Информационная безопасность

Оглавление

Введение

В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности.

Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений. Но злоупотреблений компьютерами и ошибок еще больше.

Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в  области безопасности.

Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Именно поэтому тема курсовой работы «Информационная безопасность и защита информации» актуальна.

Целью информационной безопасности является обезопасить  ценности системы, защитить и гарантировать  точность и целостность информации, минимизировать разрушения, которые  могут иметь место, если информация будет модифицирована или разрушена.[1]

Для того чтобы обеспечить эффективную защиту информации, необходимо в первую очередь рассмотреть  и проанализировать все факторы, представляющие угрозу информационной безопасности.

Целью данной курсовой работы является описание угроз информационной безопасности и описание программы Microsoft Security Assessment Tool, предназначенной для оценки и управления информационными рисками.

Угрозы информационной безопасности.

Угрозы информационной безопасности можно классифицировать по различным признакам.

По аспекту  информационной безопасности, на который направлены угрозы, выделяют:

• Угрозы конфиденциальности. Они заключаются в неправомерном доступе к конфиденциальной информации.
• Угрозы целостности. Эти угрозы означают любое преднамеренное преобразование данных, содержащихся в информационной системы.
• Угрозы доступности. Их осуществление приводит к полной или временной невозможности получения доступа к ресурсам информационной системы.

По степени  преднамеренности действий угрозы делят на:

• Случайные. Эти угрозы не связаны с умышленными действиями правонарушителей; осуществляются они в случайные моменты времени. Источниками этих угроз могут служить стихийные бедствия и аварии, ошибки при разработке информационной системы, сбои и отказы систем, ошибки пользователей и обслуживающего персонала. Согласно статистическим данным, эти угрозы наносят до 80 % от всего ущерба, наносимого различными видами угроз. Однако следует отметить, что этот тип угроз довольно хорошо изучен, и имеется весомый опыт борьбы с ними. Снизить потери от реализации угроз данного класса помогут такие меры, как: использование современных технологий для разработки технических и программных средств, эффективная эксплуатация информационных систем, создание резервных копий информации.
• Преднамеренные. Они, как правило, связаны с действиями какого-либо человека, недовольного своим материальным положением или желающего самоутвердиться путём реализации такой угрозы. Эти угрозы можно разделить на пять групп: шпионаж и диверсии, несанкционированный доступ к информации, электромагнитные излучения и наводки, модификация структуры информационных систем, вредительские программы. В отличие от случайных, преднамеренные угрозы являются менее изученными за счет их высокой динамичности и постоянного пополнения новыми угрозами, что затрудняет борьбу с ними.

По расположению источника угроз:

• Внутренние. Источники этих угроз располагаются внутри системы.
• Внешние. Источники данных угроз находятся вне системы.

По степени зависимости  от активности информационной системы:

• Угрозы, реализация которых не зависит от активности информационной системы.
• Угрозы, осуществление которых возможно только при автоматизированной обработке данных.

По размерам наносимого ущерба:

• Общие. Эти угрозы наносят ущерб объекту безопасности в целом, причиняя значительное отрицательное влияние на условия его деятельности.
• Локальные.. Угрозы этого типа воздействуют на условия существования отдельных частей объекта безопасности.
• Частные. Они причиняют вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности.

По степени воздействия  на информационную систему:

• Пассивные. При реализации данных угроз структура и содержание системы не изменяются.
• Активные. При их осуществлении структура и содержание системы подвергается изменениям. [2]

Основные угрозы конфиденциальности.

Конфиденциальную информацию можно разделить на предметную и  служебную. Служебная информация (например, пароли пользователей) не относится  к определенной предметной области, в информационной системе она  играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена  для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей  не одной, а целого ряда систем (информационных сервисов). Если для доступа к  таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но ив записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности - частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум -трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимых мест можно назвать размещением  конфиденциальных данных в среде, где  им не обеспечена (зачастую - и не может  быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна - осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях Весьма опасной угрозой  являются выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при у даленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки - это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для  защиты данных на основных носителях  применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.

Перехват данных - очень  серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной не технической  угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К неприятным угрозам, от которых трудно защищаться, можно  отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Таковы основные угрозы, которые наносят наибольший ущерб  субъектам информационных отношений. [3]

Основные угрозы целостности.

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи  и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен общий ущерб в размере 882 миллионов долларов. Можно предположить, что реальный ущерб был намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты; не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве случаев  виновниками оказывались штатные  сотрудники организаций, отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность  внутренних угроз, хотя говорят и  пишут о них значительно меньше, чем о внешних.

Ранее мы проводили различие между статической и динамической целостностью. С целью нарушения  статической целостности злоумышленник (как правило, штатный сотру дник) может:

• ввести неверные данные;
• изменить данные.

Иногда изменяются содержательные данные, иногда - служебная информация. Показательный случай нарушения целостности имел место в 1996 году. Служащая Oracle (личный секретарь вице -президента) предъявила судебный иск, обвиняя президента корпорации в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное письмо, якобы отправленное ее начальником президенту. Содержание письма для нас сейчас не важно; важно время отправки. Дело в том, что вице - президент предъявил, в свою очередь, файл с регистрационной информацией компании сотовой связи, из которого явствовало, что в указанное время он разговаривал по мобильному телефону, находясь вдалеке от своего рабочего места. Таким образом, в суде состоялось противостояние "файл против файла". Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его целостность.

Суд решил, что подделали  электронное письмо (секретарша знала  пароль вице-президента, поскольку  ей было поручено его менять), и иск  был отвергнут.. .

(Теоретически возможно, что оба фигурировавших на  су де файла были подлинными, корректными с точки зрения  целостности, а письмо отправили  пакетными средствами, однако, на  наш взгляд, это было бы очень  странное для вице-президента  действие.)

Из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепого доверия компьютерной информации. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя (мы приводили соответствующие примеры). Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Еще один урок: угрозой целостности является не только

фальсификация или изменение  данных, но и отказ от совершенных  действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально  уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного ПО - пример подобного нарушения.

Угрозами динамической целостности являются нарушение  атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием. [3]

Наиболее распространенные угрозы доступности.

Самыми частыми и  самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и  других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько  безграмотность и небрежность в  работе.

Очевидно, самый радикальный  способ борьбы с непреднамеренными  ошибками - максимальная автоматизация  и строгий контроль.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

• отказ пользователей;
• внутренний отказ информационной системы;
• отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы: