Нарушение информационной безопасности вычислительной системы. Анализ угроз нарушения информационной безопасности информационных систем, существующие модели и методы противодействия компьютерным атакам
Последствия нарушения информационной безопасности. Характеристика системы взлома сети. "Троянские кони" в пиратском программном обеспечении. Безопасность информационной системы предприятия: особенности процесса обеспечения и анализ причин нарушения.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Курсовая работа
Анализ причины нарушения информационной безопасности на участке канала связи (система обеспечения обмена данными через среду) в современных государственных информационно-коммуникационных системах.
Содержание
- Введение
- Система взлома сети
- Причины нарушения
- Безответственность
Введение
Что такое информационная безопасность? Специалисты говорят, что информационная безопасность - это защищенность информации от случайных или преднамеренных негативных воздействий. В обязанности тех, кто несет ответственность за информационную безопасность, входит прогнозирование и предотвращение атак на информацию, а также сведение ущерба от них к минимуму.
На сегодняшний день компьютер играет существенную роль во всех сферах деятельности человека. С внедрением информационных технологий в нашу жизнь возрос и объем информации в электронном виде. Информацию стало проще хранить, но заботиться о ее безопасности стало труднее. Документ можно запереть в сейф, и даже если сейф взломан, на то, чтобы переписать текст, нужно значительное время. Информацию с электронного носителя можно украсть почти мгновенно. За несколько секунд злоумышленники могут скопировать или уничтожить результаты многолетней деятельности. Появление компьютерных сетей еще в большей степени облегчило задачу похитителям информации. Физический доступ к носителю информации перестал быть обязательным условием.
Каковы последствия нарушения информационной безопасности?
Кража, подмена или уничтожение информации ведут к серьезным экономическим потерям. Украденные сведения могут попасть в руки конкурентов, ценная информация может быть уничтожена или подменена, что повлечет материальные убытки и подрыв репутации фирмы.
Кроме экономического, компьютерные атаки наносят и моральный ущерб. В результате действий взломщиков личная переписка может стать достоянием общественности. Различные вредоносные программы нарушают работу компьютеров, создают дискомфорт их пользователям.
Каковы же самые распространенные причины нарушения информационной безопасности. Даже в век хакерского беспредела главным вредителем остается сам пользователь. Более половины случаев повреждения информации происходи по вине "чайника", который может по глупости или по неосторожности уничтожить информацию. На втором месте - повреждения в результате пожаров (примерно 15% случаев). Отказ техники становится причиной нарушения информационной безопасности также в пятнадцати процентах случаев. На долю повреждений от воды и от компьютерных атак приходятся незначительные по сравнению со всем вышеперечисленным десять процентов. Однако роль компьютерных взломщиков неуклонно растет, и с ними не могут не считаться службы безопасности.
Система взлома сети
Cети используются ежедневно в корпорациях и различных организациях. Повсюду происходит совместное использование данных и ресурсов. Несомненно, проблемы безопасности должны быть решены при планировании сетей, дабы избежать возможных последующих затрат. Обычно сети организованы по принципу "клиент-сервер". Пользователи используют рабочие станции для доступа к серверу, где содержится основная часть информации и который с точки зрения взлома представляет больший интерес. В какой бы компании ни была сеть - банк, министерство, аптека или что-либо еще - взлом приносит ущерб. И хотя часто взлом происходит изнутри, то есть его осуществляет человек, имеющий часть прав доступа, интересно посмотреть на взлом снаружи.
Статистика показывает, что обычно взломом сетей занимаются мужчины в возрасте от 16 до 25 лет. Причиной этого зачастую является желание проявить себя, увеличить свое мастерство в этой области или желание использовать в своих целях ресурсы сетей.
Кого интересно ломать? Провайдеров - чтобы иметь бесплатный Интернет; мелкие коммерческие компании - чтобы поиздеваться; банки - потому что очень круто, а зачастую физически невозможно (нет реального кабеля наружу, например); многих других. Часто взломщики используют программы-сканеры для определения машин, которые могут быть взломаны, а затем их ломают. Взломщики, заранее намечающие цель, должны быть гораздо более опытными. Такие действия будут продиктованы скорее не интересом, а конкретным заданием, возможно, связанным с большими деньгами. Обычно для этого вначале собирается огромный объем информации о машине (и не только через сеть), но все же вероятнее всего первое - ломают просто так и то, что легче.
Обычно в компаниях есть выход в Интернет:
· WWW-сервер;
· почта;
· выход в Интернет для пользователей.
Обычно почта и WWW держатся на отдельном сервере, а остальные компьютеры сети отделены от мира программой firewall, которая обычно ставится на шлюзе. Несомненно, хороший администратор старается предотвратить взлом как снаружи, так и изнутри. В дальнейшем будем считать, что взломщик хочет получить доступ к сети. Web-серверы обычно не взламываются, если, конечно, фильтрация пакетов является правильной. Почтовый сервер практичнее с точки зрения взлома, поскольку почта должна распространяться дальше и почтовая программа тем самым имеет некоторый доступ к сети. Кроме почты, есть еще несколько программ, которые могут интересовать взломщика:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
Пакеты для SMTP, named и portmapper могут быть легко отфильтрованы, уменьшая риск взлома. Иногда, правда, задача взлома облегчается тем, что фильтрация пакетов организована неправильно. Это может возникнуть при сегментации, неправильной таблице роутинга пакетов по портам, организации нескольких имен у одной машины, модемном доступе. Лишние проблемы может создать наличие DNS в сети. Гораздо безопаснее использовать численные адреса внутри компании. Другим "узким" местом является программа finger. С ее помощью довольно легко узнать тип операционной системы, например, просматривая пользователей root@host, bin@host или daemon@host.
Также следует иметь в виду, что адреса, указанные в файлах hosts. equiv. rhosts или. shosts, имеют больший приоритет при общении с машиной, поэтому возможно, что взлом с этих адресов будет проще. Этот факт обычно используется взломщиками. Чтобы обезопасить сеть, желательно быть уверенным, что доверительные адреса имеют такую же защиту.
Другой опасностью является установка пиратского программного обеспечения пользователями на своих машинах. Такие программы могут содержать внутри себя "троянских коней" разного вида, замаскированных под заставку, дополнение к чему-либо или что-то еще. Обычно это происходит на машинах с Windows, где установить программы может каждый. "Троянские кони" выполняют простые задачи, уничтожая затем сами себя. Они могут послать адреса, содержимое системных файлов сервера, доступ к которым необходим для входа в сеть, например passwd.
Понятно, что взломщики должны обезопасить сами себя. Для этого, во-первых, нужно скрыть свои IP-адреса. Есть несколько простых путей это сделать:
· использовать промежуточный адрес посредством telnet или rsh;
· использовать Windows и Wingate;
· использовать неправильно сконфигурированный proxy-сервер.
Прежде чем ломать, взломщик будет собирать информацию о сети. Он будет пытаться узнать адреса машин в сети, имена пользователей, тип операционной системы. Часть этого можно узнать вполне законно, рассматривая файлы на Web-сервере, ftp-сервере, запуская программу finger или просто пытаясь войти на сервер. После этого он составит представление о сети, о связи компьютеров, о наличии пригодных для взлома портов и о многом другом.
Далее будет предпринята попытка распознать машины, которые используются как наиболее доверительные. Возможно, что часть информации хранится отдельно, и доступ к ней осуществляется через nfsd или mountd. Например, так может храниться конфигурация /etc и исполняемые системные файлы /usr/bin.
После получения такого рода информации взломщик будет сканировать сеть на предмет наличия "дыр" в защите. Для этого существуют программы типа ADMhack, mscan, nmap под Linux. Для их работы необходим быстрый канал, желательно оптоволокно. Программа ADMhack требует прав root для запуска; другие могут запускаться и без этого. Взломщик может и не быть администратором машины, на которой запущен сканер, - он мог встроить его как "троянского коня" в любую другую программу.
Программы ADMhack и mscan делают примерно следующее:
· TCP-сканирование портов;
· получение информации о RPC сервисах, запущенных через portmapper;
· получение списка экспортированных каталогов через nfsd;
· получение информации о наличии samba или netbios;
· запуск finger для сбора информации о пользователях;
· проверка скриптов CGI;
· проверка на возможность взлома демонов Sendmail, IMAP, POP3, RPC status и RPC mountd.
Если собранная информация позволяет пойти в обход через доверительные адреса, то возможность обычно используется. Если же такого пути нет, то применяется почтовый сервер для более глубокого проникновения в сеть. Параллельно производятся попытки программно удаленно взломать Sendmail-, IMAP-, POP3 - и RPC-сервисы, такие как statd, mountd и pcnfsd. Иногда для этого используются уже взломанные машины, так как зачастую необходимо иметь программу, скомпилированную на той же платформе.
После того как хоть один из приемов прошел и получить доступ удалось, взломщик будет тщательно заметать следы, чистить записи в файлах и устанавливать программы, чтобы впоследствии его присутствие не было обнаружено.
Обычно при этом устанавливаются исправленные версии программ, изменяются даты и права доступа к файлам. Для загрузки новых программ может использоваться даже ftp. Возможно, что вместо аккуратного удаления информации о себе будут установлены новые версии программ ps и netstat, которые будут скрывать информацию о взломе. Некоторые взломщики могут поместить файл. rhosts в директорию /usr/bin, чтобы дать возможность удаленного входа пользователя bin посредством rsh или csh.
Чистка записей о себе необходима. Простым дублированием здесь себя не обезопасить. Красивым приемом является посылка регистрационных записей на принтер. Это делает фактически невозможным их редактирование. В любом случае взломщик пойдет дальше только после того, как чистка записей будет проделана. Будет ли он взламывать саму сеть или только основные серверы, - скорее всего, дело вкуса, но если все предыдущее прошло более-менее гладко, искоренение взломщика будет уже довольно трудоемким делом.
Если целью взлома было получение информации из сети, то можно признать, что она наполовину достигнута, так как, взломав что-то типа почтового сервера, получить доступ к сети гораздо легче. Скорее всего, дальнейшая защита будет не лучше, а ее взлом уже отрепетирован. Тем не менее, еще есть что делать - собирать пароли, качать информацию с защищенных машин и тому подобное. Эти приемы у взломщика тоже, несомненно, отработаны.
Наиболее эффективным способом сбора имен и паролей является установка программ "ethernet sniffer". Эта программа "висит" на сетевой карточке, "нюхая" все, что пробегает по сети, отбирая пакеты с именами и паролями. Наиболее эффективно использовать компьютеры из той же подсети, где хочется взломать машину. Ясно, что установить sniffer под Windows гораздо легче. Если же ее придется ставить на UNIX-машину, то скорее всего установлена эта программа будет в /usr/bin или /dev каталог с датой и временем, таким же как у других файлов.
Обычно вся работа программы записывается в файл на этой же самой машине, так что лишней посылки данных не происходит. Поскольку обычно заранее устанавливается измененная программа ps, то процесс не виден. Для работы наиболее эффективно, когда сетевой интерфейс находится в режиме "promiscuous". Ясно, что прослушиваются все данные, проходящие по сети, а не только адресованные данной машине.
После установки прослушивания взломщик возвращается к машине где-то через неделю, чтобы скачать файлы. Разумеется, что он старается как можно тщательнее скрыть присутствие программы, но обнаружить ее можно, например, просматривая файловые системы на предмет изменения файлов. Для таких целей может служить программа Tripwire. Другая программа - cpm - отслеживает изменения в сетевых интерфейсах.
Следующим и наиболее вредным этапом взлома является уничтожение серверов, управляющих работой сети. Это нужно как для заметания следов, так и для того, чтобы заставить сеть работать "под себя". Не всегда, но довольно часто это происходит посредством команды "rm - rf / &". Восстановление целиком зависит от наличия резервных копий. Другой способ - изменить роутинг пакетов.
Итак, все вышеописанное представляет схему взлома стандартной сети. Как же можно себя обезопасить? Для начала нужно правильно и корректно установить систему. Аккуратно настроить роутинг и убрать все лишнее. Если вы взялись администрировать сеть, взгляните на исправления к системе, о чем обычно говорится на сайте разработчика, особенно, если речь идет о защите. Дальше нужно проверить простые вещи: пользователи bin, system, daemon и т.д. не должны уметь входить в систему, что должно быть отражено в файле passwd. Все пользователи должны иметь пароли и регулярно их менять. Можно запретить держать файлы типа. rhosts, чтобы туда не попадало все подряд. Но это довольно банально. Менее банальный хотя уже весьма распространенный шаг - поставить Secure Shell. Вещь хорошая и надежная. Если кто не в курсе - поясню. Если вы делаете telnet, то пароль передается как есть, что выгодно для sniffer, а с Secure Shell, который должен быть на обеих соединяемых машинах, пароль идет в шифрованном виде. Просто, но приятно, особенно если учесть, что этот самый shell бесплатный. Также нужно смотреть log-файлы на предмет входа со странных адресов, попытки входа под чьим-либо именем много раз, и многое другое. Не помешает иногда сверять важные системные файлы с резервной копией, скажем, с установочного диска. Плюс к этому желательно контролировать работу всей сети. Нужно побольше знать об установленных программах, допускать поменьше свободы пользователей, в общем, следить за своим хозяйством. Очень полезная вещь - делать backup, скажем, раз в день. Наверняка уже эти простые советы могут помочь. Но можно пойти и дальше - например, проверять состояние файловой системы, печатать на принтер регистрационные файлы.
Причины нарушения
Процесс обеспечения информационной безопасности относится к оперативным процессам и входит в блок процессов поддержки ИТ сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на качество предоставления ИТ сервисов:
· снижение уровня доступности услуг вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;
· полная или частичная потеря данных;
· несанкционированная модификация данных;
· получение доступа посторонними пользователями к конфиденциальной информации.
Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:
· ошибки конфигурирования программных и аппаратных средств ИС;
· случайные или умышленные действия конечных пользователей и сотрудников ИТ службы;
· сбои в работе программного и аппаратного обеспечения ИС;
· злоумышленные действия посторонних по отношению к информационной системе лиц.
Программные средства обеспечения информационной безопасности предприятий можно разделить на три большие группы: средства антивирусной защиты, брандмауэры и средства обнаружения атак. Обычно эти средства применяются в комплексе, поэтому нередко говорят не о конкретных продуктах, а о платформах безопасности, объединяющих в себе сразу несколько решений. Однако само по себе программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила использования ПК, сети и данных, а также процедуры предотвращения нарушения этих правил и схемы реакции на подобные нарушения, если таковые возникнут. Отметим также, что при выработке подобной политики требуется оценка рисков, связанных с той или иной деятельностью, а также рассмотрение экономической целесообразности выбора платформы безопасности.
При построении ИТ инфраструктуры клиентов, компания "ESC" отдельное внимание уделяет обеспечению информационной безопасности. Данные и сервисы клиентов защищаются согласно последним стандартам в данной области. Основные усилия наших специалистов направлены на гарантирование конфиденциальности, целостности и доступности данных. Настроенные политики аудита доступа позволяют иметь полный контроль над тем, кто и когда получает доступ к конфиденциальной информации. В качестве инструментов, позволяющих обеспечить наших клиентов необходимым уровнем защиты выступают общепринятые надёжные системы и механизмы.
Среди них:
· контроль привилегий пользователей и организация политик безопасности в Active Directory
· использование HTTPS и других шифрованных протоколов передачи данных
· защита доступа в корпоративную сеть посредством использования серверов VPN
· ограничение и контроль за доступом в сеть извне средствами программных и аппаратно - программных решений (предоставляются услуги по настройке аппаратных роутеров любого производителя, а также услуги по настройке программных средств, таких как Kerio WinRoute Firewall, Outpost, WinGate, IPFW, IPTables и др.)
· защита от вирусных атак с помощью установки и настройки коммерческого и свободно распространяемого антивирусного программного обеспечения как на клиентских ПК так и на серверах, с использованием специальных модулей (анти-спам, почтовые, для шлюзов и т.п.)
· ограничение и контроль доступа в интернет с помощью proxy-серверов
· использование средств защиты от сканирования портов и ARP-spoofing-а и ряда других сетевых угроз.
Дополнительно к мерам по защите информации, компания "ESC" обеспечивает своих клиентов надёжными механизмами сохранности данных. Организация резервного копирования данных, выработка процедур восстановления и правил хранения позволяет нашим клиентам не беспокоиться о том, что данные могут быть утеряны в результате физического или программного повреждения систем или оборудования отвечающих за их хранение.
Три основные причины нарушений
На сегодня выделено три основных причины нарушений информационной безопасности:
· неопытность
· безответственность (самоутверждение)
· корыстный интерес.
Неопытность
Данный мотив является наиболее безвредным, и, вместе с тем, широко распространенным среди новых пользователей систем.
Характерными чертами неопытности являются:
· непреднамеренные ошибки, совершаемые пользователями при вводе данных. Указанный тип нарушений легко блокируется введением в интерфейс программного комплекса, с которым работает пользователь, внутренних правил проверки заполняемых форм и системы уведомления пользователя о совершенных ошибках;
· непонимание пользователями правил работы в сети, и, как следствие, невыполнение этих требований. Борьба с указанным типом нарушителей заключается в проведении подробного инструктажа пользователя и разъяснения ему целей и политики компании.
· непонимание пользователями требований безопасности при работе с данными, и, как следствие, передача другим пользователям или посторонним лицам, своих паролей для входа в систему.
Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных).
Безответственность
При нарушениях, вызванных безответственностью, пользователь целенаправленно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов автоматизированной системы считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Большинство систем имеет ряд средств противодействия подобным "шалостям". В случае необходимости администратор защиты использует их временно или постоянно. Такой вид нарушения называется зондированием системы .
Корыстный интерес
Это наиболее опасный вид нарушений. Борьба с указанным видом нарушителей заключается в проведении методических проверок сотрудников объекта различными службами безопасности.
Жизнь свидетельствует о том, что полностью защитить объект от проникновения практически невозможно.
Практика показывает, что ущерб от каждого вида нарушений обратно пропорционален его частоте: нарушения, вызванные неопытностью, встречаются чаще всего, но ущерб от них, как правило, незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация важна, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб практически незаметен.
Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь, в конце концов, вводит систему в состояние неразрешимого противоречия. После этого операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.
Наиболее редкий, но и наиболее опасный вид нарушений - проникновение. Отличительной чертой проникновений является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, но в превосходной степени, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.
Таким образом, при организации системы защиты информации необходима некая дифференциация мер защиты: для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая, и самая жесткая (вместе с постоянным контролем) - от проникновений. Целью такой дифференциации должно быть рациональное распределение средств защиты информации и вычислительных ресурсов системы.
В отношении к возможным нарушениям следует придерживаться принципа разумной достаточности, а иногда и "золотой середины”. Так, например, существует вероятность ядерного инцидента, но очень мало людей стремятся обезопасить себя, строя бомбоубежища, запасаясь продуктами и водой, так как эта вероятность слишком мала. В то же время, каждый человек стремится обезопасить свою квартиру, машину, сбережения ¬вероятность реализации угрозы значительна, да и ущерб может быть ощутимым.
Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть различными. Около 50% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью. Но гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.
Ответчики по мотивации компьютерных преступлений вписываются в три категории:
· пираты - главным образом нарушают авторское право, создавая незаконные версии программ и данных;
· хакеры (от англ. hack - рубить, кромсать, разбивать) - получают неправомочный доступ к компьютерам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами;
· кракеры (от англ. crack - раскалывать, взламывать) - наиболее серьезные нарушители, которые позволяют себе все.
Способы предотвращения нарушений вытекают из природы самих побудительных мотивов. Это, прежде всего, соответствующая подготовка пользователей, а также поддержание здорового социально-психологического климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
информационная безопасность сеть взлом
Классификация угроз информационной безопасности
|
Природные угрозы |
Угрозы технического характера |
Угрозы, созданные людьми |
|
|
1. Стихийные бедствия 2. Магнитные бури 3. Радиоактивное излучение и осадки |
1. Отклонения или колебания электропитания и сбои в работе других средств обеспечения функционирования системы 2. Отказы и сбои в работе аппаратно-программных средств ИС 3. Электромагнитные излучении и наводки 4. Утечки через каналы связи |
1. Непреднамеренные действия: облуживающего персонала управленческого персонала программистов пользователей архивной службы службы безопасности 2. Преднамеренные действия 3. Хакерские атаки |
Размещено на Allbest.ru
...Подобные документы
Изучение профессиональных и должностных обязанностей специалистов отдела информационной безопасности. Характеристика процесса внедрения новой информационной системы предприятия. Создание плановых, диспозитивных и исполнительных информационных систем.
Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа , добавлен 24.04.2015
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа , добавлен 17.05.2016
Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа , добавлен 19.12.2012
Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.
дипломная работа , добавлен 26.01.2013
Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа , добавлен 17.09.2010
Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа , добавлен 15.09.2012
Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа , добавлен 17.06.2013
Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья , добавлен 24.09.2010
Под угрозой информационной безопасности понимается случайная или преднамеренная деятельность людей или физическое явление, которые могут привести к нарушению безопасности информации. Далее рассмотрены основные виды и аспекты угроз информационной безопасности.
2.2.1 Классификация угроз информационной безопасности
Все множество потенциальных угроз информационной безопасности по природе их возникновения можно разделить на два класса (рисунок 7): естественные (объективные) и искусственные (субъективные).
Рисунок 7 - Угрозы безопасности
Естественные угрозы – это угрозы, вызванные воздействиями на автоматизированную систему и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – это угрозы информационной безопасности, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
1. Непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании автоматизированной системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п..
2. Преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к автоматизированной системе могут быть внешними или внутренними. Внутренние угрозы реализуются компонентами самой информационной системы – аппаратно-программным обеспечением или персоналом.
К основным непреднамеренным искусственным угрозам информационной безопасности относятся действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла:
1. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.).
2. Неправомерное отключение оборудования или изменение режимов работы устройств и программ.
3. Неумышленная порча носителей информации.
4. Запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.).
5. Нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях).
6. Заражение компьютера вирусами.
7. Неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной.
8. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков).
9. Проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации.
10. Игнорирование организационных ограничений (установленных правил) при работе в системе.
11. Вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.).
12. Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности.
13. Пересылка данных по ошибочному адресу абонента (устройства).
14. Ввод ошибочных данных.
15. Неумышленное повреждение каналов связи.
К основным преднамеренным искусственным угрозам относятся:
1. Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.).
2. Отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и др.).
3. Действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.).
4. Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность).
5. Вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия.
6. Применение подслушивающих устройств, дистанционная фото и видеосъемка и т.п..
7. Перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.).
8. Перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему.
9. Хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ).
10. Несанкционированное копирование носителей информации.
11. Хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.).
12. Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.
13. Чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования.
14. Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»).
15. Несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п..
16. Вскрытие шифров криптозащиты информации.
17. Внедрение аппаратных спец вложений, программных закладок и вирусов, т.е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы.
18. Незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений.
19. Незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
В статье анализируются угрозы нарушения информационной безопасности информационных систем и существующие модели и методы противодействия компьютерным атакам. В статье так же рассматриваются проблемы обеспечения информационной безопасности.
Ключевые слова: информационная система, информационная безопасность, модели, методы, информационные угрозы
На сегодняшний день проблемам информационной безопасности (ИБ) как в масштабах государства, так и в
масштабах отдельного предприятия уделяется достаточное внимание, несмотря на это, количество потенциальных угроз не становится меньше.
Разнообразие угроз нарушения ИБ столь велико, что предусмотреть каждую достаточно трудно, но при этом задача выполнима.
С целью обеспечения заданного уровня защиты информации, необходимо, во-первых, выявить основные
угрозы нарушения ИБ для конкретного объекта информатизации, во-вторых спроектировать адекватную модель противодействия им и в дальнейшем еѐ реализовывать.
Под информационной угрозой обычно понимают потенциально существующую опасность преднамеренного или непреднамеренного (случайного) нарушения порядка хранения и обработки информации.
Процессы сбора, хранения, обработки и распространения информации, происходящие в информационной системе (ИС) обуславливают появление информационных угроз.
Угрозы ИБ можно классифицировать по нескольким основным критериям :
По природе возникновения (естественные, искусственные);
По аспекту ИБ (доступность, конфиденциальность, целостность);
По степени воздействия на ИС (пассивные, активные);
По компонентам ИС, на которые направлены угрозы (инфраструктура, каналы связи, аппаратное обеспечение, программное обеспечение);
По расположению источника угроз (внутренний, внешний);
По способу осуществления (случайные, преднамеренные).
На современном этапе развития средств защиты информации известны возможные угрозы ИБ предприятия независимо от формы собственности. К ним прежде всего относятся:
– преднамеренные действия сотрудников;
– случайные действия сотрудников;
– атаки хакеров с целью получения конфиденциальной информации или причинения вреда деятельности предприятия.
По мнению экспертов в области информационной безопасности более 90 % от всех преступлений в сфере информационных технологий совершают сотрудники организаций (внутренние пользователи).
На практике более часто информационные угрозы классифицируют исходя из их воздействия на основные свойства информации. Рассматривая данную проблему, в качестве основных свойств информации можно выделить :
· Целостность информации – свойство информации сохранять актуальность и непротиворечивость в процессе ее сбора, накопления, хранения, поиска и распространения; устойчивость информации к разрушению и несанкционированному изменению.
· Доступность информации – способность сохранять свою ценность в зависимости от оперативности ее использования и возможность быть предоставленной авторизированному пользователю в определенный период времени.
· Конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам предприятия (руководству, ответственным сотрудникам, пользователям информационной сети предприятия и т.п.) и терять свою ценность при раскрытии не авторизированному пользователю.
В дополнение вышеперечисленных свойств информации так же необходимо добавит значимость и уязвимость информации.
Значимость информации – это интегрированный показатель оценки качества информации, используемой в управлении конкретным видом деятельности, ее обобщающая характеристика, отражающая важность для принятия управленческих решений, практическую значимость для достижения конкретных результатов или реализации конкретных функций Уязвимость информации – возможность подвергнуться потенциальной утечке, физическому разрушению и несанкционированному использованию в рамках информационных процессов.
Из вышесказанного следует, что все более актуальной становится проблема обеспечения безопасности ИС. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий обеспечения безопасности информационной сферы, моделей и методов противодействия компьютерным атакам.
На основе анализа литературы по системам обнаружения и анализа компьютерных атак, приведенные методы как правило не имеют достаточного математического описания. В основном они формализованы в виде способов и функций средств обнаружения компьютерных атак, используемых в инструментальных средствах средств предупреждения и обнаружения компьютерных атак . Проблемные вопросы противодействия компьютерным атакам в современной литературе самостоятельного отражения не нашли, поэтому анализ рассматриваемых методов осуществлен для известных методов обнаружения и анализа атак. Методы обнаружения и анализа несанкционированных воздействий на ресурс информационной системы можно разделить на:
− методы анализа сигнатур,
− методы обнаружения аномальных отклонений.
Методы анализа сигнатур предназначены для обнаружения известных атак и основаны на контроле программ и данных в ИС и эталонной сверке последовательности символов и событий в сети с базой данных сигнатур атак. Исходными данными для применения методов служат сведения из системных журналов общего и специального программного обеспечения, баз данных и ключевые слова сетевого трафика ИС. Достоинством данных методов является незначительные требования к вычислительным ресурсам ИС, сохранение высокой оперативности выполнения технологического цикла управления (ТЦУ) в ИС и достоверности обнаружения и анализа атак. Недостатком методов анализа сигнатур является невозможность обнаружения новых (модифицированных) атак без строгой формализации ключевых слов сетевого трафика и обновления базы данных сигнатур атак.
Методы обнаружения аномальных отклонений предназначены для обнаружения неизвестных атак. Принцип их действия состоит в том, что выявляется аномальное поведение ИС отличное от типичного и на основании этого факта принимается решение о возможном наличии атаки. Обнаружение аномальных отклонений в сети осуществляется по признакам компьютерных атак, таким как редкие типы стеков протоколов (интерфейсов) для запроса информации, длинные пакеты данных, пакеты с редкими распределениями символов, нестандартная форма запроса к массиву данных.
Для применения методов обнаружения аномальных отклонений и уменьшения числа ложных срабатываний необходимы четкие знания о регламентах обработки данных и требованиях к обеспечению безопасности информации (установленном порядке администрирования), обновлениях контролируемых программ, сведения о технологических шаблонах выполнения ТЦУ в ИС. Способы применения методов обнаружения аномальных отклонений различаются используемыми математическими моделями :
· Статистическими моделями:
− вероятностными моделями;
− моделями кластерного анализа.
· Моделями конечных автоматов.
· Марковскими моделями.
· Моделями на основе нейронных сетей.
· Моделями на основе генной инженерии.
В методе обнаружения аномальных отклонений, в котором используются статистические модели, выявление аномальной активности осуществляется посредством сравнения текущей активности сетевого трафика ИС с заданными требованиями к технологическому шаблону (профилю нормального поведения) выполнения ТЦУ ИС.
В качестве основного показателя в вероятностных моделях обнаружения компьютерных атак используется:
− вероятность появления новой формы пакета передачи данных отличной от эталонной;
− математическое ожидание и дисперсия случайных величин, характеризующих изменение IP-адресов источника и потребителя информации, номеров портов АРМ источников и потребителей информации.
Статистические методы дают хорошие результаты на малом подмножестве компьютерных атак из всего множества возможных атак. Недостаток статистических моделей обнаружения аномальных отклонений состоит в том, что они не позволяют оценить объем передаваемых данных и не способны обнаружить вторжения атак с искаженными данными. Узким местом методов является возможность переполнения буфера пороговых проверок «спамом» ложных сообщений.
Для эффективного использования статистических моделей в методе обнаружения аномальных отклонений необходимы строго заданные решающие правила и проверка ключевых слов (порогов срабатывания) на различных уровнях протоколов передачи данных. В противном случае доля ложных срабатываний, по некоторым оценкам, составляет около 40 % от общего числа обнаруженных атак.
В основе моделей кластерного анализа лежит построение профиля нормальных активностей (например, кластера нормального трафика) и оценка отклонений от этого профиля посредством выбранных критериев, признаков (классификатора главных компонентов) компьютерных атак и вычислении расстояний между кластерами на множестве признаков атак. В моделях кластерного анализа используется двухэтапный алгоритм обнаружения компьютерных атак. На первом этапе осуществляется сбор информации для формирования множества данных кластеров аномального поведения ИС на низших уровнях протоколов передачи данных. На втором этапе выполняется сравнительный анализ полученных кластеров аномального поведения ИС с кластерами описания штатного поведения системы. Вероятность распознавания атак моделями кластерного анализа составляет в среднем 0,9 при обнаружении вторжений только по заголовкам пакетов передачи данных без семантического анализа информационной составляющей пакетов. Для получения достоверных данных с использованием моделей кластерного анализа необходим анализ порядка идентификации и аутентификации, регистрации абонентов, системных прерываний, доступа к вычислительным ресурсам в нескольких системных журналах ИС: аудита, регистрации, ресурсов, что приводит к задержке времени на принятие решений. Такая задержка часто делает невозможным применение моделей кластерного анализа в системах квазиреального масштаба времени.
Обнаружение атак с использованием модели конечных автоматов основано на моделировании конечными автоматами процессов информационного взаимодействия абонентов ИС по протоколам передачи данных. Конечный автомат описывается множествами входных данных, выходных данных и внутренних состояний. Атаки фиксируются по «аномальным» переходам ИС из состояния в состояние. Предполагается, что в ИС «штатные» переходы системы из состояния в состояние определены, а неизвестные состояния и переходы в эти состояния регистрируются как аномальные. Достоинством этой модели является упрощенный подбор классификационных признаков для ИС и рассмотрение малого числа переходов из состояния в состояние. Модель позволяет обнаруживать атаки в потоке обработки данных сетевыми протоколами в режиме близком к реальному масштабу времени. К недостаткам модели следует отнести необходимость разработки большого числа сложных экспертных правил для сравнительного анализа требуемых и аномальных состояний и переходов системы. Экспертные правила оценки состояний ИС взаимоувязаны с характеристиками сетевых протоколов передачи данных.
Методы обнаружения аномальных отклонений на основе марковских моделей основаны на формировании марковской цепи нормально функционирующей системы и функции распределения вероятностей перехода из одного состояния в другое. Эти сведения используются как обучающие данные. Обнаружение аномалий осуществляется посредством сравнения марковских цепей и соответствующих функций распределения вероятностей аномального и нормального функционирования ИС по значениям порога вероятностей наступления событий. На практике эта модель наиболее эффективна для обнаружения компьютерных атак, основанных на системных вызовах операционной системы, и требует дополнительных метрик условной энтропии для использования в системах квазиреального масштаба времени.
Методы обнаружения компьютерных атак на основе нейронных сетей применяют для предварительной классификации аномалий в ИС. Они базируются на идентификации нормального поведения системы по функции распределения получения пакетов данных (выполнения заданных команд оператора), обучении нейронной сети и сравнительного анализа событий по обучающей выборке.
Аномальное отклонение в ИС обнаруживается тогда, когда степень доверия нейросети своему решению лежит ниже заданного порога. Предполагается, что применению модели нейронных сетей для реализации механизмов защиты информации ИС от компьютерных атак предшествует обучение этих сетей заданным алгоритмам нормального функционирования. Недостатками методов обнаружения компьютерных атак с использованием нейронной сети являются сложный математический аппарат, который недостаточно эффективно работает в системах квазиреального масштаба времени, и сложность обучения сети для выявления неизвестных атак.
Модели обнаружения компьютерных атак на основе генной инженерии опираются на применение в сфере информационных технологий достижений генетики и моделей иммунной системы человека. Подход этой модели базируется на моделировании элементов иммунной системы человека в средствах обнаружения аномалий путем представления данных о технологических процессах в ИС цепочкой (вектором) признаков, и затем вычисления меры сходства между обучающей цепочкой признаков, характеризующих нормальное «поведение» ИС и тестовой цепочкой, характеризующей аномальное функционирование. Если согласование между данными обучающей и тестовой цепочек не найдено, то процесс интерпретируется как аномальный. Одна из основных трудностей применения этой модели состоит в выборе порога согласования данных, формирования необходимого объема данных обучающей и тестовой выборки и чувствительности к ложным срабатываниям.
Модель на основе генной инженерии (природной иммунной системы), применяется для обнаружения аномальных соединений по протоколу ТСР/IP по данным об IP-адресах: источника информации, потребителя информации и коммуникационных средств, с помощью которой соединяются абоненты в сети. Недостаток этих моделей заключается в том, что требуется сложная процедура настройки обучающей и тестовой выборок или данных о поведении индивидуума в ИС с привлечением высококвалифицированного оператора.
Таким образом, достоинством методов обнаружения аномальных отклонений является возможность анализа динамических процессов функционирования ИС и выявления в них новых типов компьютерных атак. Методы дают возможность априорного распознавания аномалий путем систематического сканирования уязвимых мест.
К недостаткам этих методов можно отнести необходимость увеличения нагрузки на трафик в сети, сложность реализации и более низкая достоверность обнаружения компьютерных атак в сравнении с сигнатурным анализом.
Ограничением методов обнаружения и анализа компьютерных атак является необходимость детальной информации о применении протоколов (стеков протоколов) передачи данных в ИС на всех уровнях эталонной модели взаимодействия открытых систем.
Сравнительный анализ существующих методов обнаружения компьютерных атак по анализу сигнатур и аномальных отклонений в ИС показал, что наиболее универсальным подходом к выявлению известных и неизвестных атак является метод обнаружения аномалий. Для повышения устойчивости функционирования ИС необходим комбинированный метод противодействия компьютерным атакам, который гибко использует элементы сигнатурного анализа, выявления аномалий и функционального анализа динамически выполняемых функций ИС.
Список литературы
1. Бетелин В.Б., Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие Издание третье, 2006 г., 208 с.
2. Бурков В.Н., Грацианский Е.В., Дзюбко С.И., Щепкин А.В. Модели и механизмы управления безопасностью. Серия «Безопасность». - СИНТЕГ, 2001 г., 160 с.
3. ГОСТ Р ИСО/МЭК 27033-3 - 2014 Информационная технология Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3 Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.
4. Девянин П.Н. Модели безопасности компьютерных систем. Издательский центр «Академия», 2005 г., 144 с.
5. Климов С.М., Сычев М.П., Астрахов А.В. Противодействие компьютерным атакам. Методические основы. Электронное учебное издание. - М.:МГТУ имени Н.Э. Баумана, 2013 г., 108 с.
6. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. ДМК Пресс, 2012 г., 591 с.
7. http://sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "Анализ угроз информационной безопасности деятельности промышленных предприятий", Балановская А.В., 2013 г.
дипломная работа
1.3.4 Основные понятия безопасности компьютерных систем
Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Под целостностью понимается как способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения. Согласно руководящему документу Гостехкомиссии России “Защита от несанкционированного доступа к информации. Термины и определения” угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему, которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой.
Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества.
Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в вычислительной системе информации путем осуществления несанкционированного доступа к объектам вычислительной системы.
Несанкционированный доступ определяется как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых вычислительными системами. Можно ввести более простое определение несанкционированному доступу: несанкционированный доступ заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует.
Реализация угрозы называется атакой. Человек, стремящийся реализовать угрозу, называется нарушителем, или злоумышленником.
Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т.д. Рассмотрим общую классификацию угроз безопасности вычислительных систем по средствам воздействия на них. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов (Рисунок 1.4):
1. Вмешательство человека в работу вычислительной системы. К этому классу относятся организационные средства нарушения безопасности вычислительных систем (кража носителей информации, несанкционированный доступ к устройствам хранения и обработки информации, порча оборудования) и осуществление нарушителем несанкционированного доступа к программным компонентам вычислительной системы (все способы несанкционированного проникновения в вычислительные системы, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам вычислительной системы). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам вычислительной системы), также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (попыток подбора паролей).
2. Аппаратно-техническое вмешательство в работу вычислительной системы. Это нарушения безопасности и целостности информации в вычислительной системе с помощью технических средств, например, получение информации по электромагнитному излучению устройств вычислительной системы, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).
3. Разрушающее воздействие на программные компоненты вычислительной системы с помощью программных средств. Такие средства называются разрушающими программными средствами . К ним относятся компьютерные вирусы, троянские кони (или «закладки»), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и аппаратно реализованных систем защиты.
Автоматизация расчетов по оплате труда на примере ОАО "Нечкинское" Сарапульского района Удмуртской Республики с использованием программы 1С:Предприятие 8.0
Экономическая информационная система (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединенных в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации...
Безопасность информационных систем
Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое "угроза безопасности информации", выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным...
Вирусы и способы их распространения
Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы...
Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы
Начиная с 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий» и...
Информационно-развлекательный интернет-сайт для Шахтинской Открытой Лиги КВН "Шаолинь"
Слово “безопасность” латинского происхождения - secure (securus). Затем в английском языке оно получило написание “security”. Общеизвестно, что “безопасность” - это отсутствие опасности; состояние деятельности...
Информационно-развлекательный сайт Шахтинской Открытой Лиги КВН "Шаолинь"
Слово "безопасность” латинского происхождения - secure (securus). Затем в английском языке оно получило написание "security”. Общеизвестно, что "безопасность” - это отсутствие опасности; состояние деятельности...
Назначение, эволюция и классификация операционных систем
Обязательный набор программ безопасности на персональном компьютере
Для того чтобы рассматривать в дальнейшем вопросы безопасности, необходимо ввести основные понятия, которыми оперирует теория компьютерной безопасности. Итак...
Программа для решения линейных уравнений
В самом общем случае система линейных уравнений имеет следующий вид: a11x1 + a12x2 + …+ a1n xn = b1 ; a21x1 + a22x2 + …+ a2n xn = b2 ; am1x1+ am2x2 + …+ amnxn = bm ; где х1, х2, …, хn - неизвестные, значения которых подлежат нахождению. Как видно из структуры системы...
Разработка базы данных
Система баз данных - это компьютеризированная система хранения записей, т.е. компьютеризированная система, основное назначение которой - хранить информацию, предоставляя пользователям средства её извлечения и модификации ...
Разработка информационной системы производства и реализации продукции на примере ТОО "Мебель–Комп"
Товарно-материальный запас - это запас какого-либо ресурса или предметов, используемых в организации. С точки зрения практики проблема управления запасами является чрезвычайно серьезной. Потери...
Разработка обучающей системы по дисциплине "Экспертные системы"
Обучающие системы могут использоваться при организованном образовании и при самообразовании. Под организованным образованием понимается учебный процесс в учебных заведениях разных уровней образования...
Разработка проекта защиты локальной вычислительной сети внутри организации ТОО "1С: Франчайзинг Караганда"
Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз...
Способы и методы защиты информационных ресурсов
Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных...
Сущность информационных технологий
Сегодня обработка экономической информации стала самостоятельным научно-техническим направлением с большим разнообразием идей и методов. Отдельные компоненты процесса обработки достигли высокой степени организации и взаимосвязи...
Одной из особенностей обеспечения информационной безопасности в ИС является то, что абстрактным понятиям, таким как "субъект доступа ", "информация " и т.п., ставятся в соответствие физические представления в среде вычислительной техники:
Для представления понятия "субъект доступа "- активные программы и процессы ,
Для представления понятия “информация” - машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов, разделов и подразделов томов, файлов, записей, полей записей, оперативной памяти и т.д.
Информационная безопасность ИС -состояние рассматриваемой информацинной системы, при котором она:
- с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз,
- с другой - её наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды.
Безопасность ИС - это защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также попыток хищения, изменения или разрушения компонентов.
Угроза безопасности ИС - это возможные воздействия на ИС, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности - это нарушение состояния защищенности информации, содержащейся и обрабатывающейся в ИС. Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ИС информации путем осуществления несанкционированного доступа (НСД) к объектам ИС.
Уязвимость ИС – это характеристика или свойство ИС, использование которой нарушителем может привести к реализации угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.
Несанкционированный доступ к информации – наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на которого нет разрешения в соответствии с принятой в организации политикой безопасности.
Противодействие угрозам безопасности является целью зашиты систем обработки информации.
Таким образом, атака - это реализация угрозы безопасности.
3. Анализ угроз информационной безопасности
Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза».
В соответствии со «Словарем русского языка» Ожегова , «угроза » - это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность.
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб», которую Гражданский Кодекс определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества , а также расходы , которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества » .
Под угрозой информационной безопасности ИС называют:
1) возможность реализации воздействия на информацию , обрабатываемую в ИС, приводящего: - к искажению, уничтожению, копированию, блокированию доступа к информации;
2) а также возможность воздействия на компоненты ИС , приводящего к: утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.
В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности ИС, насчитывающий сотни пунктов. Наиболее характерные и часто реализуемые угрозы информационной безопасности ИС:
Несанкционированное копирование носителей информации;
Неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
Игнорирование организационных ограничений (установленных правил) при определении ранга системы.
Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС анализ негативных последствий реализации угроз и предполагает их обязательную идентификацию, а именно:
Перечень возможных угроз информационной безопасности,
Оценки вероятностей их реализации,
Модель нарушителя.
Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков .
Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.
Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:
Архитектура современных средств автоматизированной обработки информации,
Организационное, структурное и функциональное построение информационно-вычислительных систем и сетей,
Технологии и условия автоматизированной обработки информации такие, - что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов . В силу этого становится невозможным формализовать задачу описания полного множества угроз .
Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.
