Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Способы несанкционированного доступа к источникам конфиденциальной информации



Незаконное использование привилегий.Злоумышленники, применяющие данный способ атаки, обычно используют штатное программное обеспечение (системное или прикладное), функционирующее в нештатном режиме. Практически любая защищенная система содержит средства, используемые в чрезвычайных ситуациях или средства, которые способны функционировать с нарушением существующей политики безопасности. В некоторых случаях пользователь должен иметь возможность доступа ко всем наборам системы (например, при внезапной проверке).

Такие средства необходимы, но они могут быть чрезвычайно опасными. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Для того чтобы уменьшить риск от применения таких средств большинство систем защиты реализует такие функции с помощью набора привилегий - для выполнения определенной функции требуется определенная привилегия. В этом случае каждый пользователь получает свой набор привилегий, обычные пользователи - минимальный, администраторы максимальный (в соответствии с прицепом минимума привилегий). Наборы привилегий каждого пользователя являются его атрибутами и охраняются системой защиты. Несанкционированный захват привилегий приведет, таким образом, к возможности несанкционированного выполнения определенной функции. Это может быть НСД (частный случай), запуск определенных программ и даже реконфигурация системы.

Естественно, при таких условиях расширенный набор привилегий - заветная мачта любого злоумышленника. Он позволит ему совершать практически любые действия, причем, возможно, даже в обход всех мер контроля. Нарушения, совершаемые с помощью незаконного использования привилегий, являются активным воздействием, использующим любую ошибку, совершаемым с целью доступа к какому-либо объекту, субъекту или системе в целом.

Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты, либо в случае халатности при управлении системой и привилегиями в частности (например, при назначении расширенного набора привилегий всем подряд). Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволят избежать таких нарушений.

Несанкционированный доступ (НСД) наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет. Другими словами, необходимо определить термин «несанкционированный».

По характеру воздействия НСД является активным воздействием, использующим любую ошибку, либо воздействует на информацию в санкционированном доступе с целью легализации НСД. НСД может быть подвержен любой объект системы. НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами к объектам в любом состоянии.

Методика реализации НСД в значительной мере зависит от организации обработки информации в АСОИ. разработанной для АСОИ политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации НСД существует два способа:

во-первых, можно преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;

во-вторых, можно понаблюдать за тем, что «плохо лежит», то есть какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься.

В подавляющем большинстве случаев НСД становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, контроля работы, а также при небрежном отношении к защите своих собственных данных.

Несанкционированный доступ к данным НСД может быть пассивным (чтение, копирование) и активным (модификация, уничтожение).

Воздействия, в результате которых может быть нарушена безопасность данных, включают в себя:

· случайные воздействия природной среды (ураган, пожар и т.п.);

· целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов ИВС, использование прямых каналов утечки данных);

· внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная подготовка персонала и т.д.)

1. Незаконное подключение.

Бесконтактное подключение к линии связи осуществляется двумя путями:

· за счет электромагнитных наводок на параллельно проложенные провода;

· с помощью сосредоточенной индуктивности, охватывающей контролируемую линию.

2. Высокочастотное навязывание - это способ, при котором в телефонную линию в сторону прослушиваемого телефона подаются от специального генератора высокочастотные колебания. Эти колебания взаимодействуют с речевыми сигналами при разговоре и выполняют роль модулятора.

3. Перехват электромагнитных излучений.

- информация добывается без непосредственного контакта с источником;

- реализуется скрытно и очень трудно обнаруживается;

- дальность перехвата ограничивается только особенностью распространения радиоволн соответствующих диапазонов.

Такой подход к классификации действий, способ­ствующих неправомерному овладению конфиденци­альной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, не­обходимых для обеспечения комплексной информаци­онной безопасности.

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.