133-144x

133.Понятие информационной безопасности (ИБ). Основные составляющие
(конфиденциальность, целостность, доступность). Статистика нарушений ИБ.
Под информационной безопасностью (ИБ) следует понимать защиту интересов
субъектов информационных отношений.
Под информационной безопасностью мы будем понимать защищенность
информации и поддерживающей инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного характера, которые могут нанести
неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и
пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение
информационной безопасности.
Основные составляющие информационной безопасности
Доступность – это возможность за приемлемое время получить требуемую
информационную услугу. Под целостностью подразумевается актуальность и
непротиворечивость
информации,
ее
защищенность
от
разрушения
и
несанкционированного изменения.
Конфиденциальность – это защита от несанкционированного доступа к
информации.
Информационные системы создаются (приобретаются) для получения
определенных информационных услуг. Если по тем или иным причинам предоставить эти
услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем
субъектам информационных отношений. Поэтому, не противопоставляя доступность
остальным аспектам, мы выделяем ее как важнейший элемент информационной
безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах
управления – производством, транспортом и т.п. Внешне менее драматичные, но также
весьма неприятные последствия – и материальные, и моральные – может иметь
длительная недоступность информационных услуг, которыми пользуется большое
количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность
информационных объектов) и динамическую (относящуюся к корректному выполнению
сложных действий (транзакций)). Средства контроля динамической целостности
применяются, в частности, при анализе потока финансовых сообщений с целью
выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда
информация служит "руководством к действию". Рецептура лекарств, предписанные
медицинские процедуры, набор и характеристики комплектующих изделий, ход
технологического процесса – все это примеры информации, нарушение целостности
которой может оказаться в буквальном смысле смертельным. Неприятно и искажение
официальной информации, будь то текст закона или страница Web-сервера какой-либо
правительственной организации. Конфиденциальность – самый проработанный у нас в
стране аспект информационной безопасности. К сожалению, практическая реализация мер
по обеспечению конфиденциальности современных информационных систем
наталкивается в России на серьезные трудности. Во-первых, сведения о технических
каналах утечки информации являются закрытыми, так что большинство пользователей
лишено возможности составить представление о потенциальных рисках. Во-вторых, на
пути пользовательской криптографии как основного средства обеспечения
конфиденциальности стоят многочисленные законодательные препоны и технические
проблемы.
Статистика нарушений
В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет
"Компьютерная преступность и безопасность-1999: проблемы и тенденции" (Issues and
Trends: 1999 CSI/FBI Computer Crime and Security Survey). В отчете отмечается резкий
рост числа обращений в правоохранительные органы по поводу компьютерных
преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их
информационные системы были взломаны внешними злоумышленниками; атакам через
Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны
собственных сотрудников. Примечательно, что 33% респондентов на вопрос "были ли
взломаны ваши Web-серверы и системы электронной коммерции за последние 12
месяцев?" ответили "не знаю".
В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но
тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний
и правительственных структур) сообщили, что за последние 12 месяцев в их организациях
имели место нарушения информационной безопасности; 80% констатировали финансовые
потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери
количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб
нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).
Столь же тревожные результаты содержатся в обзоре InformationWeek,
опубликованном 12 июля 1999 года. Лишь 22% респондентов заявили об отсутствии
нарушений информационной безопасности. Наряду с распространением вирусов
отмечается резкий рост числа внешних атак.
Увеличение числа атак – еще не самая большая неприятность. Хуже то, что
постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как
следствие, появляются новые виды атак.
Так, в информационном письме Национального центра защиты инфраструктуры
США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что
за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования
которых оценивается как средний или высокий (общее число обнаруженных уязвимых
мест равно 17). Среди "пострадавших" операционных платформ – почти все
разновидности ОС Unix, Windows, MacOS, так что никто не может чувствовать себя
спокойно, поскольку новые ошибки тут же начинают активно использоваться
злоумышленниками.
134.Наиболее распространенные
обеспечения безопасности.
угрозы,
уязвимые
места
защиты,
средства
Угроза - это потенциальная возможность определенным образом нарушить
информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку,
- злоумышленником. Потенциальные злоумышленники называются источниками
угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в защите
информационных систем (таких, например, как возможность доступа посторонних лиц к
критически важному оборудованию или ошибки в программном обеспечении).
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются
непреднамеренные
ошибки
штатных
пользователей,
операторов,
системных
администраторов и других лиц, обслуживающих информационные системы.
Иногда такие ошибки и являются собственно угрозами (неправильно введенные
данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые
места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки
администрирования). По некоторым данным, до 65% потерь - следствие
непреднамеренных ошибок.
Пожары и наводнения не приносят столько бед, сколько безграмотность и
небрежность в работе.
Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками максимальная автоматизация и строгий контроль.
Другие угрозы доступности классифицируем по компонентам ИС, на которые
нацелены угрозы:



отказ пользователей;
внутренний отказ информационной системы;
отказ поддерживающей инфраструктуры.
Обычно применительно к пользователям рассматриваются следующие угрозы:
 нежелание работать с информационной системой (чаще всего проявляется при
необходимости осваивать новые возможности и при расхождении между
запросами пользователей и фактическими возможностями и техническими
характеристиками);
 невозможность работать с системой в силу отсутствия соответствующей
подготовки (недостаток общей компьютерной грамотности, неумение
интерпретировать
диагностические
сообщения,
неумение
работать
с
документацией и т.п.);
 невозможность работать с системой в силу отсутствия технической поддержки
(неполнота документации, недостаток справочной информации и т.п.).
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать
следующие угрозы:
 нарушение работы (случайное или умышленное) систем связи, электропитания,
водо- и/или теплоснабжения, кондиционирования;
 разрушение или повреждение помещений;
 невозможность или нежелание обслуживающего персонала и/или пользователей
выполнять свои обязанности (гражданские беспорядки, аварии на транспорте,
террористический акт или его угроза, забастовка и т.п.).
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как
правило, они стремятся нанести вред организации-"обидчику", например:



испортить оборудование;
встроить логическую бомбу, которая со временем разрушит программы и/или
данные;
удалить данные.
Основные угрозы целостности
На втором месте по размерам ущерба (после непреднамеренных ошибок и
упущений) стоят кражи и подлоги. По данным газеты USA Today, еще в 1992 году в
результате подобных противоправных действий с использованием персональных
компьютеров американским организациям был нанесен общий ущерб в размере 882
миллионов долларов. Можно предположить, что реальный ущерб был намного больше,
поскольку многие организации по понятным причинам скрывают такие инциденты; не
вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.
В большинстве случаев виновниками оказывались штатные сотрудники организаций,
отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает
опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о
внешних.
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную.
Служебная информация (например, пароли пользователей) не относится к определенной
предметной области, в информационной системе она играет техническую роль, но ее
раскрытие особенно опасно, поскольку оно чревато получением несанкционированного
доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для
компьютерного использования, угрозы ее конфиденциальности могут носить
некомпьютерный и вообще нетехнический характер.
Многим людям приходится выступать в качестве пользователей не одной, а целого
ряда систем (информационных сервисов). Если для доступа к таким системам
используются многоразовые пароли или иная конфиденциальная информация, то
наверняка эти данные будут храниться не только в голове, но и в записной книжке или на
листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту
теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности
парольной схемы. Невозможно помнить много разных паролей; рекомендации по их
регулярной (по возможности - частой) смене только усугубляют положение, заставляя
применять несложные схемы чередования или вообще стараться свести дело к двум-трем
легко запоминаемым (и столь же легко угадываемым) паролям.
135.Административный уровень информационной безопасности: политика
безопасности и программа безопасности. Структура соответствующих документов,
меры по их разработке и сопровождению.
К административному уровню информационной безопасности относятся действия
общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня - сформировать программу работ в
области информационной безопасности и обеспечить ее выполнение, выделяя
необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход
организации к защите своих информационных активов. Руководство каждой организации
должно осознать необходимость поддержания режима безопасности и выделения на эти
цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются
реальными для информационной системы организации. Когда риски проанализированы и
стратегия защиты определена, составляется программа обеспечения информационной
безопасности. Под эту программу выделяются ресурсы, назначаются ответственные,
определяется порядок контроля выполнения программы и т.п.
Программа безопасности
После того, как сформулирована политика безопасности, можно приступать к
составлению программы ее реализации и собственно к реализации.
Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по
уровням, обычно в соответствии со структурой организации. В простейшем и самом
распространенном случае достаточно двух уровней - верхнего, или центрального, который
охватывает всю организацию, и нижнего, или служебного, который относится к
отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную
безопасность организации. У этой программы следующие главные цели:
 управление рисками (оценка рисков, выбор эффективных средств защиты);
 координация деятельности в области информационной безопасности,
пополнение и распределение ресурсов;
 стратегическое планирование;
 контроль деятельности в области информационной безопасности.
В рамках программы верхнего уровня принимаются стратегические решения по
обеспечению безопасности, оцениваются технологические новинки. Информационные
технологии развиваются очень быстро, и необходимо иметь четкую политику
отслеживания и внедрения новых средств.
Контроль деятельности в области безопасности имеет двустороннюю
направленность. Во-первых, необходимо гарантировать, что действия организации не
противоречат законам. При этом следует поддерживать контакты с внешними
контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние
безопасности внутри организации, реагировать на случаи нарушений и дорабатывать
защитные меры с учетом изменения обстановки.
Следует подчеркнуть, что программа верхнего уровня должна занимать строго
определенное место в деятельности организации, она должна официально приниматься и
поддерживаться руководством, а также иметь определенный штат и бюджет.
Цель программы нижнего уровня - обеспечить надежную и экономичную защиту
конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие
следует использовать механизмы защиты; закупаются и устанавливаются технические
средства; выполняется повседневное администрирование; отслеживается состояние
слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы
сервисов.
Британский стандарт BS 7799:1995 рекомендует включать в документ,
характеризующий политику безопасности организации, следующие разделы:
 вводный,
подтверждающий
озабоченность
высшего
руководства
проблемами информационной безопасности;
 организационный, содержащий описание подразделений, комиссий, групп и
т.д., отвечающих за работы в области информационной безопасности;
 классификационный,
описывающий
имеющиеся
в
организации
материальные и информационные ресурсы и необходимый уровень их
защиты;
 штатный, характеризующий меры безопасности, применяемые к персоналу
(описание должностей с точки зрения информационной безопасности,
организация обучения и переподготовки персонала, порядок реагирования
на нарушения режима безопасности и т.п.);
 раздел, освещающий вопросы физической защиты;
 управляющий раздел, описывающий подход к управлению компьютерами и
компьютерными сетями;
 раздел, описывающий правила разграничения доступа к производственной
информации;
 раздел, характеризующий порядок разработки и сопровождения систем;
 раздел, описывающий меры, направленные на обеспечение непрерывной
работы организации;
 юридический
раздел,
подтверждающий
соответствие
политики
безопасности действующему законодательству.
136.Управление рисками. Методика сопоставления возможных потерь от нарушений
ИБ со стоимостью защитных средств.
Управление рисками рассматривается нами на административном уровне ИБ,
поскольку только руководство организации способно выделить необходимые ресурсы,
инициировать и контролировать выполнение соответствующих программ.
Использование информационных систем связано с определенной совокупностью
рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически
оправданные меры защиты.
Периодическая (пере)оценка рисков необходима для
контроля эффективности деятельности в области безопасности и для учета изменений
обстановки.
С количественной точки зрения уровень риска является функцией вероятности
реализации определенной угрозы (использующей некоторые уязвимые места), а также
величины возможного ущерба.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы
оценить их размер, выработать эффективные и экономичные меры снижения рисков, а
затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).
Следовательно, управление рисками включает в себя два вида деятельности, которые
чередуются циклически:
(пере)оценка (измерение) рисков;
выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
 ликвидация риска (например, за счет устранения причины);
 уменьшение риска (например, за счет использования дополнительных защитных
средств);
 принятие риска (и выработка плана действия в соответствующих условиях);
 переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
 Выбор анализируемых объектов и уровня детализации их рассмотрения.
 Выбор методологии оценки рисков.
 Идентификация активов.
 Анализ угроз и их последствий, выявление уязвимых мест в защите.
 Оценка рисков.
 Выбор защитных мер.
 Реализация и проверка выбранных мер.
 Оценка остаточного риска.
Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные
- к оценке рисков.
Уже перечисление этапов показывает, что управление рисками - процесс циклический.
По существу, последний этап - это оператор конца цикла, предписывающий вернуться к
началу. Риски нужно контролировать постоянно, периодически проводя их переоценку.
Отметим, что добросовестно выполненная и тщательно документированная первая оценка
может существенно упростить последующую деятельность.
Управление рисками, как и любую другую деятельность в области информационной
безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект
оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов
жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из
них.
После идентификации угрозы необходимо оценить вероятность ее осуществления.
Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая
(3) вероятность).
Кроме вероятности осуществления, важен размер потенциального ущерба.
Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик.
Тяжесть ущерба также можно оценить по трехбалльной шкале.
Оценивая размер ущерба, необходимо иметь в виду не только непосредственные
расходы на замену оборудования или восстановление информации, но и более
отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть,
например, в результате дефектов в управлении доступом к бухгалтерской информации
сотрудники получили возможность корректировать данные о собственной заработной
плате. Следствием такого состояния дел может стать не только перерасход бюджетных
или корпоративных средств, но и полное разложение коллектива, грозящее развалом
организации.
После того, как накоплены исходные данные и оценена степень неопределенности,
можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне
допустимо применить такой простой метод, как умножение вероятности осуществления
угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать
трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые
два результата можно отнести к низкому риску, третий и четвертый - к среднему, два
последних - к высокому, после чего появляется возможность снова привести их к
трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда,
граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно
рассматривать более тщательно из-за приближенного характера результата
137.Основные понятия в области технической защиты информации.
В общем случае защита информации представляет собой противостояние
специалистов по информационной безопасности и злоумышленников. Злоумышленник –
это субъект, который незаконным путем пытается добыть, изменить или уничтожить
информацию законных пользователей.
Защита информации является слабоформализуемой задачей, то есть не имеет
формальных методов решения, и характеризуется следующим:
большое количество факторов, влияющих на построение эффективной защиты;
отсутствие точных исходных входных данных;
отсутствие математических методов получения оптимальных результатов по
совокупности исходных данных.
В основе решения слабоформализуемых задач лежит системный подход. То есть
для решения задачи защиты информации необходимо построить систему защиты
информации, представляющую собой совокупность элементов, функционирование
которых направлено на обеспечение безопасности информации.
Угроза безопасности информации - совокупность условий и факторов,
создающих потенциальную или реально существующую опасность нарушения
безопасности информации. Атакой называется попытка реализации угрозы, а тот, кто
предпринимает такую попытку, - злоумышленником. Источник угрозы безопасности
информации - субъект (физическое лицо, материальный объект или физическое
явление), являющийся непосредственной причиной возникновения угрозы
безопасности информации.
Конфиденциальность, доступность и целостность представляют собой три
наиболее важных свойства информации в рамках обеспечения ее безопасности:
Конфиденциальность информации - состояние информации, при котором доступ
к ней осуществляют только субъекты, имеющие на него право;
целостность информации - состояние информации, при котором отсутствует
любое ее изменение либо изменение осуществляется только преднамеренно
субъектами, имеющими на него право;
доступность информации - состояние информации, при котором субъекты,
имеющие права доступа, могут реализовать их беспрепятственно.
Все меры защиты информации по способам осуществления подразделяются на:






правовые (законодательные);
морально-этические;
технологические;
организационные (административные и процедурные);
физические;
технические (аппаратурные и программные).
Техническая защита информации - защита информации, заключающаяся в обеспечении
некриптографическими методами безопасности информации (данных), подлежащей
(подлежащих) защите в соответствии с действующим законодательством, с применением
технических, программных и программно-технических средств. Важно обратить
внимание, что техническая защита – это не только защита от утечки информации по
техническим каналам утечки, но и защита от НСД, от математического воздействия, от
вредоносных программ и т.п. Объектами технической защиты информации могут быть:






объект информатизации;
информационная система;
ресурсы информационной системы;
информационные технологии;
программные средства;
сети связи.
138.Основные объекты защиты информации и их классификация. Принципы
классификации автоматизированных систем и средств вычислительной техники по
классам защищенности от несанкционированного доступа.
Объект защиты информации - информация или носитель информации, или
информационный процесс, которые необходимо защищать в соответствии с поставленной
целью защиты информации.
Существуют различные признаки, по которым классифицируется информация. С
точки зрения защиты информации наиболее интересной является классификация по
категории доступа.
В соответствии с документом, классификация автоматизированных систем (АС)
включает следующие этапы:




Разработка и анализ исходных данных.
Выявление основных признаков АС, необходимых для классификации.
Сравнение выявленных признаков АС с классифицируемыми.
Присвоение АС соответствующего класса защиты информации от НСД.
Исходными данными для классификации АС являются:




Перечень защищаемых информационных ресурсов АС и их уровень
конфиденциальности.
Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их
уровня полномочий.
Матрица доступа или полномочий субъектов доступа по отношению к
защищаемым информационным ресурсам АС.
Режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением
специалистов по защите информации.
Устанавливаются 9 классов защищённости АС от НСД к информации, каждый
класс характеризуется определённой минимальной совокупностью требований по защите.
Классы подразделяются на 3 группы:
III группа – классы 3Б и 3А.
Классы соответствуют автоматизированным системам, в которых работает один
пользователь, допущенный ко всей информации в АС, размещённой на носителях одного
уровня конфиденциальности.
II группа – классы 2Б и 2А.
Классы данной группы соответствуют автоматизированным системам, в которых
пользователи имеют одинаковые права доступа ко всей информации в АС,
обрабатываемой или хранимой на носителях различного уровня конфиденциальности.
I группа – классы 1Д, 1Г, 1В, 1Б и 1А.
В этих автоматизированных системах одновременно обрабатывается или хранится
информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко
всей информации в АС.
Интересно, что документ выделяет 4 подсистемы для обеспечения защиты от НСД:




управления доступом;
регистрации и учета;
криптографическая;
обеспечения целостности.
139. Основные уязвимости стека протоколов TCP/IP. Основные классы атак в сетях
на базе TCP/IP и способы борьбы с ними.
Если АС имеет подключение к сетям общего пользования, то могут быть
реализованы сетевые атаки на нее. К сетям общего пользования на основе стека
протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать
наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для
связи между государственными учреждениями и университетом с целью оказания
помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший
масштаб его развития и интеграции в жизнь современного общества, в связи с чем
вопросам безопасности не уделялось должного внимания. Как следствие, на данный
момент стек обладает множеством уязвимостей, которыми с успехом пользуются
злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP
обусловлены, как правило, слабой аутентификацией, ограничением размера буфера,
отсутствием проверки корректности служебной информации и т.п.
Угрозы, реализуемые по сети, классифицируются по следующим основным
признакам:
 характер угрозы
Пассивная – угроза, которая не оказывает влияния на работу информационной
системы, но может нарушить правила доступа к защищаемой информации. Пример:
использование sniffer для "прослушивания" сети. Активная – угроза, которая
воздействуют на компоненты информационной системы, при реализации которой
оказывается непосредственное влияние на работу системы. Пример: DDOS-атака в виде
шторма TCP-запросами.
условие начала атаки:
 по запросу от атакуемого. То есть злоумышленник ожидает передачи
запроса определенного типа, который и будет условием начала НСД.
 по наступлению ожидаемого события на атакуемом объекте.
 безусловное воздействие – злоумышленник ничего не ждет, то есть угроза
реализуется сразу и безотносительно к состоянию атакуемого объекта.
 наличие обратной связи с атакуемым объектом:
 с обратной связью, то есть на некоторые запросы злоумышленнику
необходимо получить ответ. Таким образом, между атакуемым и
атакующим есть обратная связь, позволяющая злоумышленнику следить за
состоянием атакуемого объекта и адекватно реагировать на его изменения.
 без обратной связи – соответственно, нет обратной связи и необходимости
злоумышленнику реагировать на изменения атакуемого объекта.
 расположение нарушителя относительно атакуемой информационной
системы: внутрисегментно и межсегментно. Сегмент сети – физическое
объединение хостов, технических средств и других компонентов сети,
имеющих сетевой адрес. Например, один сегмент образуют компьютеры,
подключенные к общей шине на основе Token Ring.
 уровень эталонной модели ISO/OSI, на котором реализуется угроза:
физический,
канальный,
сетевой,
транспортный,
сеансовый,
представительный, прикладной.
Рассмотрим наиболее распространенные на настоящее время атаки в сетях на
основе стека протоколов TCP/IP.
Анализ сетевого трафика.
Данная атака реализуется с помощью специальной программы, называемой sniffer.
Sniffer представляет собой прикладную программу, которая использует сетевую карту,
работающую в режиме promiscuous mode, так называемый "неразборчивый" режим в
котором сетевая плата позволяет принимать все пакеты независимо от того кому они
адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация
пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не
совпадает с MAC-адресом текущего сетевого интерфейса и не является
широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на
сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему
узлу, пропускаются в систему. Надо заметить, что многие подобные программы
используются в легальных целях, например, для диагностики неисправностей или анализа
трафика. Таким образом, с помощью sniffer можно перехватить имя и пароль и
осуществить несанкционированный доступ к конфиденциальной информации. Более того,
многие пользователи используют одни и те же пароли для доступа ко многим сетевым
сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации,
пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко
применяют методы социальной инженерии.
Защита от данного вида атаки может заключаться в следующем:
Сильная аутентификация, например, использование одноразовых паролей (one-time
password). Суть состоит в том, что пароль можно использовать однократно, и даже если
злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности.
Конечно, данный механизм защиты спасает только от перехвата паролей, и является
бесполезным в случае перехвата другой информации, например, электронной почты.
Анти-снифферы – аппаратные или программные средства, способные выявить
работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с
целью определения "лишней" нагрузки.
Коммутируемая инфраструктура.
Понятно, что анализ сетевого трафика возможен только внутри одного сегмента
сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов
(коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые
относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но
уменьшает границы, которые может "прослушивать" злоумышленник.
Криптографические методы.
Самый надежный способ борьбы с работой sniffer. Информация, которая может
быть получена с помощью перехвата, является зашифрованной и, соответственно, не
имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.
Сканирование сети.
Целью сканирования сети является выявление работающих в сети служб, открытых
портов, активных сетевых сервисов, используемых протоколов и т.п., то есть сбор
информации о сети. Для сканирования сети чаще всего используются:
 запросы DNS помогают выяснить злоумышленнику владельца домена,
адресную область,
 эхо-тестирование – выявляет работающие хосты на основе DNS-адресов,
полученных ранее;
 сканирование портов – составляется полный перечень услуг,
поддерживаемых этими хостами, открытые порты, приложения и т.п.
Хорошей и наиболее распространенной контрмерой является использование IDS,
которая успешно находит признаки ведения сканирования сети и уведомляет об этом
администратора. Полностью избавиться от данной угрозы невозможно, так как если,
например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от
угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики
сетевых сбоев.
Выявление пароля.
Основной целью данной атаки является получение несанкционированного доступа
к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль,
злоумышленник может использовать множество способов – простой перебор, перебор по
словарю, сниффинг и др. Самым распространенным является простой перебор всех
возможных значений пароля. Для защиты от простого перебора необходимо применять
сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв
верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.).
Еще одной проблемой информационной безопасности является то, что
большинство людей используют одинаковые пароли ко всем службам, приложениям,
сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его
использования.
Подобного рода атак можно избежать, если использовать одноразовые пароли, о
которых мы говорили ранее, или криптографическую аутентификацию.
IP-spoofing или подмена доверенного объекта сети.
Под доверенным в данном случае понимается объект сети ( компьютер,
маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы
заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это
можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в
пределах диапазона санкционированных IP-адресов, или авторизованным внешним
адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного
типа часто являются отправной точкой для прочих атак.
Обычно подмена доверенного объекта сети ограничивается вставкой ложной
информации или вредоносных команд в обычный поток данных, передаваемых между
объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы
маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является
возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать
следующее:
Контроль доступа.
Можно настроить контроль доступа на отсечение любого трафика, поступающего
из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если
санкционированы только внутренние адреса и не работает, если есть санкционированные
внешние адреса.
Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки
спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать
любой исходящий трафик, исходный адрес которого не является одним из IP-адресов
вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате
отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на
определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом
15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на
маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24.
Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его
эффективность будет намного ниже возможной.
Внедрение дополнительных методов аутентификации.
IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести
какие–то дополнительные меры по аутентификации, например, криптографические, атака
становится бесполезной.
Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную
систему с целью довести её до отказа, то есть создание таких условий, при которых
легитимные пользователи системы не могут получить доступ к предоставляемым
системой ресурсам, либо этот доступ затруднён.
DoS-атака является наиболее распространенной и известной атакой в последнее
время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки
требует минимум знаний и умений и строится на недостатках сетевого программного
обеспечения и сетевых протоколов. Если атака проводится для множества сетевых
устройств, говорят о распределенной атаке DoS (DDoS - distributed DoS).
Для ослабления угрозы можно воспользоваться следующим:
Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на
ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции,
как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет
замаскировать свою истинную личность, он вряд ли решится провести атаку.
Функции анти-DoS - правильная конфигурация функций анти-DoS на
маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти
функции часто ограничивают число полуоткрытых каналов в любой момент времени.
Ограничение объема трафика (traffic rate limiting) - организация может попросить
провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить
объем некритического трафика, проходящего по вашей сети. Обычным примером
является ограничение объемов трафика ICMP, который используется только для
диагностических целей. Атаки DoS часто используют ICMP[9.9].
Полностью исключить атаки на уровне приложений невозможно, так как
прикладные программы с новыми уязвимостями возникают регулярно. Самое главное
здесь - хорошее системное администрирование. Вот некоторые меры, которые можно
предпринять, чтобы снизить уязвимость для атак этого типа:
 чтение логов (системных и сетевых);
 отслеживание уязвимостей в новом программном обеспечении с помощью
специализированных сайтов, например, http://www.cert.com.
 использование IDS.
140.Классификация технических каналов утечки информации. Информационный
сигнал и его характеристики. Физическая суть возникновения различных каналов
утечки и их классификация.
Утечка (информации) по техническому каналу - неконтролируемое
распространение информации от носителя защищаемой информации через физическую
среду до технического средства, осуществляющего перехват информации [12.1].
Технический канал утечки информации (ТКУИ), так же как и канал передачи
информации, состоит из источника сигнала, физической среды его распространения и
приемной аппаратуры злоумышленника. На рисунке 12.1 приведена структура
технического канала утечки информации.
Классификация технических каналов утечки информации приведена на рисунке
Основным признакам для классификации технических каналов утечки информации
является физическая природа носителя. По этому признаку ТКУИ делятся на:




оптические;
радиоэлектронные;
акустические;
материально-вещественные.
Материальными носителями информации являются сигналы различной физической
природы. В узком смысле сигналами называют колебания электрического тока,
напряжения, электромагнитные волны, механические колебания некоторой упругой
среды. Информационные сигналы формируются путем изменения тех или иных
параметров носителя по определенному закону. Таким образом, информационным
сигналом может быть любой физический процесс, параметры которого способны
изменяться в зависимости от передаваемой информации. Этот процесс изменения
параметров носителя принято называть модуляцией, а сами параметры
информационными. В отличие от сообщения, прием сигнала после его генерации не
является обязательным.
При прохождении сигнала по физической среде на него воздействуют различные
дестабилизирующие факторы, в результате чего возникают шумы и помехи самой
различной природы. При регистрации сигнала основной задачей является выделение из
общего сигнала полезной составляющей и максимальное подавление шумов и помех.
Чтобы анализировать, исследовать и обрабатывать сигналы необходимо
использовать математическую модель сигнала, которая представляет собой
математическое описание сигнала. Слово "модель" произошло от латинского modelium,
что означает: мера, способ, образ. Назначение модели состоит в том, что она отображает
лишь наиболее важные черты сигнала и позволяет абстрагироваться от его физической
природы и материальной формы носителя. Как правило, описание сигнала задается
функциональной зависимостью его значений от независимой переменной, например, s(t).
По форме представления сигналы бывают двух типов – аналоговые и цифровые
(дискретные).
Аналоговый сигнал определен для любого значения независимого параметра, то
есть является непрерывной функцией непрерывного аргумента. Источниками аналоговых
сигналов, как правило, являются физические процессы и явления, непрерывные в своем
развитии (динамике изменения значений определенных свойств) во времени, в
пространстве или по любой другой независимой переменной, при этом регистрируемый
сигнал подобен (аналогичен) порождающему его процессу.
Каждый технический канал утечки информации (ТКУИ) характеризуется
показателями, которые позволяют оценить риск утечки информации.К таким показателям
относятся:



пропускная способность ТКУИ;
длина ТКУИ;
относительная информативность ТКУИ.
Пропускная способность канала определяется как
- ширина полосы пропускания канала, Гц
, - мощность сигнала и помехи в Дб или Вт
Многообразие технических каналов утечки информации представляют
определённый выбор путей, способов и средств несанкционированного добывания
информации. Анализируя ТКУИ можно сделать выводы:



Утечка информации с возможностью ее дальнейшего анализа возможна по
всем техническим каналам.
Наиболее уязвимым по видовым демаскирующим признакам является
оптический канал, т.к. на расстоянии с помощью соответствующих
технических средств возможен перехват информации, например, с помощью
специальной фотосъёмки.
Основным каналом получения сигнальных демаскирующих признаков
является радиоэлектронный канал, весьма существенным является и
вещественный.


Чем большую пропускную способность и длину имеет ТКУИ, тем он
опаснее для владельца информации.
Пропускная способность, длина и относительная информативность ТКУИ
зависит от характеристик его элементов: источника, среды и приемника.
141.Средства и методы обнаружения технических каналов утечки информации.
Мероприятия по выявлению технических каналов утечки информации. Оценка
защищенности информации от утечки по техническим каналам утечки информации.
Рассмотрим основные группы изделий, предназначенных для обнаружения
закладных устройств съема информации с радиоканалом.
Индикаторы электромагнитных излучений
Прибор регистрирует ЭМИ в определенной точке пространства. Если уровень
превышает пороговый, соответствующий естественному фону, срабатывает звуковое или
световое предупреждение. Работающая радиозакладка будет обнаружена в том случае,
если уровень ЭМИ, образующихся при ее работе, превышает уровень фоновых излучений.
Наличие в схеме усилителя низких частот (УНЧ) и громкоговорителя позволяет выделить
на фоне внешних сигналов тестовый акустический сигнал. Модулирование тестовым
звуковым сигналом излучение принимается антенной индикатора, и, после усиления,
поступает на вход динамика. Между микрофоном радиозакладки и динамиком индикатора
устанавливается положительная обратная связь, проявляющаяся в виде звукового сигнала,
напоминающего свист. Это называется режимом акустической обратной связи или
"акустическая завязка".
Радиочастотометры
В отличие от индикаторов ЭМИ эти приборы регистрируют превышение порога по
частоте.
Поиск устройств съема осуществляется путем планомерного обхода помещения с
радиочастотометром. При обходе помещения антенну необходимо ориентировать в
разных плоскостях, при этом расстояние от антенны до обследуемых объектов должно
быть 5-20 см. Возможное месторасположение закладки определяется по максимальному
уровню сигнала в определенной точке пространства обследуемого помещения. При
обнаружении излучения на дисплее высвечивается частота принимаемого сигнала,
происходит звуковое или световое оповещение.
Мероприятиями по выявлению технических каналов утечки информации
являются:


специальные проверки;
специальные обследования;




специальные исследования, включающие в себя:
выявление внедренных закладок в защищаемом помещении;
выявление самотехнических и других доработок технических средств и
систем (ТСС), приводящих к усилению естественных свойств ТСС;
выявление программных закладок, имеющих процессорное управление.
Оценка защищенности помещений от утечки речевой информации по
акустическому и виброакустическому каналам и по каналу электроакустических
преобразований
Одним из нормированных показателей оценки качества трактов (аппаратуры)
телефонной проводной и радиосвязи, в которых используется аналоговый речевой сигнал,
является разборчивость речи W, под которой понимается относительное количество (в
процентах) правильно принятых, переданных по тракту элементов (слогов, слов, фраз)
артикуляционных таблиц.
Показатель словесной разборчивости речи используется для оценки эффективности
защищенности помещений от утечки речевой информации по акустическому и
виброакустическому каналам. Наиболее целесообразно для оценки разборчивости речи
использовать инструментально-расчетный метод, основанный на результатах
экспериментальных исследований, проведенных Н.Б. Покровским, описанным в книге
"Расчет и измерение разборчивости речи". Здесь мы не будем приводить детальный
расчет, а постараемся максимально просто рассмотреть предложенную методику. Для
оценки разборчивости речи необходимо измерить уровни скрываемого речевого сигнала и
шума (помехи) в месте возможного размещения приемных датчиков аппаратуры
акустической разведки или в месте возможного прослушивания речи без применения
технических средств. При этом считается, что перехват речевой информации возможен,
если рассчитанное по результатам измерения значение словесной разборчивости речи W
превышает установленные нормы.
Полученные в контрольных точках отношения "сигнал/шум" сравниваются с
нормированными
или
пересчитываются
в числовую
величину показателя
противодействия для сравнения с нормированным значением.
Различным видам речи соответствуют типовые интегральные (в полосе частот
170…5600 Гц) уровни речевых сигналов, измеренные на расстоянии 1 м от источника
речи (говорящий человек, звуковоспроизводящее устройство): = 60 дБ - тихая речь; = 64
дБ - речь средней громкости; = 70 дБ - громкая речь; = 84 дБ - речь, усиленная
техническими средствами.
142. Спецификация Internet-сообщества TLS. Протокол Secure Socket Layer (SSL).
Основная функция протокола TLS состоит в обеспечении защиты и целостности
данных между двумя взаимодействующими приложениями, одно из которых является
клиентом, а другое – сервером.
Протокол TLS (Transport Layer Security) разрабатывался на основе спецификации
протокола SSL 3.0 (Secure Socket Layer), опубликованного корпорацией Netscape.
Различия между данным протоколом и SSL 3.0 несущественны, но важно заметить, что
TLS 1.0 и SSL 3.0 несовместимы, хотя в TLS 1.0 предусмотрен механизм, который
позволяет реализациям TLS иметь обратную совместимость с SSL 3.0.
Перечислим задачи протокола TLS в порядке их приоритета:
Криптографическая безопасность: TLS должен использоваться для установления
безопасного соединения между двумя участниками.
Интероперабельность: независимые разработчики могут создавать приложения, которые
будут взаимодействовать по протоколу TLS, что позволит устанавливать безопасные
соединения.
Расширяемость: TLS формирует общий каркас, в который могут быть встроены новые
алгоритмы открытого ключа и симметричного шифрования. Это также избавляет от
необходимости создавать новый протокол, что сопряжено с опасностью появления новых
слабых мест, и предотвращает необходимость полностью реализовывать новую
библиотеку безопасности.
Относительная эффективность: криптографические операции интенсивно используют ЦП,
особенно операции с открытым ключом. Для этого вводится понятие сессии, для которой
определяются алгоритмы и их параметры. В рамках одной сессии может быть создано
несколько соединений (например, ТСР). TLS позволяет кэшировать сессии для
уменьшения количества выполняемых действий при установлении соединения. Это
снижает нагрузку как на ЦП, так и на трафик.
Протокол состоит из двух уровней. Нижним уровнем, расположенным выше некоторого
надежного протокола (а именно, протокола ТСР) является протокол Записи. Протокол
Записи обеспечивает безопасность соединения, которая основана на следующих двух
свойствах:
Конфиденциальность соединения. Для защиты данных используется один из алгоритмов
симметричного шифрования. Ключ для этого алгоритма создается для каждой сессии и
основан на секрете, о котором договариваются в протоколе Рукопожатия. Протокол
Записи также может использоваться без шифрования.
Целостность соединения. Обеспечивается проверка целостности сообщения с помощью
МАС с ключом. Для вычисления МАС используются безопасные хэш-функции SHA-1 и
MD5. Протокол Записи может выполняться без вычисления МАС, но обычно
функционирует в этом режиме.
Протокол Записи используется для инкапсуляции различных протоколов более высокого
уровня. Одним из протоколов более высокого уровня является протокол Рукопожатия,
который использует протокол Записи в качестве транспорта для ведения переговоров о
параметрах безопасности. Протокол Рукопожатия позволяет серверу и клиенту
аутентифицировать друг друга и договориться об алгоритмах шифрования и
криптографических ключах до того, как прикладной протокол, выполняющийся на том же
уровне, начнет передавать или принимать первые байты данных.
Протокол Рукопожатия обеспечивает безопасность соединения, которая основана на
следующих свойствах:
Участники аутентифицированы с использованием криптографии с открытым ключом (т.е.
с использованием алгоритмов RSA, DSS и т.д.). Эта аутентификация может быть
необязательной, но обычно требуется по крайней мере для сервера.
Переговоры о разделяемом секрете безопасны, т.е. этот общий секрет невозможно
подсмотреть.
Переговоры о разделяемом секрете надежны, если выполнена аутентификация хотя бы
одной из сторон. В таком случае атакующий, расположенный в середине соединения, не
может модифицировать передаваемый секрет незаметно для участников соединения.
Одно из преимуществ TLS состоит в том, что он независим от прикладного протокола.
Протоколы более высокого уровня могут прозрачно располагаться выше протокола TLS.
SSL (англ. Secure Sockets Layer) — уровень защищённых сокетов) —
криптографический протокол, который обеспечивает установление безопасного
соединения между клиентом и сервером. SSL изначально разработан компанией Netscape
Communications. Впоследствии на основании протокола SSL 3.0 был разработан и принят
стандарт RFC, получивший имя TLS.
Протокол обеспечивает конфиденциальность обмена данными между клиентом и
сервером, использующими TCP/IP, причём для шифрования используется асимметричный
алгоритм с открытым ключом. При шифровании с открытым ключом используются два
ключа, причем любой из них может использоваться для шифрования сообщения. Тем
самым, если используется один ключ для шифрования, то соответственно для
расшифровки нужно использовать другой ключ. В такой ситуации можно получать
защищённые сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.
Протокол SSL состоит из двух подпротоколов: протокол SSL записи и
рукопожатия. Протокол SSL записи определяет формат, используемый для передачи
данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи
для обмена сериями сообщений между сервером и клиентом во время установления
первого соединения. Для работы SSL требуется, чтобы на сервере имелся SSLсертификат.
SSL предоставляет канал, имеющий 3 основных свойства:



Аутентификация. Сервер всегда аутентифицируется, в то время как клиент
аутентифицируется в зависимости от алгоритма.
Целостность. Обмен сообщениями включает в себя проверку целостности.
Частность канала. Шифрование используется после установления
соединения и используется для всех последующих сообщений.
В протоколе SSL все данные передаются в виде записей-объектов, состоящих из
заголовка и передаваемых данных. Передача начинается с заголовка. Заголовок содержит
либо два, либо три байта кода длины. Причём, если старший бит в первом байте кода
равен единице, то запись не имеет заполнителя и полная длина заголовка равна двум
байтам, иначе запись содержит заполнитель и полная длина заголовка равна трём байтам.
Код длины записи не включает в себя число байт заголовка
143.Нетехнические
меры
защиты
конфиденциальной
информации
от
несанкционированного доступа: психологические меры и организационные меры.
Уровни контроля информационных потоков
Психологические меры
Не вдаваясь подробно в психологические аспекты защиты, выделим два способа
внедрения систем — открытый и закрытый. Как внедрять такую систему — решает сам
заказчик, причем на самом высоком уровне. Безусловно, полностью реорганизовать
документооборот незаметно для пользователей невозможно, тем более, что часть процесса
внедрения — ознакомление пользователей с процедурами доступа. Однако если основная
цель внедрения системы — выявление уже действующего канала утечки, определение
всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков
информации вне ее, имеет смысл повременить с объявлением процедур и ставить, в
первую очередь, мониторы активности пользователей и контентную фильтрацию почты. В
случае оперативной разработки в отношении сотрудников компании по договоренности с
производителем имеет смысл замаскировать программные агенты на рабочих станциях
под программы, которые не вызовут подозрений, — антивирус или мониторы аудита
программного обеспечения.
Если же внедрять систему защиты от внутренних угроз открыто, то за счет
психологического фактора можно даже сэкономить. Известно, что при внедрении систем
видеонаблюдения для защиты периметра на некоторых направлениях можно ставить
неподключенные камеры, так как сам факт наличия видеокамеры наблюдения уже
останавливает большую часть нарушителей. Для этого камеры должны стоять на виду. По
аналогии, организация новой системы хранения, ознакомление сотрудников с новыми
регламентами, появление и предание гласности инцидентов с попыткой вынести
запрещенную информацию за пределы компании наверняка предотвратят хищения
информации саботажниками и нелояльными сотрудниками.
Организационные меры
Права локальных пользователей
Было бы неправильным считать, что любое, даже самое совершенное программное
обеспечение может решить все проблемы с утечками. Если такое программное
обеспечение установлено, время от времени оно будет проверяться сотрудниками на
возможность преодоления защиты. Кроме постоянного тестирования системы
безопасности, необходимо ограничить возможности потенциальных взломщиков. В
первую очередь это достигается за счет лишения пользователей прав локального
администратора на их рабочих местах. Эта, казалось бы, простая мера до сих пор не
применена в большинстве компаний. Иногда оправданием этого служит наличие в
компании унаследованного программного обеспечения, неспособного работать с
операционными системами, поддерживающими удаленное управление. Выходом из этого
может быть локализация рабочих мест с правами локального администратора для работы
с унаследованным приложением в отдельном сегменте сети, физическое или программное
лишение рабочих мест устройств вывода и концентрация их в одном месте под контролем
сотрудника, персонально ответственного за отсутствие утечек информации. Однако
нужно понимать, что это решение является временным, и стратегически необходимо
стремиться как можно скорее портировать унаследованные приложения в более
современные операционные системы.
Стандартизация ПО
Мало в каких компаниях автору встречался такой документ, как список
программного обеспечения, допущенного к установке на рабочих станциях, а там, где он
есть, на его составление ответственные лица подвигло не беспокойство за утечки
конфиденциальной информации, а, скорее, понимание того, что сотрудники могут
использовать предоставленный им для работы компьютер для развлечений. Иначе
невозможно объяснить наличие в этом списке файлового менеджера FAR. Возможно,
встроенный в операционную систему Windows Explorer действительно неудобен, но зато
он не позволяет копировать временные файлы Windows. Что выгоднее компании —
заставить сотрудников пользоваться штатными средствами операционной системы или
оставить мощный инструмент похищения данных? Ответ напрашивается сам собой, но
большинство компаний, видимо, не ставит даже этот вопрос.
После составления списка программного обеспечения необходимо гарантировать
его установку на все рабочие станции и ограничить запуск других программ без участия
администратора. Принцип "все, что не разрешено — запрещено" в этом случае должен
выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками
через злонамеренных нарушителей — они не смогут использовать программное
обеспечение, которое может использоваться для обмана, например, механизмов
контентной фильтрации — шифрования и стеганографии.
Специфические решения
Небольшими организационными мерами можно решить очень большие проблемы.
Когда-нибудь решение следующей задачи будут изучать в университетах. Одно
федеральное ведомство серьезно страдало от регулярных утечек своей базы данных,
которая имела устойчивый спрос на пиратских рынках. Контролировать все точки доступа
к базе было технически очень сложно, и отдел информационной безопасности придумал
следующий ход. Рассудив, что хищением информации занимается не больше десятка
человек, причем вряд ли управляемых из одного центра, они попросили администраторов
базы ограничить объем ежедневных запросов 20 Мбайт. Все, что больше, — по
дополнительной заявке с обоснованием служебной необходимости. Вряд ли нарушители
захотят проявить себя регулярными просьбами об увеличении лимита. Поскольку вся база
занимала несколько гигабайт, выкачать ее за месяц одному человеку не представлялось
возможным. Поскольку база меняется ежедневно, сшитые куски, скопированные в разные
дни, нарушали актуальность базы. Через некоторое время базу перестали покупать, а
потом, ввиду отсутствия спроса, — и похищать. Как видно, предотвратить утечки в
данном случае удалось без дополнительных материальных затрат.
Работа с кадрами
И, конечно, необходимо постоянно работать с пользователями. Обучение
пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных
сотрудников во многом сможет предотвратить утечки через незлонамеренных
пользователей. Любое копирование информации на сменный носитель должно вызывать
вопросы коллег — ведь лояльные сотрудники пострадают вместе с компанией, а значит,
они на одной стороне баррикад.
Высокая компьютерная квалификация пользователей не всегда является плюсом. В
западной литературе встречается термин overqualified — приблизительно его можно
перевести как "слишком квалифицированный" или "переквалифицированный". Причем
излишняя квалификация в компьютерных навыках является более серьезным недостатком,
чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а
как заставить человека забыть уже имеющиеся навыки? Задайте себе вопрос, правильно
ли, если сотрудник бухгалтерии обладает навыками системного администратора, а
оператор на атомной станции заочно учится на эксперта по компьютерной безопасности?
Выявление "специалистов-любителей" возможно во время традиционной аттестации.
Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести
разъяснительную работу с теми, кто начнет ответ со слов: "Нажать одновременно
клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства
пользователей — "Вызвать системного администратора".
Хранение физических носителей
Еще один канал утечки информации — физический вынос носителей с резервными
копиями. Понятно, что после абсолютно легального резервного копирования никакое
программное обеспечение не в силах остановить физический вынос злоумышленником
носителя, его копирование и занос обратно. Поэтому сейчас используется несколько
способов защиты этого канала утечки. Первый — анонимизация носителей, то есть
сотрудники, имеющие доступ к носителям, не знают, какая информация записана на каком
носителе, они управляют только анонимными номерами носителей. Те сотрудники,
которые знают, на каком носителе находится какая информация, в свою очередь, не
должны иметь доступ к хранилищу носителей. Второй способ — шифрование
информации при резервном копировании, поскольку расшифровка вынесенной
информации потребует некоторого времени и дорогостоящей вычислительной мощности.
Безусловно, здесь работают все технологии хранения ценных вещей — замки,
открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько
уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно,
появятся системы автоматического оповещения о попытках вынести за пределы
хранилища носители, в которые для этой цели будут внедрены радиометки.
Уровни контроля информационных потоков
Традиционно системы контроля информационных
контролировать информационные потоки в трех режимах:



потоков
позволяют
Режим архива
Режим сигнализации
Режим активной защиты
Режим архива
Этот
режим предполагает
минимум
вмешательства в
деятельность
информационной системы. В этом режиме система контроля лишь протоколирует
действия пользователей, архивируя журналы операций с конфиденциальной информацией
и содержимое информационных потоков. Архивы анализируются на предмет наличия в
них фактов о нарушении политики информационной безопасности либо по регламенту
(каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.
Преимуществом этого режима контроля является нетребовательность к
вычислительным ресурсам и гибким управлением временем офицера информационной
безопасности. Офицер безопасности сам определяет время для анализа архива. Его
рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.
Недостатком этого режима является невозможность предотвращения утечки.
Режим сигнализации
Этот режим представляет собой расширенный режим архива, однако перед
укладыванием информации в архив, действие или сообщение проверяется на предмет
соответствия политике информационной безопасности. В случае выявления запрещенного
действия/сообщения, офицер безопасности получает на свое рабочее место сообщение. В
зависимости от уровня нарушения политики ИБ, офицер безопасности принимает
решение реагировать немедленно, либо отложить реакцию.
Преимуществом этого способа является возможность немедленно реагировать на
события.
Недостатком этого режима является также невозможность предотвращения утечек,
а для офицера ИБ недостатком является необходимость постоянно находиться в режиме
on-line.
Этот режим нередко используется для тестовой эксплуатации системы перед
переходом к режиму активной защиты.
Режим активной защиты
Этот режим позволяет активно вмешиваться в информационные процессы,
блокировать опасные операции безвозвратно или до их разрешения офицером
безопасности.
Преимуществом этого режима является возможность блокирования попыток
нарушить политику информационной безопасности, предотвращение утечек.
Недостатком этого режима является необходимость постоянного присутствия
офицера информационной безопасности для разбора спорных случаев и ложных
срабатываний. На сегодняшний день максимальная достоверность использующихся
технологий не превышает 90%, поэтому в режиме активной защиты на офицера ИБ
ложится ответственность за оперативное решение спорных вопросов. Также недостатком
такого режима является высокая требовательность к ресурсам, особенно при обработке
on-line потоков. Приходится резервировать каналы и наращивать вычислительную
мощность, чтобы обеспечить минимальную задержку писем и сообщений в Интернет.
144.Защита от сетевых атак на основе межсетевого экранирования. Механизм
работы сетевого экрана, история и основные аспекты использования сетевых
экранов
Межсетевые экраны ( МЭ ) реализуют методы контроля за информацией,
поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством
фильтрации информации на основе критериев, заданных администратором. Процедура
фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и
передачу его дальше по маршруту следования только в случае, если он удовлетворяет
заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить
защиту от сетевых атак путем удаления из информационного потока тех пакетов данных,
которые представляют потенциальную опасность для АС. Фильтрация пакетов данных
может осуществляться по параметрам протоколов, относящихся к различным уровням
модели ВОС. Важно отметить, что правила фильтрования пакетов данных, проходящих
через МЭ, могут определяться на основе двух базовых методов.
"Все, что не запрещено - разрешено". Правила фильтрации, построенные на основе этого
метода, по существу определяют те типы пакетов, которые должны быть заблокированы
МЭ. При этом все остальные пакеты данных, проходящие через МЭ, считаются
разрешенными.
"Все, что не разрешено - запрещено". Правила фильтрации, сформированные на
основе данного метода определяют только разрешенные пакеты данных, которые могут
поступать или отправляться из АС. При этом МЭ блокирует все остальные проходящие
через него пакеты данных. Данный метод позволяет сформировать более строгие правила
фильтрации за счет минимизации разрешенных типов пакетов.
МЭ также позволяет скрыть реальные IP -адреса защищаемой АС при помощи
функции трансляции сетевых адресов NAT ( Network Address Translation ), которая
выполняется следующим образом. При поступлении пакета данных в МЭ он заменяет
реальный IP -адрес отправителя пакета цанных на виртуальный и пересылает измененный
пакет получателю (рис. 25.1). При получении ответных пакетов МЭ выполняет обратные
действия по замене IP -адресов.
Рис. 25.1. Схема трансляции IP-адресов в МЭ
Пример межсетевого экрана: ISA Server 2006
ISA Server 2006 представляет собой межсетевой экран с интегрированными
сервисами, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет,
одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к
приложениям и данным. ISA Server 2006 обеспечивает три типа функциональности
межсетевого экрана - фильтрация уровня:



пакетов (или потоков)
трафика
приложений.
Политика НТТР ISA Server 2006 позволяет межсетевому экрану выполнять
глубокую переменную проверку содержимого НТТР (фильтрацию
на уровне
приложений). Глубина такой проверки настраивается отдельно для каждого правила, что
позволяет устанавливать отдельные ограничения для входящего и исходящего
содержимого HTTP. Можно настроить политику так, чтобы блокировать все попытки
подключения к исполняемым файлам Microsoft Windows, независимо от используемых на
ресурсе расширений имен. ISA Server 2006 позволяет определить политику загрузки
файлов по протоколу HTTP на основе их расширений, например разрешить все
расширения за исключением указанных или, наоборот, заблокировать все, кроме
указанных. Важно отметить, что политика HTTP ISA Server 2006 позволяет управлять
доступом по протоколу HTTP для всех подключений клиентов ISA Server 2006.