Неформальная модель нарушителя в АСОИ

Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы.

При разработке модели нарушителя определяются предположения о:

· категориях лиц, к которым может принадлежать нарушитель;

· мотивах действий нарушителя (цели);

· квалификации нарушителя и его технической оснащенности;

· характере возможных действий нарушителей.

По отношению к АСОИ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами).

Внутренним нарушителем может быть лицо из следующих категорий персонала:

· пользователи (операторы) системы;

· персонал, обслуживающий технические средства (инженеры, техники);

· сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

· технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АСОИ);

· сотрудники службы безопасности АСОИ;

· руководители различных уровней.

Внешними нарушителями могут быть:

· клиенты (представители других организаций, физические лица);

· посетители (приглашенные по какому-либо поводу);

· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

· лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АСОИ);

· любые лица, находящиеся внутри контролируемой территории.

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к АСОИ успехом самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности АСОИ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИ информации. Даже если АСОИ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об АСОИ:

· знает функциональные особенности АСОИ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

· обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

· обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

· знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

· применяющий агентурные методы получения сведений;

· применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

· использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные съемные носители информации, которые могут быть скрытно пронесены через посты охраны;

· применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

· в процессе функционирования АСОИ;

· в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

· в любом случае.

По месту действия:

· без доступа на контролируемую территорию организации;

· с контролируемой территории без доступа в здания и сооружения;

· внутри помещений, но без доступа к техническим средствам АСОИ;

· с рабочих мест конечных пользователей (операторов) АСОИ;

· с доступом в зону данных (баз данных, архивов и т.п.);

· с доступом в зону управления средствами обеспечения безопасности АСОИ.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.

Удаленные атаки на АСОИ

Цель предпринимаемых злоумышленниками атак на компьютеры АСОИ, подключенных к Internet, состоит в получении доступа к их информационным и сетевым ресурсам.

Принципиальным отличием атак, осуществляемых злоумышленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как "удаленных".

Под удаленной атакой принято понимать несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.

Для удаленной атаки можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.

Тогда типовая удаленная атака – это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной системы.

Объектом удаленных атак могут стать следующие виды сетевых устройств:

· оконечные устройства;

· каналы связи;

· промежуточные устройства: ретрансляторы, шлюзы, модемы и т.п.

Рассмотрим классификацию удаленных атак по следующим шести основным критериям:

1. По характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослушивание каналов связи и перехват вводимой с клавиатуры информации; примером второго типа является атака "третий посередине", когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Internet или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях).

2. По цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ресурсов – их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки – "отказ в обслуживании).

3. По условию начала осуществления воздействия атака может быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке определенного запроса от атакуемого объекта, либо при наступлении ожидаемого события на атакуемом объекте.

4. По наличию обратной связи с атакуемым объектом различают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной).

5. По расположению субъекта атаки относительно атакуемого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны располагаться в том же сегменте сети, который интересует злоумышленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения).

6. По уровню эталонной модели взаимосвязи открытых систем OSI Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализовываться на всех семи уровнях – физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном.

Среди выше перечисленных удаленных атак можно выделить пять основных и наиболее часто предпринимаемых типовых удаленных атак:

1. Анализ сетевого трафика осуществляется путем прослушивания канала связи с помощью специальных средств – снифферов. Эта атака позволяет:

· изучить логику работы сети в дальнейшем это позволит злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

· перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС – для извлечения коммерческой или идентификационной информации (например, паролей пользователей), ее подмены, модификации и т.п.