Нсд нарушение функционирования компьютерных сетей

Угрозы несанкционированного доступа к информации. Основные классы атак в сетях на базе TCP/IP

Аннотация: Рассмотрено понятия несанкционированного доступа и модели нарушителя. Приведены основные уязвимости стека протоколов TCP/IP, сетевые атаки и способы борьбы с ними.

Понятие несанкционированного доступа. Модель потенциального нарушителя.

Согласно ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» несанкционированный доступ (НСД) к информации – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Заинтересованным лицом в данном случае может выступать:

• государство;
• юридическое лицо;
• группа физических лиц или одно физическое лицо;
• общественная организация.

Проблеме защиты информации от НСД посвящен ряд руководящих документов ФСТЭК (соответственно, бывш.Гостехкомиссии). Определение НСД там более узкое, чем в ГОСТе.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированными системами (АС)[9.1].

Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем. Несмотря на это, действие внедренной программной закладки (» червя » и т.п.), результатом которого стало попадание защищаемой информации к злоумышленнику , также можно рассматривать как факт НСД.

К основным угрозам НСД можно отнести следующее:

• угрозы проникновения в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
• угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;
• угрозы внедрения вредоносных программ (программно-математического воздействия).

Кроме этого, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера.

В общем случае, комплекс программно — технических средств и организационных мер по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Источником угрозы НСД может быть нарушитель, носитель с вредоносной программой или аппаратная закладка. Модель нарушителя – абстрактное (формализованное или неформализованное) описание нарушителя.

При разработке модели нарушителя определяются следующие предположения:

• категория лиц, к которой относится нарушитель;
• мотивы нарушителя;
• цели нарушителя;
• квалификация и техническая оснащенность нарушителя;
• возможные действия нарушителя;
• время действия (постоянно, в определенные интервалы).

Выделяют две категории нарушителей по отношению к АС – внутренние и внешние. Внешними нарушителями могут быть:

• разведывательные службы государств;
• криминальные структуры;
• конкуренты;
• недобросовестные партнеры;
• внешние субъекты (физические лица).

Злоумышленник – это нарушитель, намеренно идущий на нарушение.

Внешний нарушитель может осуществлять НСД следующими способами:

1. через автоматизированные рабочие места, подключенные к сетям общего пользования или сетям международного обмена (например, Интернет);
2. с помощью программного воздействия на защищаемую информацию (программные закладки, вирусы и др.);
3. через элементы автоматизированной системы, которые побывали за пределами контролируемой зоны (например, съемные носители информации);

Внутренними нарушителями могут быть следующие категории лиц:

• пользователи АС;
• персонал АС;
• сотрудники службы безопасности;
• руководители различных уровней.

По уровню знаний нарушителей можно классифицировать следующим образом:

• знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

• применяющий только агентурные методы получения сведений;
• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

• в процессе функционирования АС (во время работы компонентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования АС, так и в период неактивности компонентов системы.

• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и сооружения;
• внутри помещений, но без доступа к техническим средствам АС;
• с рабочих мест конечных пользователей (операторов) АС;
• с доступом в зону данных (серверов баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения безопасности АС.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников.

Модель нарушителей может иметь разную степень детализации.

Содержательная модель нарушителей отражает систему принятых руководством объекта защиты взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.

Сценарии воздействия нарушителей определяют классифицированные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов, а также способов действия на каждом этапе.

Математическая модель воздействия нарушителей представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей, количественных значений, параметрически характеризующих результаты действий, и функциональных (аналитических, численных или алгоритмических) зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели используется для количественных оценок уязвимости объекта и эффективности охраны.

Источник

24. Способы несанкционированного доступа к информации в компьютерных сетях.

Несанкционированный доступ — является реализацией преднамеренной угрозы информационно-компьютерной безопасности и часто называется еще атакой или нападением на компьютерную систему.

1. По принципу несанкционированного доступа:

• физический несанкционированный доступ

• логический несанкционированный доступ.

Физический несанкционированный доступ может быть реализован одним из следующих способов:

• преодоление рубежей территориальной защиты и доступ к незащищенным информационным ресурсам;

• хищение документов и носителей информации;

• визуальный перехват информации, выводимой на экраны мониторов и принтеры, а также подслушивание;

• перехват электромагнитных излучений.

Логический несанкционированный доступ предполагает логическое преодоление системы защиты ресурсов активной компьютерной сети. Учитывая, что подавляющее большинство угроз информации могут быть реализованы только в процессе функционирования вычислительной системы, а также то, что логический несанкционированный доступ является наиболее результативным для злоумышленника, он и будет основным предметом анализа. Способы физического несанкционированного доступа далее рассматриваться не будут.

2. По положению источника несанкционированного доступа:

• несанкционированный доступ, источник которого расположен в локальной сети;

несанкционированный доступ, источник которого расположен вне локальной сети.

В первом случае атака проводится непосредственно из любой точки локальной сети. Инициатором такой атаки чаще всего выступает санкционированный пользователь.

При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Internet, высокую актуальность приобретают возможности несанкционированного вторжения в закрытую сеть из открытой. Подобный вид атак характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При ограничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений.

По режиму выполнения несанкционированного доступа: атаки, выполняемые при постоянном участии человека; атаки, выполняемые специально разработанными программами без непосредственного участия человека.

В первом случае для воздействия на компьютерную систему может использоваться и стандартное программное обеспечение. Во втором случае всегда применяются специально разработанные программы, в основу функционирования которых положена вирусная технология.

4. По типу используемых слабостей системы информационно-компьютерной безопасности:

• атаки, основанные на недостатках установленной политики безопасности;

• атаки, основанные на ошибках административного управления компьютерной сетью;

• атаки, основанные на недостатках алгоритмов защиты, реализованных в средствах информационно-компьютерной безопасности;

• атаки, основанные на ошибках реализации проекта системы защиты.

Недостатки политики безопасности означают, что разработанная для конкретной компьютерной сети политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Под ошибками административного управления понимается некорректная организационная реализация или недостаточная административная поддержка принятой в компьютерной сети политики безопасности. Например, согласно политике безопасности должен быть запрещен доступ пользователей к определенному каталогу, а на самом деле по невнимательности администратора этот каталог доступен всем пользователям. Эффективные способы атак могут быть также основаны на недостатках алгоритмов защиты и ошибках реализации проекта системы информационно-компьютерной безопасности.

Источник