Фактори інформаційної безпеки мобільних пристроїв

Визначення необхідності розроблення та впровадження інформаційних технологій і заходів, спрямованих на підвищення рівня захисту персональних і корпоративних даних на мобільних пристроях. Ознайомлення з популярними видами атак на мобільні пристрої.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык украинский
Дата добавления 05.02.2019
Размер файла 21,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Українська академія друкарства

Фактори інформаційної безпеки мобільних пристроїв

УДК 004.9

Ю. Ф. Петяк

19.10.2014

Анотації

Розглянуто фактори загроз інформаційної безпеки мобільних пристроїв, які впливають на можливість проведення атак, спрямованих на витік даних.

Ключові слова: Інформаційна безпека, витоки даних, мобільні пристрої, фактор, атака, зловмисник, програмне забезпечення, мобільна операційна система

ФАКТОРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ

Рассмотрены факторы угроз информационной безопасности мобильных устройств, влияющих на возможность проведения атак, направленных на утечку данных.

FACTORS INFORMATION SECURITY MOBILE

Considered the factors of information security threats to mobile devices, which influence the possibility of attacks aimed at data leakage.

Мобільні пристрої (МП) відіграють важливу роль у нашому житті. Складно уявити сучасну ділову людину без смартфона, за допомогою якого вона вирішує свої повсякденні завдання, як бізнесові, так і приватного характеру. За останні роки спосіб використання мобільних пристроїв докорінно змінився. Вони застосовуються не лише як засоби комунікації, а й як пристрої збереження та обробки важливої і цінної інформації. Ріст популярності МП та їх повсюдне застосування зробило ці пристрої ідеальною мішенню для зловмисників. Як зазначають експерти з інформаційної безпеки (ІБ), останніми роками помітно зросла кількість цілеспрямованих атак саме на мобільні пристрої [3].

Наявні методики захисту даних на МП суттєво поступаються технологіям, застосовуваним на персональних комп'ютерах. Це зумовлено передусім особливостями мобільної платформи, технічними характеристиками та класичним позиціюванням МП лише як засобу спілкування. Недооцінювання користувачами та бізнесом прихованих загроз, які несуть у собі МП, може призвести до фінансових втрат та втрати репутації. Навпаки, кіберзлочинці зрозуміли можливості мобільних телефонів й активно використовують їх для своєї діяльності.

Популярними видами атак на МП є використання шкідливих програм для крадіжок грошей у системах мобільного банкінгу та SMS-віруси. Інформаційна безпека (ІБ) має два чинники. Перший -- це те, яку архітектуру безпеки має система. Другий -- поширеність цієї системи. Чим менше система розповсюджена, тим менше буде на неї атак. Атакують переважно ОС Android, тому що це вигідніше порівняно з іншими системами. Останнім часом спостерігається збільшення атак, метою яких є крадіжка конфіденційних даних [3]. Особливо гостро ця проблема постає з поширенням підходу Bring Your Own Device (BYOD), коли приватні МП працівників компаній використовуються для опрацювання корпоративних даних [2]. Існують різні підходи до впровадження BYOD, кожна компанія вибирає свій шлях, власні правила використання МП на роботі. Великий та середній бізнес часто будують власну інфраструктуру із застосуванням систем Mobile Device Management (MDM). Однак впровадження системи MDM економічно невиправдане для малих компаній, що змушує їх шукати альтернативні шляхи забезпечення належного рівня ІБ при використанні персональних МП. Однак причиною витоків даних може бути сам користувач. Необізнаність у сфері інформаційних технологій та недотримання елементарних правил ІБ призводить до втрати МП і в подальшому до їх несанкціонованого використання для доступу до конфіденційних даних [5].

Тому важливим практичним завданням є розроблення та впровадження інформаційних технологій і заходів, спрямованих на підвищення рівня захисту персональних і корпоративних даних на МП. Для розв'язання поставленої задачі слід насамперед визначити фактори впливу на можливість здійснення атак на МП, спрямованих на витік інформації.

Фактори інформаційної безпеки -- це причини, що призводять до порушення ІБ на конкретних МП й обумовлені недоліками їх функціонування, властивостями архітектури безпеки МП, застосовуваними програмним забезпеченням і апаратною платформою, умовами експлуатації [1]. Фактори ІБ можна умовно поділити на людські, технологічні та організаційні. Людський фактор визначається досвідом і поведінкою користувача, його розумінням можливих загроз ІБ. Може мати навмисний або ненавмисний характер. Технологічні фактори мають недоліки в програмно-апаратній платформі й комунікаційні засоби. Організаційні фактори описують вимоги до архітектури ІБ, заходи та політики для забезпечення необхідного рівня захисту даних на МП.

Фактори інформаційної безпеки

1. Несанкціоноване розробником втручання (НВ) користувача в роботу пристрою шляхом внесення змін у системні налаштування, прямий доступ до функцій ядра системи та системних файлів, оминаючи вбудовані механізми безпеки [7]. Це значно підвищує вірогідність зараження мобільної операційної системи (МОС) шкідливим програмним забезпеченням (ПЗ) і ставить під загрозу конфіденційні дані чи корпоративні ресурси. Більше того, отримавши необмежений і неконтрольований доступ до пристрою, користувач має такий же рівень доступу для троянських програм. При цьому порушується ліцензійна угода, в результаті чого власник пристрою позбавляється права на технічну підтримку від розробника та гарантійних зобов'язань. Експертами використовуються терміни, якими описується процедура отримання адміністративних прав користувачем на своєму пристрої -- «device rooting» для систем на базі Android та «jailbreak» для систем на базі iOS. Існують різні причини, з яких користувачі здійснюють таке втручання. Найчастіше користувачі отримують можливість: встановлювати стороннє ПЗ на пристрій, що в іншому разі було б неможливо; змінювати ОС пристрою на альтернативні; розширювати функціональні можливості пристрою. Даний фактор є найважливішим серед інших, адже користувач свідомо йде на цей крок, часто не розуміючи, до яких наслідків це може призвести.

2. Наявність каналів передачі даних (КПД). Сучасні мобільні пристрої наділені різноманітними комунікаційними технологіями. Передовсім це бездротовий зв'язок Wi-Fi та мобільна передача даних 2G/3G/4G, популярна і технологія Bluetooth. Наявність комунікаційних можливостей дозволяє зловмисникам здійснювати віддалені мережеві атаки на мобільні пристрої, а шкідливому ПЗ непомітно передавати конфіденційну інформацію за межі пристрою. Однак відмовитися від використання цих технологій неможливо, тому необхідно контролювати передачу каналами зв'язку конфіденційних даних та реагувати на мережеві атаки. Для цього використовують різні підходи. Наприклад, можна дозволяти передачу важливих даних лише в межах приміщень, де канали передачі надійно захищені від прослуховування чи зовнішнього втручання. Цей фактор важливий з огляду на те, що наявність КПД суттєво спрощує атаки, спрямовані на витік інформації.

3. Локація (Л). Дозволяє визначити, в якому середовищі та місці перебуває мобільний пристрій і на основі цієї інформації приймати обґрунтоване рішення щодо заборони чи дозволу про опрацювання або передачу важливих даних. Більше того, МП можуть бути загублені або викрадені, що, у свою чергу, призведе до компрометації даних. Для запобігання цьому можна використовувати бездротові сенсорні мережі чи систему GPS [4]. Однак важливо розуміти, що розповсюдження даних про розміщення пристрою в системах геолокації зумовить створення додаткових загроз ІБ, адже зловмисники можуть з великою точністю визначити розташування пристрою, що полегшить їм вибір вектора атаки.

4. Кваліфікація користувача (КК). Визначає рівень володіння ним сучасними ІТ і вміння застосовувати їх для безпечного опрацювання та передачі даних. Користувачі мусять чітко слідувати правилам політики ІБ, прийнятої на корпоративному рівні, постійно контролювати свої дії. Проте це не завжди допомагає, що призводить до витоків важливої інформації. Людина стає тією слабкою ланкою, яка визначає загальний рівень ІБ системи [6]. Зловмисники використовують це для здійснення атак методами соціальної інженерії, що часто є ефективнішим і швидшим способом крадіжки даних. На думку фахівців, подібні атаки займатимуть провідне місце серед інших типів атак і їх кількість буде неухильно зростати. Протистояти таким атакам можна, використовуючи системи DLP.

5. Технічна підтримка (ТП) розробника МП. Кожен МП складається з двох основних частин -- апаратної та програмної. Апаратний пристрій працює під управлінням МОС. При створенні МП розробники проводять всебічне тестування апаратної частини, тому атаки на МП або крадіжка даних з них у результаті вразливостей на апаратному рівні є малопоширеними. Помилки при написанні коду МОС можуть мати більш критичні наслідки. Саме вони створюють можливість проведення різноманітних атак як на рівні ядра чи системних компонент ОС, так і на рівні ПЗ. Існують методики ще на стадії тестування МОС виявляти більшість помилок, проте значна їх кількість залишається непоміченою. Зловмисники відшукують ці помилки і проводять за допомогою їх Oday-атаки, які є найбільш небезпечними. Ураховуючи це, розробники як МП, так і МОС постійно оновлюють системне та прикладне ПЗ, виправляючи в них знайдені помилки та вразливості. Відомі виробники створюють ефективну інфраструктуру підтримки своєї продукції, а маловідомі не приділяють достатньо уваги даному питанню, що призводить до появи на ринку продукції, підтримка якій не надається. Ці пристрої насамперед стають жертвами атак зловмисників. Зважаючи на це, великий і середній бізнес намагається використовувати в своїй діяльності продукцію відомих фірм -- Samsung, Apple, BlackBerry й інших. Однак з розповсюдженням BYOD вони змушені враховувати специфіку кожного мобільного пристрою. До того ж слід пам'ятати, що після втручання користувача в роботу пристрою втрачається змога отримання технічної підтримки, а оновлення МОС стає неможливим. Цей фактор також важливий при проектуванні систем ІБ.

6. Наявність засобів інформаційної безпеки (ЗІБ) безпосередньо впливає на загальний рівень захисту даних на мобільному пристрої. До цих засобів відносяться: антивіруси, міжмережевий екран (firewall), системи шифрування даних тощо [5]. Подібне ПЗ необхідно встановлювати користувачем самотужки. Відомі виробники систем захисту мають рішення як для комп'ютерних платформ, так і для МП. Однак часто для того щоб встановити ЗІБ на МП та забезпечити ефективну протидію загрозам, потрібно надати цим програмам найвищі адміністративні права, що неможливо без втручання у функціонування МП. Рівень захисту, який ЗІБ надають користувачеві, залежить від його правильного налаштування. Таким чином, даний фактор залежить від фактора РК, а його значення є достатньо важливим.

7. Інтегрований показник надійності встановленого ПЗ (ІПН). Цей фактор обчислюється за методикою, прийнятою розробником МОС. Для платформи Android використовується рейтинг ПЗ на Google Play. Ще однією складовою зазначеного фактора є права, отримані програмами при інсталяції чи запуску. ПЗ може одержувати та використовувати ресурси МП та МОС лише згідно з правами, явно заданими розробником ПЗ. Винятком є шкідливе ПЗ, яке обходить це обмеження, експлуатуючи помилки в розробці МОС, або неправильне налаштування пристрою. Цей показник має середню вагу, оскільки розробники МОС постійно удосконалюють свої методики визначення «ненадійності» ПЗ сторонніх виробників, тому випадків зараження МП зазначеним способом стає все менше.

8. Можливість встановлення ПЗ із сторонніх джерел (СД). На МП можна встановлювати ПЗ з офіційного джерела та сторонніх джерел. Для платформи Android офіційним джерелом ПЗ є Google Play, для iOS -- App Store. ПЗ у цих джерелах є перевіреним розробником МОС, тому користувач має певну гарантію, що МП матиме високий рівень захисту. Щоправда, іноді в офіційних джерелах знаходили ПЗ з ознаками деструктивних дій, тому і Google, і Apple змушені були посилити вимоги до якості ПЗ сторонніх розробників. Розробники МП рекомендують не встановлювати ПЗ зі сторонніх джерел, окрім офіційних або довірених. Цей фактор має важливе значення, оскільки прецедентів зараження МП сторонніми програмами, встановлених з неофіційних джерел, стає все більше.

Визначення факторів, які впливають на ІБ мобільних платформ, є першим кроком у створенні надійних систем безпеки МП. У подальшому має бути експертне оцінювання запропонованих факторів і визначення їх пріоритетності для обчислення інтегрального числового показника надійності системи захисту МП. інформаційний мобільний технологія

Література

1. Вихорев С. В. Классификация угроз информационной безопасности [Электронный ресурс] // Годовой обзор «Сетевые атаки и системы информационной безопасности 2001»: [сайт]. -- Режим доступа: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (23.10.14). -- Название с экрана.

2. Петяк Ю. Ф. Вплив BYOD на безпеку корпоративних даних / Ю. Ф. Петяк // Тези доп. 17-ї міжнар. наук.-практ. конф. з проблем видавничо-поліграфічної галузі: 19 лист. 2013 р. -- К. : УкрНДІСВД, 2013. -- С. 27.

3. Петяк Ю. Ф. Методи боротьби з мережевими атаками в ОС Android / Ю. Ф. Петяк // Тези доп. наук.-техн. конф. проф.-викл. складу, наук. прац. і асп.: 5-8 лют. 2014 р. -- Львів: Укр. акад. друкарства, 2014. -- С. 118.

4. Семенов А. Беспроводные сенсорные сети -- новые модели использования [Электронный ресурс] // А. Семенов / BYTE Россия. -- № 12 (88), дек. 2005: [сайт]. -- Режим доступа: http:// www.bytemag.ru/articles/detail.php?ID=8780 (23.10.14). -- Название с экрана.

5. Якушин П. Безопасность мобильного предприятия / П. Якушин // Открытые системы. -- 2013. -- № 1. -- С. 22-25.

6. Recommendations for Data Loss Prevention in a Mobile Environment [Электронный ресурс] // ZONESE7EN: [сайт]. -- Режим доступа: http://zonese7en.com/6-recommendations-for- data-loss-prevention-in-a-mobile-environment/ (21.10.14). -- Название с экрана.

7. Sheldon Robert. Rooted Android device risks include network access, data theft [Электронный ресурс] / Robert Sheldon // Офіційний сайт TECHTARGET.COM: [сайт]. -- Режим доступа: http://searchconsumerization. techtarget.com/tip/Rooted-Android-device-risks-include-network-access-data-theft (20.10.14). -- Название с экрана.

Размещено на Allbest.ru

...

Подобные документы

  • Класифікація комп'ютерних ігор відповідно до інтерактивних ігрових дій гравця. Мобільні пристрої з сенсорними екранами. Програмна реалізація гри жанру Tower Defence на базі платформи Java Platform Micro Edition для мобільних пристроїв з сенсорним екраном.

    дипломная работа [693,2 K], добавлен 14.04.2014

  • Побудова інформаційної системи, що буде слугувати для автоматизації процесу захисту персональних даних клієнтів банку. Вибір методу проектування архітектури та моделі функціонування системи. Перелік масивів, використовуваних під час розв’язання задачі.

    дипломная работа [1,8 M], добавлен 02.06.2017

  • Характеристика категорій користувачів баз даних. Проектування інформаційної системи: концептуальне (інфологічне), даталогічне та фізичне. Опис бази даних "Каталог мобільних телефонів": принципи створення таблиць, запитів та форм. Інструкція користувача.

    курсовая работа [63,2 K], добавлен 14.12.2010

  • Принципи інформаційної безпеки. Статистика атак в Інтернеті. Засоби захисту інформації у системах передачі даних. Загальні поняття та визначення в галузі проектування захищених автоматизованих систем. Захист телефонної лінії від прослуховування.

    магистерская работа [1,2 M], добавлен 07.03.2011

  • Коротка характеристика об’єктів управління "Nix Solutions". Розроблення варіантів використання, специфікація функціональних та не функціональних вимог. Проектування структури бази даних, елементи. Тестування додатку та розгортання програмного продукту.

    дипломная работа [1,5 M], добавлен 01.07.2015

  • Основні поняття безпеки інформаційних технологій. Законодавчі вимоги і регулювання інформаційної безпеки в мережах. Класифікація шкідливих програм. Приклади цінності інформації. Методи шахрайства. Програмний захист від витікання інформаційних даних.

    курсовая работа [171,9 K], добавлен 08.12.2015

  • Проектування в програмі Access бази даних мобільних телефонів, що пропонуються до продажу. Класифікація моделей по різним ознакам, що полегшують пошук в системі. Розробка програмного забезпечення, що гарантує підвищення швидкості пошуку інформації.

    курсовая работа [2,3 M], добавлен 14.12.2010

  • Ескізний проект програмного забезпечення для 3D-навігації для мобільних пристроїв під управління ОС Android. Розробка прототипу інтерфейсу. Технічний проект програмного забезпечення. Створення діаграми класів, аналізу, розгортання та кооперацій.

    курсовая работа [880,5 K], добавлен 09.01.2014

  • Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.

    реферат [253,2 K], добавлен 19.12.2010

  • Мобільність. Міграційні програми (migratory applications). Теорія агентної взаємодії. Переваги мобільних агентів. Структура управління мобільного агента. Мобільні обчислення – Obliq. Новий жанр в індустрії програмного забезпечення.

    реферат [17,5 K], добавлен 08.08.2007

  • Визначення інформаційних систем. Загальна характеристика складових частин внутрішньої інформаційної основи систем. Пристрої перетворення графічної інформації в цифрову. Системи управління базами даних. Технологія створення карт засобами MapInfo.

    реферат [39,4 K], добавлен 05.12.2013

  • Поняття та властивості інформаційних технологій. Поява персональних комп’ютерів - принципова модернізація ідеї автоматизованого управління. Технічна база і компоненти інформаційних технологій. Завдання сучасних інформаційних технологій, їх класифікація.

    реферат [39,1 K], добавлен 16.08.2010

  • Фактори, що гальмують або обумовлюють впровадження інформаційних систем у навчально-виховний процес. Використання можливостей табличного процесору в процесі аналізу даних предметної області інформаційної системи "Видатні особистості Харківщини".

    курсовая работа [14,0 M], добавлен 19.10.2014

  • Комбінація методів ринкового регулювання, заснованих на зворотних зв'язках. Аналіз методологій розробки програмного забезпечення. Порівняльний аналіз програмних технологій. Вибір технології доступу до даних. Компонент взаємодії адмінчастини з базою даних.

    дипломная работа [3,0 M], добавлен 02.02.2013

  • Створення і реалізація в СУБД MS Access бази даних "Internet-ресурси з інформаційних технологій". Опис предметної області, інфологічне проектування. Побудова ER-діаграми. Даталогічне і фізичне проектування інформаційних систем. Опис роботи програми.

    курсовая работа [8,2 M], добавлен 30.05.2013

  • Аналіз існуючих методів несанкціонованого отримання інформації та заходів щодо протидії їм. Детальних огляд їх властивостей і можливостей впровадження на підприємстві. Наслідки недотримання правил захисту інформації від несанкціонованого отримання.

    курсовая работа [36,5 K], добавлен 19.11.2014

  • Історія розвитку мобільного процесора. Сучасні покоління чіпів. Виробники мобільних процесорів: Marvell, Qualcomm, Texas Instruments, Samsung. Різниця в будові транзисторів. Асинхронна і синхронна напруга. Однокристальна система. Зменшення струму витоку.

    курсовая работа [4,4 M], добавлен 17.02.2014

  • Місце та роль критеріїв інформаційної безпеки в виборі та комплектуванні апаратно-програмної конфігурації. Етапи та методика проектування бази даних, що відповідає вимогам політики безпеки, гарантованості, підзвітності та чіткої документованості.

    курсовая работа [51,1 K], добавлен 26.02.2009

  • Поняття інформаційних технологій, їх види та етапи розвитку. Особливості впровадження сучасних інформаційних технологій у різних сферах діяльності: рівні операційної діяльності, у керуванні та прийнятті управлінських рішень. Перспективи їх розвитку.

    контрольная работа [21,3 K], добавлен 07.02.2011

  • Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.

    курсовая работа [1,6 M], добавлен 27.04.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.