Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.
Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.
Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:
- ущерб репутации организации;
- неприятности, связанные с нарушением действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.
Оценка характеристик факторов риска
Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.
Вероятность того, что угроза реализуется, определяется следующими основными факторами:
- привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
- простотой использования уязвимости при проведении атаки.
Уязвимые места
Теперь рассмотрим уязвимые места, наиболее характерные для описанных выше сетевых ресурсов организации, подключенных к глобальной сети Интернет. Параллельно будут излагаться возможные способы "закрытия" (ликвидации) этих уязвимостей.
4.1. "Дыры" в сетевых ОС
Самым главным уязвимым местом СВТ, существующим на сегодняшний день, является наличие так называемых "дыр" в сетевых ОС - недостатков и ошибок реализации примитивов безопасности, заложенных в стандартную поставку операционной системы и реализацию стека протоколов TCP/IP. В связи с наличием таких "дыр" существует огромное число сетевых атак, направленных на реализацию угроз, связанных с выведением системы из строя (отказ в обслуживании), получения неавторизованного доступа по управлению конкретным СВТ или доступа к чтению и модификации конфиденциальных данных злоумышленником.
Для ликвидации указанных "дыр" к каждой версии ОС через некоторое время после ее выпуска появляются программы-заплатки (patches), однако, как правило, они сильно запаздывают по времени, и к моменту выхода очередной "заплатки" для ОС уже существует большое число атак, использующие уязвимость, которая ликвидируется данной "заплаткой".
4.2. Слабая аутентификация
Слабая аутентификация (weak authentication) - недостаток системы, программы или протокола, реализующих идентификацию и аутентификацию (т.е. подтверждение подлинности) удаленной системы и/или пользователя, причем слабость означает возможность легкой фальсификации результатов идентификации и аутентификации (identification and authentication - I&A) злоумышленником и выдачи себя за легального пользователя системы с целью получения несанкционированного доступа. Слабой аутентификацией обладают почти все стандартные протоколы прикладного уровня: ftp, telnet, rsh, rexec и т.п. - в них аутентификация пользователя производится с помощью парольной фразы условно-постоянного действия, которая передается по сети в незашифрованном виде, а идентификация и аутентификация СВТ осуществляется с только (!) помощью IP-адреса.
Внутри организации вполне допускается использование программ и протоколов со слабой аутентификацией, поскольку основные сетевые атаки осуществляются извне. Если необходим доступ с удаленной рабочей станции из внешней сети к серверу организации, то можно использовать какой-нибудь протокол с сильной аутентификацией (strong authentication): SSH, SSL, S/MIME. В таком случае, необходимо, чтобы данный протокол поддерживался сервером, к которому производится обращение из глобальной сети.
При использовании межсетевого экрана, возможно возложение задачи надежной аутентификации и поддержки протоколов с сильной аутентификацией непосредственно на сам межсетевой экран. В этом случае отпадает необходимость в каком-либо усилении стандартных средств идентификации и аутентификации, входящих в состав программ, функционирующих на серверах, защищаемых данным межсетевым экраном, и отвечающих за поддержку соответствующих протоколов прикладного уровня.
4.3. "Активные" данные
Внутри данных, которые передаются по компьютерной сети, может содержаться исполняемый код, записанный в некотором формате: exe, JavaScript, ActiveX, shell script, MSWord document и т.п. Такие данные называются "активными". Указанный исполняемый код может быть "враждебным" (malicious software), т.е. содержать вирусы, программные "закладки"; и т.п. В принципе, если не принимать специальных мер, злоумышленник, написав искусным образом указанный исполняемый код, может получить практически неограниченный удаленный доступ на том компьютере, на котором будут получены "активные" данные, содержащие написанный злоумышленником код.
В качестве упомянутых специальных мер могут использоваться регулярные проверки каждого компьютера антивирусным пакетом, отключение действия макросов в документах MSWord, отключение исполнения апплетов JavaScript и модулей ActiveX, исполнение Java-программ в безопасной среде.
Другой способ защиты (реализованный во многих межсетевых экранах экспертного типа) от такой угрозы - инспектирование получаемых из компьютерной сети "активных" данных в реальном масштабе времени, что дает гораздо более высокий уровень защиты от проникновения вирусов и установки программных "закладок" злоумышленником по сравнению с описанными выше мерами. Под инспектированием (inspection) данных в данном случае понимается контроль (например, антивирусный) получаемых/пересылаемых данных с целью блокирования "враждебного" кода, содержащегося в них.
4.4. Неразвитые средства мониторинга и управления
Еще одним уязвимым местом используемых СВТ является неразвитость инструментов мониторинга и контроля безопасности (security monitoring and control). Обычно штатные средства ОС позволяют только просмотреть активные в данный момент задачи на конкретном компьютере, а также активные в данный момент соединения с данным компьютером. Конечно, существуют средства ОС протоколирующие все нештатные ситуации (unusual situations), происходящие на компьютере, однако набор контролируемых нештатных ситуаций обычно невелик. Практически полностью отсутствуют средства удаленной сигнализации (например, по электронной почте или на пейджер) администратору системы о происходящих нештатных ситуациях. Средства безопасного удаленного управления и мониторинга также обычно минимальны.
Как правило, отсутствует хороший интуитивно-понятный графический интерфейс с пользователем (GUI), позволяющий легко осуществлять наиболее часто выполняемые операции управления и мониторинга безопасности, существенно снижающий вероятность ошибки администратора.