Диплом асп.. Оценка кибербезопасности сети управления технологии mplstp
 Скачать 2.9 Mb.
|
 Рис. 1.2. Классификация угроз ИБ По характеру возникновения: – естественные угрозы, вызванные воздействиями на ТСС объективных физических процессов или стихийных бедствий; – искусственные угрозы безопасности, вызванные деятельностью человека. По степени преднамеренности: – угрозы, вызванные ошибками или некомпетентностью персонала (случайные); – преднамеренные угрозы, например действия злоумышленников. По непосредственному источнику угроз: –техногенные; – человек; – санкционированные программно-аппаратные средства, например удаление данных, отказ в работе ОС; – несанкционированные программно-аппаратные средства, например заражение компьютера вирусами с деструктивными функциями. По положению источника угроз: – внешние угрозы, например перехват данных, передаваемых по каналам связи; – внутренние угрозы, например, неправильное использование ресурсов ТСС. По степени зависимости от активности ТСС: – независимые от активности ТСС, например вскрытие межсетевого экрана; – зависимые (только во время обработки данных), например программные вирусы. Воздействия на ТСС подразделяются на случайные и преднамеренные. Причинами случайных воздействий при эксплуатации ТСС могут быть: аварийные ситуации из-за стихийных бедствий и отключений электропитания; отказы и сбои аппаратуры; ошибки в программном обеспечении; ошибки в работе обслуживающего персонала и пользователей; помехи в линиях связи из-за воздействий внешней среды. Преднамеренные угрозы связаны с целенаправленными воздействиями нарушителя. Угрозы нарушения конфиденциальности; Угрозы нарушения целостности информации, Угрозы нарушения доступности (отказ в обслуживании). Эти виды угроз можно считать первичными или непосредственными, поскольку реализация этих угроз ведет к непосредственному воздействию на защищаемую информацию. Состав и содержание угроз безопасности ТСС определяется совокупностью условий и факторов, создающих опасность несанкционированного и случайного, доступа информации передающийся в ТСС. Совокупность таких условий и факторов формируется с учетом характеристик ТСС, свойств среды передачи, содержащих защищаемую информацию, и возможностей источников угрозы. К характеристикам ТСС, можно отнести категорию и объем обрабатываемых в ТСС пакетов данных, наличие подключений ТСС к сетям связи общего пользования и (или) сетям международного информационного обмена, режимы обработки персональных данных. Процесс раскрытия параметров ТСС (первый этап действий нарушителя) может быть представлен в виде следующих последовательно выполняемых подпроцессов: Идентификация узлов – При выполнении подпроцесса идентификации узлов определяется наличие сетевых узлов в атакуемой ТСС и выявление их идентификационных признаков (IP-адресов, DNS-имен и т. д.). Идентификация узлов, например, может осуществляться при помощи утилиты ping протокола ICMP или при использовании так называемой разведки DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи службы имен доменов. Случайное время свершения процесса обнаружения tидн характеризуется ФР Fидн(t). Сканирование портов – подпроцесс сканирования портов осуществляется путем передачи тестовых запросов на создание соединения и позволяет определить список активных служб предоставления удаленного сервиса на каком-либо хосте (порт маршрутизатора). Сканирование портов позволяет получить необходимые начальные сведения о потенциальном объекте воздействия: список открытых портов, а следовательно, и перечень потенциально атакуемых серверных приложений, загруженных на компьютере. Случайное время свершения процесса сканирования tскан характеризуется ФР Fскан(t). Идентификация сервисов путем сканирования портов – Подпроцесс идентификации сервисов (сетевого программного обеспечения (ПО)) начинается с момента получения списка открытых портов, сгенерированных во время функционирования подпроцесса сканирования и завершается выдачей результатов распознавания. Обнаруженные открытые порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например, открытый 80-й порт подразумевает наличие Web-сервера, 25-й порт – почтового SMTP-сервера, 23-й порт – сервис TELNET, 21-й порт – службу FTP, и т. д. Случайное время свершения процесса идентификации сетевого ПО tиднПО характеризуется ФР FиднПО(t). Идентификация операционной системы – подпроцесс идентификации операционной системы (ОС) осуществляется методом анализа TCP/IP-стека. В каждой ОС стек протоколов TCP/IP реализован по-своему, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле. Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов – анализ сетевых сервисов, обнаруженных на этапе сканирования. Например, открытый 137 – 139-й порт позволяет сделать вывод, что удаленный узел работает под управлением ОС семейства Windows. Подпроцесс идентификации ОС завершается выдачей результатов распознавания. Случайное время свершения процесса идентификации ОС tиднОС характеризуется функцией распределения FиднОС(t). Определение роли узла – пподпроцесс определения роли узла выполняется на основе уже собранной информации об активных сервисах, именах узлов, и некоторых характерных особенностях, выявленных при выполнении предыдущих подпроцессов. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета свидетельствует о потенциальном наличии межсетевого экрана, а имя узла proxy.domain.ru или fw.domain.ru выдает его функциональное предназначение. Подпроцесс определения роли узла завершается принятием решения о его функциональном предназначении. Случайное время свершения процесса определения роли узла tОРУ характеризуется функцией распределения FОРУ(t). Определение уязвимостей узла – последний подпроцесс на этапе сбора информации при функционировании КР – подпроцесс определения уязвимостей узла (раскрытия параметров ТСС). При его реализации анализируется информация о структуре исследуемой сети, составе А и ПО каждого сетевого узла и при помощи различных автоматизированных средств или вручную определяются уязвимости, которые могут быть использованы для реализации атаки. Случайное время свершения процесса раскрытия параметров сети tраскр характеризуется функцией распределения Fраскр(t). В результате успешной реализации всех шести подпроцессов системой компьютерной разведки будут получены искомые разведданные (параметры разведываемой ЛВС), которые приведены в таблице 2.1 и на рисунке 2.2. Таблица 1.1
На рисунке 1.3 приведен пример вскрытой структуры ТСС, синтезированной на основе полученных параметров разведываемой ТСС.  Рисунок 1.3 Следует отметить, что третий подпроцесс является логическим продолжением второго и функционирует на основе полученных на втором этапе КР данных. Поэтому в укрупненной стохастической сети процесса функционирования КР совокупность этих двух подпроцессов целесообразно представить одним, случайное время свершения которого tиднПО характеризуется функцией распределения FиднПО(t). При этом, с целью сокращения времени функционирования процесса КР подпроцессы идентификации сетевого ПО и операционной системы реализуются, как правило, параллельно. В этом случае укрупненная стохастическая сеть процесса функционирования КР примет вид, представленный на рисунке 1.4. |