50078 (Безопасность информационных систем)

Безопасность информационных систем

Информационная система современной организации или предприятия является сложным образованием, построенным в многоуровневой архитектуре клиент-сервер, которое пользуется многочисленными внешними серверами, а также предоставляет во вне собственные серверы.

Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Под безопасностью ИС понимается защищенность системы, т.е. ее способность противостоять различным воздействиям.

Высокие темпы развития информационных технологий делают весьма актуально проблему защиты информации, ее пользователей, информационных ресурсов и каналов передачи данных, а также требуют постоянного совершенствования механизмов защиты.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.

Угрозы бывают случайные (непреднамеренные) и умышленные (преднамеренные).

Случайные угрозы:

• ошибки обслуживающего персонала и пользователей;

• случайное уничтожение или изменение данных;

• сбои оборудования и электропитания;

• сбои кабельной системы;

• сбои дисковых систем;

• сбои систем архивирования данных;

• сбои работы серверов, рабочих станций, сетевого оборудования;

• некорректная работа программного обеспечения;

• заражение системы компьютерными вирусами;

• неправильное хранение конфиденциальной информации.

Из случайных угроз самыми частыми и самыми опасными (с точки зрения размера ущерба) является пресловутый «человеческий фактор» - непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По опубликованным данным до 65% информации бесследно исчезает именно из-за этого.

Трудно предсказуемыми источниками угроз информации являются аварии и стихийные бедствия. На безопасность ИС существенное влияние оказывает тот факт, что безошибочных программ, в принципе не существует. Это касается не только отдельных программ, но и целого ряда программных продуктов фирм, известных во всем мире, например, Microsoft. Информационно-аналитический сайт www.securitylab.ru постоянно публикует информацию об уязвимостях, найденных в операционных системах и приложениях. По данным этого источника, ежедневно обнаруживаются в среднем 5-10 новых уязвимостей.

Преднамеренные угрозы:

• несанкционированный доступ к информации и сетевым ресурсам;

• раскрытие и модификация данных и программ, их копирование;

• раскрытие, модификация или подмена трафика вычислительной сети;

• разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;

• кража магнитных носителей и технической документации;

• разрушение архивной информации или умышленное ее уничтожение;

• фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;

• перехват и ознакомление с информацией, передаваемой по каналам связи;

• незаконное использование привилегий;

• несанкционированное использование информационных ресурсов.

Несанкционированный доступ ( НСД ) - наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно целью злоумышленника является нарушение конфиденциальности данных. Самое сложное - определить, кто и к каким данным может иметь доступ, а кто - нет. Наиболее распространенными путями несанкционированного доступа к информации являются:

• применения подслушивающих устройств (закладок);

• перехват электронных излучений;

• дистанционное фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

• копирование носителей информации с преодолением мер защиты;

• маскировка под зарегистрированного пользователя;

• маскировка под запросы системы;

• использование программных ловушек;

• использование недостатков языков программирования;

• незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

• злоумышленный вывод из строя механизмов защиты;

• информационные инфекции.

Перечисленные выше пути несанкционированного доступа требуют специальных технических знаний и соответствующих аппаратных и программных разработок. Однако есть и достаточно примитивные пути несанкционированного доступа:

• хищение носителей информации и документальных отходов;

• склонение к сотрудничеству со стороны взломщиков;

• подслушивание,

• наблюдение и т.д.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу, как для организации, так и для пользователей. Большинство из перечисленных путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

Анализируя возможные угрозы с точки зрения наибольшей опасности, изощренности и разрушительности, следует выделить вредоносное программное обеспечение. Вредоносное программное обеспечение – это любая программа, написанная с целью нанесения ущерба или для использования ресурсов атакуемого компьютера. О вредоносном программном обеспечении известно больше, чем о каких-либо других опасностях и повреждениях компьютерной техники. Вредоносное программное обеспечение можно разделить на три группы: Компьютерные вирусы, хакерское ПО и спам.

Вирусы – самое старое вредоносное ПО, существует уже более 20 лет. Подробная классификация вирусов и их характеристика даны в курсе «Экономическая информатика»

Вредоносное действие вируса может проявиться в следующем:

-появление в процессе работы компьютера неожиданных эффектов (падение символов на экране, неожиданные звуковые эффекты, появление неожиданных картинок и т.п.);

-замедление работы компьютера;

-сбои и отказы в работе прикладных программ;

-порча исчезновение файлов с магнитного диска;

-вывод из строя операционной системы;

-разрушение файловой системы компьютера;

-вывод из строя аппаратуры компьютера.

Исторически сначала появились вирусы , поражающие программные файлы, потом загрузочные вирусы, распространяющиеся через загрузочные области магнитных дисков. Основным средством распространения являются дискеты. Позднее появились макровирусы, распространяющиеся с документами офисных приложений, таких, как Microsoft Ехсе1. Для запуска вирусов этого вида достаточно открыть зараженный документ.

Наряду с совершенствованием механизмов распространения вирусов авторы-вирусописатели улучшали и улучшают скрытность вирусов. Один из способов повышения скрытности вируса, затрудняющий его обнаружение, - это использование шифрования. Шифрующиеся вирусы шифруют собственный код, используя различные ключи и алгоритмы шифрования. В результате каждая новая копия вируса приобретает новый вид. Внедрение ЛВС облегчило процедуру распространения вирусов. Достаточно заразить один компьютер и вирус начнет распространяться по сети, заражая все доступные сетевые диски.

Еще более благоприятную почву для распространения вирусов предоставляют Интернет и электронная почта. Зараженную программу (почтовый вирус) можно получить как приложение к электронному письму. Существуют вирусы, которые могут распространяться через электронную почту без использования приложений, так называемые черви. Для заражения машины не требуется запускать какой-либо приложенный файл, достаточно лишь просмотреть письмо. В его html-коде содержится автоматически запускающийся скрипт, выполняющий вредоносное действие. После активации червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном компьютере.

Сеть Интернет предоставляет дополнительные возможности для распространения вирусов. Использование технологии объектов Active Х создает потенциальную угрозу проникновения вирусов. Такой объект размещается на сервере WWW и при обращении к нему загружается в память удаленного компьютера. Объект Active Х представляет собой программу, которая автоматически запускается на компьютере удаленного пользователя и может делать там практически все что угодно. В частности, не исключено, что она может получить доступ к файловой системе и заразить компьютер вирусом.

Программы, составленные на языке Java, не представляют угрозу для распространения вирусов, так как они не имеют доступа к файловой системе удаленного компьютера. Плата за безопасность — меньшая функциональность по сравнению с объектами Active Х.

Хакерское ПО — это инструмент для взлома и хищения конфиденциальных данных. Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях. К ним относятся программы для сканирования сети с целью определения IР-адресов компьютеров и «открытых» портов. Программы «прослушивания» сетевого трафика незаметно перехватывают IР-пакеты в сети и анализируют их в целях определения адресов отправителей и получателей и, может быть, выявления секретных данных типа имен и паролей, передаваемых в открытом виде. Формат почтовых сообщений является открытым, следовательно, электронное письмо может быть легко прочитано.

Есть инструменты хакеров, предназначенные для взлома компьютеров и сетей. К ним относятся программы подбора паролей, фальсификации IР-пакетов путем подмены адреса отправителя/ получателя. Отдельного рассмотрения требуют программы-троянцы (трояны), представляющие в настоящее время главную угрозу и занимающие лидирующее положение среди вредоносного ПО.

Название «троян» («троянский конь») возникло из-за того, что вначале вредоносный код маскировался в некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер. Это могла быть какая-либо утилита, повышающая удобство работы на компьютере, или компьютерная игра. Сейчас троянцы распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.

Троян незаметно для пользователя (под «прикрытием» полезной программы или будучи внедренным в операционную систему) выполняет ряд действий в интересах хакера:

• соединение с сервером хакера и пересылка на него всех вводимых с клавиатуры данных, адресов электронной почты;

• рассылка электронной почты по заданным адресам;

• •выполнение команд, получаемых с хакерского сервера.

Таким образом, троян «открывает» компьютерную сеть или отдельный компьютер для хакера.

Спам заслуженно считается одной из важных проблем Интернета. Более 80% всех получаемых электронных писем являются спамом, т.е. ненужными пользователю. Природа спама такая же, как у телевизионной рекламы, и пока рассылка спама приносит деньги, вряд ли он может быть искоренен. Пользователю спам причиняет гораздо меньший вред, чем ранее рассмотренные вредоносные программы. В конечном итоге, удаление ненужных писем занимает не очень много времени — обычно несколько минут. Побочный эффект спама — удаление в общей массе мусора «нужных» писем. Но методы рассылки спама заслуживают внимания, так как в этот процесс может быть непроизвольно вовлечен компьютер пользователя.

Если раньше спамеры осуществляли рассылку писем со своих компьютеров и самостоятельно формировали списки рассылки, то теперь для этого используется вредоносное ПО. В качестве примера приведем схему работы спам-бота. Спам-бот — это троянская программа, осуществляющая рассылку спама с зараженного компьютера. Для распространения спам-ботов применяются почтовые и сетевые черви. После своего внедрения спам-бот устанавливает соединение с одним из заранее ему известных серверов, принадлежащих спамеру, и получает информацию об адресах серверов, с которых он должен запрашивать данные для рассылки. Далее он связывается с этими серверами, получает е-mail-адреса и шаблоны для писем и производит рассылку. В дополнение спам-бот отправит на сервер спамера отчет о недоставленных письмах и адреса из адресной книги зараженного компьютера для актуализации списков рассылки, используемых спамером.

Помимо специального ПО для взлома компьютерных сетей и внедрения вредоносного ПО хакеры активно применяют методы социальной инженерии. Самый простой пример - рассылка зараженных писем, в которых указана тема, интересующая получателя ели вызывающая у него любопытство (поздравительная открытка, приглашение куда-нибудь и т.п.). Главная задача - спровоцировать получателя открыть письмо.

Метод фишинга используется для того, чтобы «выудить» у пользователя сведения для доступа к каким-либо ресурсам. Например, можно получить письмо, адрес отправителя в котором очень похож на адрес провайдера услуг Интернета, содержащее просьбу администратора подтвердить login и пароль. Серьезную угрозу фишинг представляет для клиентов интернет-банков. Злоумышленник посылает письмо с подделанным обратным адресом, т.е. внешне письмо выглядит как посланное из банка. В письме сообщается, что требуется сменить пароль, и указан адрес сайта, на котором необходимо выполнить это действие. Перейдя по этой ссылке, клиент попадает на сайт, внешне не отличающийся от настоящего, и благополучно раскрывает свои персональные данные.