Анализ угроз информационной безопасности
РАЗДЕЛ 1
ОСНОВНЫЕ ПОНЯТИЯ И АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основные понятия информационной безопасности
И защиты информации
Информационная безопасность – защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение работоспособности. Природа этих воздействий может быть самой разнообразной (попытки проникновения злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия и т.п.).
Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Объект защиты – информация, носитель информации, информационный процесс, в отношении которого необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Виды защит информации:
– защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к ней и от получения защищаемой информации злоумышленниками.
– защита информации от несанкционированного воздействия – деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
– защита информации от непреднамеренного воздействия – деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информации, сбоя технических и программных средств информационных систем, а также природных явлений или иных не направленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, которые приводят к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
– защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
– защита информации от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, которые установлены соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Особенностью обеспечения информационной безопасности является то, что таким абстрактным понятиям, как информация, объекты и субъекты информационной системы, ставятся в соответствие физические представления в компьютерной среде:
– для представления информации – машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;
– под объектами системы понимают пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;
– под субъектами системы понимают активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.
Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, также доступности и целостности информационных компонентов и ресурсов системы.
Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты. Конфиденциальная информация должна быть известна только допущенным и прошедши проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной
Установление градаций важности защиты защищаемой информации (объект защиты) называют категорированием защищаемой информации.
Под целостностью информации понимается свойство информации сохранят свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайного или преднамеренного искажения или разрушения.
Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Владелец информации – субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Пользователь (потребитель) информации – субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации – совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Ответственным за защиту компьютерной системы от несанкционированного доступа к информации является администратор защиты.
С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.
С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект, Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом.
Идентификация субъекта – это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему.
Аутентификация субъекта – это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.
После идентификации и аутентификации субъекта выполняют процедуру авторизации.
Авторизация субъекта – это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы.
Под угрозой безопасности информационной системы понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатываемой в системе (сети).
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы – это присущее системе неудачное свойство, которое может привести к реализации угрозы.
Атака на компьютерную систему – это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Корпоративные сети относятся к распределенным информационным системам (ИС), осуществляющим обработку информации. Обеспечение безопасности ИС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов ИС – аппаратных средств, программного обеспечения, данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз.
РАЗДЕЛ 1
ОСНОВНЫЕ ПОНЯТИЯ И АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основные понятия информационной безопасности
И защиты информации
Информационная безопасность – защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение работоспособности. Природа этих воздействий может быть самой разнообразной (попытки проникновения злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия и т.п.).
Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Объект защиты – информация, носитель информации, информационный процесс, в отношении которого необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Виды защит информации:
– защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к ней и от получения защищаемой информации злоумышленниками.
– защита информации от несанкционированного воздействия – деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
– защита информации от непреднамеренного воздействия – деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информации, сбоя технических и программных средств информационных систем, а также природных явлений или иных не направленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, которые приводят к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
– защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
– защита информации от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, которые установлены соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Особенностью обеспечения информационной безопасности является то, что таким абстрактным понятиям, как информация, объекты и субъекты информационной системы, ставятся в соответствие физические представления в компьютерной среде:
– для представления информации – машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;
– под объектами системы понимают пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;
– под субъектами системы понимают активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.
Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, также доступности и целостности информационных компонентов и ресурсов системы.
Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты. Конфиденциальная информация должна быть известна только допущенным и прошедши проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной
Установление градаций важности защиты защищаемой информации (объект защиты) называют категорированием защищаемой информации.
Под целостностью информации понимается свойство информации сохранят свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайного или преднамеренного искажения или разрушения.
Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Владелец информации – субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Пользователь (потребитель) информации – субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации – совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Ответственным за защиту компьютерной системы от несанкционированного доступа к информации является администратор защиты.
С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.
С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект, Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом.
Идентификация субъекта – это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему.
Аутентификация субъекта – это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.
После идентификации и аутентификации субъекта выполняют процедуру авторизации.
Авторизация субъекта – это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы.
Под угрозой безопасности информационной системы понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатываемой в системе (сети).
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы – это присущее системе неудачное свойство, которое может привести к реализации угрозы.
Атака на компьютерную систему – это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Корпоративные сети относятся к распределенным информационным системам (ИС), осуществляющим обработку информации. Обеспечение безопасности ИС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов ИС – аппаратных средств, программного обеспечения, данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз.
Анализ угроз информационной безопасности
Под угрозой безопасности информационной системы понимают возможность воздействия на ИС, которое прямо или косвенно может нанести ущерб ее безопасности.
Необходимость классификации угроз безопасности информационных систем обусловлена тем, что хранимая и обрабатываемая информация в современных системах подвержена воздействию чрезвычайно большого числа факторов. Поэтому становится невозможным формализовать задачу описания полного множества угроз. В следствие этого, для защищаемой системы обычно определяют не полный перечень угроз, а перечень классов угроз.
Для автоматизированных информационных систем угрозы классифицируются по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого они направлены:
¨ угрозы нарушения доступности (отказ в обслуживании) – направлены на создание таких ситуаций, когда определенные действия либо блокируют доступ к некоторым ресурсам ИС, либо снижают ее работоспособность. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным;
¨ угрозы нарушения целостности информации – направлены на изменение, либо искажение информации, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена преднамеренно, а также в результате объективных воздействий со стороны среды, окружающей систему. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (например, таким изменением является периодическая коррекция какой-либо базы данных);
¨ угрозы нарушения конфиденциальности – направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.
Данные виды угроз являются первичными, поскольку их реализация ведет к непосредственному воздействию на защищаемую информацию.
Угрозы безопасности могут быть классифицированы по другим признакам:
По природе возникновения различают:
¨ естественные угрозы – вызываются воздействиями на информационную систему объективных физических процессов или стихийных природных явлений;
¨ искусственные угрозы –вызываются деятельностью человека.
По степени преднамеренности проявления различают:
¨ угрозы, вызванные ошибками или халатностью персонала – некомпетентное использование средств защиты; ввод ошибочных данных и т.п.;
¨ угрозы преднамеренного действия – действия злоумышленников.
По непосредственному источнику угроз. Источниками угроз могут быть:
¨ природная среда – стихийные бедствия, магнитные бури и пр.;
¨ человек – вербовка путем подкупа персонала, разглашение конфиденциальных данных и т.п.;
¨ санкционированные программно-аппаратные средства – удаление данных, отказ в работе операционной системы;
¨ несанкционированные программно-аппаратные средства – заражение компьютера вирусами с деструктивными функциями.
По положению источника угроз. Источник угроз может быть расположен:
¨ вне контролируемой зоны ИС – перехват данных, передаваемых по каналам связи, перехват электромагнитных, акустических и других излучений устройств;
¨ в пределах контролируемой зоны ИС – применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т.п.;
¨ непосредственно в ИС – некорректное использование ресурсов ИС.
По степени зависимости от активности ИС угрозы проявляются:
¨ независимо от активности ИС – вскрытие шифров криптозащиты информации;
¨ только в процессе обработки данных – угрозы выполнения и распространения программных вирусов.
По степени воздействия на ИС различают:
¨ пассивные угрозы – при реализации ничего не меняют в структуре и содержании ИС (угроза копирования секретных данных);
¨ активные угрозы – при воздействии вносят изменения в структуру и содержание ИС (внедрение троянских коней и вирусов).
По этапам доступа пользователей или программ к ресурсам ИС различают:
¨ угрозы, проявляющиеся на этапе доступа к ресурсам ИС – угрозы несанкционированного доступа в ИС;
¨ угрозы, проявляющиеся после разрешения доступа к ресурсам ИС – угрозы несанкционированного или некорректного использования ресурсов ИС.
По способу доступа к ресурсам ИС различают:
¨ угрозы с использованием стандартного пути доступа к ресурсам ИС – незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя;
¨ угрозы с использованием скрытого нестандартного пути доступа к ресурсам ИС – несанкционированный доступ к ресурсам ИС путем использования недокументированных возможностей ОС.
По текущему месту расположения информации, хранимой и обрабатываемой в ИС, различают:
¨ угрозы доступа к информации на внешних запоминающих устройствах – несанкционированное копирование секретной информации с жесткого диска и т.п.;
¨ угрозы доступа к информации в оперативной памяти – чтение остаточной информации из оперативной памяти; доступ к системной области оперативной памяти со стороны прикладных программ;
¨ угрозы доступа к информации, циркулирующей в линиях связи – незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений; незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;
¨ угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере – запись отображаемой информации на скрытую видеокамеру и.т.п.
Опасные воздействия на ИС подразделяют на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации ИС показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования ИС.
Причинами случайных воздействий при эксплуатации ИС могут быть:
¨ аварийные ситуации из-за стихийных бедствий и отключений электропитания;
¨ отказы и сбои аппаратуры;
¨ ошибки в программном обеспечении;
¨ ошибки в работе обслуживающего персонала и пользователей;
¨ помехи в линиях связи из-за воздействий внешней среды
Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно составить гипотетическую модель потенциального нарушителя:
¨ квалификация нарушителя может быть на уровне разработчика данной системы;
¨ нарушителем может быть как постороннее лицо, так и законный пользователь системы;
¨ нарушителю известна информация о принципах работы системы;
¨ нарушитель выберет наиболее слабое звено в защите.
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ. Суть несанкционированного доступа состоит в получении пользователем (нарушителем) доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой в организации политикой безопасности. Несанкционированный доступ использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. Он может быть осуществлен как штатными средствами ИС, так и специально созданными аппаратными и программными средствами.
Основные каналы несанкционированного доступа, через которые нарушитель может получить доступ к компонентам ИС и осуществить хищение, модификацию и/или разрушение информации:
¨ штатные каналы доступа к информации – терминалы пользователей, оператора, администратора системы; средства отображения и документирования информации; каналы связи;
¨ технологические пульты управления;
¨ линии связи между аппаратными средствами ИС;
¨ побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.
Из всего разнообразия способов и приемов несанкционированного доступа наиболее распространенными являются:
¨ перехват паролей;
¨ маскарад;
¨ незаконное использование привилегий;
¨ вредоносные программы.
Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводите сообщение об ошибке и управление возвращается операционной системе. Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях.
Маскарад – это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Цель маскарада является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя.
Маскарад особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за маскарада злоумышленника может привести к большим убыткам законного клиента банка.
Незаконное использование привилегий. Большинство систем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи – минимальный, администраторы – максимальный. Несанкционированный захват привилегий, например, посредством маскарада, приводит к возможности выполнения нарушителем определенных действий в обход системы защиты.
Вредоносные программы – относятся компьютерные вирусы, сетевые черви, программа «троянский конь». Особенно уязвимы к этим программам рабочие станции конечных пользователей.
¨ Компьютерный вирус – это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению. Компьютерные вирусы наносят ущерб системе за счет быстрого размножения и разрушения среды обитания.
¨ Сетевой червь является разновидностью программы-вируса, которая распространяется по глобальной сети.
¨ «Троянский конь» – программа, которая наряду с действиями, описанными в ее документации, выполняет некоторые другие действия, ведущие к нарушению безопасности системы и деструктивным результатам. Радикальный способ защиты от этой угрозы заключается в создании замкнутой среды исполнения программ, которые должны защищаться от несанкционированного доступа.
Особенностью современных вредоносных программ является их ориентация на конкретное прикладное программное обеспечение. Массовое создание вирусов под продукты Microsoft объясняется не только низким уровнем безопасности и надежности программ, но и их глобальной распространенностью.
Вредоносные программы постоянно эволюционируют, основной тенденцией их развития является полиморфизм. Сегодня уже довольно сложно провести границу между вирусом, червем и троянской программой – они используют практически одни и те же механизмы, небольшая разница заключается лишь в степени этого использования.
Для защиты от вредоносных программ необходимо применение ряда мер:
¨ исключение несанкционированного доступа к исполняемым файлам;
¨ тестирование приобретаемых программных средств;
¨ контроль целостности исполняемых файлов и системных областей;
¨ создание замкнутой среды исполнения программ.
Для современных информационных технологий подсистемы защиты являются неотъемлемой частью ИС обработки информации. Атакующая сторона должна преодолеть эту подсистему защиты, чтобы нарушить, например, конфиденциальность ИС. Защита информационной системы считается преодоленной, если в ходе исследования этой системы определены все ее уязвимости.
Преодоление защиты также представляет собой угрозу, поэтому для защищенных систем можно рассматривать четвертый вид угрозы – угрозу раскрытия параметров ИС, включающей в себя подсистему защиты. На практике любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т.п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.
Угрозу раскрытия параметров ИС можно считать опосредованной. Последствия ее реализации не причиняют какого-либо ущерба обрабатываемой информации, но дают возможность реализовать первичные, или непосредственные, угрозы, перечисленные выше.
При рассмотрении вопросов защиты ИС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой ИС информации.
Это следующие уровни доступа:
¨ уровень носителей информации – информация для удобства манипулирования чаще всего фиксируется на материальном носителе;
¨ уровень средств взаимодействия с носителем – если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа;
¨ уровень представления информации – информация может быть охарактеризована способом своего представления, или языком (язык символов, язык жестов и т.д.);
¨ уровень содержания информации – человеку должен быть доступен смысл представленной информации, ее семантика.
К основным направлениям реализации злоумышленником информационных угроз относятся:
¨ непосредственное обращение к объектам доступа;
¨ создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
¨ модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
¨ внедрение в технические средства ИС программных или технических механизмов, нарушающих предполагаемую структуру и функции ИС.