Файл: Виды и состав угроз информационной безопасности.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 30.04.2023

Просмотров: 160

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Ошибки при разработке компьютерных систем, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы компьютерных систем. Особую опасность представляют ошибки в опера­ционных системах и в программных средствах защиты информации.

Согласно данным Национального института стандартов и технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Другой класс угроз безопасности информации в компьютерных системах составляют преднамеренно создаваемые угрозы. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:

  • традиционный или универсальный шпионаж и диверсии;
  • несанкционированный доступ к информации;
  • электромагнитные излучения и наводки;
  • модификация структур;
  • вредоносные программы.

В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий, которые использовались и используются для добывания или уничтожения информации. Эти методы также действенны и эффективны в условиях применения компьютерных систем. Чаще всего они используются для получения сведений о системе защиты с целью проникновения в систему, а также для хищения и уничтожения ин­формационных ресурсов.

2.2. Виды и состав угроз безопасности

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (рис.2).

Рис.2.

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:


Непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

Преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал).

Рассмотрим внешние и внутренние источники информационных опасностей и угроз.

Источниками внутренних угроз являются:

  • Сотрудники организации.
  • Программное обеспечение.
  • Аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

- ошибки пользователей и системных администраторов;

- нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

- ошибки в работе программного обеспечения;

- отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

  • Компьютерные вирусы и вредоносные программы.
  • Организации и отдельные лица.
  • Стихийные бедствия.

Формами проявления внешних угроз являются:

  • заражение компьютеров вирусами или вредоносными программами;
  • несанкционированный доступ (НСД) к корпоративной информации;
  • информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
  • действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
  • аварии, пожары, техногенные катастрофы, стихийные бедствия.

Все перечисленные выше виды угроз (формы проявления) можно разделить на умышленные и неумышленные.

По данным Института защиты компьютеров (CSI), свыше 50% вторжений – дело рук собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они испытали рецидивы «нападений». Несанкционированное изменение данных было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник «нападений». Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и «нападениям», в которых «злоумышленники» фальсифицируют обратный адрес, чтобы перенацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.


По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

  • несанкционированный доступ к информационным ресурсам;
  • незаконное копирование данных в информационных системах;
  • хищение информации из библиотек, архивов, банков и баз данных;
  • нарушение технологии обработки информации;
  • противозаконный сбор и использование информации;
  • использование информационного оружия.

К программным угрозам относятся:

  • использование ошибок и «дыр» в программном обеспечении;
  • компьютерные вирусы и вредоносные программы;
  • установка «закладных» устройств.К физическим угрозам относятся:
  • уничтожение или разрушение средств обработки информации и связи;
  • хищение носителей информации;
  • хищение программных или аппаратных ключей и средств криптографической защиты данных;
  • воздействие на персонал.

К радиоэлектронным угрозам относятся:

  • внедрение электронных устройств перехвата информации в технические средства и помещения;
  • перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

  • нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере;
  • закупки несовершенных или устаревших информационных технологий и средств информатизации.

Информатизация – организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

1) законодательный уровень (законы, нормативные акты, стандарты и т.п.). Законодательный уровень является важнейшим для обеспечения информационной безопасности. К мерам этого уровня относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности нарушение правильности таких действий. Подробнее этот вопрос рассматривается в других главах.

2) административный уровень (действия общего характера, предпринимаемые руководством организации). Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.


3) процедурный уровень (конкретные меры безопасности, ориентированные на людей).

Меры данного уровня включают в себя:

  • мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;
  • мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
  • мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;
  • организацию охраны и режима допуска к системе;
  • организацию учета, хранения, использования и уничтожения документов и носителей информации;
  • распределение реквизитов разграничения доступа;
  • организацию явного и скрытого контроля за работой пользователей;
  • мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения.

4) программно-технический уровень (технические меры).

Меры защиты этого уровня основаны на использовании специальных программ и аппаратуры и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты:

  • идентификацию и аутентификацию пользователей;
  • разграничение доступа к ресурсам;
  • регистрацию событий;
  • криптографические преобразования;
  • проверку целостности системы;
  • проверку отсутствия вредоносных программ;
  • программную защиту передаваемой информации и каналов связи;
  • защиту системы от наличия и появления нежелательной информации;
  • создание физических препятствий на путях проникновения нарушителей;
  • мониторинг и сигнализацию соблюдения правильности работы системы;
  • создание резервных копий ценной информации.

3. Общая характеристика средств и методов защиты

Противодействие многочисленным угрозам информационной безопасности предусматривает комплексное использование различных способов и мероприятий организационного, правового, инженерно-технического, программно-аппаратного, криптографического характера и т.п.

Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования компьютерных систем.


К правовым мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение.

Инженерно-технические средства защиты достаточно многообразны и включают в себя физико-технические, аппаратные, технологические, программные, криптографические и другие средства. Данные средства обеспечивают следующие рубежи защиты: контролируемая территория, здание, помещение, отдельные устройства вместе с носителями информации.

Программно-аппаратные средства защиты непосредственно применяются в компьютерах и компьютерных сетях, содержат различные встраиваемые в компьютерные системы электронные, электромеханические устройства. Специальные пакеты программ или отдельные программы реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам, регистрация и анализ протекающих процессов, событий, пользователей, предотвращение возможных разрушительных воздействий на ресурсы и другие.

Суть криптографической защиты заключается в приведении (преобразовании) информации к неявному виду с помощью специальных алгоритмов либо аппаратных средств и соответствующих кодовых ключей.

Для блокирования (парирования) случайных угроз безопасности в компьютерных системах должен быть решен комплекс задач (рис.3).

Рис.3 Задачи защиты информации в КС от случайных угроз

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. Оно обеспечивает защиту информации, как от случайных угроз, так и от преднамеренных воздействий. Для дублирования информации могут применяться не только несъемные носители информации или специально разработанные для этого устройства, но и обычные устройства со съемными машинными носителями. Распространенными методами дублирования данных в КС являются использование выделенных областей памяти на рабочем диске и зеркальных дисков (жесткий диск с информацией, идентичной как на рабочем диске).

Под надежностью понимается свойство системы выполнять возложенные на нее функции в определенных условиях обслуживания и эксплуатации. Надежность компьютерных систем достигается на этапах разработки, производства, эксплуатации. Важным направлением в обеспечении надежности компьютерных систем является своевременное обнаружение и локализация возможных неисправностей в работе ее технических средств.