Классификация преднамеренных угроз безопасности компьютерной сети

1 По цели реализации:

· Нарушение целостности информации, что может привести к утрате или обесцениванию информации.

· Нарушение конфиденциальности информации (использование ценной информации другими лицами наносит значительный ущерб интересам ее владельцев).

· Частичное или полное нарушение работоспособности (доступности) КС.

2 По принципу воздействия на сеть:

· С использованием доступа субъекта КС (пользователя, процесса) к объекту (файлу данных, каналу связи).

Доступ - это взаимодействие между субъектом и объектом (выполнение первым некоторой операции над вторым), приводящее к возникновению информационного потока от второго к первому

· С использованием скрытых каналов, т.е. путей передачи информации, позволяющим взаимодействующим процессам (субъектам) обмениваться информацией таким способом, который нарушает системную политику безопасности.

3 По характеру воздействия на сеть:

· активное воздействие;

· пассивное воздействие.

Активное воздействие связано с выполнением нарушителем каких-либо действий: доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Такое воздействие может осуществляться либо с использованием доступа, либо как с использованием доступа, так и с использованием скрытых каналов. Оно ведет к изменению состояния сети.

Активное воздействие может быть:

· кратковременным

Свидетельствует о случайности или нежелании злоумышленника привлечь к себе внимание (оно менее опасно, но зато имеет больше шансов остаться незамеченным), или долговременным, связанным с устойчивой заинтересованностью в чужом информационном пространстве с целью изучения его структуры и содержания.

· неразрушающим

Сеть продолжает функционировать нормально, так как в результате такого воздействия не пострадали ни программы, ни данные, зато возможно хищение информации и нарушение ее конфиденциальности. Если оно не случайное, то является весьма опасным и свидетельствует о намерении злоумышленника использовать в дальнейшем найденный канал доступа к чужой информации.

· разрушающим

В результате воздействия на информационную среду внесены какие-либо изменения в программы и/или данные, что сказывается на работе сети. Его последствия при надлежащем ведении архивов могут быть сравнительно легко устранены.

· разовым или многократным

Свидетельствует о серьезности намерений злоумышленника и требует решительных ответных действий

· зарегистрированным администратором сети при проведении периодического анализа регистрационных данных

Свидетельствует о необходимости совершенствования или модификации системы защиты.

· незарегистрированным администратором сети.

Пассивное воздействие осуществляется путем наблюдения каких-либо побочных эффектов (например, от работы программы) и их анализа. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в КС, так как при нем никаких действий с субъектами и объектами не производится. Оно не ведет, к изменению состояния системы.

4 По способу активного воздействия на объект атаки

· Непосредственное воздействие.

Например, непосредственный доступ к файлам данных, программам, каналу связи и т.д. С помощью средств контроля доступа такое действие обычно легко предотвращается.

· Воздействие на систему разрешений (в том числе захват привилегий).

· Несанкционированные действия осуществляются относительно прав на объект атаки, а сам доступ к объекту выполняется потом законным образом.

· Опосредованное воздействие (через других пользователей)

Например, когда злоумышленник каким-то образом присваивает себе полномочия авторизованного пользователя, выдавая себя за него, или путем использования вируса, когда вирус выполняет необходимые действия и сообщает о результате тому, кто его внедрил.

Этот способ особенно опасен. Требуется постоянный контроль как со стороны администраторов и операторов за работой сети в целом, так и со стороны пользователей за своими наборами данных.

5 По используемым средствам атаки

· С использованием злоумышленником стандартного программного обеспечения.

Результаты воздействия обычно предсказуемы, так как большинство стандартных программ хорошо изучены.

· С использованием специально разработанных программ.

Связано с большими трудностями, но может быть более опасным для сети.

6 По состоянию объекта атаки

· Воздействие на объект атаки, когда в момент атаки он находится в состоянии хранения информации (на диске, магнитной ленте, в оперативной памяти). В этом случае воздействие на объект обычно осуществляется с использованием несанкционированного доступа.

· Воздействие на объект, когда осуществляется передача информации по линии связи между узлами сети или внутри узла. При таком состоянии объекта воздействие на него предполагает либо доступ к фрагментам передаваемой информации, либо прослушивание с использованием скрытых каналов.

· Воздействие на объект, когда он находится в состоянии обработки информации. Здесь объектом атаки является процесс пользователя.

Приведенная классификация свидетельствует о сложности определения возможных угроз и способах их реализации. Отсюда вывод: не существует универсального способа защиты, который предотвратил бы любую угрозу. Необходимо объединение различных мер защиты для обеспечения информационной безопасности всей сети в целом.

В случае преднамеренного проникновения в сеть различают следующие виды воздействия на информацию:

· уничтожение

Физическое удаление информации с носителей информации.

Выявляется при первой же попытке обращения к этой информации, а все потери легко восстанавливаются при налаженной системе резервирования и архивации.

· искажение

Нарушение логики работы программ или связей в структурированных данных, не вызывающих отказа в их работе или использовании.

Это один из опасных видов воздействия, так как его нельзя обнаружить.

· разрушение

Нарушение целостности программ и структуры данных, вызывающих невозможность их использования: программы не запускаются, а при обращении к структурированным данным нередко происходит сбой.

· подмена

Замена имеющихся программ или данных другими под тем же именем и так, что внешне это не проявляется. Это также опасный вид воздействия, надежным способом защиты от него является побитовое сравнение с эталонной версией программы.

· копирование

Получение копии программ или данных на другом компьютере.

Это воздействие наносит наибольший ущерб в случаях промышленного шпионажа, хотя и не угрожает нормальному функционированию сети.

· добавление новых компонентов

Запись в память компьютера других данных или программ, ранее в ней отсутствовавших. Это опасно, так как функциональное назначение добавляемых компонентов неизвестно.

· заражение вирусом

Оно приводит к однократное воздействие на программы или данные, при котором они изменяются и, кроме того, при обращении к ним вызываются подобные изменения в других, как правило, аналогичных компонентах: происходит «цепная реакция», распространение вируса в компьютере или локальной сети.

Основные источники преднамеренного проникновения в сеть:

· хакеры (взломщики сетей)

В их действиях почти всегда есть состав преступления. Наиболее опасны сформировавшиеся и хорошо организованные виртуальные группы хакеров.

· уволенные или обиженные сотрудники сети

Они представляют особую опасность и способны нанести существенный ущерб (особенно если речь идет об администраторах сети), так как обладают знаниями сети и принципами защиты информации и по долгу службы имеют доступ к программам сниффинга (перехвата паролей и имен пользователей в сети, ключей, пакетов и т.д.).

· профессионалы-специалисты по сетям, посвятившие себя промышленному шпионажу.

· конкуренты

Степень их опасности зависит от ценности информации, к которой осуществляется несанкционированный доступ, и от уровня их профессионализма.