Пояснительная записка (1210153), страница 2
Текст из файла (страница 2)
Рисунок 1.1 – Элементы описания угроз НСД к информации в информационной системе
Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.
Причинами возникновения уязвимостей являются:
-
ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
-
преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;
-
неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
-
несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
-
внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
-
несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
-
сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Классификация основных уязвимостей ПО информационной системы приведена на рисунке 1.2.
Рисунок 1.2 – Классификация уязвимостей программного обеспечения
Ниже представлена общая характеристика основных групп уязвимостей информационной системы, включающих уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия), а также уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
1.2 Общая характеристика уязвимостей системного программного обеспечения
Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем.
При этом возможны уязвимости:
-
в микропрограммах, в прошивках ПЗУ, ППЗУ;
-
в средствах операционной системы, предназначенных для управления локальными ресурсами информационной системы (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;
-
в средствах операционной системы, предназначенных для выполнения вспомогательных функций, – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);
-
в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы;
-
уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой;
-
функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
-
фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
-
отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
-
ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Краткая характеристика этих уязвимостей применительно к протоколам приведена в таблице 1.1.
Таблица 1.1 – Характеристика уязвимостей протоколов сетевого взаимодействия
| Наименование протокола | Уровень стека протоколов | Наименование (характеристика) уязвимости | Содержание нарушения безопасности информации |
| FTP (File Transfer Protocol) – протокол передачи файлов по сети | Прикладной, представи-тельный, сеансовый | 1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) 2. Доступ по умолчанию 3. Наличие двух открытых портов | Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам |
| telnet – протокол управления удаленным терминалом | Прикладной, представи-тельный, сеансовый | Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) | Возможность перехвата данных учетной записи пользователя. Получение удаленного доступа к хостам |
| UDP – протокол передачи данных без установления соединения | Транспорт-ный | Отсутствие механизма предотвращения перегрузок буфера | Возможность реализации В результате обмена пакетами происходит существенное снижение производительности сервера |
| ARP – протокол преобразования IP-адреса в физический адрес | Сетевой | Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) | Возможность перехвата трафика пользователя злоумышленником |
| RIP – протокол маршрутной информации | Транспорт-ный | Отсутствие аутентификации управляющих сообщений об изменении маршрута | Возможность перенаправления трафика через хост злоумышленника |
| TCP – протокол управления передачей | Транспорт-ный | Отсутствие механизма проверки корректности заполнения служебных заголовков пакета | Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP |
| DNS – протокол установления соответствия мнемонических имен и сетевых адресов | Прикладной, представи-тельный, сеансовый | Отсутствие средств проверки аутентификации полученных данных от источника | Фальсификация ответа |
Окончание таблицы 1.1
| Наименование протокола | Уровень стека протоколов | Наименование (характеристика) уязвимости | Содержание нарушения безопасности информации |
| IGMP – протокол передачи сообщений о маршрутизации | Сетевой | Отсутствие аутентификации сообщений об изменении параметров маршрута | Зависание систем Win 9x/NT/200 |
| SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте | Прикладной, представи-тельный, сеансовый | Отсутствие поддержки аутентификации заголовков сообщений | Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения |
| SNMP – протокол управления маршрутизаторами в сетях | Прикладной, представи-тельный, сеансовый | Отсутствие поддержки аутентификации заголовков сообщений | Возможность переполнения пропускной способности сети |
Для систематизации описания множества уязвимостей используется единая база данных уязвимостей CVE (Common Vulnerabilities and Exposures), в разработке которой принимали участие специалисты многих известных компаний и организаций, таких как MITRE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS и т.д. Эта база данных постоянно пополняется и используется при формировании баз данных многочисленных программных средств анализа защищенности и, прежде всего, сетевых сканеров.
1.3 Общая характеристика уязвимостей прикладного программного обеспечения
К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы, системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной информационной системе (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой:
-
функции и процедуры, относящиеся к разным прикладным программам;
-
и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
-
функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;
-
фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;
-
отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
-
ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.
Данные об уязвимостях разрабатываемого и распространяемого на коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE.
2 Обзор существующих технологий обнаружения уязвимостей
2.1 Методы идентификации уязвимостей
После того, как основные классы уязвимостей определены, необходимо составить представление о методах, которые применяются для обнаружения таких ошибок. Мы делим все существующие уязвимости на две большие группы: организационные и технические. Далее рассмотрим, каким образом может осуществляться идентификация и анализ этих уязвимостей.
2.1.2 Идентификация организационных уязвимостей
К организационным уязвимостям относятся любые слабости защиты, не являющиеся слабостями технических или программных средств.
Для идентификации организационных уязвимостей проводится проверка источников этих уязвимостей, к которым относятся:
-
процессы управления безопасностью;
-
организационная структура, распределение ролей и ответственности;
-
документированные процедуры и записи;
-
квалификация, осведомленность и обученность персонала;
-
физические меры защиты и физическое окружение;
-
соответствие требованиям законодательства, нормативной базы, договоров, стандартов и бизнеса.
Организационные уязвимости обычно заключаются в отсутствии или неправильном применении механизмов контроля. Поэтому основным источником идентификации организационных уязвимостей служит национальный стандарт ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности" (далее ИСО 27001), т.к. этот стандарт содержит наиболее полное высокоуровневое описание того, что должно быть сделано для защиты информационных активов. Если чего-то не хватает, то это может рассматриваться в качестве потенциальной уязвимости. Национальный стандарт ГОСТ Р ИСО/МЭК 27002-2012. "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" (далее ИСО 27002) содержит подробное описание областей и механизмов контроля. Выпускаемые Британским институтом стандартов руководства по аудиту и внедрению СУИБ BIP 0072:2013. "Готовы ли Вы к аудиту систем управления защитой информации (ISMS) по BS ISO/IEC 27001?" (далее BIP 0072) и BIP 0073:2013. "Руководство по внедрению и аудиту систем управления защитой информации (ISMS). Элементы управления на основе ISO/IEC 27001" (далее BIP 0073) описывают, каким образом можно оценивать соответствие ИСО 27001 и идентифицировать организационные уязвимости.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
