Неформальная модель нарушителя в АСОИ

Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы.

При разработке модели нарушителя определяются предположения о:

· категориях лиц, к которым может принадлежать нарушитель;

· мотивах действий нарушителя (цели);

· квалификации нарушителя и его технической оснащенности;

· характере возможных действий нарушителей.

 

По отношению к АСОИ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами).

Внутренним нарушителем может быть лицо из следующих категорий персонала:

· пользователи (операторы) системы;

· персонал, обслуживающий технические средства (инженеры, техники);

· сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

· технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АСОИ);

· сотрудники службы безопасности АСОИ;

· руководители различных уровней.

 

Внешними нарушителями могут быть:

· клиенты (представители других организаций, физические лица);

· посетители (приглашенные по какому-либо поводу);

· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

· лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АСОИ);

· любые лица, находящиеся внутри контролируемой территории.

 

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к АСОИ успехом самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности АСОИ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИ информации. Даже если АСОИ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

 

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об АСОИ:

· знает функциональные особенности АСОИ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

· обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

· обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

· знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

 

По уровню возможностей (используемым методам и средствам):

· применяющий агентурные методы получения сведений;

· применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

· использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные съемные носители информации, которые могут быть скрытно пронесены через посты охраны;

· применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

 

По времени действия:

· в процессе функционирования АСОИ;

· в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

· в любом случае.

 

По месту действия:

· без доступа на контролируемую территорию организации;

· с контролируемой территории без доступа в здания и сооружения;

· внутри помещений, но без доступа к техническим средствам АСОИ;

· с рабочих мест конечных пользователей (операторов) АСОИ;

· с доступом в зону данных (баз данных, архивов и т.п.);

· с доступом в зону управления средствами обеспечения безопасности АСОИ.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.

Удаленные атаки на АСОИ

Цель предпринимаемых злоумышленниками атак на компью­теры АСОИ, подключенных к Internet, состоит в получении доступа к их информационным и сетевым ресурсам.

 

 

Принципиальным отличием атак, осуществляемых злоумыш­ленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как "удаленных".

 

 

Под удаленной атакой принято понимать несанкционирован­ное информационное воздействие на распределенную вычисли­тельную систему, программно осуществляемое по каналам связи.

Для удаленной атаки можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.

Тогда типовая удаленная атака – это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычисли­тельной системы.

Объектом удаленных атак могут стать следующие виды сете­вых устройств:

· оконечные устройства;

· каналы связи;

· промежуточные устройства: ретрансляторы, шлюзы, моде­мы и т.п.

Рассмотрим классификацию удаленных атак по следующим шести основным критериям:

1. По характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослу­шивание каналов связи и перехват вводимой с клавиатуры инфор­мации; примером второго типа является атака "третий посереди­не", когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Internet или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях).

2. По цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ре­сурсов – их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки – "отказ в обслуживании).

3. По условию начала осуществления воздействия атака мо­жет быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке опре­деленного запроса от атакуемого объекта, либо при наступ­лении ожидаемого события на атакуемом объекте.

4. По наличию обратной связи с атакуемым объектом разли­чают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной).

5. По расположению субъекта атаки относительно атакуе­мого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны распо­лагаться в том же сегменте сети, который интересует злоумыш­ленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения).

6. По уровню эталонной модели взаимосвязи открытых сис­тем OSI Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализо­вываться на всех семи уровнях – физическом, канальном, сете­вом, транспортном, сеансовом, представительном и прикладном.

Среди выше перечисленных удаленных атак можно выделить пять основ­ных и наиболее часто предпринимаемых типо­вых удаленных атак:

1. Анализ сетевого трафика осуществляется путем прослушивания канала свя­зи с помощью специальных средств – снифферов. Эта атака позволяет:

· изучить логику работы сети в дальнейшем это позволит злоумышленнику на основе задания со­ответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

· перехватить поток передаваемых данных, которыми обме­ниваются компоненты сетевой ОС – для извлечения коммерческой или идентификационной информации (например, па­ролей пользователей), ее под­мены, модификации и т.п.