Основы информационной безопасности

Размещено на http://www.allbest.ru/

КОНСПЕКТ ЛЕКЦИЙ

по курсу Информационная безопасность

Содержание

Раздел 1. Основы информационной безопасности

1.1 Сущность информационной безопасности

1.2 Классификация конфиденциальной информации

1.3 Современная концепция ИБ

Раздел 2. Уязвимости, угрозы, модель нарушителя

2.1 Угрозы ИБ

2.2 Неформальная модель нарушителя

2.3 Каналы утечки и НСД к информации

Раздел 3. Средства, используемые злоумышленником

3.1 Технические средства добывания информации

3.2 Программные средства добывания информации

3.3 Компьютерные вирусы

Раздел 4. Методология защиты информации

4.1 Принципы построения и направления работ по созданию СИБ

4.2 Методы и средства обеспечения ИБ

Раздел 5. Механизмы информационной безопасности

5.1 Идентификация и аутентификация

5.2 Управление доступом в ИС

5.3 Протоколирование и аудит

5.4 Шифрование

5.5 Контроль целостности

5.6 Экранирование

Раздел 1. Основы информационной безопасности

1.1 Сущность информационной безопасности

С точки зрения информационной безопасности (ИБ) информация - данные, представленные в виде, пригодном для хранения, обработки и передачи, и представляющие определенную ценность.

Существуют следующие формы представления информации:

электронная,

печатная,

визуальная,

аудио-форма.

Защита информации (ЗИ) - комплекс мероприятий по обеспечению конфиденциальности, целостности, доступности, учета и неотрекаемости информации.

Конфиденциальность - состояние информации, при котором ознакомиться с ней могут только уполномоченные лица.

Целостность - состояние информации, при котором изменять её могут только уполномоченные лица.

Доступность - возможность получения авторизованного доступа к информации со стороны уполномоченных лиц.

Учёт - фиксация и анализ всех действий уполномоченных лиц, выполняемых ими в рамках, контролируемых системой ИБ.

Неотрекаемость - предполагает, что отправитель информации не может отречься от факта отправления, а получатель - от факта получения.

Уполномоченными лицами считаются владелец информации и пользователи, получившие право работы с информацией от ее владельца.

Информационная система (ИС) - совокупность объектов и субъектов информационного взаимодействия.

Объекты - информационные ресурсы. Субъекты - пользователи или процессы, обрабатывающие информацию.

ИБ - более широкое понятие, чем понятия "защита информации", компьютерная безопасность", "сетевая безопасность", "безопасность данных".

ИБ - комплекс мероприятий по защите информации и обеспечению безопасного функционирования ИС

Информационное пространство - совокупность информационных систем, взаимодействующих между собой, причем одна часть этих систем может иметь интересы, прямо противоположные интересам другой.

Т.о. ИБ предполагает защиту одних ИС от других.

Для любой ИС характерны следующие понятия:

Угроза - возможность реализации несанкционированных действий (НД) в отношении ИС.

Уязвимость - незащищенность или ошибка в объекте, которая может привести к возникновению угрозы.

Атака - попытка практической реализации угрозы (успешная или нет).

Ошибка - непреднамеренное незапланированное действие, совершаемое субъектом, которое представляет или может представлять угрозу ИБ.

Авария - неумышленное происшествие с деструктивным воздействием на объект.

Злоумышленник - субъект, преследующий корыстные или деструктивные цели, противоречащие целям системы.

1.2 Классификация конфиденциальной информации

Говоря о защите какой-либо информации, следует прежде всего выяснить, к какой категории она относится. Существует следующая классификация тайн по шести категориям:

государственная тайна,

коммерческая тайна,

банковская тайна,

профессиональная тайна,

служебная тайна,

персональные данные.

Последние пять категорий составляют конфиденциальную информацию.

Слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный. Слово "секрет" заимствовано из французского secret - "тайна". В знаменитом словаре В. Даля также названы аналогичные значения: "конфиденциальная" - "откровенная, по особой доверенности, неоглашаемая, задушевная"; "тайна" - "кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое".

Таким образом, точки зрения этимологии можно сделать вывод о равнозначности понятий конфиденциальная информация, тайна и секрет.

Однако понятие тайны в правовой науке не полностью совпадает с понятием конфиденциальной информации, так как тайна означает ещё и правовой режим информации. В соответствии со ст. 2 ФЗ "Об информации ..." и ст. 2 ФЗ "Об участии в международном информационном обмене", конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Но не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, не обязательно зафиксированы на материальном носителе.

При анализе видов конфиденциальной информации возникают большие сложности, связанные с противоречивостью и недостатками отечественного законодательства. Согласно п. 2 ст. 10 ФЗ "Об информации ...", документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

Наиболее важными являются сведения, относящиеся к государственной тайне. В Законе "О государственной тайне" дано следующее определение:
"государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В законодательстве предусматривается наличие различного рода сведений, не содержащих гостайну, которые также охраняются законом. Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна (ст.23 Конституции РФ). Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст.24).

Подлежащую защите информацию можно сгруппировать по следующим основаниям:

собственники информации;

области (сферы) деятельности, в которых используется информация;

лица и организации, на которых возложена защита данной информации.

Ту же информацию, подлежащую защите можно классифицировать по трем признакам:

по принадлежности,

по степени конфиденциальности (степени ограничения доступа),

по содержанию.

По принадлежности владельцами защищаемой информации могут быть:

органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны);

юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т.п.);

граждане (физические лица) - в отношении личной и семейной тайны, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну. Согласно ст.8 Закона РФ "О государственной тайне", устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений:

"особой важности",

"совершенно секретно",

"секретно".

Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Закона РФ "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

Конфиденциальная информация бывает двух видов: подлежащая обязательной защите и не подлежащая. Обязательность защиты определяется собственником информации, за исключением случаев, предусмотренных законодательством. Так, в Законе говорится, что конфиденциальная информация государственных органов подлежит обязательной защите.

Указом Президента вводится шесть категорий конфиденциальной информации:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Сведения, составляющие тайну следствия и судопроизводства.

Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Служебная информация

В Гражданском кодексе РФ дается следующее определение служебной информации: "Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности".

В "Положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" (утверждено Постановлением Правительства Российской Федерации № 1233 от 3 ноября 1994г.) вводится понятие служебной информации ограниченного распространения: "несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью".
В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей также необходимо присваивать гриф "для служебного пользования", применяемый в органах исполнительной власти.

1.3 Современная концепция ИБ

Концепция ИБ является методологической основой для формирования и проведения в организации или на предприятии единой политики в области обеспечения ИБ.

Современная КИБ включает в себя следующие разделы:

цели и задачи обеспечения ИБ,

категории объектов защиты,

перечень угроз безопасности,

неформальная модель нарушителя,

принципы построения и направления работ по созданию и поддержанию СИБ,

средства обеспечения ИБ,

механизм функционирования СИБ.

Цели и задачи обеспечения ИБ

Основная цель обеспечения ИБ - защита субъектов информационных отношений (ИО) от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИС или НСД к циркулирующей в ней информации и ее незаконного использования.

Субъекты ИО заинтересованы в обеспечении:

конфиденциальности информации,

целостности информации,

своевременного доступа к информации,

защиты от дезинформации,

разграничения ответственности за нарушения законных прав (интересов) других субъектов ИО и установленных правил обращения с информацией,

возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации,

защиты части информации от незаконного ее тиражирования.

Для достижения основной цели защиты СИБ должна обеспечивать эффективное решение следующих задач:

защита от вмешательства в процесс функционирования ИС посторонних лиц,

обеспечение аутентификации субъектов, участвующих в информационном обмене,

управление доступом уполномоченных лиц к аппаратным, программным и информационным ресурсам ИС,

регистрация действий пользователей при использовании защищаемых ресурсов,

контроль и поддержание целостности среды исполнения программ,

защита от несанкционированной модификации и контроль целостности используемых в ИС программных средств,

защита ИС от внедрения несанкционированных программ,

защита конфиденциальной информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи,

своевременное выявление новых источников угроз безопасности информации,

создание условий для минимизации и локализации наносимого ущерба и ликвидация последствий нарушения ИБ.

Категории объектов защиты

Основными объектами защиты являются:

информационные ресурсы с ограниченным доступом, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

процессы обработки, хранения и передачи информации,

информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты ИС,

персонал разработчиков и пользователей ИС и ее обслуживающий персонал.

Раздел 2. Уязвимости, угрозы, модель нарушителя

2.1 Угрозы ИБ

По источникам появления угрозы подразделяют на:

Естественные - вызванные воздействиями на ИС объективных физических процессов или стихийных природных явлений, независящих от человека. Это стихийные бедствия и аварии, сбои и отказы оборудования;

Искусственные - это угрозы, вызванные деятельностью человека. Они, исходя из мотивации действий, делятся на:

непреднамеренные, вызванные ошибками проектирования и разработки компонентов ИС, а также ошибками в действиях персонала в процессе эксплуатации; они бывают только внутренними;

преднамеренные, вызванные действиями нарушителей; бывают внутренними и внешними.

Основные непреднамеренные угрозы:

неумышленные действия, приводящие к отказу системы или разрушению аппаратных, программных, информационных ресурсов (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

неправомерное отключение оборудования или изменение режимов работы устройств и программ;

неумышленная порча носителей информации;

запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания) или осуществляющих необратимые изменения в системе (форматирование носителей информации, удаление данных и т.п.);

нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей);

заражение компьютера вирусами;

неосторожные действия, приводящие к разглашению конфиденциальной информации;

разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

проектирование архитектуры ИС, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

игнорирование организационных ограничений (установленных правил) при работе в системе;

вход в систему в обход средств защиты (загрузка ОС со сменных магнитных носителей и т.п.);

некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

пересылка данных по ошибочному адресу абонента (устройства);

ввод ошибочных данных;

неумышленное повреждение каналов связи.

Основные преднамеренные угрозы:

физическое разрушение ИС (путем взрыва, поджога и т.п.) или вывод из строя отдельных наиболее важных ее элементов (объектов и субъектов);

отключение или вывод из строя подсистем обеспечения функционирования ВС (электропитания, охлаждения и вентиляции, линий связи и т.п.);

действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

внедрение агентов в число персонала системы;

вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;

перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя;

хищение носителей информации;

несанкционированное копирование носителей информации;

хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, используя недостатки многозадачных операционных систем и систем программирования;

незаконное получение паролей и других реквизитов разграничения доступа (используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.);

несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес и т.п.;

вскрытие шифров криптозащиты информации;

внедрение аппаратных и программных закладок и вирусов;

незаконное подключение к линиям связи с использованием пауз в действиях законного пользователя для передачи от его имени ложных сообщений;

незаконное подключение к линиям связи с целью подмены законного пользователя путем его отключения после входа в систему и успешной аутентификации.

По отношению к защищаемой информации существуют следующие угрозы:

Разглашение - это умышленные или неосторожные действия с конфиденциальной информацией, приведшие к ознакомлению с ней неуполномоченных лиц. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена информацией.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена по техническим каналам.

Несанкционированный доступ - это преднамеренное овладение конфиденциальной информацией неуполномоченным лицом.

2.2 Неформальная модель нарушителя

Анализ угроз безопасности позволяет построить неформальную модель нарушителя, которая отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п.

Нарушитель - это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

При разработке модели нарушителя определяются предположения:

о категориях лиц, к которым может принадлежать нарушитель;

о мотивах действий нарушителя;

о квалификации нарушителя и его технической оснащенности;

о характере возможных действий нарушителей.

Существуют следующие типы нарушителей:

"Неопытный (невнимательный) пользователь" - сотрудник организации, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам организации с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.

"Любитель" - сотрудник организации, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из "спортивного интереса". Может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей других пользователей), недостатки в построении системы защиты и доступные ему штатные и нештатные программы;

"Мошенник" - сотрудник организации, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные аппаратные и программные средства от своего имени или от имени другого сотрудника.

"Внешний нарушитель (злоумышленник)" - постороннее лицо или сотрудник организации, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования;

"Внутренний злоумышленник" - сотрудник подразделения организации, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками организации. Он может использовать весь набор методов и средств взлома системы защиты:

агентурные методы получения реквизитов доступа,

методы и средства модификации технических средств,

подключение к каналам передачи данных,

внедрение программных закладок,

использование специальных инструментальных и технологических программ.

При этом возможна комбинация воздействий как изнутри, так и извне организации - из сетей общего пользования.

Можно выделить три основных мотива нарушений:

безответственность,

самоутверждение,

корыстный интерес.

Классификация нарушителей может быть проведена по:

уровню знаний об ИС;

уровню возможностей (используемым методам и средства);

времени действия;

месту действия.

Внутренним нарушителем может быть лицо из следующих категорий персонала организации:

зарегистрированные конечные пользователи ИС организации (сотрудники подразделений организации);

сотрудники подразделений организации, не допущенные к работе с ИС;

персонал, обслуживающий технические средства ИС организации (инженеры, техники);

сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИС);

сотрудники службы безопасности организации;

руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

уволенные сотрудники организации;

представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;

члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;

лица, случайно или умышленно проникшие в ИС организации из внешних (по отношению к организации) сетей телекоммуникации.

Пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в ИС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками организации и криминальными структурами.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

работа по подбору кадров не всегда исключает возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников организации;

нарушитель скрывает свои несанкционированные действия от других сотрудников организации;

несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;

в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и ИС, финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.

2.3 Каналы утечки и НСД к информации

При выявлении каналов утечки и НСД к информации необходимо рассматривать как основные технические средства обработки информации:

вычислительная техника,

соединительные линии,

распределительные и коммутационные устройства,

так и вспомогательные технические средства и системы:

системы электропитания и заземления,

телефонной и радиосвязи,

охранной и пожарной сигнализации,

электробытовые приборы.

Важное значение имеют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены ТСОИ, металлические трубы систем отопления, водоснабжения и другие токопроводящие конструкции.

Кроме того, каналы утечки информации могут быть связаны с параметрами самих помещений.

Все каналы утечки и НСД разделяют на прямые и косвенные. Под прямыми понимают такие каналы, использование которых требует проникновения в помещения, где расположены компоненты ИС. Для косвенных каналов доступ в помещение не требуется.

По типу основного средства, используемого для реализации угрозы все возможные каналы можно условно разделить на три группы, где средствами являются: человек, программа или аппаратура.

В зависимости от способов перехвата информации, от физической природы сигналов и среды их распространения технические каналы утечки информации можно разделить на:

электромагнитные,

электрические,

параметрические.

Для электромагнитных каналов характерными являются побочные излучения:

ЭМ излучения элементов ТСОИ - носителем информации является электрический ток, сила которого, напряжение, частота или фаза изменяются по закону информационного сигнала (утечка за счет побочного излучения ЭВМ),

ЭМ излучения на частотах работы высокочастотных генераторов ВТСС - в результате внешних воздействий информационного сигнала возможна непреднамеренная модуляция ВЧ сигналов генераторов бытовой техники.

ЭМ излучения на частотах самовозбуждения усилителей низкой частоты ТСПИ - это возможно за счет преобразования ООС в паразитные ПОС, что приводит к переводу усилителя из режима усиления в режим автогенерации сигнала, который оказывается промодулированным информационным сигналом (утечка по сети радиосвязи).

Причинами возникновения электрических каналов являются:

наводки ЭМИ ТСОИ - возникают при излучении элементами ТСОИ информационных сигналов, а также при наличии гальванической связи элементов и посторонних проводников или линий ВТСС (наводки на линии коммуникаций),

просачивание информационных сигналов в цепи электропитания - возможно при наличии магнитной связи между трансформатором электропитания и трансформаторами ТСОИ,

просачивание информационных сигналов в цепи заземления - образуется за счет гальванической связи цепей заземления с проводниками выходящими за пределы контролируемой зоны, в том числе с нулевым проводом сети электропитания,

съем информации с использованием аппаратных закладок, т.е. передатчиков, установленных в ТСОИ, сигналы которых модулируются информационным сигналом и принимаются за пределами контролируемой зоны.

Параметрические каналы утечки информации формируются путем высокочастотного облучения ТСОИ, в результате которого высокочастотный сигнал модулируется информационным.

Каналы утечки акустической информации

Их можно разделить на:

воздушные,

вибрационные,

электроакустические,

оптико-электронные,

параметрические.

В воздушных каналах средой передачи является воздух, для перехвата сигналов используются миниатюрные или направленные микрофоны совместно с диктофонами или передатчиками. Автономные устройства, объединяющие микрофоны и передатчики, называются аудиозакладками. Перехваченная информация может передаваться по радиоканалу, сети электропитания или посторонним проводникам.

В вибрационных (или структурных) каналах средой распространения сигнала являются конструкция здания и коммуникаций. В этом случае для перехвата сигналов используются контактные, электронные (с усилителем) или радиостетоскопы.

Электроакустические каналы образуются за счет преобразований акустических сигналов в электрические двумя способами:

путем высокочастотного навязывания,

путем перехвата через ВТСС.

Первый способ используется, например, в устройствах, встраиваемых в телефонный аппарат или подключаемых к телефонной линии и называемых "телефонным ухом". При подаче в линию кодированного сигнала или при дозвоне к контролируемому телефону к линии подключается устройство, передающее разговор на другой телефонный номер.

Второй способ используется тогда, когда ВТСС сами содержат электроакустические преобразователи. Например, датчики пожарной сигнализации и громкоговорители. Используемый в них эффект называют микрофонным.

При облучении лазерным лучом стекол, зеркал, картин и других отражающих поверхностей создается оптико-электронный канал утечки информации. Отраженный луч модулируется акустическим сигналом, при демодуляции выделяется речевая информация. Это так называемые "лазерные микрофоны", работающие в инфракрасном диапазоне.

Параметрический канал утечки образуется в результате воздействия акустического поля на элементы высокочастотных генераторов, что приводит к изменениям параметров ВЧ сигнала, например, его модуляции информационным сигналом. Параметрический канал может быть создан и путем высокочастотного облучения помещения, где установлены полуактивные закладные устройства, имеющие элементы, параметры которых изменяются по закону акустического сигнала.

Акустический канал вообще может быть источником утечки не только речевой информации. Например, после статистической обработки звука, возникающего при печатании на клавиатуре можно получить вводимую информацию.

Перехват информации при передаче по каналу связи

Интерес со стороны злоумышленника к информации, передаваемой на расстояние, вызван тем, что протяженные каналы связи невозможно физически контролировать. В зависимости от вида канала связи технические каналы перехвата информации можно разделить на:

электромагнитные,

электрические,

индукционные.

Электромагнитный канал перехвата используется для прослушивания телефонных разговоров по радиоканалу и спутниковой связи. В этом случае применяются стандартные технические средства.

Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики, называются телефонными закладками.

Но непосредственное электрическое подключение аппаратуры перехвата является компрометирующим признаком и может вызвать изменение характеристик самого канала связи. Т.е. их можно обнаружить техническими средствами. Поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения. Современные индукционные датчики способны снимать информацию с экранированных кабелей.

Единственными надежными методами защиты информации при передаче ее по открытым каналам связи является криптографические и стеганографические методы.

Утечка видовой информации

Видовая информация получается техническими средствами в виде изображений объектов путем наблюдения и съемки объекта а также путем копирования документов. В качестве технических средств используются оптические приборы, видео- и телекамеры, приборы ночного видения.

Раздел 3. Средства, используемые злоумышленником

3.1 Технические средства добывания информации

Злоумышленник, используя различные каналы утечки и НСД к информации применяет различные технические и программные средства. Технические средства по области применения можно разделить на следующие классы:

Радио-микрофоны:

по типу электропитания (с автономным питанием, с питанием от телефонной сети, с питанием от электросети);

по управлению (управляемые дистанционно, с функцией включения по голосу);

по типу способу информации (с постоянной передачей, с накоплением и быстрой передачей информации).

Электронные уши:

проводные микрофоны,

направленные микрофоны,

лазерные микрофоны,

стетоскопы,

гидроакустические микрофоны.

Средства перехвата телефонной связи:

датчик внутри телефонного аппарата,

датчик непосредственного подключения к линии,

индукционный датчик,

средства перехвата радиосвязи.

Средства скрытого наблюдения и поиска:

оптические,

фотографические,

ночного видения,

определения местоположения.

Средства контроля компьютеров и сетей:

средства контроля монитора,

средства контроля магистрали сети,

аппаратные закладки,

программные закладки,

компьютерные вирусы.

Средства приема, записи и управления:

приемники для радиозакладок,

устройства накопления и записи,

ретрансляторы,

средства ускоренной передачи,

устройства дистанционного управления,

3.2 Программные средства добывания информации

Программными средствами добывания информации являются различные вредоносные программы.

Вредоносная программа - некоторый программный код (модуль, скрипт, макрос), созданный с целью нарушения ИБ.

Основой реализации программных средств добывания информации является наличие уязвимостей в ПО КС. Уязвимости могут быть вызваны как ошибками в алгоритмах, так и намеренными действиями разработчиков ПО. Во втором случае они представляют собой недокументированные (скрытые) функции программы, которые создаются с целью:

обеспечения тестирования программы,

облегчения сборки сложных программных комплексов,

создания скрытого средства доступа к программе, остающегося и после сборки.

Программные закладки

Программная закладка - вредоносная программа, реализованная как одна из скрытых функций системы. Создается разработчиками системы.

По воздействию программных закладок на информационную систему их подразделяют на три типа:

вносят произвольные искажения в коды программ, находящихся в оперативной памяти компьютера,

переносят фрагменты информации из одних областей оперативной или внешней памяти компьютера в другие,

искажают выводимую на внешние компьютерные устройства или канал связи информацию, полученную в результате работы других программ.

По модели функционирования ПЗ делятся на:

программно-аппаратные закладки, ассоциированные с аппаратными средствами компьютера (их средой обитания, как правило, является BIOS),

загрузочные закладки, ассоциированные с программами начальной загрузки,

драйверные закладки, ассоциированные с драйверами,

прикладные закладки, ассоциированные с ППО общего назначения (текстовые редакторы, утилиты, антивирусные мониторы и программные оболочки),

исполняемые закладки, ассоциированные с исполняемыми программными модулями, содержащими код этой закладки (чаще всего эти модули представляют собой пакетные файлы),

закладки - имитаторы, интерфейс которых совпадает и интерфейсом некоторых служебных программ, требующих ввод конфиденциальной информации (паролей, криптографических ключей, номеров кредитных карточек),

замаскированные закладки, которые маскируются под программные средства оптимизации работы компьютера (архиваторы, дефрагментаторы дисков) или под программы игрового и развлекательного назначения.

Методика защиты от ПЗ и других программных средств добывания информации реализуется в трех направлениях:

не допустить внедрения ВП в компьютерную систему,

выявить ВП,

удалить ВП.

Универсальным средством защиты от внедрения ВП является создание изолированного компьютера. Компьютер называется изолированным, если выполнены следующие условия:

в нем установлена система BIOS, не содержащая программных закладок;

операционная система проверена на наличие в ней закладок;

достоверно установлена неизменность BIOS и операционной системы для данного сеанса;

на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;

исключен запуск программ, проверенных в каких-либо иных условиях, кроме перечисленных выше, т.е. вне изолированного компьютера.

Для определения степени изолированности компьютера может использоваться модель ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке, считывается загрузочный сектор диска или драйвера операционной системы, которые, в свою очередь, также анализируются на предмет внесения в них несанкционированных изменений. И наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.

Выявление внедренного кода программной закладки заключается в обнаружении признаков его отсутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:

визуальные,

обнаруживаемые средствами тестирования и диагностики.

К визуальным признакам относятся ощущения и наблюдения пользователя КС, который отмечает определенные отклонения в ее работе (изменяется состав и длина файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро, или вообще перестают запускаться).

Несмотря на то, что суждение о наличии таких признаков является субъективным, они часто свидетельствуют о наличии неполадок и необходимости проведения дополнительных проверок присутствия программных закладок.

Признаки, выявляемые с помощью средства тестирования и диагностики, характерны для различных видов вредоносных программ. Основные виды признаков:

несогласованное изменение параметров файлов (размер, дата/время, контрольная сумма),

наличие подозрительного кода (сигнатуры).

Загрузочные закладки успешно обнаруживаются антивирусными программами. Средства проверки целостности данных на диске позволяют успешно выявлять изменения, вносимые в файлы. Также используется поиск фрагментов кода программных закладок по характерным для них сигнатурам.

Клавиатурные шпионы

Клавиатурные шпионы используются злоумышленником для перехвата паролей пользователей операционной системы, а также для определения их прав доступа.

Клавиатурные шпионы можно разделить по способу перехвата паролей на три типа: имитаторы, фильтры и заместители.

Для защиты от внедрения клавиатурных шпионов необходимо выполнение следующих условий:

работа системных процессов ввода паролей должна быть скрыта от программ прикладного уровня,

недопустимо переключение раскладок клавиатуры во время ввода пароля,

обслуживание программных модулей, участвующих в работе с паролями пользователей, разрешается только системному администратору.

Троянские программы

Троянская программа - вредоносная программа, выполняющая несанкционированные и недокументированные действия.

Троянская программа состоит из двух частей: серверной и клиентской.

Серверная часть - это исполняемый файл, который тем или иным путем внедряется на машину пользователя, и выполняет получаемые от удаленного клиента запросы.

Клиентская часть запускается на машине злоумышленника, который, связавшись с серверной частью, может выполнять различные действия: изменение файлов, чтение информации с монитора, контроль вводимых и выводимых данных.

Проникновение на компьютер троянских программ осуществляется через:

новые программы,

файлы, прикрепленные к почтовым сообщениям,

исполнимые файлы с внешними признаками неисполнимых.

Для обнаружения и защиты от троянских программ используются:

антивирусы,

межсетевые экраны,

сканеры уязвимостей.

3.3 Компьютерные вирусы

Вирус - вредоносная программа, которая кроме выполнения деструктивных действий может автоматически размножаться (возможно с самомодификацией) и распространяться на новые ИС.

Вирусы можно классифицировать по следующим признакам:

среда обитания,

способ заражения,

воздействие на ресурсы,

особенности алгоритма.

В зависимости от среды обитания вирусы можно разделить на:

Сетевые вирусы распространяются по компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, но могут внедряться и в другие типы файлов.

Загрузочные вирусы внедряются в загрузочный сектор диска.

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них.

Нерезидентные вирусы не заражают память компьютера и выполняют свои функции только во время выполнения программного модуля, в котором находятся.

По степени воздействия вирусы можно разделить на следующие виды:

неопасные, не мешающие работе компьютера, но уменьшающие объем свободной памяти, выдающие какие-либо графические или звуковые эффекты,

опасные вирусы, которые могут привести к различным нарушениям в работе компьютера,

очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма можно выделить:

простейшие вирусы, они изменяют содержимое файлов и секторов диска,

вирусы-репликаторы (черви), которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

вирусы-невидимки, (стелс-вирусы), которые перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска,

полиморфные вирусы, содержащие алгоритмы шифрования-дешифрования, из-за которых копии одного и того же вируса могут не иметь ни одной повторяющейся цепочки байтов.

Нерезидентные вирусы

COM-вирусы

Заражение.

Под заражением понимается присоединение вирусом своего кода к файлу. При этом вирус должен так модифицировать файл, чтобы во время его исполнения был выполнен переход на код вируса.

Вирусный код может быть записан в начало, конец или в середину файла. Чтобы был выполнен переход на вирус, зараженная программа модифицируется: изменяются три первых байта программы на команду перехода на код вируса. Исходные байты сохраняются в области данных вируса.

Алгоритм работы.

восстановление трех первых байтов программы,

поиск подходящего для заражения файла,

заражение,

выполнение вредоносных действий,

передача управления той программе, в которой находится вирус.

Распространение вируса.

автор разрабатывает исходный текст вируса,

исходный текст компилируется, создается исполняемый файл (запускающая програма),

запускающая программа доставляется на машину, которую надо заразить и исполняется на ней.

EXE-вирусы

Заражение.

Как и для COM-программ вирус может быть записан в начало, конец или в середину файла. Чтобы вирус получил управление, должен быть изменен заголовок EXE-файла.

Алгоритм работы.

поиск подходящего EXE-файла,

сохранение заголовка заражаемого файла,

заражение,

выполнение вредоносных действий,

вычисление корректных значений сегментных регистров для передачи управления зараженной программе,

передача управления программе.

Распространение вируса.

Аналогично COM-вирусу.

Резидентные вирусы

COM-вирусы

Все резидентные программы строятся одинаково и состоят из секции инициализации и резидентной части. Резидентная часть состоит из одной или нескольких подпрограмм-обработчиков прерываний. Секция инициализации изменяет вектора в таблице прерываний так, чтобы они указывали на точки входа подпрограмм резидентной части.

Секция инициализации:

получает управление при запуске зараженной программы,

проверяется, установлена ли в памяти резидентная часть вируса,

если резидентная часть не установлена, то выполняются действия:

поиск области памяти для размещения резидентной части.

копируется резидентная часть,

изменяются вектора прерываний.

Резидентная часть.

анализирует вызова прерываний работы с диском,

если обнаружен переход по дереву каталогов, то выполняется поиск и заражение подходящего COM-файла,

заражение,

выполнение вредоносных действий,

передача управления той программе, в которой находится вирус.

EXE-вирусы

Аналогично работе резидентного COM-вируса. Выполняется работа с заголовками exe-файлов.

Загрузочные вирусы

Загрузочными называются вирусы, способные заражать загрузочные сектора и загрузочные записи дисков.

Заражение.

Изменение загрузочного сектора или загрузочной записи (добавление своего кода в свободную область).

Алгоритм работы.

При начальной загрузке компьютера с зараженного диска:

выполняется копирование зараженной загрузочной области в свободную область памяти,

изменяются значения векторов прерываний,

фрагмент загрузочной области без кода вируса копируется в память по адресу 0000:7C00h и ему передается управление.

При обращении к новому диску:

выполняется проверка на то, заражена ли область начальной загрузки,

если нет, то она заражается,

заражение,

выполнение вредоносных действий,

передача управления той программе, в которой находится вирус.

Распространение вируса.

Чтобы вирус заразил новый компьютер достаточно просто попробовать загрузиться с зараженной дискеты, для этого ей совсем не обязательно быть загрузочной. информационный безопасность вирус идентификация

Windows-вирусы

Чтобы оставить выполняемый код резидентным в Windows существуют 3 способа:

зарегистрировать программу, как одно из приложений работающих в данный момент,

выделить блок памяти при помощи DPMI-вызова и скопировать в него код вируса,

остаться резидентно как драйвер.

Обращения к файлам выполняется через перехват либо прерывания 21h, либо системных вызовов API.

Макровирусы

Макровирусы перехватывают системные вызовы, возникающие при работе с документами и таблицами. Для этого они переопределяют один или несколько системных макросов и функций. При этом даже не требуется делать проверку на наличие этого вируса новый макрос уничтожает старый с таким же именем.

Стелс-вирусы

Стелс-вирусы различными способами скрывают факт своего присутствия в системе.

Загрузочные стелс-вирусы используют два способа:

вирус перехватывает команду чтения зараженного сектора и подставляет вместо него оригинал,

при запуске любой программы восстанавливается зараженный сектор, а при ее завершении он снова заражается - используется контроль INT 21h.

Большинство файловых стелс-вирусов используют приемы описанные выше. Но при использовании первого способа вирусы становятся громоздки, т.к. приходится обрабатывать много различных событий. Часто вирусы используют часть стелс-функций, например, подменяют размер зараженного файла исходным размером.

Полиморфные вирусы

Полиморфные вирусы - это такие вирусы, которые крайне сложно или вообще невозможно обнаружить с использованием вирусных сигнатур (участков кода, характерных для конкретного вируса) из-за того, что код вируса при заражении нового файла изменяется.

Основные способы изменения кода вируса:

добавление инструкций, не изменяющих алгоритм работы вируса,

использование взаимозаменяемых инструкций и изменение порядка следования независимых команд,

перестановка инструкций с добавлением команд перехода,

перестановка данных с изменением значений смещения в командах чтения-записи.

Полиморфные вирусы могут использовать несколько наборов постоянных алгоритмов шифрования для изменения своего кода при новом заражении. Расшифровка производится самим вирусом уже непосредственно во время выполнения.

Антивирусные программы

Основные функции антивирусов:

обнаружение вирусов,

препятствие работе вирусов,

удаление вирусов и устранение последствий их работы.

Детекторы (сканеры). Позволяют обнаруживать файлы, зараженные одним из известных вирусов по признаку наличия сигнатуры вируса. Основное преимущество - высокая надежность в обнаружении известных вирусов. Детекторы с функцией доктора позволяют вылечить файл от вируса.

Ревизоры. Их работа основывается на сравнении состояния программ и системных областей дисков с сохраненными ранее. Основным признаком того, что эти изменения были сделаны именно вирусом является наличие одинаковых изменений в разных программах. Преимущество - можно обнаружить неизвестные вирусы.

Мониторы (фильтры). Располагаются резидентно в оперативной памяти и перехватывают те обращения к операционной системе, которые могут использоваться вирусами, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции, а также проверить программу, инициировавшую обращение на наличие вирусов. Преимущество использования - позволяют обнаружить многие вирусы на ранней стадии, когда вирус еще не успел размножиться.

Иммунизаторы (вакцины). Модифицируют программы и диски таким образом, что это не отражается на работе программ, вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными.

Раздел 4. Методология защиты информации

4.1 Принципы построения и направления работ по созданию СИБ

Принципы построения СИБ

Принцип системности. Системный подход предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности.

Принцип комплексности предполагает согласованное применение разнородных средств при построении целостной СИБ, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Принцип непрерывности защиты. ЗИ - это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Принцип разумной достаточности. Создать абсолютно непреодолимую систему безопасности принципиально невозможно. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Принцип гибкости управления и применения. Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень безопасности. Данный принцип подразумевает возможность изменения уровня защищенности в зависимости от изменения внешних условий и требований с течением времени.