными действиями в целом, следует отметить, что механизм их реализации изучен достаточно хорошо, накоплен значительный опыт противодействия этим угрозам. Характеристики угроз этого класса с течением времени изменяются незначительно. Современная технология разработки технических и программных средств, эффективная система эксплуатации ИС, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.

  Угрозы безопасности информации в ИС
Случайные угрозы
Стихийные бедствия и аварии
Несанкционированный доступ к информации
Ошибки пользователей и обслуживающего персонала
Ошибки при разработке ИС
Алгоритмические и программные ошибки
Преднамеренные угрозы
Традиционный шпионаж и диверсии
Сбои и отказы технических средств
Электромагнитные излучения и наводки
Несанкционированное изменение программной структуры
Несанкционированная модификация технической структуры

 


Рис. Угрозы безопасности информационных систем

Парируются случайные угрозы на этапах разработки и использования информационных технологий. В процессе эксплуатации ИС основная нагрузка по выполнению всего комплекса мероприятий по противодействию угрозам этого класса ложится на отдел ИТ и пользователей.

Стихийные бедствия и авариичреваты наиболее разрушительными последствиями для ИС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен. Наиболее вероятны аварии, связанные с отключениями подачи электроэнергии.

Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации.

Ошибки при разработке ИС, алгоритмические и программныеошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы ИС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации. Ежегодно компания Microsoft официально признает наличие ошибок в своих программных продуктах, серьезно влияющих на уровень безопасности информации в ИС. В 2010 году фирма устранила 106 уязвимостей.

Согласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Преднамеренные угрозы

Второй класс угроз безопасности информации в ИС составляют преднамеренно создаваемые угрозы. Природу этих угроз характеризует несимметричность. С позиций злоумышленника угрозы, как правило, имеют признаки как детерминированных так и случайных событий. Так время и алгоритм реализации чаще всего являются детерминированными, а последствия реализации угроз обычно носят случайный характер. Для субъекта, против которого направлены действия злоумышленника, угрозы безопасности информации полностью связаны со случайными событиями.

Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:

К методам традиционного шпионажа и диверсий отнесены угрозы, которые не связаны напрямую с использованием компьютерных технологий в ИС. Они использовались еще до появления современных информационных технологий, но по-прежнему остаются актуальными и эффективными. Методы традиционного шпионажа и диверсий, опираясь на новые технологические возможности, используются как для непосредственного получения конфиденциальной информации и навязывания ложной информации, так и для негативного воздействия на компоненты ИС. Эти методы могут использоваться также совместно с методами воздействия на компьютерные системы.

Целью несанкционированного воздействия являются получение контроля над ИС и (или) сотрудниками, а также нарушение работоспособности системы.

К методам шпионажа и диверсий относятся:

· подслушивание;

· визуальное наблюдение;

· дезинформация;

· хищение документов и машинных носителей информации;

· хищение программ и атрибутов системы защиты;

· сбор и анализ отходов машинных носителей информации;

· подкуп и шантаж сотрудников;

· поджоги;

· взрывы.

Дляподслушивания злоумышленнику не обязательно проникать на объект. Современные средства позволяют прослушивать разговоры с расстояния нескольких сотен метров. В помещениях аудиоинформация может прослушиваться с расстояния от нескольких сотен до нескольких десятков метров. Для этого могут использоваться устройства, принцип действия которых основан на анализе отраженного луча лазера от стекла окна помещения, которое колеблется от звуковых волн.

Вне помещений подслушивание ведется с помощью сверхчувствительных направленных микрофонов. Реальное расстояние прослушивания с помощью направленных микрофонов в городе составляет 50-150 метров, а за городом – до 500 метров.

Разговоры в соседних помещениях, за стенами зданий могут контролироваться с помощью стетоскопных микрофонов. Стетоскопы преобразуют акустические колебания в электрические. Такие микрофоны позволяют прослушивать разговоры при толщине стен до 50-100 см.

Одним из возможных каналов утечки звуковой информации может быть прослушивание переговоров, ведущихся с помощью средств связи. Контролироваться могут как проводные каналы связи, так и радиоканалы. Прослушивание переговоров по проводным и радиоканалам не требует дорогостоящего оборудования и высокой квалификации злоумышленника.

Дистанционная видеоразведка для получения информации в ИС малопригодна и носит, как правило, вспомогательный характер.Видеоразведка организуется в основном для выявления режимов работы и расположения механизмов защиты информации.

Для аудио- и видеоконтроля помещений при отсутствии в них злоумышленника могут использоваться закладные устройства или «жучки». Закладные устройства делятся на проводные и излучающие.

Ущерб организации может быть нанесен с помощью дезинформации. В конкурентной борьбе довольно часто прибегают к распространению ложной или искаженной информации с целью введения в заблуждение соперника относительно своих намерений, состоянии рынка, проводимых переговорах и т. п.

По-прежнему весьма эффективным способом воздействия на объекты ИС является хищение документов, машинных носителей информации, атрибутов систем защиты.

Анализ сведений, содержащихся на отходах информационных носителей, может позволить определить, по крайней мере, назначение организации, отдельные сведения о сотрудниках, о смежных организациях (партнерах по бизнесу), о продукции и многое другое.

Вербовка сотрудников и физическое уничтожение объектов КС может осуществляться без непосредственного доступа на объект.

Для некоторых объектов ИС существует угроза вооруженного нападения террористических или диверсионных групп. Целями нападения могут быть: уничтожение отдельных элементов ИС или всего объекта, захват документации, машинных носителей, а также лиц из числа обслуживающего персонала.

Термин "несанкционированный доступ к информации" (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатныхсредств вычислительной техники или автоматизированных систем.

Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа). Право доступа к ресурсам ИС определяется руководством организации для каждого сотрудника в соответствии с его функциональными обязанностями.

Выполнение установленных правил разграничения доступа в КС реализуется за счет создания системы разграничения доступа. Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:

· отсутствует система разграничения доступа;

· стихийные бедствия и аварии;

· сбой или отказ в КС;

· ошибочные действия пользователей или обслуживающего персонала компьютерных систем;

· ошибки в СРД, в программном обеспечении;

· фальсификация полномочий.

Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство, а также наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках, находящихся в непосредственной близости с проводящими линиями передачи электрических сигналов КС. Они получили соответственно названия побочных электромагнитных излучений и наводок (ПЭМИН).

С помощью специального оборудования сигналыэлектромагнитных излучений принимаются на расстояниях до нескольких сотен метров, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах.

Наведенные в проводниках электрические сигналы могут выделяться и фиксироваться с помощью оборудования, подключаемого к этим проводникам на расстоянии в сотни метров от источника сигналов.

Электромагнитные излучения используются противоборствующими сторонами не только для получения информации, но и для ее уничтожения. Электромагнитные импульсы способны уничтожить информацию на магнитных носителях. Для уничтожения информации на магнитных носителях с расстояния нескольких десятков метров может быть использовано устройство, помещающееся в портфель.

Мощные высокочастотные электромагнитные излучения могут вывести из строя электронные блоки ИС. В отличие от ПЭМИН эта угроза реализуется сравнительно просто.

Большую угрозу безопасности информации в КС представляет несанкционированная модификация программной и технической (аппаратной) структур системы, которая приводит к изменению алгоритмов функционирования систем. Модификация структуры КС заключается в изменении элементов системы (программ, устройств, блоков), их состава (удаление, добавление и подмена элементов), а также в изменении связей между элементами КС.

Аппаратные закладки могут в определенный момент времени подавать высокое напряжение в цепи питания микросхем, передавать по радиоканалу информацию, пересылаемую внутри компьютера между устройствами, изменять алгоритм функционирования, дублировать информацию в открытые разделы памяти и многое другое. В микросхемах, насчитывающих десятки миллионов электронных элементов (транзисторов и др.), очень сложно обнаружить «закладку».

Программные «закладки» функционируют самостоятельно, изменяя алгоритм работы системы, или обеспечивают работу аппаратных «закладок». Программные «закладки» представляют собой измененный, добавленный или удаленный функциональный блок (программный код) существующей программы. Реже «закладки» создаются как отдельные программы. Функциональным блоком является процедура, функция, ветвь или оператор.

Программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на ИС, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия «закладок» на ИС осуществляются при получении соответствующей команды извне или при наступлении определенных событий в системе. Такими событиями могут быть: переход на определенный режим работы (например, боевой режим системы управления оружием или режим устранения аварийной ситуации на атомной электростанции и т. п.), наступление установленной даты, достижение определенной наработки и т. д.

Программная структура несанкционированно изменяется чаще всего на этапе эксплуатации ИС. Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы» (Malware, зловреды). К этим программам относятся все программы, которые способны выполнять недекларированные действия или препятствовать выполнению штатных действий, не зависимо от последствий наличия таких программ в ИС.

Создатели вредительских программ преследуют различные цели. Поэтому последствия выполнения таких программ для информационных ресурсов ИС находятся в очень широком диапазоне. Тем не менее, любая программа, наличие которой не предусмотрено штатной структурой, снижает эффективность работы ИС. Даже если программа не наносит явный ущерб информационным ресурсам, то она, по крайней мере, расходует ресурсы ИС для своего хранения и выполнения.

По данным фирмы PandaSecurity ежедневно в мире фиксируется появление более 50000 новых вредительских программ. Существует много различных классификаций вредительских программ. Одна из таких классификаций выполнена специалистами лаборатории Касперского по признаку наличия деструктивной функции, выполняемой вредительской программой на зараженном компьютере.

1. Программы, непосредственно выполняющие деструктивную функцию (собственно вредительские программы):

- вирусы;

- черви;

- троянские программы.

2. Программы, обеспечивающие выполнение программ с деструктивной функцией:

- подозрительные упаковщики;

- вредоносные утилиты;

- условно нежелательные программы (Adware и Riskware).

Вирусные программы способны создавать свои копии (репликации) в пределах зараженного компьютера, заражая, в том числе, и съемные носители информации. Черви создают копии и распространяются в компьютерных сетях. Троянские программы не создают своих копий. В разные периоды количественное соотношение между этими видами вредительских программ изменялось. В настоящее время более 70% вредительских программ относятся к троянским программам и только 2% – к вирусам. Объясняется это направленностью действий современных злоумышленников на заражение конкретных компьютеров или сетей.

Подозрительные упаковщики используют для скрытного размещения вредительских программ. Достигается это путем преобразования кодов программ, после которого затрудняется идентификация таких программ антивирусными средствами.

Вредоносные утилиты применяются для автоматизации создания других вирусов, червей или троянских программ, организации атак на удаленные серверы, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы компьютеру, на котором исполняются.

К группе нежелательных программ относятся рекламные программы (Adware), которые используют для распространения и работы технологии вредительских программ (скрытое размещение на компьютере, блокирование механизмов удаления и т.п.). К этой же группе следует отнести программы, которые можно характеризовать как программы двойного применения (Riskware). Они могут быть использованы как для получения положительного эффекта, так и для нанесения ущерба. К ним относятся программы удаленного администрирования, сканирования защищенности системыот сетевых атак и т.п.

Вредительские программы могут классифицироваться и по другим признакам. По своему назначению вредительские программы могут разделяться на следующие основные группы:

· шпионские программы (Spyware);

· программы рассылки спама (Adware);

· программы скрытого удаленного администрирования (Rootkit, Backdoor);

· программы перехвата сообщений в сети (Sniffing).

Шпионские программы предназначены для сбора информации, интересующей злоумышленников. Такие программы используются чаще всего для получения сетевых имен и паролей, ключей шифрования информации, банковских реквизитов, ноу-хау, конфиденциальной и другой важной информации. Примером могут служить программы, получившие общее название клавиатурный шпион (Keylogger). Программа запоминает информацию, вводимую с помощью клавиатуры, а затем передает по определенному адресу в сети. Назначение программ рассылки спама и перехвата сообщений в сети очевидно.

Программы скрытого дистанционного администрирования или управления могут использоваться для различных конечных целей злоумышленника. С помощью таких программ осуществляется скрытая установка других вредительских программ, изменение алгоритма выполнения легитимно установленных на компьютере программ, создание сетей из зараженных компьютеров (Botnets).

Современным вредительским программам присущи следующие особенности:

· используются, как правило, в корыстных целях;

· появление совершенных программ, поражающих ИС управления промышленными предприятиями (вирус Stuxnet, внедренный в систему управления АЭС в Иране);

· работу вредительских программ могут обеспечивать другие вспомогательные программы;

· часто используются ошибки в программах, не входящих в состав операционных систем;

· применяются в отношении информационных систем определенных организаций, что затрудняет их идентификацию антивирусными лабораториями, по сравнению с массовым распространением вредительских программ;

· основным каналом распространения вредительских программ является сеть Интернет.

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.