Источники возникновения уязвимостей
Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET , в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда . передачи.
Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера.
И, наконец, уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др.
12.Элементы и объекты защиты в информационных системах:
Объектами защиты информации в Системы Обработки Данных могут быть:
ПК и рабочие станции компьютерной сети,
узлы связи,
хранилища носителей информации,
средства документирования информации,
сетевое оборудование и внешние каналы связи,
накопители и носители информации.
Элементы:
- данные и программы в основной памяти компьютера;
- данные и программы на внешнем машинном носителе (гибком и жестком дисках);
- данные, отображаемые на экране монитора;
- данные, выводимые на принтер при автономном и сетевом использовании ПК;
- пакеты данных, передаваемые по каналам связи;
- данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;
- отходы обработки информации в виде бумажных и магнитных носителей;
- журналы назначения паролей и приоритетов зарегистрированным пользователям;
- служебные инструкции по работе с комплексами задач;
- архивы данных и программного обеспечения и др.
13.Целостность, доступность, конфиденциальность:
§ конфиденциальность (англ. confidentiality)— состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;
§ целостность (англ. integrity) — избежание несанкционированной модификации информации;
§ доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
14. Причина нарушения целостности информации и их классификация:
1. Субъективные.
1.1. Преднамеренные.
1.1.1. Диверсия (организация пожаров, взрывов, повреждений электропитания и др.).
1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации).
1.1.3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности психотропным оружием).
1.2. Непреднамеренные.
1.2.1. Отказы обслуживающего персонала (гибель, длительный выход из строя).
1.2.2. Сбои людей (временный выход из строя).
1.2.3. Ошибки людей.
2. Объективные, непреднамеренные.
2.1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.
2.2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.
2.3. Стихийные бедствия (наводнения, землетрясения, ураганы).
2.4. Несчастные случаи (пожары, взрывы, аварии).
2.5. Электромагнитная несовместимость.
15.каналы несанкционированного получения информации в АСОД:
• сети электропитания и линии заземления;
• автоматические сети телефонной связи;
• системы телеграфной, телекодовой и факсимильной связи;
• средства громкоговорящей связи;
• средства звуко- и видеозаписи;
• системы звукоусиления речи;
• электронно-вычислительная техника;
• электронные средства оргтехники.
16.Преднамеренные угрозы безопасности АСОД:
преднамеренные угрозы — несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами.
- несанкционированный доступ к информации, хранящейся в памяти компьютера и системы, с целью несанкционированного использования;
- разработку специального программного обеспечения, используемого для осуществления несанкционированных доступа или других действий;
- отрицание действий, связанных с манипулированием информацией и другие несанкционированные действия;
- ввод в программные продукты и проекты "логических бомб", которые срабатывают при выполнении определенных условий или по истечении определенного периода времени, частично или полностью выводят из строя компьютерную систему;
- разработку и распространение компьютерных вирусов;
- небрежность в разработке, поддержке и эксплуатации программного обеспечения, приводящие к краху компьютерной системы',
- изменение компьютерной информации и подделку электронных подписей;
- хищение информации с последующей маскировкой (например, использование идентификатора, не принадлежащего пользователю, для получения доступа к ресурсам системы);
- манипуляцию данными (например, несанкционированная модификация, приводящая к нарушению целостности данных);
- перехват (например, нарушение конфиденциальности данных II сообщений);
- отрицание действий или услуги (отрицание существования утерянной информации);
- отказ в предоставлении услуги (комплекс нарушений, вызванных системными ошибками, несовместимостью компонент и ошибками в управлении).
17. Основные способы защиты информации:
o источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств добывания
o соотношение энергии носителя и помех на выходе приемника канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством
o злоумышленник не может обнаружить источник или носитель информации
o место истинной информации злоумышленник получает ложную, которую он принимает как истинную
Эти варианты реализуют следующие методы защиты:
o воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны
o скрытие достоверной информации
o "подсовывание" злоумышленнику ложной информации
18.Основные задачи информационной безопасности:
· обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по каналам связи (конфиденциальность — свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем во время ее хранения, обработки и передачи);
· обеспечить целостность данных в ходе их хранения, обработки или при передаче по каналам связи. Целостность рассматривается в двух аспектах. Во-первых, это целостность данных, заключающаяся в невозможности модификации данных неавторизованным пользователем или процессом во время их хранения, обработки и передачи. Во-вторых, это целостность системы, заключающаяся в том, что ни один компонент системы не может быть удален, модифицирован или добавлен в обход или нарушение политики безопасности;
· обеспечить доступность данных, хранимых в локальных вычислительных сетях, а также возможность их своевременной обработки и передачи. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь, субъект или процесс может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного промежутка времени. Доступность направлена на поддержание системы в работоспособном состоянии, обеспечивая своевременное и точное ее функционирование.
· обеспечить наблюдаемость. Наблюдаемость направлена на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и обеспечения ответственности пользователей за выполненные действия.
· обеспечить гарантии. Гарантии — это совокупность требований, составляющих некую шкалу оценки, для определения степени уверенности в том, что:
o функциональные требования действительно сформулированы и корректно реализованы;
o принятые меры защиты, как технические, так и организационные, обеспечивают адекватную защиту системы, информационных процессов и ресурсов;
o обеспечена достаточная защита от преднамеренных ошибок пользователей или ошибок программного обеспечения;
o обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.
19.Основные сетевые атаки в информационных системах:
mailbombing, переполнение буфера, использование специализированных программ (вирусов, снифферов, троянских коней, почтовых червей, rootkit-ов и т.д.), сетевая разведка, IP-спуфинг, man-in-the-middle, инъекция (SQL-инъекция, PHP-инъекция, межсайтовый скриптинг или XSS-атака, XPath-инъекция), отказ в обслуживании (DoS- и DDoS- атаки), phishing-атаки.
20.Потенциальные угрозы информации, обрабатываемой ПЭВМ:
- хищение носителей информации (магнитных дисков и дискет, распечаток и т. д.);
- чтение или фотографирование информации с экрана;
- чтение или фотографирование информации с распечаток. В группе каналов, основным средством использования которых служит аппаратура, выделяют:
- подключение к устройствам ПК специальной аппаратуры, с помощью которой можно уничтожать или регистрировать защищаемую информацию;
- регистрацию с помощью специальных средств электромагнитных излучений устройств ПК в процессе обработки" защищаемой информации.
1. программный несанкционированный доступ к информации;
- уничтожение (искажение) или регистрация защищаемой информации с помощью программных закладок или ловушек;
- чтение остаточной информации из ОЗУ;
- программное копирование информации с магнитных носителей.
21. Каналы преднамеренного нсд к информации в ПЭВМ:
Примеры косвенных каналов утечки:
§ Кража или утеря носителей информации, исследование не уничтоженного мусора;
§ Дистанционное фотографирование, прослушивание;
§ Перехват электромагнитных излучений.
Примеры прямых каналов утечки:
§ Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;
§ Прямое копирование.
Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:
§ акустические — запись звука, подслушивание и прослушивание;
§ оптические — визуальные методы, фотографирование, видео съемка, наблюдение;
§ электромагнитные — копирование полей путем снятия индуктивных наводок;
§ материальные — информация на бумаге или других физических носителях информации;
22.Возможные каналы НСД и информации ПЭВМ и потенциальные угрозы:
23.Антивирусные средства защиты информации:
Антивирусные программы по характеру их борьбы с вирусами можно условно классифицировать по нескольким группам: фильтры, детекторы, ревизоры, доктора, вакцинаторы.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний.
К преимуществам программ этого класса можно отнести универсальность по отношению как к известным, так и к неизвестным вирусам. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также ВООТ-вирусы, активизирующиеся еще до запуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы занимают у пользователя много времени. Наибольшее распространение в нашей стране получилипрограммы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - AntiViral Toolkit Pro (AVP) ScriptChecker, Aidstes, Doctor Web, Microsoft AntiVirus p.
Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.
Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние ВООТ-сектора, таблицы FAT, а также длина файлов, время их создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе не вирус. Так, когда антивирус AVSP выдает сообщение об изменениях в файле CONFIG.SYS, может оказаться, что на компьютер был инсталлирован менеджер памяти QEMM, который пишет свой драйвер в CONFIG.SYS.
К последней группе относятся малоэффективные антивирусы-вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
24.Вирусы как угроза информационной безопасности:
Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам. Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
25Вирусы классифицируются по следующим основным признакам:
1. среда обитания
2. способ заражения
3. степень воздействия
4. особенности алгоритма работы
По среде обитания вирусы можно разделить на:
1. файловые
2. загрузочные
3. файлово-загрузочные
4. сетевые
5. макро-вирусы
По способу заражения вирусы делятся на:
1. резидентные
2. нерезидентные
По степени воздействия вирусы можно разделить на следующие виды:
1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
26. Идентификация и аутентификация:
Идентификация (лат. identifico — отождествлять) компьютерной безопасности — процесс сообщения субъектом своего имени или номера, с целью отличить данный субъект от других субъектов. Например, одна из типичных систем идентификации — штрихкод.
Аутентификация (англ. Authentication) или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля.
27.Способы ограничения доступа к ПЭВМ:
Блокирование доступа к настройкам операционной системы и системным данным
Встроенные средства Windows позволяют вводить некоторые ограничения на доступ пользователей к настройкам операционной системы и системным данным путем управления локальной политикой безопасности (Панель управления=>Администрирование=>Локальная политика безопасности). В частности, можно запретить изменение пароля учетной записи и установку драйверов принтера, ограничить список допустимых для использования приложений и т.п., однако перечень ограничиваемых параметров невелик.
Ограничение доступа к устройствам
Встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах семейства Windows (кроме Windows Vista1) не позволяют контролировать доступ других пользователей к потенциально опасным устройствам (USB-устройствам, CD/DVD-накопителям, FireWire и инфракрасным портам и др.). Конечно, можно отключить подобные устройства в BIOS, но это не выход, так как для работы с отключенным устройством (если это потребуется) придется каждый раз обращаться к BIOS и вновь его включать, что довольно долго и очень неудобно.
Гораздо разумнее осуществлять контроль доступа к устройствам с помощью дополнительных приложений, которые могут быть самыми разными
Полное блокирование компьютера в отсутствие пользователя
Самый простой способ блокировать доступ к включенному компьютеру — установить пароль на заставку, но это не лучший вариант, поскольку при перезагрузке пароль с заставки без проблем можно снять. Гораздо надежнее полностью заблокировать компьютер при помощи специальных программных средств, которые сделают невозможным доступ к любым элементам компьютера, включая клавиатуру, мышь и рабочий стол. После этого просмотреть на нем какую-либо информацию, запустить приложения, получить доступ к файлам и папкам (включая открытые на данный момент) и даже перезагрузить компьютер путем нажатия клавиатурной комбинации Ctrl+Alt+Del будет уже невозможно. Разблокировать компьютер можно, только зная пароль пользователя, а обычная перезагрузка (даже в безопасном режиме) или сбой в питании не приведут к снятию защиты.
Подобное блокирование компьютера обычно обеспечивается с помощью узкоспециализированных утилит: Desktop Lock, Lock My PC и аналогичных, однако такие возможности могут предоставляться и в программах, предназначенных для установки разного рода ограничений доступа, — в частности в Security Administrator и Deskman.
Защита персональной информации
Существует несколько способов защиты персональных данных от несанкционированного доступа: можно сжать папки и файлы в архиве, защищенном паролем; скрыть их; поместить в секретную папку, доступ к которой для других пользователей будет закрыт паролем; зашифровать либо создать виртуальный зашифрованный диск, на который и записывать свои секретные материалы
28.Оценка уровня безопасности от преднамеренного НСД в ПЭВМ:
29.Криптографические методы защиты информации:
Современная криптография включает в себя четыре крупных раздела:
1. Симметричные криптосистемы.
2. Криптосистемы с открытым ключом.
3. Системы электронной подписи.
4. Управление ключами.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:
· зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
· число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
· число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
· знание алгоритма шифрования не должно влиять на надежность защиты;
· незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;
· структурные элементы алгоритма шифрования должны быть неизменными;
· дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
· длина шифрованного текста должна быть равной длине исходного текста;
· не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
· любой ключ из множества возможных должен обеспечивать надежную защиту информации;
· алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.
30.Основные криптографические шифры и их применения:
В криптографии криптографические системы (или шифры) классифицируются следующим образом:
симметричные криптосистемы
асимметричные криптосистемы