133. Понятие информационной безопасности (ИБ). Основные составляющие (конфиденциальность, целостность, доступность). Статистика нарушений иб

Конфиденциальность информации - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

доступность информации - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

Все меры защиты информации по способам осуществления подразделяются на:

• 
  правовые (законодательные);
  
• 
  морально-этические;
  
• 
  технологические;
  
• 
  организационные (административные и процедурные);
  
• 
  физические;
  
• 
  технические (аппаратурные и программные).
  

Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от НСД, от математического воздействия, от вредоносных программ и т.п. Объектами технической защиты информации могут быть:

• 
  объект информатизации;
  
• 
  информационная система;
  
• 
  ресурсы информационной системы;
  
• 
  информационные технологии;
  
• 
  программные средства;
  
• 
  сети связи.
  

138.Основные объекты защиты информации и их классификация. Принципы классификации автоматизированных систем и средств вычислительной техники по классам защищенности от несанкционированного доступа.
Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.



Существуют различные признаки, по которым классифицируется информация. С точки зрения защиты информации наиболее интересной является классификация по категории доступа.

В соответствии с документом, классификация автоматизированных систем (АС) включает следующие этапы:

• 
  Разработка и анализ исходных данных.
  
• 
  Выявление основных признаков АС, необходимых для классификации.
  
• 
  Сравнение выявленных признаков АС с классифицируемыми.
  
• 
  Присвоение АС соответствующего класса защиты информации от НСД.
  

Исходными данными для классификации АС являются:

• 
  Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
  
• 
  Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
  
• 
  Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
  
• 
  Режим обработки данных в АС.
  

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:

III группа – классы 3Б и 3А.

Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.

II группа – классы 2Б и 2А.

Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

I группа – классы 1Д, 1Г, 1В, 1Б и 1А.

В этих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.

Интересно, что документ выделяет 4 подсистемы для обеспечения защиты от НСД:

• 
  управления доступом;
  
• 
  регистрации и учета;
  
• 
  криптографическая;
  
• 
  обеспечения целостности.
  

139. Основные уязвимости стека протоколов TCP/IP. Основные классы атак в сетях на базе TCP/IP и способы борьбы с ними.
Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

• 
  характер угрозы
  

Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для "прослушивания" сети. Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS-атака в виде шторма TCP-запросами.
условие начала атаки:

• 
  по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
  
• 
  по наступлению ожидаемого события на атакуемом объекте.
  
• 
  безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
  
• 
  наличие обратной связи с атакуемым объектом:
  
• 
  с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
  
• 
  без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
  
• 
  расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети – физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring.
  
• 
  уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.
  

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

Анализ сетевого трафика.

Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый "неразборчивый" режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.
Защита от данного вида атаки может заключаться в следующем:

Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.

Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения "лишней" нагрузки.

Коммутируемая инфраструктура.

Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может "прослушивать" злоумышленник.

Криптографические методы.

Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.

Сканирование сети.

Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т.п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:

• 
  запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
  
• 
  эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
  
• 
  сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.
  

Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

Выявление пароля.

Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов – простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.).

Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

IP-spoofing или подмена доверенного объекта сети.

Под доверенным в данном случае понимается объект сети ( компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

Контроль доступа.

Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.

Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
Внедрение дополнительных методов аутентификации.

IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.

Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки требует минимум знаний и умений и строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS (DDoS - distributed DoS).
Для ослабления угрозы можно воспользоваться следующим:

Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.

Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки DoS часто используют ICMP[9.9].
Полностью исключить атаки на уровне приложений невозможно, так как прикладные программы с новыми уязвимостями возникают регулярно. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

• 
  чтение логов (системных и сетевых);
  
• 
  отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов, например, http://www.cert.com.
  
• 
  использование IDS.
  

140.Классификация технических каналов утечки информации. Информационный сигнал и его характеристики. Физическая суть возникновения различных каналов утечки и их классификация.
Утечка (информации) по техническому каналу - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации [12.1]. Технический канал утечки информации (ТКУИ), так же как и канал передачи информации, состоит из источника сигнала, физической среды его распространения и приемной аппаратуры злоумышленника. На рисунке 12.1 приведена структура технического канала утечки информации.
Классификация технических каналов утечки информации приведена на рисунке



Основным признакам для классификации технических каналов утечки информации является физическая природа носителя. По этому признаку ТКУИ делятся на:

• 
  оптические;
  
• 
  радиоэлектронные;
  
• 
  акустические;
  
• 
  материально-вещественные.
  

Материальными носителями информации являются сигналы различной физической природы. В узком смысле сигналами называют колебания электрического тока, напряжения, электромагнитные волны, механические колебания некоторой упругой среды. Информационные сигналы формируются путем изменения тех или иных параметров носителя по определенному закону. Таким образом, информационным сигналом может быть любой физический процесс, параметры которого способны изменяться в зависимости от передаваемой информации. Этот процесс изменения параметров носителя принято называть модуляцией, а сами параметры информационными. В отличие от сообщения, прием сигнала после его генерации не является обязательным.

При прохождении сигнала по физической среде на него воздействуют различные дестабилизирующие факторы, в результате чего возникают шумы и помехи самой различной природы. При регистрации сигнала основной задачей является выделение из общего сигнала полезной составляющей и максимальное подавление шумов и помех.

Чтобы анализировать, исследовать и обрабатывать сигналы необходимо использовать математическую модель сигнала, которая представляет собой математическое описание сигнала. Слово "модель" произошло от латинского modelium, что означает: мера, способ, образ. Назначение модели состоит в том, что она отображает лишь наиболее важные черты сигнала и позволяет абстрагироваться от его физической природы и материальной формы носителя. Как правило, описание сигнала задается функциональной зависимостью его значений от независимой переменной, например, s(t).

По форме представления сигналы бывают двух типов – аналоговые и цифровые (дискретные).

Аналоговый сигнал определен для любого значения независимого параметра, то есть является непрерывной функцией непрерывного аргумента. Источниками аналоговых сигналов, как правило, являются физические процессы и явления, непрерывные в своем развитии (динамике изменения значений определенных свойств) во времени, в пространстве или по любой другой независимой переменной, при этом регистрируемый сигнал подобен (аналогичен) порождающему его процессу.

Каждый технический канал утечки информации (ТКУИ) характеризуется показателями, которые позволяют оценить риск утечки информации.К таким показателям относятся:

• 
  пропускная способность ТКУИ;
  
• 
  длина ТКУИ;
  
• 
  относительная информативность ТКУИ.
  

Пропускная способность канала определяется как

• 
  - ширина полосы пропускания канала, Гц
  

• 
  , - мощность сигнала и помехи в Дб или Вт
  

Многообразие технических каналов утечки информации представляют определённый выбор путей, способов и средств несанкционированного добывания информации. Анализируя ТКУИ можно сделать выводы:

• 
  Утечка информации с возможностью ее дальнейшего анализа возможна по всем техническим каналам.
  
• 
  Наиболее уязвимым по видовым демаскирующим признакам является оптический канал, т.к. на расстоянии с помощью соответствующих технических средств возможен перехват информации, например, с помощью специальной фотосъёмки.
  
• 
  Основным каналом получения сигнальных демаскирующих признаков является радиоэлектронный канал, весьма существенным является и вещественный.
  
• 
  Чем большую пропускную способность и длину имеет ТКУИ, тем он опаснее для владельца информации.
  
• 
  Пропускная способность, длина и относительная информативность ТКУИ зависит от характеристик его элементов: источника, среды и приемника.
  

141.Средства и методы обнаружения технических каналов утечки информации. Мероприятия по выявлению технических каналов утечки информации. Оценка защищенности информации от утечки по техническим каналам утечки информации.

Рассмотрим основные группы изделий, предназначенных для обнаружения закладных устройств съема информации с радиоканалом.

Индикаторы электромагнитных излучений



Прибор регистрирует ЭМИ в определенной точке пространства. Если уровень превышает пороговый, соответствующий естественному фону, срабатывает звуковое или световое предупреждение. Работающая радиозакладка будет обнаружена в том случае, если уровень ЭМИ, образующихся при ее работе, превышает уровень фоновых излучений. Наличие в схеме усилителя низких частот (УНЧ) и громкоговорителя позволяет выделить на фоне внешних сигналов тестовый акустический сигнал. Модулирование тестовым звуковым сигналом излучение принимается антенной индикатора, и, после усиления, поступает на вход динамика. Между микрофоном радиозакладки и динамиком индикатора устанавливается положительная обратная связь, проявляющаяся в виде звукового сигнала, напоминающего свист. Это называется режимом акустической обратной связи или "акустическая завязка".