Атака отказа от обязательств направлена против возможности идентификации информации, другими словами, это попытка дать неверную информацию о реальном событии или транзакции. Выделяют следующие виды атаки отказа от обязательств:
· маскарад;
· отрицание события.
Маскарад – это выполнение действий под видом другого пользователя или другой системы. Такая атака реализуется при связи через персональные устройства, при осуществлении финансовых операций или при передаче информации от одной системы к другой.
Отрицание события – это отказ от факта совершения операции. Например, человек делает покупку в магазине при помощи кредитной карты. Когда приходит счет, он заявляет компании, предоставившей ему кредитную карту, что никогда не делал этой покупки.
Атаки отказа от обязательств выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде.
По отношению к информации, хранящейся в виде бумажных документов можно привести следующие примеры атак отказа от обязательств.
Злоумышленник выдает себя за другого человека, используя чужие документы. Это легче делать, если документ напечатан, а не написан от руки.
Злоумышленник отрицает факт свершения сделки. Если на контракте или квитанции кредитной карты имеется подпись, он заявит, что это не его подпись. Естественно, планируя такую атаку, он постарается, чтобы подпись выглядела неправдоподобно.
Атаки на отказ от обязательств выполняются гораздо успешнее, если информация представлена в электронном виде. Ведь электронный документ может создать и отправить кто угодно.
В электронной среде гораздо легче отрицать факт свершения какого-либо события, ведь на цифровых документах нет рукописной подписи. Если документ не имеет цифровой подписи, то невозможно доказать его принадлежность определенному человеку. Но даже если подпись имеется, всегда можно сказать, что она украдена или что раскрыт пароль, защищающий ключ. Таким образом, очень трудно связать конкретного человека с конкретным событием – намного легче отрицать это.
Классификация методов и средств защиты информации
На первом этапе развития концепций обеспечения информационной безопасности преимущество отдавалось программным средствам защиты. Когда практика показала, что для обеспечения безопасности этого недостаточно, интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Классификация методов и средств защиты информации представлена на рис. 1.2.
| ||
Рис. 1.2. Классификация методов и средств защиты информации
|
