Главная » Компьютерные сети

Анализ угроз безопасности компьютерных сетей

На чтение 9 мин Опубликовано

2.5 Основные угрозы безопасности компьютерной сети

Для защиты от разного рода атак можно применить две стратегии. Первая заключается в приобретении самых распространенных (хотя не всегда самых лучших) систем защиты от всех возможных видов атак. Вторая стратегия, заключающаяся в предварительном анализе вероятных угроз и последующем выборе средств защиты от них.

Анализ угроз также может осуществляться двумя путями. Более эффективный способ заключается в том, что прежде, чем выбирать наиболее вероятные угрозы, осуществляется анализ информационной системы, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения денег в приобретаемые средства защиты. Однако такой анализ требует времени, средств и, что самое главное, высокой квалификации специалистов, проводящих инвентаризацию анализируемой сети. Можно сделать выбор средств защиты на основе так называемых стандартных угроз, то есть тех, которые распространены больше всего.

Данные о самых распространенных угрозах информационной безопасности, полученные самым авторитетным в этой области источником — Институт компьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско, в марте 2000 года в ежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey», говорят:

90% респондентов (крупные корпорации и государственные организации) зафиксировали различные атаки на свои информационные ресурсы; 70% респондентов зафиксировали серьезные нарушения политики безопасности, например вирусы, злоупотребления со стороны сотрудников т.д.; 74% респондентов понесли немалые финансовые потери вследствие этих нарушений. Другие данные этих организации представлены в таблицах 2.3 и 2.4.

Таблица 2.3 — Частота атак по типу субъектов

Конкуренты (на территории США)

Таблица 2.4 — Частота атак по характеру угроз

Злоупотребления в Интернет со стороны сотрудников

Несанкционированный доступ со стороны сотрудников

Атаки внешних злоумышленников

Кража конфиденциальной информации

Мошенничества с телекоммуникационными устройствами

Данные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают, что больше всего преступлений — 42% относиться к неправомерному доступу к компьютерной информации; 18% — это причинение имущественного ущерба с использованием компьютерных средств; 12% преступлений связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 7% преступлений — из серии «незаконное производство или приобретение с целью сбыта технических средств для незаконного получения информации», 15% — мошенничество с применением компьютерных и телекоммуникационных сетей; 3% — нарушение правил эксплуатации ЭВМ и их сетей.

Итак, к основным угрозам безопасности компьютерной сети можно отнести:

Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению. Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.

Читайте также:  Не существует сетевой модели данных

В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно — всегда найдется класс программ с данными признаками, не являющихся при этом вирусом. При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы — это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.

Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программным вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно — вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие — либо другие действия, после чего отдает управление вирусоносителю.

«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно — вычислительных сетей. Вирусы, использующие для размножения каналы информационно — вычислительных сетей, принято называть сетевыми [33].

Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Интернет и системе электронной почты.

Читайте также:  Обычно разрешается только одно использование адреса сокета протокол сетевой адрес порт python

Вирус может попасть на локальный компьютер пользователя следующими способами:

  • через дискету, компакт — диск, удаленный почтовый ящик;
  • через корпоративную систему электронной почты;
  • через корпоративный канал доступа в Интернет;
  • с корпоративного сервера.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление.

В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.

Таблица 2.5 — Характеристики вирусов

Источник

3 Анализ угроз безопасности сети

Защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике.

Обеспечение безопасности информации в компьютерных сетях предполагает создание препятствий для любых несанкционированных попыток хищения или модификации передаваемых в сети данных. При этом весьма важным является сохранение таких свойств информации, как:

  • доступность;
  • целостность;
  • конфиденциальность.
  • угроза конфиденциальности – несанкционированное получение информации злоумышленником (утечка информации);
  • угроза целостности – умышленное или случайное изменение информации, например, удаление файлов или записей в БД;
  • угроза отказа в обслуживании – постоянное или временное блокирование некоторого сервиса, в результате чего система перестает выполнять свои функции по назначению.
  1. Для информации в контуре доставки наиболее опасной является угроза отказа в обслуживании, поскольку работа отдела главным образом зависит от обмена информацией с Удаленным телекоммуникационным контуром (УТК). Таким образом, реализация угрозы отказа в обслуживании может повлиять на работу не только самого отдела, но и УТК.
  2. Для информации в контуре адресования наиболее опасной является угроза целостности (особенно для информации, хранящейся на сервере БД), поскольку изменение этой информации может привести к нарушению работоспособности всей системы. Также необходимо отметить, что в данном контуре обрабатывается конфиденциальная информация.
  3. Информация, хранящаяся на локальном сервере в Контуре обмена с АС, является наиболее критичной с точки зрения целостности и конфиденциальности. Поэтому угрозы данным свойствам информации в большей степени опасны для этого контура.
  1. Ошибки служащих отдела:
    1. потери информации, связанные с неправильным хранением архивных данных;
    2. случайное уничтожение или изменение данных.
    1. Сбои оборудования и электропитания:
      1. сбои кабельной системы;
      2. перебои электропитания;
      3. сбои дисковых систем;
      4. сбои систем архивации данных;
      5. сбои работы серверов, рабочих станций, сетевых карт и т.д.
      1. Потери информации из-за некорректной работы программного обеспечения:
      1. потеря или изменение данных при ошибках в программном обеспечении (это относится ко всей информации, циркулирующей в отделе);
      2. потери при заражении системы компьютерными вирусами (главным образом это касается информации, циркулирующей в контуре доставки, поскольку он имеет непосредственный выход в глобальную сеть).
        1. Потери, связанные с несанкционированным доступом:
        1. случайное ознакомление с конфиденциальной информацией неуполномоченных лиц (наиболее опасным это является для информации, хранящейся на Локальном сервере, поскольку имеет высокую степень конфиденциальности в отделе, и доступ к ней служащих ограничивается их уровнем допуска);
        2. случайная модификация конфиденциальной информации неуполномоченными лицами (в наибольшей степени это опасно для оперативной конфиденциальной информации, хранящейся на Сервере БД, а также для информации, хранящейся на Локальном сервере).
        1. Несанкционированный доступ к информации и сетевым ресурсам (наиболее интересной для злоумышленника является информация, хранящаяся на Сервере электронной почты (все сообщения), на Сервере БД (оперативная конфиденциальная информация) и на Локальном сервере (конфиденциальная информация). С точки зрения несанкционированного доступа к сетевым ресурсам наиболее открытым перед данной угрозой является Телекоммуникационный сервер, поскольку на нем установлена служба RAS).
        2. Раскрытие и модификация данных и программ, их копирование (наибольший вред для отдела принесет модификация оперативной информации на Сервере БД, раскрытие данных на Локальном сервере, модификация программ на всех серверах отдела и рабочих станциях).
        3. Раскрытие, модификация или подмена трафика вычислительной сети (это касается информации, передаваемой по каналам связи).
        1. Разработка и распространение вредоносных программ, ввод в программное обеспечение «логических бомб» (злоумышленник может использовать данные программы для нарушения работы отдела и получения необходимой информации) [2].
          1. » троянский конь»,
          2. вирус,
          3. «червь»,
          4. «жадная» программа,
          5. «захватчик паролей».
          1. процессор;
          2. оперативная память;
          3. устройства ввода-вывода.
          1. Кража магнитных носителей и расчетных документов, разрушение архивной информации или умышленное ее уничтожение (наибольший вред принесет кража и разрушение информации на Локальном сервере).
          2. Фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема (это относится, в основном, к электронной почте и к информации, которой отдел обменивается с Удаленным телекоммуникационным контуром).
          1. Перехват и ознакомление с информацией, передаваемой по каналам связи (эта угроза возможна как для информации, циркулирующей внутри отдела, так и для исходящей информации. Но наиболее опасна эта угроза для внутренней информации, поскольку в отделе обрабатывается строго конфиденциальная информация. Таким образом, необходимо сделать данную угрозу труднореализуемой).
          • применение компьютеров, не имеющих парольной защиты во время загрузки;
          • использование совместных или легко вскрываемых паролей;
          • хранение паролей в пакетных файлах и на дисках компьютеров;
          • отсутствие установления подлинности пользователя в реальном масштабе времени;
          • отсутствие или низкая эффективность применения систем идентификации и аутентификации пользователей;
          • недостаточность физического контроля за сетевыми устройствами;
          • отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса связи и регистрации таких попыток;
          • незащищенность модемов;
          • использование известных системных брешей и уязвимых мест, которые не были исправлены;
          • ошибки в ПО и т.д.

          Источник

          Читайте также:  Функции и протоколы сетевых сервисов
Оцените статью
© 2023 Posetke
Adblock
detector