ЧАСТЬ 2

ИНФОРМАТИКА

Электронное учебно-методическое пособие

 

  
 

 

8.5.5. Классификация преднамеренных угроз
безопасности компьютерной сети


1. По цели реализации:

  • нарушение целостности информации, что может привести к утрате или обесцениванию информации;

  • нарушение конфиденциальности информации (использование ценной информации другими лицами наносит значительный ущерб интересам её владельцев);

  • частичное или полное нарушение работоспособности (доступности) КС.


2. По принципу воздействия на сеть:

  • с использованием доступа субъекта КС (пользователя, процесса) к объекту (файлу данных, каналу связи).

  • Доступ – это взаимодействие между субъектом и объектом (выполнение первым некоторой операции над вторым), приводящее к возникновению информационного потока от второго к первому;

  • с использованием скрытых каналов, т.е. путей передачи информации, позволяющим взаимодействующим процессам (субъектам) обмениваться информацией таким способом, который нарушает системную политику безопасности.


3. По характеру воздействия на сеть:

  • активное воздействие;

  • пассивное воздействие.

Активное воздействие связано с выполнением нарушителем каких-либо действий: доступ к определённым наборам данных, программам, вскрытие пароля и т. д. Такое воздействие может осуществляться либо с использованием доступа, либо как с использованием доступа, так и с использованием скрытых каналов. Оно ведёт к изменению состояния сети.

Активное воздействие может быть:

  • кратковременным.
Свидетельствует о случайности или нежелании злоумышленника привлечь к себе внимание (оно менее опасно, но зато имеет больше шансов остаться незамеченным);

• долговременным.

Связано с устойчивой заинтересованностью в чужом информационном пространстве с целью изучения его структуры и содержания;

• неразрушающим.

Сеть продолжает функционировать нормально, так как в результате такого воздействия не пострадали ни программы, ни данные, зато возможно хищение информации и нарушение ее конфиденциальности. Если оно не случайное, то является весьма опасным и свидетельствует о намерении злоумышленника использовать в дальнейшем найденный канал доступа к чужой информации.

• разрушающим.

В результате воздействия на информационную среду внесены какие-либо изменения в программы и/или данные, что сказывается на работе сети. Его последствия при надлежащем ведении архивов могут быть сравнительно легко устранены;

• разовым или многократным.

Свидетельствует о серьёзности намерений злоумышленника и требует решительных ответных действий;

• зарегистрированным администратором сети при проведении периодического анализа регистрационных данных.

Свидетельствует о необходимости совершенствования или модификации системы защиты;

• незарегистрированным администратором сети.


Пассивное воздействие осуществляется путём наблюдения каких-либо побочных эффектов (например, от работы программы) и их анализа. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в КС, так как при нём никаких действий с субъектами и объектами не производится. Оно не ведёт к изменению состояния системы.


4. По способу активного воздействия на объект атаки:

  • непосредственное воздействие.
    Например, непосредственный доступ к файлам данных, программам, каналу связи и т. д. С помощью средств контроля доступа такое действие обычно легко предотвращается;

  • воздействие на систему разрешений (в том числе захват привилегий);

  • несанкционированные действия осуществляются относительно прав на объект атаки, а сам доступ к объекту выполняется потом законным образом;

  • опосредованное воздействие (через других пользователей).

Например, когда злоумышленник каким-то образом присваивает себе полномочия авторизованного пользователя, выдавая себя за него, или путём использования вируса, когда вирус выполняет необходимые действия и сообщает о результате тому, кто его внедрил.

Этот способ особенно опасен. Требуется постоянный контроль как со стороны администраторов и операторов за работой сети в целом, так и со стороны пользователей за своими наборами данных.


5. По используемым средствам атаки:

  • с использованием злоумышленником стандартного программного обеспечения.
    Результаты воздействия обычно предсказуемы, так как большинство стандартных программ хорошо изучены;

  • с использованием специально разработанных программ.
    Связано с большими трудностями, но может быть более опасным для сети.


6. По состоянию объекта атаки:

  • воздействие на объект атаки, когда в момент атаки он находится в состоянии хранения информации (на диске, магнитной ленте, в оперативной памяти). В этом случае воздействие на объект обычно осуществляется с использованием несанкционированного доступа;

  • воздействие на объект, когда осуществляется передача информации по линии связи между узлами сети или внутри узла. При таком состоянии объекта воздействие на него предполагает либо доступ к фрагментам передаваемой информации, либо прослушивание с использованием скрытых каналов;

  • воздействие на объект, когда он находится в состоянии обработки информации. Здесь объектом атаки является процесс пользователя.


Приведённая классификация свидетельствует о сложности определения возможных угроз и способах их реализации. Отсюда вывод: не существует универсального способа защиты, который предотвратил бы любую угрозу. Необходимо объединение различных мер защиты для обеспечения информационной безопасности всей сети в целом.

В случае преднамеренного проникновения в сеть различают следующие виды воздействия на информацию:

  • уничтожение.

Физическое удаление информации с носителей информации.
Выявляется при первой же попытке обращения к этой информации, а все потери легко восстанавливаются при налаженной системе резервирования и архивации;

  • искажение.

Нарушение логики работы программ или связей в структурированных данных, не вызывающих отказа в их работе или использовании.
Это один из опасных видов воздействия, так как его нельзя обнаружить;

  • разрушение.

Нарушение целостности программ и структуры данных, вызывающих невозможность их использования: программы не запускаются, а при обращении к структурированным данным нередко происходит сбой;

  • подмена.

Замена имеющихся программ или данных другими под тем же именем и так, что внешне это не проявляется. Это также опасный вид воздействия, надёжным способом защиты от него является побитовое сравнение с эталонной версией программы;

  • копирование.

Получение копии программ или данных на другом компьютере.
Это воздействие наносит наибольший ущерб в случаях промышленного шпионажа, хотя и не угрожает нормальному функционированию сети;

  • добавление новых компонентов.

Запись в память компьютера других данных или программ, ранее в ней отсутствовавших. Это опасно, так как функциональное назначение добавляемых компонентов неизвестно;

  • заражение вирусом.

Оно приводит к однократному воздействию на программы или данные, при котором они изменяются и, кроме того, при обращении к ним вызываются подобные изменения в других, как правило, аналогичных компонентах: происходит «цепная реакция», распространение вируса в компьютере или локальной сети.


Основные источники преднамеренного проникновения в сеть:

  • хакеры (взломщики сетей).

В их действиях почти всегда есть состав преступления. Наиболее опасны сформировавшиеся и хорошо организованные виртуальные группы хакеров;

  • уволенные или обиженные сотрудники сети.

Они представляют особую опасность и способны нанести существенный ущерб (особенно если речь идёт об администраторах сети), так как обладают знаниями сети и принципами защиты информации и по долгу службы имеют доступ к программам сниффинга (перехвата паролей и имён пользователей в сети, ключей, пакетов и т. д.);

  • профессионалы-специалисты по сетям, посвятившие себя промышленному шпионажу;

  • конкуренты.

Степень их опасности зависит от ценности информации, к которой осуществляется несанкционированный доступ, и от уровня их профессионализма.

 
 


© Сибирская государственная геодезическая академия (СГГА), 2011