11. Защита на информацията в информационните системи от нерегламентиран достъп 11. Увод



Дата18.11.2017
Размер182.08 Kb.
Размер182.08 Kb.


11. Защита на информацията в информационните системи от нерегламентиран достъп

11. 1. Увод

Защитата на информацията в информационните системи от нерегламентиран достъп касае планировчици, проектанти, създатели, собственици и потребители на информационни системи. Те трябва да познават системата от принципи и възгледи за защита на информационните системи при създаване, съхраняване, обработка и разпространение на класифицирана информация.

Съществуват две самостоятелни сфери на защитата на информацията от нерегламентиран достъп:

1/ на автоматизираните информационни системи (АИС);

2/ на компютърните системи и мрежи.

Разликата се състои в в това, че компютърните системи и мрежи се произвеждат и доставят като градивни елементи за изграждане на информационни системи. Без програмни приложения компютърните системи и мрежи не съдържат потребителска информация и не са автоматизирани информационни системи.

Освен потребителска информация, при създаването на всяка АИС се формират нейните специфични характеристики, технология за обработка на информацията, права на потребителите и модели на заплахите. Това означава, че защитата на информацията в АИС от нерегламентиран достъп и защитата на АИС от несанкциониран достъп са еквивалентни и равнозначни понятия. При компютърните системи и мрежи защитата на информацията се свежда до защитата на процесите на създаване, съхраняване, обработка и разпространение на информация.

11.2. Нерегламентиран достъп до класифицирана информация

Нерегламентиран достъп до информация може да се появи чрез преднамерена или непреднамерена човешка дейност. Това са неизправностите и отказите на техническите средства, наличието на грешки в програмното осигуряване, излъчването на паразитни електромагнитни или акустични излъчвания, природните бедствия, авариите и катастрофите. Всички те могат да доведат до нерегламентиран достъп във вид на нежелателно изтичане, модифициране или унищожаване на информация.



Нерегламентиран достъп до класифицирана информация е разгласяване, злоупотреба, промяна, увреждане, предоставяне, унищожаване на класифицирана информация, както и всякакви други действия, които водят до нарушаване на защитата й, или до загубване на такава информация. За нерегламентиран достъп се счита и всеки пропуск да се класифицира информация с поставяне на съответен гриф за сигурност или неправилното му определяне, както и всяко действие или бездействие, довело до унищожаване от лице, което няма съответното разрешение или потвърждение за това.

11.3. Заплахи за автоматизираните информационни системи или мрежи

Заплаха за АИС или мрежи е всяка възможност за случаен или целенасочен нерегламентиран достъп до създаваната, обработваната, съхраняваната и пренасяната информация. Те са събития или действия, поставящи в опасност даден обект и се появяват при наличие на уязвимост.

Уязвимост на АИС или мрежи е слабост в системата от мерки за сигурност или в контрола за тяхното изпълнение, които могат да доведат до компрометиране или да улеснят компрометирането на сигурността. Уязвимостта може да бъде пропуск или да се дължи на недостатъчно ефективен надзор, недобра комплектуваност и устойчивост на работата, или на неефективна физическа защита. Уязвимостта може да бъде от техническо, програмно, технологично или процедурно естество. Наличието на уязвимост създава възможности за реализация на събития или действия, поставящи в опасност организацията (т.е. заплахи), в резултат на което могат да настъпят вреди.

Вреда в областта на АИС или мрежи е увреждане на интересите на техните потребители (или на интересите, които тя защитава), вредните последици от което не могат да бъдат елиминирани или смекчени само с последващи мерки. В зависимост от значимостта на интересите и сериозността на причинените вредни последици вредите са непоправими или изключително големи, трудно поправими или големи и ограничени.

Непоправими или изключително големи вреди са тези, при които е настъпило (или би могло да настъпи) цялостно или частично разрушаване на АИС или мрежата, или е извършено непоправимо посегателство върху интересите на свързаните с тях потребители.

Трудно поправими или големи вреди са тези, при които е оказано (или би могло да се окаже) значително негативно въздействие върху АИС или мрежата (или върху интересите на свързани с тях потребители), което не може да се компенсира без настъпване на вредни последици, или вредните последици могат да бъдат смекчени само със значителни последващи мерки.

Ограничени вреди са тези, при които е оказано (или би могло да се окаже) краткотрайно негативно въздействие върху АИС или мрежата (или върху интересите на свързани с тях потребители), което може да се компенсира без настъпване на вредни последици, или вредните последици могат да бъдат смекчени с незначителни последващи мерки.

Заплаха за АИС или мрежи могат да бъдат всички техни обекти (пасивни елементи, съдържащи или приемащи информация) и субекти (активни елементи - лице, процес или устройство, обменящи информация между обектите или внасящи изменения в състоянието на АИС или мрежата). Тези заплахи могат да се класифицират на четири йерархично подредени нива, всяко от които включва стоящото под него, както следва:

  1. ниво: обхваща възможностите за водене на диалога в АИС или мрежи,

изпълнение на ограничено множество задачи (програми), реализиращи предвидени функции по обработка на информация.

  1. ниво: обхваща възможностите за създаване и изпълнение на собствени

програми с нови функции по обработка на информация.

  1. ниво: обхваща възможностите за управление функционирането на АИС

или мрежа, с които се въздейства върху базовото й програмно осигуряване и върху състава и конфигурацията на оборудването.

4 ниво: обхваща възможностите на лицата, заети с проектиране, разработка, внедряване, експлоатация и ремонт на АИС или мрежи, включително възможностите за включване на собствени програмни или технически средства с нови функции за обработка на информацията.

На всяко от нивата заплахата е със съответните компетенции (квалификация и ресурси), знае всичко за АИС или мрежа и познава добре системата и средствата за нейната защита.

Познаването на възможните заплахи, както и на уязвимите места на АИС или мрежи, които тези заплахи експлоатират, дава възможност да се подберат най-ефективите средства за защита. Трябва да се отбележи, че самото понятие заплаха в различни ситуации често се тълкува по различен начин. Например за подчертано открити организации може да не съществува понятието заплаха за конфиденциалността - цялата информация се явява общодостъпна. В много случаи обаче нерегламентираният достъп се оказва сериозна заплаха.

Много чести и доста опасни, от гледна точка на загубите, са грешките поради некомпетентност и невнимание на потребителите, операторите, системните администратори и други лица, обслужващи информационните системи. Понякога такива грешки се явяват като заплахи (неправилно въведени данни, грешка в програмата, която би могла да доведе до срив в системата), понякога създават слаби места, от които биха могли да се възползват определени сили. Пожарите и наводненията могат да се считат за нищожни, в сравнение с неграмотността и безотговорността. Най-радикалният начин за борбата с неволните грешки е максималната автоматизация и строг контрол за правилността на извършените действия.

Съществени по размери на загубите са преднамерени действия на лица и организации с цел нерегламентиран достъп. В резултат на подобни незаконни действия ежедневно се нанасят значителни щети, като в повечето от разследваните случаи виновниците са щатни сътрудници на организациите, отлично запознати с режима на работа и мерките за защита. Това илюстрира обстоятелството, че вътрешните заплахи са не по-малко опасни от външните.

Особено опасни са действията на така наречени обидени служители - настоящи и бивши, които са ръководени от желание да нанесат вреда на организацията, като например:



Необходимо е да се следи при напускане на служители, запознати с порядките в организацията, правата им за достъп до информационните ресурси да бъдат анулирани или прекратени своевременно.

Заплахите, които идват от физическата среда, в която е разположена и работи една информационна система, се отличават с голямо разнообразие. На първо място трябва да бъдат посочени нарушенията на инфраструктурата:



  • аварии в електрозахранването;

  • временна липса на връзка;

  • пробив във водоснабдяването и пр.

Природните бедствия (пожари, наводнения, земетресения, урагани, ниско качество и сривове в електрозахранването), по статистически данни, допринасят за 13% от загубите в информационните системи.

Опитите за нерегламентиран достъп до конфиденциална информация са една от заплахите, но опасността е голяма тогава, когато това се върши от лица, свързани с чужди разузнавателни структури или терористични организации. Почти всеки Интернет сървър по няколко пъти на ден става обект на опити за проникване, но рядко тези опити се оказват успешни. Обикновено те се правят от лица, които имат големи познания в областта на компютърните и програмните технологии (така наречените хакери) и за които е предизвикателство проникването в добре защитени системи. Като цяло загубите, предизвикани от деятелността на хакерите, в сравнение с тези от други заплахи, не са големи.

По аналогичен начин стои и въпросът за заплахата от компютърни вируси. Вирусите са програми, притежаващи способността да се размножават в операционната среда на компютъра, създават копия със способност за по-нататъш- но размножаване. Този процес може да доведе до затрудняване на трафика на данни в мрежата и до пълното й блокиране. Съвременната техническа литература, посветена на компютърни вируси, изобилства с екзотични наименования като червеи, логически бомби, троянски коне и пр., като същевременно се правят опити да бъдат класифицирани многобройните вируси, разпространени в мрежата. Някои видове вируси могат да нанесат големи щети, унищожавайки информацията. Независимо от това, ако са открити навреме и ако е създадена съвременна защита в системата или мрежата, те могат да бъдат обезвредени. Съблюдаването на елементарни правила на комиютърна хигиена до голяма степен понижава риска от загуби.

В т. 4 от допълнителните разпоредби към Наредбата за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация, е казано, че заплаха към АИС или мрежа е възможност за случаен или целенасочен нерегламентиран достъп до класифицирана информация, създавана, обработвана, съхранявана и пренасяна в АИС или мрежата. Заплахи за информационните средства могат да бъдат:



  • нарушаването на установения ред и организация за ползване на информационни услуги, включително нерегламентиран достъп, събиране и използване на класифицирана информация от бази данни и знания;

  • използването на несертифицирани или забранени метода аа създаване, събиране, обработка и потребление на информацията;

  • разработването и разпространяването на продукти, нарушаващи нормалното функциониране на националните информационни системи, включително и на средствата и системите за защита на информацията;

  • неправомерни въздействия върху системите за защита на информацията, включително използването на несертифицирани наши и чужди информационни средства и технологии за защита на информацията или компрометирането на ключовете и средствата за криптографска защита;

  • унищожаването, повреждането, радиоелектронното подаване или разрушаване на средства и системи за създаване, събиране, обработка и потребление на информация;

  • внедряването на електронни устройства за прехващане на информация в технически средства за обработване, съхраняване и предаване на информация по свързочни канали, както и в служебни помещения на органите на държавната власт, местното самоуправление, учрежденията, организациите и предприятията, независимо от формата им на собственост;

  • допускане на изтичането на информация по технически причини;

  • унищожаването, повреждането, разрушаването или грабежа на средства за обработка или носители на информация;

  • нарушаване на законовите ограничения за разпространяване на информацията.

Източниците на заплахи биват външни и вътрешни. За класифицираната информация външни могат да се явят:

  • враждебни действия на чуждестранни организации, групи от хора и отделни личности от политически, икономически и разузнавателни структури, които целят нерегламентиран достъп до класифицирана информация;

  • дейността на международни терористични организации, целяща проникване в информационните системи на държавни, военни и други структури, които имат отношение към сигурността на държавата;

  • дейността на космически, въздушни, морски, наземни и други технически разузнавателни средства на чужди държави, събиращи класифицирана информация.

Към вътрешните заплахи могат да се отнесат:

  • враждебни действия на отделни личности в самите организации, които работят е класифицирана информация;

  • пропуски в нормативната база, регламентираща тези отношения, както и неефективното прилагане на закона;

  • некомпетентността на служителите;

  • недобрата координация между държавните органи за прилагането на Закона за класифицирана информация, както и структурните реформи, извършвани в организационните единици (например, приватизацията);

  • изостаналост по отношение на техническите и информационните ресурси от водещите тенденции в света;

  • използване на несертифицирани в съответствие е изискванията на закона мрежи и системи за работа е класифицирана информация;

  • недостатъчно финансиране на мероприятията по организацията на защита на класифицираната информация;

• предизвиканите от човешка дейност технически аварии, както и природните бедствия в организациите и пр.

11.4. Модел на заплахите за сигурността на автоматизираните информационни системи или мрежи


Представени са пет различни варианта на модела на заплахата, като са дефинирани четири категории атаки срещу автоматизираните информационни системи или мрежи (фиг. 13).

Различните обекти се разглеждат абстрактно, т.е. самостоятелни работни станции,обменящи данни или комуникационни средства, управляващи поток от данни и обменящи служебна информация за пътищата за предаване на данните.




c:\users\admin\appdata\local\temp\finereader11.00\media\image1.jpeg

Фиг. 14. Варианти на модела на заплахите в автоматизираните информационни системи или мрежи


Вариантите на модела са, както следва:



  1. Трафикът протича нормално, без да има наличие на външно вмешателство или нерегламентирано подслушване.

  2. Налице е прекъсване на нормалния трафик - едно от ценните (жизнените) качества на системата е разрушено или е невъзможно използването му. Прекъсването може да бъде причинено от най-различни неща, например проникване в глобалната среда за сигурност, довело до прекратяване на нормалния трафик.

  3. Регистрирано е подслушване на трафика или пресрещане (прихващане) - едно неоторизирано действие дава достъп до системата. Подслушването може да се осъществява отдалечено, като чрез подходяща апаратура се прихваща излъчваният сигнал, моделира се и се превежда в удобен четящ вид. Подслушване може да се реализира и при непосредствен достъп до комуникационната система, било то до кабели, компютри, комутатори, сървъри и маршрутизатори; Има модифициране на трафика. При този вариант, един път прихванал трафика, третото лице подправя трафика и го изпраща на крайния му потребител.

  4. Изфабрикуван (подменен) е оригиналният трафик. При него има симулиране на трафик, като се подменят данните от изпращача, по този начин крайният потребител губи реална представа за истинския автор на получения от него трафик. Прихващането е пасивна атака, когато няма намеса в комуникационните канали. Единственото нещо, което се осъществява, е постоянно наблюдение на преминаващата информация, докато прекъсването, модифицирането и изфабрикуването са активни атаки, тъй като там се регистрира намеса от трети лица.

11.5. Типове атаки

Най-често използваните атаки срещу автоматизираните информационни системи и мрежи могат да се обобщят в седем категории:



  • Кражба на пароли - методи за получаване на други потребителски пароли.

  • Социален инженеринг - придобиване на информация, до която нямате достъп.

  • Грешки и черни врати (bugs and backdoors) - получаване (използване) на преимущества посредством използване на системни грешки;

  • Възможностите за автентикация - използване на дефектите (противоречивост и непълнота) на механизмите за автентикация.

  • Грешки (провали) в някои протоколи - протоколи с грешки в проектирането и реализацията.

  • Изтичане на информация - използване на системи като системата за подписване (finger) или системата за именуване (DNS) за информация, необходима на администратора или необходима за функционирането на мрежата, но която може да се използва за мрежови атаки.

  • Отказ от обслужване - опити за лишаване на потребителите от услугите на тяхната компютърна система.

11.6. Категоризация в зависимост от резултатите

Тази категоризация е съставена в зависимост от постигнатите резултати от атаката.



  • Разрушение. При него има логическо разрушаване на комуникационните канали (например VPN) и физическо разрушаване като прекъсване на кабели.

  • Изтичане. Пробив или уязвимост в системата, довела до изтичане на информация.

  • Отказ (блокировка). Вследствие на атаката се е получило блокиране на системата, което за известно време (в зависимост от предприетите политики това може да намали или увеличи времето за реакция) прави системата неизползваема.

11.7. Емпиричен списък

Емпиричната класификация на заплахите позволява да се дефинират осем категории. Основното преимущество на тази класификация с, чс съществуват атаки, които логически не могат да попаднат в точно една от трите изброени по- горе групи и които се обхващат от тази класификация.



  • Външна кражба на информация.

  • Външна злоупотреба с (на) ресурсите.

  • Представяне (преструване) (записване и използване на мрежовия трафик).

  • Вредителски програми (инсталиране на злонамерени програми).

  • Повторение на автентификацията или авторизацията (разбиване на пароли).

  • Злоупотреба с авторизацията (фалшифициране на записи).

  • Злоупотреба с бездействие (лошо администриране).

Индиректна злоупотреба (използвайки други системи за създаване на зловредни програми).

Потенциални канали за изтичане на информация и мероприятия за тяхното отстраняване или ограничаване

Потенциални канали, през които може да изтече информация от АИС или мрежи, и мероприятия за тяхното отстраняване и ограничаване са показани в таблицата по-долу (таблица 3).




c:\users\admin\appdata\local\temp\finereader11.00\media\image2.jpeg

Таблица 3. Заплахи и мероприятия за защита




c:\users\admin\appdata\local\temp\finereader11.00\media\image3.jpeg

Таблица 3. Заплахи и мероприятия за защита (продължение)




c:\users\admin\appdata\local\temp\finereader11.00\media\image4.jpeg

Таблица 3. Заплахи и мероприятия за защита (продължение)


Анализ на атаките

При наличие на атака трябва обстойно да се анализират уязвимите точки, довели до тази атака. За пълния анализ на атаките е целесъобразно всяка една от тях да се разглежда (класифицира) в следната последователност: хакери (атакуващи); средства, използвани при атаката; достъп до автоматизираната информационни структура; постигнати резултати при атаката; цели на атаката.

Класификацията на атакуващите компютърните мрежи и системи е във вида: хакери - за предизвикателството и статуса на получили достъп; шпиони; терористи; корпоративни нарушители; професионални престъпници; вандали.

11.8. Атакуващи и тяхната първична мотивация

Достъп

Основното свързващо звено между атакуващите и техните цели е неоторизираният достъп или неоторизираното използване на ресурсите в автоматизираната информационна структура или мрежа. Неоторизираният достъп или използване е свързано също с процесите или с файловете и данните, предавани по мрежата чрез процесите. Неоторизираният достъп и използване са един от начините (пътища) за атака. Не трябва да се пренебрегва и фактът, че са възможни и атаки при злоупотреба с правата за достъп. Не по-малко от 80% от проникванията в системите са от напълно оторизирани потребители, които са злоупотребили с правата си за достъп. Това е потенциално и един от най-големите проблеми при защита на автоматизираните информационни системи или мрежи.



Уязвимост

Най-често атакуващите използват компютърната и мрежовата уязвимост. Уязвимостта може да се използва, както следва:



  • Чрез софтуерните (хардуерни) грешки (bug). Типичен пример са Unix системите, които са в основата на Internet (Intranet) и които имат много проблеми, в sendmail програмата, която често се използва, за получаване на неоторизиран достъп до Host компютъра.

  • Използвайки грешките, възникнали при проектирането на системите. Internet sendmail е типичен пример за това.

• Грешките, възникнали при конфигурирането на системите. Грешките при конфигурирането включват такива проблеми за сигурността като системни правомощия с добре известни пароли, разрешение по подразбиране за използване на нови файлове.

• И други.




c:\users\admin\appdata\local\temp\finereader11.00\media\image5.jpeg

Таблица 4. Организация на връзката „уязвимост - достъп - резултат“




Резултати

Между придобиването на достъп и целите на атакуващите са резултатите от атаката. В тази точка от последователността на една атака атакуващият получава достъп до желаните процеси, файлове и данни. В този момент той е свободен да използва този достъп за чувствителните файлове, да забрани услуги, да получи информация или да използва услуги (таблица 4).



Средства

Средствата за атака могат да се разделят в следните категории:



  • Потребителски команди - въвеждани от командната линия или посредством потребителски графичен интерфейс.

  • Скриптове или програми - стартирани от атакуващия и използващи уязвимостта на системите.

  • Анонимни агенти - инсталират се програми или фрагменти от тях, които работят впоследствие независимо от потребителя и използват уязвимостта на системата.

  • Средства за разработване - софтуерни пакети, съдържащи скриптове, програми или анонимни агенти.

  • Разпределени средства - средствата за атака се разпределят върху различни компютри.

  • Извличане на данни - когато се подслушва електромагнитното излъчване от компютърните системи и мрежи чрез устройства, външни за мрежите.


Сподели с приятели:


©zdrasti.info 2017
отнасят до администрацията

    Начална страница