Файл: 1. Теоретические основы безопасности и защиты информации в компьютерных сетях.doc

Можно составить предполагаемую модель возможного нарушителя:

- квалификация нарушителя соответствует уровню разработчика данной системы;

- нарушителем может быть как законный пользователь системы, так и постороннее лицо;

- нарушителю известна принципиальная работы системы;

- нарушитель выбирает наиболее слабое звено в защите.

Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена.

Общая схема классификации угроз информационной безопасности компьютерных сетей приведена в приложении А.

Угрозы в компьютерных сетях можно классифицировать следующим образом.

По цели реализации угрозы могут быть нарушающими целостность информации (что может привести к утрате или обесцениванию информации); нарушающими конфиденциальность информации (что может нанести значительный ущерб ее владельцам); нарушающими доступность компьютерной сети.

По принципу воздействия на сеть угрозы подразделяются на использующие скрытые каналы (обмен информацией таким способом, нарушает системную политику безопасности); использующие доступ субъекта компьютерной сети к объекту (доступ - это взаимодействие между субъектом и объектом, приводящее к возникновению информационного потока от второго к первому).

По характеру воздействия на сеть - активное воздействие, связано с выполнением нарушителем каких-либо действий, например, доступ к определенным наборам данных, вскрытие пароля, доступ к программам и т.д. Такое воздействие ведет к изменению состояния сети. Пассивное воздействие, осуществляется с помощью наблюдения за какими-либо побочными эффектами и их анализом. Пассивное воздействие не ведет к изменению состояния системы, т.к. оно всегда связано только с нарушением конфиденциальности информации в компьютерных сетях (никаких действий с субъектами и объектами не производится).

По способу активного воздействия на объект атаки возможно непосредственное воздействие (с помощью средств контроля доступа такое действие достаточно легко предотвратить); воздействие на систему разрешений (несанкционированные действия осуществляются относительно прав на объект атаки, а сам доступ к объекту выполняется потом законным образом); опосредованное воздействие (в качестве примера можно рассмотреть случай, когда злоумышленник выдает себя за авторизованного пользователя, каким-либо образом присвоив себе его полномочия.).

---

По используемым средствам атаки - с использованием стандартных программ (в этом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ хорошо изучены); с использованием специально разработанных программ, что может быть более опасным для сети.

По состоянию объекта атаки - когда в момент атаки объект находится в состоянии хранения информации (в таком случае воздействие на объект, как правило, осуществляется с использованием несанкционированного доступа); в момент осуществления передача информации по линии связи между узлами сети или внутри узла (в таком случае воздействие на объект предполагает либо доступ к фрагментам передаваемой информации, либо прослушивание с использованием скрытых каналов); объект находится в состоянии обработки информации (здесь объект атаки - это процесс пользователя).

Кроме перечисленных угроз информационной безопасности следует добавить следующие угрозы:

- несанкционированный обмен информацией между пользователями;

- отказ от информации;

- отказ в обслуживании.

Компьютерные сети характерны тем, что против них можно осуществить удаленные атаки. Нападению может подвергнуться и конкретный компьютер, и информация, передающаяся по сетевым каналам связи, хотя нарушитель в это время может находиться за много километров от атакуемого объекта.

Атака на сеть может производиться с верхнего уровня (когда нарушитель использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий) и нижнего уровня (нарушитель использует свойства сетевых протоколов для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом).

Выделяют четыре основных категории атак:

- атаки доступа - злоумышленник пытается получить информацию, на просмотр которой у него нет разрешений. Везде, где существует информация и средства для ее передачи возможно выполнение такой атаки. Атака доступа нарушает конфиденциальность информации;

- атаки модификации - направлены на нарушение целостности информации. Такие атаки возможна везде, где существует или передается информация;

- атаки на отказ от обязательств - такая атака направлена против возможности идентифицировать информацию, говоря другими словами, это попытка дать неверную информацию о реальном событии или транзакции;

- атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, приводящие к невозможности получения информации легальным пользователям. В результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной системе и не может оперировать с информацией, он просто делает систему или находящуюся в ней информацию недоступной.

---

Имеется огромное множество способов выполнения атак: при помощи специально разработанных средств, через уязвимые места компьютерных систем. Одним из наиболее опасных способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Наиболее распространенными видами вредоносных программ являются "троянские кони", черви и вирусы.

"Троянский конь" - это вредоносная программа, которая используется злоумышленником для сбора информации, её разрушения или модификации, а также нарушает работоспособность компьютера или использует его ресурсы в неблаговидных целях. Чаще всего троянский конь маскируется под новую версию бесплатной утилиты, какую-то популярную прикладную программу или игру. Таким способом пытается заинтересовать пользователя и побудить его переписать и установить на свой компьютер вредителя самостоятельно.

Компьютерный вирус - вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Сетевой червь - разновидностьвредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети.

Свое название компьютерные вирусы получили из-за определенного сходства с биологическими вирусами, такими как: способность к саморазмножению; высокая скорость распространения; избирательность поражаемых систем; наличие в большинстве случаев инкубационного периода; способность "заражать" еще незараженные системы; трудность борьбы с вирусами и т.д.

В последнее время к этим особенностям добавилась еще и постоянно увеличивающаяся быстрота появления модификаций и новых поколений вирусов, что можно объяснить идеями злоумышленников определенного склада ума.

Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-либо вредные действия.

---

Процесс заражения вирусом программных файлов можно представить следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя. При передаче управления вирусу он каким-либо способом находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы. Если вирус записывается в конец программы, то он корректирует код программы с тем, чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого файла без изменений.

Евгений Касперский - один из самых авторитетных "вирусологов" страны предлагает условно классифицировать вирусы по следующим признакам:

- по среде обитания вируса;

- по способу заражения среды обитания;

- по деструктивным возможностям;

- по особенностям алгоритма вируса.

Более подробная классификация внутри этих групп представлена в приложении Б.

В настоящее время вредоносное программное обеспечение очень разнообразно и представляет собой серьезную угрозу. К тому же, все чаще речь идет не только об удаленных с жесткого диска файлах или испорченной операционной системе. Современные вирусы и троянские кони наносят огромный материальный ущерб и позволяют их создателям и распространителям зарабатывать деньги. Это приводит к тому, что вредоносное программное обеспечение развивается очень активно.

В основном атаки, нацеленные на захват информации, хранимой в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Несанкционированный доступ к информации, находящейся в сети может быть косвенным (без физического доступа к элементам сети) или прямым (с физическим доступом к элементам сети).

Канал утечки информации - это совокупность источников информации, материального носителя или среды распространения несущего эту информацию сигнала и средства выделения информации из сигнала или носителя.

---

Основные каналы утечки информации:

1. Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах обработки информации. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал в свою очередь делится на: радиоканал (высокочастотные излучения); низкочастотный канал; сетевой канал (наводки на провода заземления); канал заземления (наводки на провода заземления); линейный канал (наводки на линии связи между компьютерами).

. Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.

. Канал несанкционированного копирования.

. Канал несанкционированного доступа.
.3 Методы обеспечения безопасности сетей
Рассмотрим конкретные методы и средства защиты, которые используются в компьютерных сетях.

Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки - это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором. При выборе пароля нужно соблюдать ряд требований: пароль не должен состоять менее, чем из восьми символов; не использовать один и тот же пароль для доступа к разным ресурсам; не использовать старый пароль повторно; менять пароль как можно чаще. В сетях пароли могут использоваться самостоятельно, а также в качестве основы для различных методов аутентификации.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени.

Аутентификация - это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

- нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

---