1. Место информационной безопасности в системе национальной безопасности
 Скачать 453.88 Kb.
|
Классификация атакТакже как и уязвимости, атаки можно классифицировать по различным признакам. Далее приведено несколько вариантов такой классификации. Классификация атак по целям Производя атаку, злоумышленник преследует определённые цели. В общем случае это могут быть: • нарушение нормального функционирования объекта атаки (отказ в обслуживании) • получение контроля над объектом атаки • получение конфиденциальной и критичной информации • модификация и фальсификация данных Классификация атак по мотивации действий Этот перечень является классическим и относится не только к IP -сетям, но и к другим областям деятельности: • Случайность • Безответственность • Самоутверждение • Идейные соображения • Вандализм • Принуждение • Месть • Корыстный интерес Местонахождение нарушителя Следующий возможный вариант классификации атак - по местонахождению атакующего: • в одном сегменте с объектом атаки; .• в разных сегментах с объектом атаки. От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее. Механизмы реализации атак Наиболее важный для понимания сути происходящего - это вариант классификации атак по механизмам их реализации: • пассивное прослушивание Пример: перехват трафика сетевого сегмента • подозрительная активность Пример: сканирование портов (служб) объекта атаки, попытки подбора пароля • бесполезное расходование вычислительного ресурса Пример: исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т.п.) • Нарушение навигации (создание ложных объектов и маршрутов) Пример: Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условныхInternet-имен иIP-адресов (атаки наDNS) и т.п. • Выведение из строя Пример: посыпка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы (WinNukeи др.) • Запуск приложений на объекте атаки Пример: выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода наJavaилиActiveXи др.) и др. Статистика по уязвимостям и атакам за 2000 год Согласно данным компании Internet Security Systems за 2000 год, наиболее часто при проведении атак использовались следующие уязвимости: 1. Уязвимости, приводящие к отказу в обслуживании ( Denial of Service ) 2. Уязвимости системной политики (пользовательские бюджеты, пароли) • 3. Уязвимости Microsoft Internet Information Server 4. Уязвимости СУБД 5. Уязвимости Web -приложений 6. Уязвимости электронной почты 7. Уязвимости сетевых файловых систем 8. Уязвимости протокола RPC 9. Уязвимости BIND 10. Уязвимости, связанные с переполнением буфера в Linux -приложениях Примеры атак Как было сказано выше, наиболее полный вариант классификации атак - по механизмам их реализации. Далее приведены примеры использования некоторых перечисленных механизмов. Прослушивание трафика Описание;Перехват и анализ трафика сетевого сегмента, основанный на возможности перевода сетевого адаптера в неселективный режим работы. Цель: Получение конфиденциальной и критичной информации Механизм реализации; Пассивное прослушивание Используемые уязвимости; Основанная на общей среде передачи технология ( Ethernet ) - недостаток проектирования. Передача конфиденциальной информации в открытом виде - недостаток проектирования. Уровень информационной инфраструктуры: Сеть. Степень риска;Высокая Термин "сниффер" («нюхач») впервые был использован компанией Network Associates в названии известного продукта " Sniffer (г) Network Analyzer ". В самом общем смысле, слово "сниффер" обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным "жучкам", записывающим телефонные разговоры. Однако чаще всего "сниффером" называют программу, запущенную на подключенном к сети узле и просматривающую весь трафик сетевого сегмента. Работа "сниффера" использует основной принцип технологии Ethernet - общую среду передачи. Это означает, что любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах: селективном ( non - promiscuous ) и неселективном ( promiscuous ). В первом случае, принимаются только сообщения, предназначенные данному узлу. Фильтрация осуществляется на основе МАС-адреса фрейма. Во втором случае фильтрация не осуществляется и узел принимает все фреймы, передаваемые по сегменту 1. Сканирование портов Описание; Подключение к узлу и перебор портов из известного диапазона с целью выявления работающих на узле служб Цель; Получение конфиденциальной и критичной информации Механизм реализации;Подозрительная активность Используемые уязвимости; Ошибки обслуживания. Службы, неиспользуемые, но установленные и работающие. Уровень информационной инфраструктуры: Сеть. Степень риска:Низкая АтакаSynFlood Описание; Посылка большого числа запросов на установление TCP -соединения. Цель;Нарушение нормального функционирования объекта атаки Механизм реализации;Бесполезное расходование вычислительного ресурса Используемые уязвимости: Особенности схемы установления соединения по протоколу TCP . Уровень информационной инфраструктуры: Сеть. Степень риска;Высокая В случае получения запроса на соединение система отвечает на пришедший SYN -пакет SYN / ACK -пакетом, переводит сессию в состояние SYN _ RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет АСК, соединение 1 Более подробно сетевые анализаторы и способы их обнаружения рассматриваются в курсе БТОЗ. удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED (установлено). Если очередь входных соединений заполнена, а система получает SYN -пакет. приглашающий к установке соединения, он будет проигнорирован. Затопление SYN -пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. После истечение некоторого времени (время тайм-аута зависит от реализации) система удаляет запросы из очереди. Однако ничто не мешает злоумышленнику послать новую порцию запросов. Обычно используются случайные (фиктивные) обратные IP -адреса при формировании пакетов, что затрудняет обнаружение злоумышленника. АтакаARP-Spoofing Описание: Добавление ложных записей в таблицу, использующуюся при работе протокола ARP Цель: Нарушение нормального функционирования объекта атаки Механизм реализации; Нарушение навигации Используемые уязвимости; Недостаток проектирования протокола ARP Уровень информационной инфраструктуры: Сеть Степень риска; Высокая Большинство ОС добавляют в таблицу новую запись на основе полученного ответа даже без проверки того, был ли послан запрос (исключением, например, является Solaris ). Таким образом, нарушитель может отправить ответ, в котором указан MAC - адрес несуществующего или неработающего в данный момент узла, что приведёт к невозможности взаимодействия узла- «жертвы» с каким-либо узлом. Например, на следующем рисунке узел 223.1.2.1 не будет доступен с узла - объекта атаки после посылки нарушителем ложного ARP -ответа. АтакаIISDOS Описание: Посылка некорректно построенного HTTP -запроса приводит к перерасходу ресурсов атакуемого WWW -с ep в epa Цель:Нарушение нормального функционирования объекта атаки Механизм реализации: Бесполезное расходование вычислительного ресурса Используемые уязвимости: Ошибка реализации Microsoft Internet Information Server Уровень информационной инфраструктуры: Приложения Степень риска: Средняя Выводы Итак, для защиты от атак необходимо использовать комплекс средств безопасности, реализующий основные защитные механизмы и состоящий из следующих компонентов: • Межсетевые экраны, являющиеся первой линией обороны и реализующие комплекс защитных механизмов, называемый защитой периметра. • Средства анализа защищённости, позволяющие оценить эффективность работы средств защиты и обнаружить уязвимости узлов, протоколов, служб. • Средства обнаружения атак, осуществляющие мониторинг в реальном режиме времени. Далее рассматриваются примеры средств, относящихся к каждой из упомянутых категорий. 29.Лицензирование и сертификация в области защиты информации. Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135). Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии. Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: · государственные органы по лицензированию; · лицензионные центры; · предприятия-заявители. Государственные органы по лицензированию: · организуют обязательное государственное лицензирование деятельности предприятий; · выдают государственные лицензии предприятиям-заявителям; · согласовывают составы экспертных комиссий, представляемые лицензионными центрами; · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации. Лицензионные центры: · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ; · планируют и проводят работы по экспертизе предприятий-заявителей; · контролируют полноту и качество выполненных лицензиатами работ. Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации. Лицензированию ФСТЭК России подлежат: · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности; · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации; · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог раммных средств обработки, защиты и контроля защищенности информации; · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ; · проектирование объектов в защищенном исполнении. На орган по лицензированию возлагается: · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования; · осуществление научно-методического руководства лицензионной деятельностью; · публикация необходимых сведений о системе лицензирования; · рассмотрение заявлений организаций и воинских частей о выдаче лицензий; · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации; · согласование состава экспертных комиссий; · организация и проведение специальных экспертиз; · принятие решения о выдаче лицензии; · выдача лицензий; · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании; · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий; · приобретение, учет и хранение бланков лицензий; · организация работы аттестационных центров; · осуществление контроля за полнотой и качеством проводимых лицензиатами работ. В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации): · деятельность по распространению шифровальных (криптографических) средств; · деятельность по техническому обслуживанию шифровальных (криптографических) средств; · предоставление услуг в области шифрования информации; · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них: · Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; · Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»; · Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности. Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения. Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий: должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу; хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон. Такой режим может быть обеспечен системой из нескольких открытых ключей. Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств. Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся: · принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности; · выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности; · обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности. Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время. Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию. Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным. Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов. Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным. Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК( ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений. Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось. С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает: · приведение национальных и отраслевых стандартов в соответствие с международными; · участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях); · возможность признания в России международных сертификатов. Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства. ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов. 1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации. 2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»– описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации. 3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда. 4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа. 5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы. 6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран. На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации. |