- •Лекция
- •«Защита от несанкционированного доступа к информации. Термины и определения».
- •Несанкционированный доступ к информации – доступ к информации, нарушающий правила разграничения доступа с
- •Законодательная и нормативная база по защите информации БС РФ от НСД
- •Конституция Российской Федерации. от 12 декабря 1993 г. (с изменениями и дополнениями от
- •Закон РФ «О государственной тайне» от 21 июля 1993 г.
- •ФЗ «О банках и банковской деятельности» от 01.12.1990
- •Коммерческие риски
- •Инвестиционные риски
- •Валютно-финансовые риски
- •Соотношение между уязвимостью и угрозой
- •Уязвимость
- •Угроза
- •Основные сферы проявления угроз
- •Социальные угрозы определяются:
- •Виды информационных угроз
- •Внутренние информационные угрозы
- •ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на
- •Внешние информационные угрозы
- •4.3.2.2.2НСД к защищаемой информации.
- •Соотношение внешних и внутренних угроз
- •Классификация уязвимостей и угроз безопасности информации
- •Агенты
- •Модель нарушителя
- •Методы добывания сведений:
- •Агенты
- •Конкуренты
- •Посетители
- •Хакеры
- •Администраторы
- •Операторы
- •Технический персонал
- •1. Наибольший риск:
- •Основные параметры анализа нарушителя
- •Уровни возможностей нарушителя
- •Знания необходимые нарушителю:
- •Основные причины и мотивация нарушений
- •Безответственность. При нарушениях, вызванных безответственностью, пользователь целенаправленно производит какие-либо разрушающие действия, не связанные,
- •Общемировая статистика по процентному соотношению угроз
- •Мотивация нарушителя:
- •События
- •Классификация методов реализации угроз
- •По цели реализации несанкционированного доступа:
- •По режиму выполнения несанкционированного доступа:
- •По пути несанкционированного доступа:
- •По способу воздействия на объект атаки:
- •По непосредственному объекту атаки:
- •Незаконное использование привилегий.
- •Атаки “салями”.
- •Типовая схема подготовки и реализации атак
- •Этапы построения системы защиты информации, недостатки которой могут
- •1.Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки
- •2.Выявление уязвимых элементов, через которые возможна реализация угроз информации:
- •3. Оценка текущего состояния защиты информации и определение риска:
- •4. Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации
- •5.Формирование полного перечня детальных требований к системе защиты информации в соответствии с необходимыми
- •6. Непосредственная разработка системы защиты информации с учетом всех предъявленных требований и влияющих
- •Основные тенденции компьютерных преступлений
- •Основные группы способов совершения компьютерных преступлений
- •Несанкционированный доступ к средствам компьютерной техники
- •"Компьютерный абордаж"
- •Характерные группы паролей
- •Неспешный выбор. Нахождение слабых мест в защите компьютерной системы. Чрезвычайно распространен среди так
- •Манипуляция данными и управляющими командами
- •Копирование (тиражирование) программ с преодолением программных средств защиты. Этот способ предусматривает незаконное создание
- •Атаки на политику безопасности и процесс администрирования
- •Атаки на постоянные компоненты системы защиты
- •Атаки на сменные элементы систем защиты информации
- •Атаки на протоколы информационного взаимодействия
- •Протокол - совокупность функциональных и эксплуатационных требований к какому-либо компоненту сетевого программно- аппаратного
- •Нападения на функциональные элементы компьютерных сетей
- •Кнападениям на функциональные элементы компьютерных сетей относятся два типа атак:
- •Некоторые сценарии реализации компьютерных атак
- •Некоторые методы реализации компьютерных атак
По непосредственному объекту атаки:
нападения на политику безопасности и процесс административного управления
атаки на постоянные компоненты системы защиты
атаки на атаки на сменные компоненты системы безопасности
атаки на протоколы взаимодействия
нападения на функциональные элементы компьютерной системы
Незаконное использование привилегий.
Задействуются средства, используемые в чрезвычайных ситуациях, при сбоях оборудования или средства, которые способны функционировать с нарушением существующей политики безопасности (администраторы, операторы, системные программисты и другие пользователи, выполняющими специальные функции).
Для того, чтобы уменьшить риск от применения таких средств большинство систем защиты реализует такие функции с помощью набора привилегий - для выполнения определенной функции требуется определенная привилегия.
В этом случае каждый пользователь получает свой набор привилегий, обычные пользователи - минимальный, администраторы - максимальный (в соответствии с принципом минимума привилегий).
Наборы привилегий каждого пользователя являются его атрибутами и охраняются системой защиты. Несанкционированный захват привилегий приведет, таким образом, к возможности несанкционированного выполнения определенной функции.
Атаки “салями”.
Принцип атак “салями” построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.
Причинами атак “салями” являются:
погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону, огромные объемы вычислений, необходимые для обработки счетов.
Успех таких атак зависит не столько от величины обрабатываемых сумм, сколько от количества счетов (для любого счета погрешность обработки одинакова).
Предотвратить такие атаки можно только обеспечением целостности и корректности прикладных программ, обрабатывающих счета, разграничением доступа пользователей АС к счетам, а также постоянным контролем счетов на предмет утечки сумм.
Типовая схема подготовки и реализации атак
Этапы построения системы защиты информации, недостатки которой могут
использоваться для разработки атак
1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации.
2. Выявление уязвимых элементов, через которые возможна реализация угроз информации.
3. Оценка текущего состояния защиты информации и определение риска.
4. Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов.
5. Формирование полного перечня детальных требований к системе защиты информации в соответствии с необходимыми классами защищенности.
6. Непосредственная разработка системы защиты информации с учетом всех предъявленных требований и влияющих на
защиту факторов
1.Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
анализ аппаратных средств и их конфигурации;
анализ программного обеспечения и схемы распределения его компонентов между узлами сети;
анализ протоколов взаимодействия (стеков протоколов);
анализ сетевого трафика на различных уровнях сетевой модели взаимодействия;
анализ технологии использования мобильных программ (JAVA, ActiveX, JavaScript, VBScript);
анализ согласованности программной и аппаратной конфигурации узлов сети;
анализ подсистемы зашиты информации на различных уровнях программно-аппаратных средств
2.Выявление уязвимых элементов, через которые возможна реализация угроз информации:
уязвимых элементов аппаратных средств и каналов связи (локальных сетей, сетевых устройств концентрации и маршрутизации каналов межсетевого взаимодействия, а также каналов взаимодействия с Internet);
уязвимых элементов операционных систем;
уязвимых элементов используемых систем управления базами данных;
уязвимых элементов прикладного программного обеспечения (электронного документооборота, справочных систем, электронной бухгалтерии и т.п.);
уязвимых элементов сетевых программных средств (групповой работы, утилит администрирования, мобильных программ);
уязвимых элементов подсистем защиты информации
3. Оценка текущего состояния защиты информации и определение риска:
оценка ценностей (всех объектов и субъектов, которым может быть нанесен ущерб);
прогнозирование частоты и вероятности проявления угроз на основе накопленной статистики и условий эксплуатации компьютерных сетей;
непосредственное вычисление риска, зависящего от полученных выше параметров;
выработка рекомендаций по снижению риска до приемлемого уровня.
4. Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов:
формирование стратегических (наиболее общих, долгосрочных) целей защиты информации и определение требований к защищаемой информации;
разработка концепции защиты от преднамеренных угроз;
разработка концепции защиты от случайных угроз;
составление общего плана восстановления на случай воздействия на компьютерные ресурсы;
разработка организационных мероприятий по созданию условий безопасной обработки информации;
5.Формирование полного перечня детальных требований к системе защиты информации в соответствии с необходимыми классами защищенности:
требований к подсистемам аутентификации и разграничения доступа;
требований к подсистеме защиты от вирусов;
требований к подсистеме криптографической защиты;
требований к подсистеме контроля эталонного состояния информации и рабочей среды;
требований к подсистемам резервирования информации и восстановления работоспособности систем и средств;
требований к подсистемам обнаружения, регистрации и сигнализации;
требований к подсистеме обеспечения безопасности сетевого и межсетевого взаимодействий.