Системы защиты информации и вычислительных сетей

Основных понятий компьютерной безопасности всего три. Это угрозы, атаки и уязвимости.

Угрозабезопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти. Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угрозараскрытиязаключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова «раскрытие» используются термины «кража» или «утечка».

Угрозацелостностивключает в себя любое умышленное изменение (модификацию или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угрозаотказа в обслуживаниивозникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Атакана компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.

3. Особенности безопасности компьютерных сетей

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удаленным атакам приобретает первостепенное значение

4. Классификация компьютерных атак

Эффективная защита от потенциальных сетевых атак невозможна без их детальной классификации, облегчающей их выявление и задачу противодействия им. В настоящее время известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные и т. д. К сожалению, несмотря на то, что некоторые из существующих классификаций мало применимы на практике, их активно используют при выборе СОА и их эксплуатации.

Рассмотрение существующих классификаций:

удаленное проникновение (от англ. remotepenetration) - это тип атак, которые позволяют реализовать удаленное управление компьютером через сеть; например, атаки с использованием программ NetBus или BackOrifice;

локальное проникновение (от англ. localpenetration) - это тип атак, которые приводят к получению несанкционированного доступа к узлу, на который они направлены; примером такой атаки является атака с использованием программы GetAdmin;

удаленный отказ в обслуживании (от англ. remotedenialofservice) - тип атак, которые позволяют нарушить функционирование системы в рамках глобальной сети; пример такой атаки - Teardrop или trinOO;

локальный отказ в обслуживании (от англ. localdenialofservice) - тип атак, позволяющих нарушить функционирование системы в рамках локальной сети. В качестве примера такой атаки можно привести внедрение и запуск враждебной программы, которая загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений;

атаки с использованием сетевых сканеров (от англ. networkscanners) - это тип атак, основанных на использовании сетевых сканеров - программ, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки; пример: атака с использованием утилиты nmap;

атаки с использованием сканеров уязвимостей (от англ. vulnerabilityscanners) - тип атак, основанных на использовании сканеров уязвимостей - программ, осуществляющих поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак; примерами сетевых сканеров могут служить системы SATAN и ShadowSecurityScanner;

атаки с использованием взломщиков паролей (от англ. passwordcrackers) - это тип атак, которые основаны на использовании взломщиков паролей - программ, подбирающих пароли пользователей; например, программа LOphtCrack для ОС Windows или программа Crack для ОС Unix;

атаки с использованием анализаторов протоколов (от англ. sniffers) - это тип атак, основанных на использовании анализаторов протоколов - программах, «прослушивающих сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как идентификаторы и пароли пользователей, информацию о кредитных картах и т. д.

Приведенная классификация является достаточно полной с практической точки зрения, так как она охватывает почти все возможные действия злоумышленника. Однако для противодействия сетевым атакам этого недостаточно, так как ее использование в данном виде не позволяет определять элементы сети, подверженные воздействию той или иной атаки, а также последствия, к которым может привести успешная реализация атак. В таком случае мы не включаем в анализ самый важный компонент, а именно - модель угроз безопасности, с построения которой должны начинаться все мероприятия по обеспечению защиты информации.

Аналогичным недостатком страдает и более компактная классификация, предложенная компанией InternetSecuritySystems, Inc., в которой содержится всего лишь пять типов атак:

сбор информации (от англ. informationgathering) ;

попытки несанкционированного доступа (от англ. unauthorizedaccessattempts) ;

отказ в обслуживании (от англ. denialofservice) ;

подозрительная активность (от англ. suspiciousactivity) ;

системные атаки (от англ. systemattack).

В своих продуктах, предназначенных для защиты сетей, серверов и рабочих станций (таких как, например, RealSecure, Systemscanner и др.) компания InternetSecuritySystems использует несколько других классификационных признаков возможных сетевых атак, они более эффективны с точки зрения защиты от вторжений. Опишем их подробнее.

По степени риска (от англ. RiskFactor) ; имеет большое практическое значение, так как позволяет ранжировать опасность атак по следующим классам:

высокий (High) - атаки, успешная реализация которых позволяет атакующему немедленно получить доступ к машине, получить права администратора или обойти межсетевые экраны (например, атака, основанная на использовании ошибки в ПО Sendmail версии 8. 6. 5, позволяет атакующему исполнять любую команду на сервере) ;

средний (Medium) - атаки, успешная реализация которых потенциально может дать атакующему доступ к машине. Например, ошибки в сервере NIS, позволяющие атакующему получить файл с гостевым паролем;

низкий (Low) - атаки, при успешной реализации которых атакующий может получить сведения, облегчающие ему задачу взлома данной машины. Например, используя сервис finger, атакующий может определить список пользователей сервера и, используя атаку по словарю, попытаться получить доступ к машине.

По типу атаки (AttackType) ; позволяет судить о том, может ли атака быть осуществлена удаленно, или только локально:

осуществляемые локально (HostBased) ;

осуществляемые удаленно (NetworkBased)

По подверженному данной атаке программному обеспечению (вангл. варианте Platforms Affected). Например: Microsoft Internet Explorer 5. 01, Microsoft Internet Explorer 5. 5, Microsoft Internet Explorer 6.

Кроме того, существует классификация по характеру действий, используемых в атаке:

«черные ходы» (Backdoors) - атаки, основанные на использовании недокументированных разработчиками возможностях ПО, которые могут привести к выполнению пользователем несанкционированных операций на атакуемом сервере;

атаки типа «отказ в обслуживании» (DenialofService, или DoS) - атаки, основанные на использовании ошибок, позволяющие атакующему сделать какой-либо сервер недоступным для легитимных пользователей;

распределенные атаки типа «отказ в обслуживании» (DistributedDenialofService) - несколько пользователей (или программ) посылают большое количество фиктивных запросов на сервер, приводя последний в нерабочее состояние;

потенциально незащищенная операционная система (OS Sensor) ;

неавторизованныйдоступ (Unauthorized Access Attempts).

К недостаткам приведенных классификационных признаков можно отнести то, что они не позволяют описать цель атаки, а также ее последствия. Например, классификационный признак «по характеру действий» содержит два класса атак типа «отказ в обслуживании», но в то же время не содержит классов, описывающих атак, направленных на перехват трафика.

Другой подход был применен в классификации, использованной в достаточно известном программном продукте Nessus, предназначенном для анализа безопасности серверов. Здесь используется классификация «по характеру уязвимости», используемой для реализации атаки:

«черные ходы» (Backdoors) ;

ошибки в CGI скриптах (CGI abuses) ;

атаки типа «отказ в обслуживании» (DenialofService) ;

ошибки в программах - FTP-серверах (FTP) ;

наличие на компьютере сервиса Finger или ошибки в программах, реализующих этот сервис (Fingerabuses) ;

ошибки в реализации межсетевых экранов (Firewalls) ;

ошибки, позволяющие пользователю, имеющему терминальный вход на данный сервер, получить права администратора (Gain a shellremotely) ;

ошибки, позволяющие атакующему удаленно получить права администратора (Gainrootremotely) ;

прочие ошибки, не вошедшие в другие категории (Misc) ;

ошибки в программах - NIS-серверах (NIS) ;

ошибки в программах - RPC-серверах (RPC) ;

уязвимости, позволяющие атакующему удаленно получить любой файл с сервера (Remotefileaccess) ;

ошибки в программах - SMTP-серверах (SMTP problems) ;

неиспользуемые сервисы (Uselessservices).

Кроме того, по типу программной среды они подразделяются на уязвимости в операционной системе, уязвимости в определенном сервисе и уязвимости в определенном программном обеспечении. Для определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в конкретных сервисах и в определенном программном обеспечении классифицируются по группам.

В этой классификации более детально, по сравнению с предыдущими, проработаны атаки, использующие уязвимости в системном, прикладном и сетевом программном обеспечении. Однако данная классификация не охватывает всех существующих сетевых атак, за пределами рассмотрения остаются такие опасные атаки, как атаки типа «отказ в обслуживании», перехват данных и атаки, направленные на сетевое оборудование. Положительной чертой данной классификации является наличие класса «прочие ошибки, не вошедшие в другие категории», так как формально к любой атаке, в том числе новой, благодаря этому классу будет применима данная классификация. Однако, с другой стороны, этот класс бесполезен, поскольку не содержит никакой дополнительной информации.

Как видно из описанных классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединить несколько классификаций, проведенных по разным характеристическим параметрам.

Появление новых атак приводит к снижению эффективности применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.

Таким образом, применение существующих классификаций нельзя назвать рациональным. Существует объективная необходимость в создании новой гибкой классификационной схемы возможных сетевых атак, построенной с учетом указанных выше недостатков.

4.1 Как защититься от большинства компьютерных атак

Защита сети от компьютерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.

Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ.

Обнаружение вирусов и троянских конейХорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.

Межсетевые экраны Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигурированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

Вскрыватели паролей (PasswordCrackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли.

ШифрованиеАтакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).

Сканеры уязвимых местЭто программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры.

Грамотное конфигурирование компьютеров в отношении безопасности Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены.

Боевые диалеры (wardialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевыедиалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры.

Рекомендации по безопасности (securityadvisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениямиCIACиCERT

Средства обнаружения атак (IntrusionDetection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности.

Средства выявления топологии сети и сканеры портовЭти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них.

Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть отИнтернет, и что делать в случае компрометации важного сервераCERTпредоставляет общие консультации в рамках СШАFedCRICотвечает за консультирование гражданских государственных учреждений в США.

Политики безопасности Система сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров.

5. Информационная безопасность в сетях ЭВМ

Создание таблиц 2

Далее необходимо в конструкторе указать Имя поляТип данных ПримечаниеКлючевое поле и заполняем таблицу

Заполнение таблицы3

Для создания формы необходимо перейти на вкладку «формы» нажать кнопку «создать» и используя «мастер форм» выбрать необходимые поля, структуру отображения, цветовую гамму. Получится рабочий макет

Создание формы4

При создании запроса и выбираем вкладку создание, конструктор запросов, делаем связь между таблицами, заполняем поля и выбираем условия отбора.

Создание запроса 5

Для создания отчета открываем мастер отчетов и делаем отчет по запросам

Литература

Г. П. Шалаева Универсальный справочник школьника ОЛМА-ПРЕСС Образование, 2006. - 799 с.

Симонович С. В. Евсеев Г. А. Алексеев А. Г. «Специальная информатика: учебное пособие» М. АСТ-ПРЕСС: Инфорком-Пресс, 1999. 480 с.

Акулов Олег Анатольевич, Медведев Николай Викторович «Информатика. Базовый курс. Учебник для вузов» Омега-Л 2013.

Гудыно Лев Петрович, Кириченко Александр Аполлонович, Пятибратов Александр Петрович. «Вычислительные системы, сети и телекоммуникации: учебное пособие» Кнорус 2013.

Орлов Сергей Александрович, Цилькер Борис Яковлевич «Организация ЭВМ и систем» Питер 2010

Шаньгин Владимир Федорович «Защита информации в компьютерных системах и сетях» ДМК-Пресс 2012.

Размещено на Allbest.ru