Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Угрозы информации
57
Рис. 2.1. Угрозы информации
Естественные угрозы – это угрозы, вызванные воздействиями на
АСОИ и ее элементы объективных физических процессов или сти- хийных природных явлений, не зависящих от человека.
Искусственные угрозы – это угрозы АСОИ, вызванные деятель- ностью человека. Среди них, исходя из мотивации действий, можно выделитьнепреднамеренные и преднамеренные.
Непреднамеренные угрозы (неумышленные, случайные)– вызванные ошибками при:
 проектировании АСОИ и ее элементов;
 разработке программного обеспечения;
 действиях персонала;
Преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к АСОИ могут быть внешни- ми или внутренними (компоненты самой АСОИ – ее аппаратура, программы, персонал).
Основные непреднамеренные искусственные угрозы
Основные непреднамеренные искусственные угрозы АСОИ
(действия, совершаемые людьми случайно, по незнанию, невнима- тельности или халатности без злого умысла):
 неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программ-
Угрозы
информации
Искусственные
непреднамеренные
преднамеренные
Естественные

Основы информационная безопасность
58
ных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
 неправомерное отключение оборудования или изменение режимов работы устройств и программ;
 неумышленная порча носителей информации;
 запуск технологических программ, способных при некомпе- тентном использовании вызывать потерю работоспособности систе- мы (зависания или зацикливания) или осуществляющих необрати- мые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
 нелегальное внедрение и использование неучтенных про- грамм (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения сотрудником своих служебных обя- занностей), с последующим необоснованным расходованием ресур- сов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
 заражение компьютера вирусами;
 неосторожные действия, приводящие к разглашению конфи- денциальной информации или делающие ее общедоступной;
 разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных кар- точек, пропусков и т.п.);
 проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, пред- ставляющими опасность для работоспособности системы и безопас- ности информации;
 игнорирование организационных ограничений (установлен- ных правил) при работе в системе;
 вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
 некомпетентное использование, настройка или неправомер- ное отключение средств защиты персоналом службы безопасности;
 пересылка данных по ошибочному адресу абонента (устройства);
 ввод ошибочных данных;
 неумышленное повреждение каналов связи.

Угрозы информации
59
Основные преднамеренные искусственные угрозы
Основные возможные пути умышленной дезорганизации ра- боты АСОИ, проникновения в систему и несанкционированного доступа к информации:
 физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных ком- понентов компьютерной системы (устройств, носителей важной сис- темной информации, лиц из числа персонала и т.п.);
 отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, ох- лаждения и вентиляции, линий связи и т.п.);
 действия по дезорганизации функционирования системы
(изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.);
 внедрение агентов в число персонала системы (в том числе в административную группу, отвечающую за безопасность);
 вербовка (путем подкупа, шантажа и т.п.) персонала или от- дельных пользователей, имеющих необходимые полномочия;
 применение подслушивающих устройств, дистанционная фо- то- и видеосъемка и т.п.;
 перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных из- лучений на вспомогательные технические средства, непосредствен- но не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
 перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
 хищение носителей информации (различных съемных носи- телей, микросхем памяти, запоминающих устройств и компьютеров в целом);
 несанкционированное копирование носителей информации;
 хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
 чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
 незаконное получение паролей и других реквизитов разгра- ничения доступа (агентурным путем, используя халатность пользо-

Основы информационная безопасность
60
вателей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользо- вателя («маскарад»);
 несанкционированное использование терминалов пользова- телей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;
 вскрытие шифров криптозащиты информации;
 внедрение аппаратных спецвложений, программных «закла- док» и «вирусов» («троянский конь» и «жучки»), то есть таких участ- ков программ, которые не нужны для осуществления заявленных функций, но позволяют преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью реги- страции и передачи критической информации или дезорганизации функционирования системы;
 незаконное подключение к линиям связи с целью работы
«между строк», с использованием пауз в действиях законного поль- зователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
 незаконное подключение к линиям связи с целью прямой под- мены законного пользователя путем его физического отключения по- сле входа в систему и успешной аутентификации с последующим вво- дом дезинформации и навязыванием ложных сообщений.
Чаще всего для достижения поставленной цели злоумышлен- ник использует не один, а совокупность перечисленных выше путей.
Классификация каналов проникновения в систему
и утечки информации
Все каналы проникновения в систему и утечки информации разделяют на прямые и косвенные.
Под косвенными понимают такие каналы, использование ко- торых не требует проникновения в помещения, где расположены компоненты системы.
Для использования прямых каналов такое проникновение не- обходимо. Прямые каналы могут использоваться без внесения изме- нений в компоненты системы или с изменениями компонентов.
По типу основного средства, используемого для реализации угрозы, все возможные каналы можно условно разделить на три группы, где таковыми средствами являются: человек, программа или аппаратура.

Угрозы информации
61
Классификация видов нарушений работоспособности систем и несанкционированного доступа к информации по объектам воздейст- вия и способам нанесения ущерба безопасности приведена в табл. 2.
Таблица 2.1
Виды нарушений работоспособности систем
и несанкционированного доступа к информации
Способы нанесе-
ния ущерба
Объекты воздействий
Оборудование
Программы
Данные Персонал
Раскрытие (утеч- ка) информации
Хищение носите- лей информации, подключение к линии связи, не- санкциониро- ванное использо- вание ресурсов
Несанкцио- нированное копирование перехват
Хищение, копирова- ние, пере- хват
Передача сведений о защите, разгла- шение, халат- ность
Потеря целостно- сти информации
Подключение, модификация, спец.вложения, изменение режи- мов работы, не- санкциониро- ванное использо- вание ресурсов
Внедрение
«троянских коней» и
«жучков»
Искаже- ние, мо- дифика- ция
Вербовка персона- ла, «мас- карад»
Нарушение ра- ботоспособности автоматизиро- ванной системы
Изменение ре- жимов функцио- нирования, вы- вод из строя, хи- щение, разруше- ние
Искажение, удаление, подмена
Искаже- ние, уда- ление, на- вязывание ложных данных
Уход, физиче- ское уст- ранение
Незаконное тира- жирование (вос- произведение) информации
Изготовление аналогов без ли- цензий
Использова- ние неза- конных ко- пий
Публика- ция без ведома авторов
По способу получения информации потенциальные каналы доступа можно разделить на:
 физический;
 электромагнитный (перехват излучений);
 информационный (программно-математический).

Основы информационная безопасность
62
При контактном
НСД
(физическом, программно- математическом) возможные угрозы информации реализуются пу- тем доступа к элементам АСОИ, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программ- ному обеспечению (в том числе к операционным системам), а также путем подключения к линиям связи.
При бесконтактном доступе (например, по электромагнитно- му каналу) возможные угрозы информации реализуются перехва- том излучений аппаратуры АС, в том числе наводимых в токопро- водящих коммуникациях и цепях питания, перехватом информа- ции в линиях связи, вводом в линии связи ложной информации, ви- зуальным наблюдением (фотографированием) устройств отображе- ния информации, прослушиванием переговоров персонала АСОИ и пользователей.
Преступления, в том числе и компьютерные, совершаются людьми. Пользователи системы и ее персонал, с одной стороны, яв- ляются составной частью, необходимым элементом АСОИ. С другой стороны, они же являются основной причиной и движущей силой нарушений и преступлений.
Неформальная модель нарушителя в АСОИ
Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознан- но со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использую- щее для этого различные возможности, методы и средства.
Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.
Неформальная модель нарушителя отражает его практиче- ские и теоретические возможности, априорные знания, время и ме- сто действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы.
При разработке модели нарушителя определяются предполо- жения:
 о категориях лиц, к которым может принадлежать нарушитель;
 о мотивах действий нарушителя (цели);
 о квалификации нарушителя и его технической оснащенности;
 о характере возможных действий нарушителей.

Угрозы информации
63
По отношению к АСОИ нарушители могут быть внутренними
(из числа персонала системы) или внешними (посторонними лицами).
Внутренним нарушителем может быть лицо из следующих ка- тегорий персонала:
 пользователи (операторы) системы;
 персонал, обслуживающий технические средства (инженеры, техники);
 сотрудники отделов разработки и сопровождения ПО (при- кладные и системные программисты);
 технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АСОИ);
 сотрудники службы безопасности АСОИ;
 руководители различных уровней.
Посторонние лица, которые могут быть нарушителями:
 клиенты (представители других организаций, физические лица);
 посетители (приглашенные по какому-либо поводу);
 представители организаций, взаимодействующих по вопро- сам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
 представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
 лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);
 любые лица, находящиеся внутри контролируемой территории.
Можно выделить три основных мотива нарушений: безответ- ственность, самоутверждение и корыстный интерес.
При нарушениях, вызванных безответственностью, пользова- тель целенаправленно или случайно производит какие-либо разру- шающие действия, не связанные со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к АСОИ успехом самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности АСОИ может быть вызвано и коры- стным интересом пользователя системы. В этом случае он будет це- ленаправленно пытаться преодолеть систему защиты для доступа к

Основы информационная безопасность
64
хранимой, передаваемой и обрабатываемой в АСОИ информации.
Даже если АСОИ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.
Всех нарушителей можно классифицировать следующим об- разом.
По уровню знаний об АСОИ:
 знает функциональные особенности АСОИ, основные зако- номерности формирования в ней массивов данных и потоков запро- сов к ним, умеет пользоваться штатными средствами;
 обладает высоким уровнем знаний и опытом работы с техни- ческими средствами системы и их обслуживания;
 обладает высоким уровнем знаний в области программирова- ния и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
 знает структуру, функции и механизм действия средств защи- ты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
 применяющий агентурные методы получения сведений;
 применяющий пассивные средства (технические средства пе- рехвата без модификации компонентов системы);
 использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с ис- пользованием разрешенных средств), а также компактные съемные носители информации, которые могут быть скрытно пронесены че- рез посты охраны;
 применяющий методы и средства активного воздействия (мо- дификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и техно- логических программ).
По времени действия:
 в процессе функционирования АСОИ;
 в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для об- служивания и ремонта и т.п.);
 в любом случае.

Угрозы информации
65
По месту действия:
 без доступа на контролируемую территорию организации;
 с контролируемой территории без доступа в здания и соору- жения;
 внутри помещений, но без доступа к техническим средствам
АСОИ;
 с рабочих мест конечных пользователей (операторов) АСОИ;
 с доступом в зону данных (баз данных, архивов и т.п.);
 с доступом в зону управления средствами обеспечения безо- пасности АСОИ.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нару- шителя, построенная с учетом особенностей конкретной предмет- ной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.
2.4. Удаленные атаки на интрасети
Цель предпринимаемых злоумышленниками атак на компью- теры из интрасетей, подключенных к Интернету, состоит в получе- нии доступа к их информационным и сетевым ресурсам. Примером первого типа ресурсов могут быть базы данных, файл-серверы и т.п.
Ко второму типу ресурсов относятся различные сетевые сервисы, например, Интернет, электронная почта, телеконференции и т.д.
Принципиальным отличием атак, осуществляемых злоумыш- ленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или «прослушиваемого» канала свя- зи до местоположения злоумышленника. Этот фактор нашел выра- жение в определении подобного вида атак как «удаленных».
Под удаленной атакой принято понимать несанкционирован- ное информационное воздействие на распределенную вычисли- тельную систему, программно осуществляемое по каналам связи.
Для удаленных атак можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.
Тогда типовая удаленная атака – это удаленное несанкциони- рованное информационное воздействие, программно осуществляе- мое по каналам связи и характерное для любой распределенной вы- числительной системы.

Основы информационная безопасность
66
Объектом удаленных атак могут стать следующие виды сете- вых устройств:
 оконечные устройства;
 каналы связи;
 промежуточные устройства: ретрансляторы, шлюзы, модемы и т.п.
Рассмотрим классификацию удаленных атак по следующим шести основным критериям:
1.