Несанкционированный доступ к информации, передаваемой в телекоммуникационных системах, имеет целью:
• наблюдение за выполнением процессов;
• внесение изменений;
• ликвидацию информации;
• ввод ложной информации;
• задержку;
• запись;
• изменение маршрута;
• дублирование (повторная передача ранее переданных сообщений).
Обобщенно процесс реализации угроз несанкционированного доступа включает следующие этапы:
• сбор сведений о системе в целом;
• изучение системы защиты информации в ТКС и выделение ее слабых мест;
• анализ и разработка средств воздействия на средства защиты информации на основе новых информационных технологий (преодоление средств защиты происходит там, где злоумышленник имеет более мощные (развитые) информационные технологии);
• разработка средств воздействия на информацию;
• попытки вхождения в сеть, преодоление средств защиты и осуществление требуемого воздействия на информационный ресурс пользователей сети или общий сетевой ресурс.
Процесс НСД осуществляется в два этапа:
• сбор сведений о ТКС и встроенных системах защиты;
• выполнение попыток вхождения в систему.
Сбор сведений в общем случае осуществляется следующими путями:
• подбором соучастников, подслушиванием разговоров, подключением к телефонным аппаратам, телексам;
• изучением утерянных инструкций, документов;
• анализом периодических изданий и документации;
• перехватом сообщений;
• подслушиванием разговоров по телефонам и радиосетям;
• перехватом информации и побочного электромагнитного излучения (включая перехват от дисплейных терминалов и перехват информации с систем спутниковой связи);
• перехватом паролей, ключей;
• организацией краж с целью получения информации для последующего вхождения в ТКС;
• вымогательством, подкупом.
После получения необходимого объема предварительной информации осуществляется непосредственное вторжение в ТКС.
Номенклатура и количество используемых при этом средств зависит от количества информации о ТКС, ее подлинности (достоверности), от разницы во времени между ее получением и попытками входа в ТКС. Чтобы осуществить несанкционированное вхождение в ТКС, необходимо иметь доступ к компьютерам (терминала), линиям связи, иметь протоколы работы, описания процедур вхождения в ТКС, коды пользователей и пароли.
Один из первых шагов для идентификации системы — автоматический перебор возможных комбинаций цифр с целью установления телефонного номера модема.
Использование большого числа связанных между собой ЭВМ различных типов породило большое разнообразие пакетов программ, модемов и анализаторов каналов, с помощью которых становится возможным выявление используемых протоколов.
Целесообразно выдавать как можно меньше информации о самой ТКС до момента идентификации пользователя и предоставления ему права доступа в ТКС, так как, узнав основной формат вхождения в сеть, лица (субъекты), выполняющие НСД, начинают экспериментировать с различными паролями, вычислять имена и пытаться разрушить защиту.
При несанкционированном доступе идентификаторы пользователя зачастую играют роль вспомогательных средств вхождения в систему, так как легко вычисляются. Поэтому эти идентификаторы в дальнейшем лучше использовать как средства административного контроля и учета.
Наиболее трудным шагом при НСД является добывание паролей. Иногда эта задача может быть легко выполнена вследствие плохой организации процедуры выдачи разрешений на доступ к базам данных ТКС. Халатное отношение пользователей к хранению паролей и ключей является облегчением пути вхождения в сеть при НСД. Кроме того, недостатки самих паролей дают возможность их раскрытия при наборе пароля на клавиатуре, при ошибочных исправлениях, в процессе раздачи паролей, во время замены утерянного пароля, а также при отсутствии регистрации нарушений при вхождении или когда одинаковый пароль используется неоднократно в одной и той же сети для различных пользователей.
Защита сетей от удаленных атак
Наиболее простыми и дешёвыми являются административные методы защиты, как то использование в сети стойкой криптографии, статических ARP-таблиц, hosts файлов вместо выделенных DNS-серверов, использование или неиспользование определённых операционных систем и другие методы.
Следующая группа методов защиты от удалённых атак - программно-аппаратные. К ним относятся:
- программно-аппаратные шифраторы сетевого трафика;
- методика Firewall;
- защищённые сетевые криптопротоколы;
- программные средства обнаружения атак (IDS - Intrusion Detection Systems или ICE - Intrusion Countermeasures Electronics);
- программные средства анализа защищённости (SATAN - Security Analysis Network Tool for Administrator, SAINT, SAFEsuite, RealSecure и др.);
- защищённые сетевые ОС.
В общем случае методика Firewall реализует следующие основные функции:
1. Многоуровневая фильтрация сетевого трафика;
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте. Смысл proxy-схемы заключается в создании соединения с конечным адресатом через промежуточный proxy-сервер на хосте Firewall;
3. Создание приватных сетей с "виртуальными" IP-адресами. Используется для скрытия истинной топологии внутренней IP-сети.
Здесь можно выделить подгруппу методов защиты - программные методы. К ним относятся, прежде всего, защищённые криптопротоколы, используя которые можно повысить надёжность защиты соединения.
БИЛЕТ № 8
Обеспечение защиты информации в ТКС
Организацию защиты информации следует рассматривать в двух аспектах: как совокупность мер по обеспечению информационной безопасности личности, общества и государства и как совокупность мер по соблюдению информационной безопасности составляющих системы национальной безопасности.
Выбор и реализация способов защиты информации основываются на переработке информации, отражающей возникшую в той или иной сфере ситуацию угрозы и возможности государства по ее отражению. Достоверность, полнота, своевременность и защищенность являются важнейшими показателями, характеризующими правильность и эффективность принимаемых решений по обеспечению информационной безопасности. Это позволяет рассматривать защиту информации как неотъемлемую часть национальной безопасности в целом и каждой из ее составляющих.
Обеспечение информационной безопасности в ведомственных информационно-телекоммуникационных системах органов государственной власти России (в том числе специальных объектов) является одной из важнейших компонент национальной безопасности и направлено на предупреждение и нейтрализацию внешних и внутренних угроз в различных сферах деятельности государства.
Поскольку циркулирующая в каналах ТКС государственных органов информация представляет особый интерес для иностранных спецслужб и отечественных теневых и мафиозных структур, вопросы ее защиты рассматриваются как важнейшая составляющая информационной безопасности.
Система обеспечения защиты информации в каждой конкретной ТКС, а также подход к ее построению и реализации — индивидуальны. Однако во всех случаях для создания эффективной комплексной защиты информации необходимо:
1) выявить все возможные факторы, влияющие на уязвимость информации подлежащей защите, т.е. построить модель угроз информационной безопасности ТКС и выявить каналы утечки информации;
2) обосновать возможные методы защиты информации, направленные на устранение выявленных угроз;
3) создать комплексную систему, обеспечивающую качественное решение задач защиты информации в ТКС, основанную на минимизации ущерба от возможной утечки информации.
Симметричные шифры DES.
DES (Data Encryption Standard) — симметричный алгоритм шифрования, разработанный фирмой IBM и утвержденный правительством США в 1977 году как официальный стандарт (FIPS 46-3). DES имеет блоки по 64 бита и 16 цикловую структуру сети Фейстеля, для шифрования использует ключ с длиной 56 бит. Алгоритм использует комбинацию нелинейных (S-блоки) и линейных (перестановки E, IP, IP-1) преобразований. Для DES рекомендовано несколько режимов:
· режим электронной кодовой книги (ECB — Electronic Code Book),
· режим сцепления блоков (СВС — Cipher Block Chaining),
· режим обратной связи по шифротексту (CFB — Cipher Feed Back),
· режим обратной связи по выходу (OFB — Output Feed Back).
БИЛЕТ № 9