Жаворонков С.А. ВКР (1208941), страница 3
Текст из файла (страница 3)
Для защиты от подобных атак необходимо применение более стойких алгоритмов идентификации и аутентификации хостов и пользователей. Нельзя пропускать в компьютерную сеть организации пакеты, посланные извне, но имеющие внутренний сетевой адрес.
Введение ложного объекта компьютерной сети.
Реализация данной атаки позволяет навязать ложный маршрут потока информации так, чтобы он лежал через компьютер злоумышленника, это обстоятельство позволяет «заманить» легального пользователя на персональный компьютер взломщика (например, подменив WEB-сайт) с целью получения интересующей злоумышленника информации [32].
Для защиты от этого вида атак необходимо использовать более стойкие протоколы идентификации и аутентификации хостов и устройств.
Отказ в обслуживании (DoS).
Реализация данной атаки направлена на нарушение работоспособности некоторой службы удаленного хоста, либо всей системы. Данная атака заключается в следующем – осуществляется путем посылки направленного «шторма запросов», переполнение очереди запросов, из-за чего удаленный персональный компьютер либо перезагружается, либо неспособен заниматься ничем, кроме обработки запросов, т.е. все время работы, пока осуществляется атака, удаленный компьютер не способен отвечать на запросы других пользователей (рисунок 1.6). Примерами данных атак является SYN-Flooding, Ping of Death и пр.
Рисунок 1.6 – Схема DoS-атаки на сервер организации
Для защиты от данных атак необходимо использовать стойкие протоколы аутентификации, ограничивать доступа в сеть благодаря использованию межсетевых экранов, внедрить в сеть системы обнаружения вторжений, разработать адекватную и актуальную политики безопасности, использовать для поддержки сервисов те программные продукты, в которых устранены все уязвимости, позволяющие выполнить подобные атаки [31].
На сегодняшний день большую актуальность представляет защита от распределенных DoS атак, называемых DDoS атаками, они реализуются путем заражения множества персональных компьютеров, которые в момент, нужный злоумышленнику, начинают посылать «шторм запросов» на атакуемый объект.
Сканирование компьютерных сетей.
Сканирование сети нужно злоумышленнику на предварительной стадии атаки. Сканирование компьютерной сети дает доступ злоумышленнику к интересующей его информации, необходимой для осуществления дальнейшего взлома. Объектами взлома могут быть как типы установленных операционных систем, открытые порты и связанные с ними сервисы и существующие уязвимости. Факт того, что сеть сканируют, говорит о осуществлении стадии, предваряющей атаку, и является важной информацией для сетевого администратора [35].
Угрозы удаленного запуска приложений.
Данная угроза заключается в стремлении запустить на атакуемом объекте информационной системы персональных данных различные, предварительно установленные вредоносные программы: программы-закладки, «сетевые шпионы», вирусы, основной целью которых является нарушение конфиденциальности, доступности и целостности информации, а также перехват контроля работы атакуемого объекта. Помимо этого, возможен несанкционированный запуск программ пользователей для несанкционированного получения необходимой злоумышленнику информации для запуска управляемых данной программой процессов.
Выделяют три подкласса данных угроз:
-
распространение файлов, несущих в себе несанкционированный исполняемый код;
-
удаленный запуск программы путем переполнения буфера приложений-серверов;
-
удаленный запуск приложений с использованием удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.
Типовые угрозы из первого подкласса основываются на активизации вредоносных файлов при случайном обращении к ним. Примерами данного рода файлов могут служить файлы, содержащие исполняемый код в вид документа, содержащие исполняемый код в виде элементов ActiveX, интерпретируемых скриптов (например, тексты на JavaScript),а также файлы, содержащие исполняемые коды программ. Для распространения вредоносных файлов могут использоваться каналы электронной почты и сетевой файловой системы.
При угрозах реализации второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации данной угрозы может быть внедрение «вируса Морриса».
При угрозах третьего подкласса нарушитель использует удаленное управление системой, предоставляемые уже находящимися на объекте атаки, скрытыми компонентами, например, «троянскими» программами типа Back. Orifice, Net Bus, либо штатными средствами управления компьютерными сетями, примерами данных средств являются Landesk Management Suite, Back Orifice. В результате их использования удается добиться удаленного контроля над компьютером, находящимся в сети.
Угроза выявления паролей.
Целью осуществления данной угрозы является получение несанкционированного доступа, путем преодоления парольной защиты. Существует целый ряд методов реализации данной угрозы, таких как простой перебор, перебор с использованием специальных словарей паролей, установка на атакуемый объект вредоносных программ для перехвата паролей, подмена доверенного объекта сети и осуществить перехват пакетов информации [26]. Чаще всего для осуществления взлома используются специальные программы, которые путем перебора паролей пытаются получить доступ к объекту атаки. В случае нахождения пароля, злоумышленник может создать «проход» для последующего взлома или доступа, который будет действовать даже в случае смены пароля на атакуемом объекте.
Сетевое сканирование.
Сущность данного процесса реализации угрозы заключается в передаче запросов сетевым службам атакуемых объектов информационной системы персональных данных и анализе полученных от них ответов. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
Угрозы, обусловленные стихийными источниками.
Группа источников угроз, которая объединяет обстоятельства, составляющие непреодолимую силу, то есть обстоятельства, которые носят объективный, абсолютный характер и распространяются повсеместно. К непреодолимой силе относят обстоятельства, которые невозможно предусмотреть или предотвратить, либо есть возможность предусмотреть, но невозможно предотвратить. Такие источники угроз не поддаются прогнозированию, следовательно, меры защиты информационной системы должны осуществляться всегда [8]. Стихийные бедствия, составляющие многочисленные угрозы информационной безопасности, в своем большинстве являются внешними по отношению к учреждению, под стихийными бедствиями понимаются следующие природные катаклизмы:
-
форс-мажорные обстоятельства, такие как экономический, политический кризисы, война;
-
необъяснимые явления;
-
пожары;
-
землетрясения;
-
наводнения;
-
ураганы;
-
метеокатаклизмы.
Основным и распространенным, но не менее эффективным методом защиты информации и оборудования от различных стихийных бедствий является создание и хранение архивных копий информации, также данный метод можно осуществить путем размещения некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях.
В случае отключения электроэнергии наиболее надежным средством предотвращения потерь информации на сегодняшний день является установка источников бесперебойного питания. Различные по своим техническим характеристикам устройства могут обеспечить питание всей локальной сети, также есть возможность питания отдельного компьютера в течение необходимого промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на носителях. Подавляющее большинство бесперебойных источников питания также выполняют функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства – серверы, концентраторы, мосты – оснащены собственными дублированными системами электропитания.
-
Анализ текущего состояния информационной системы в КГБУЗ «Городская клиническая больница №10»
Компьютеры Учреждения объединены в общую компьютерную сеть. Сеть построена по топологии «распределенная звезда» и представлена в приложении А. Проведя анализ всех компонентов сети КГБУЗ «Городская клиническая больница №10» был выявлен ряд недостатков:
-
отсутствие системы контроля и управления доступом в серверные помещения;
-
отсутствие пожарной сигнализации и системы пожаротушения серверных помещений;
-
отсутствует подключение к бесперебойным источникам питания.
Также стоит упомянуть угрозы уничтожения, хищения аппаратных средств информационной системы персональных данных носителей информации путем физического доступа к элементам информационной системы персональных данных в учреждении.
Стоит перечислить возможные угрозы, которые в значительной мере могут повлиять на информационную безопасность в учреждении:
Кража персональных электро-вычислительных машин.
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы информационной системы персональных данных.
В учреждении не введен контроль доступа в контролируемую зону, охранная сигнализация не установлена, двери закрываются на замок, решетки на первых и последних этажах здания не установлены.
Кража носителей информации.
Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями к носителям информации.
В Учреждении введен контроль доступа в контролируемую зону, охранная сигнализация не установлена, двери закрываются на замок, решетки на первых и последних этажах здания не установлены, учет и хранение носителей в сейфе не ведется.
Кража ключей и атрибутов доступа.
Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями в помещения, где происходит работа пользователей.
В Учреждении введен контроль доступа в контролируемую зону, охранная сигнализация не установлена, двери закрываются на замок, решетки на первых и последних этажах здания не установлены, организовано хранение ключей в сейфе и введена политика «чистого стола».
Используя данные недостатки, злоумышленник может осуществить несанкционированное проникновение в сеть с целью получения информации, или ее искажения. Так же невозможно проследить за установленными программами на рабочих местах, что может привести к выходу из строя оборудования, а также невольной передачи информации.
Не декларированные возможности системного и прикладного программного обеспечения для обработки персональных данных.
Не декларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
В Учреждении используется только лицензионное программное обеспечение. Производится регулярное обновление общесистемного программного обеспечения и приложений. Прикладные программы, используемые для обработки персональных данных, доработке и изменению программистами и разработчиками не подвергались. Антивирусные программы, применяемые в Учреждении рекомендованы Федеральная служба по техническому и экспортному контролю (ФСТЭК) России, обновление производится ежедневно.
Установка программного обеспечения, не связанного с исполнением служебных обязанностей.
Угроза осуществляется путем несанкционированной установки программного обеспечения внутренними нарушителями, что может привести к нарушению конфиденциальности, целостности и доступности всей информационной системы персональных данных или ее элементов.
В Учреждении введено разграничение прав пользователей на установку ПО и осуществляется контроль.
Не стоит оставлять без внимания угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования информационной системы персональных данных и системы защиты персональных данных в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
Утрата ключей и атрибутов доступа.
Угроза осуществляется за счет действия человеческого фактора пользователей информационной системы персональных данных, которые нарушают положения парольной политике в части их создания (создают легкие или пустые пароли, не меняют пароли по истечении срока их жизни или компрометации и т.п.) и хранения (записывают пароли на бумажные носители, передают ключи доступа третьим лицам и т.п.) или не осведомлены о них.
В Учреждении введена парольная политика, предусматривающая требуемую сложность пароля и периодическую его смену, введена политика «чистого стола», осуществляется контроль за их выполнением, пользователи проинструктированы о парольной политике и о действиях в случаях утраты или компрометации паролей.
Непреднамеренная модификация (уничтожение) информации сотрудниками.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
