|
8.3. Виды и особенности угроз информационной безопасности
Понятие «угроза информационной безопасности». Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Под угрозой информационной безопасности можно понимать потенциально возможное событие, процесс или явление, которое посредством воздействия на компоненты информационно-вычислительной системы может прямо или косвенно привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы. По каким каналам возможна утечка информации в организации? Основные виды каналов утечки информации: • 1 группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относят каналы утечки информации, осуществляемые посредством: а) дистанционного скрытого видеонаблюдения или фотографирования (например, скрыто устанавливаемые фото-, кино- и видеокамеры); б) применения подслушивающих устройств (например, лазерный съем речевой информации, использования специальных закладных устройств (радиомаяков) для съема информации с компьютеров); в) перехвата электромагнитных излучений и наводок и т. д.; • 2 группа - каналы, связанные с доступом к элементам информационной системы и изменением структуры ее компонентов. В эту группу включают: а) наблюдение за информацией в процессе обработки с целью ее запоминания; б) хищение носителей информации; в) сбор производственных отходов, содержащих обрабатываемую информацию; г) преднамеренное считывание данных из файлов других пользователей; д) чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий; е) копирование носителей информации; ж) преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей; з) маскировку под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки; и) использование для доступа к информации «люков», «дыр» и «лазеек», т.е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения; • 3 группа включает в себя следующие каналы утечки информации: а) незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи); б) злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации; в) злоумышленный вывод из строя механизмов защиты; • 4 группа каналов утечки информации: а) несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб; б) получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности. Классификация угроз информационной безопасности. Все множество потенциальных угроз по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные (субъективные). В свою очередь, искусственные угрозы могут быть дифференцированы на преднамеренные и непреднамеренные, внешние и внутренние. К естественным угрозам информационной безопасности относят угрозы, вызванные воздействиями на элементы системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Например, угроза пожара. Еще более широк и опасен круг искусственных угроз, природа которых обусловлена деятельностью человека. Под непреднамеренными искусственными угрозами понимаются действия, совершаемые людьми случайно или без злого умысла: по незнанию, невнимательности или халатности, из любопытства и др. К числу таких действий (и соответственно угроз) можно отнести: • неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (например, неумышленная порча оборудования, удаление файлов с важной информацией и т. п.); • неправомерное отключение оборудования или изменение режимов работы устройств и программ; • запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.); • нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях); • заражение компьютера вирусами, • разглашение, передачу или утрату атрибутов разграничения доступа (паролей, ключей шифрования, пропусков и т. п.); • некомпетентное использование, настройку или неправомерное отключение средств защиты персоналом службы безопасности; • ввод ошибочных данных. Под преднамеренными искусственными угрозами понимаются угрозы, связанные с корыстными устремлениями людей. Выделяют следующие основные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации: • физическое разрушение системы (путем взрыва, поджога и т. п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т. п.); • отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.); • действия по дезорганизации функционирования системы (изменение режимов работы программ, постановка мощных активных радиопомех на частотах работы устройств системы и т. п.); • внедрение агентов в число персонала системы; • вербовку (путем подкупа, шантажа и т. п.) персонала или отдельных пользователей, имеющих определенные полномочия; • перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.); • перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему; • хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и др.); • несанкционированное копирование носителей информации; • хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.); • чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; • незаконное получение паролей и других реквизитов разграничения доступа (путем подбора, путем имитации интерфейса системы и т. д.) с последующей маскировкой под зарегистрированного пользователя; • вскрытие шифров криптозащиты информации; • незаконное подключение к линиям связи с целью работы в моменты пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений. Под внутренними угрозами информационной безопасности понимаются угрозы со стороны персонала организации или предприятия, а под внешними - угрозы от сторонних лиц или организаций. Согласно зарубежной и отечественной статистике до 70 - 80 % всех компьютерных преступлений связаны с внутренними нарушениями, т. е. осуществляются сотрудниками компании, работающими или уволенными, поскольку именно свой сотрудник может реально оценить стоимость той или иной информации. Внешние угрозы могут быть дифференцированы на две группы - на локальные и удаленные атаки. Первые предполагают проникновение нарушителя на территорию организации и получения им доступа к отдельному компьютеру или локальной сети. Вторые характерны для систем, подключенных к общедоступным глобальным сетям (например, Интернет). Сетевые системы отличаются тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения. Удаленные атаки можно классифицировать по нескольким признакам. Во-первых, в зависимости от характера воздействия на работу информационной системы удаленные атаки могут быть разделены на пассивные и активные. Пассивное воздействие на распределенную вычислительную систему не связано с непосредственным влиянием на работу системы, но нарушает политику ее безопасности. Например, прослушивание канала связи в сети. Активным воздействием на распределенную вычислительную систему называется воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Во-вторых, в зависимости от цели осуществления удаленной атаки они могут быть классифицированы на угрозы, связанные с нарушением конфиденциальности, а также целостности и отказа в обслуживании. Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации - перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Примером перехвата информации может служить прослушивание канала в сети. Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. При нарушении работоспособности системы основная цель атакующего - добиться, чтобы операционная система на атакуемом объекте вышла из строя, и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Возможны и другие классификации удаленных атак, например: в зависимости от условий начала воздействия, в зависимости от наличия (или отсутствия) обратной связи, от расположения субъекта атаки и т. д.
|
|