Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные, используемые в информационной системе
Конфиденциальность: свойство информации, связанное с тем, что она не станет доступной и не будет раскрыта для неуполномоченных лиц. Целостность: неизменность информации в процессе ее передачи или хранения. Доступность: свойство информации, определяющее возможность ее получения и использования по требованию уполномоченных лиц.
Технические Организационные Правовые
защита от несанкционированного доступа к системе резервирование особо важных компьютерных подсистем организация вычислительных сетей установка противопожарного оборудования оснащение замками, сигнализациями
охрана вычислительного центра тщательный подбор персонала наличие плана восстановления работоспособности(после выхода из строя) универсальность средств защиты от всех пользователей
разработка норм, устанавливающих ответственность за компьютерные преступления защита авторских прав программистов совершенствование уголовного и гражданского законодательства
Угроза безопасности информационной системы – это возможность события, вследствие которого будет затронута ее безопасность (т.е. затронута конфиденциальность, доступность, целостность) Осуществление этого события называют реализацией угрозы.
Неумышленная реализация угрозы может иметь место, например, вследствие ошибочных действий пользователей КС или ненадежной работы программного или аппаратного обеспечения Намеренная реализация угрозы безопасности является следствием атаки
Человека, который задумал и инициировал атаку, называют субъектом атаки Компьютерную систему, на которую направлена атака – объектом атаки Уязвимость – это такая характеристика системы, которая служит причиной появления той или иной угрозы безопасности
Отсутствие шифрования паролей в протоколах telnet и ftp является уязвимостью. Она служит причиной появления угрозы раскрытия паролей, путем прослушивания информационного обмена за этими протоколами и возможность проведения атак, направленных на реализацию этой угрозы.
Отсутствие проверки корректности авторизации пользователя является уязвимостью, которая служит причиной появления целого ряда угроз и возможность проведения соответствующего количества видов атак (в простейшем случае – угрозу того, что программа, которая выполняет обработку ввода, будет подвешенная в результате проведения атаки, которая состоит в пересылке этой программе специально подобранных входных данных).
Отсутствие автоматической проверки файлов, которые получают пользователи по каналам связи, на зараженность компьютерными вирусами (или недостаточная эффективность антивирусного программного обеспечения) является уязвимостью, которая служит причиной появления угрозы заражения программного обеспечения компьютерными вирусами и возможность проведения соответствующих атак.
от сбоев оборудования; от случайной потери или искажения информации, хранящейся в компьютере; от преднамеренного искажения, производимого, например, компьютерными вирусами; от несанкционированного (нелегального) доступа к информации (её использования, изменения, распространения).
периодическое архивирование программ и данных автоматическое резервирование файлов. При использовании программ автоматического резервирования команда на сохранение любого файла автоматически дублируется и файл сохраняется на двух автономных носителях (например, на двух винчестерах). Выход из строя одного из них не приводит к потере информации.
автоматическому запросу на подтверждение команды, приводящей к изменению содержимого какого-либо файла. установке специальных атрибутов документов. Например, многие программы-редакторы позволяют сделать документ доступным только для чтения или скрыть файл, сделав недоступным его имя в программах работы с файлами; возможности отменить последние действия. разграничению доступа пользователей к ресурсам файловой системы, строгому разделению системного и пользовательского режимов работы вычислительной системы. Защита информации от преднамеренного искажения часто еще называется защитой от вандализма
Шифрование Применение паролей Электронные замки, позволяющие сделать с диска не более установленного числа копий, или дающие возможность работать с программой только при условии, что к специальному разъёму системного блока подключено устройство (обычно микросхема), поставляемое вместе с легальными копиями программ Цифровые подписи
Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным Ввел этот термин осуждённый компьютерный преступник и консультант по безопасности Кевин Митник, заявивший, что для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать её
Однако это не совсем так. Социальную инженерию можно также использовать и в законных целях, и не только для получения информации, а и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность
Все техники социальной инженерии основаны на особенностях принятия решений людьми, суть которых в том, что человек должен кому-либо доверять в социальной среде воспитания
Претекстинг это действие, отработанное по заранее составленному сценарию (предтексту). В результате цель должна выдать определённую информацию или совершить определённое действие Пример: злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе
Фишинг техника, направленная на жульническое получение конфиденциальной информации по сети путем подделки официальных документов или писем Пример: цель получает письмо от банка или платёжной системы требующее «проверки» определённой информации Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, и содержащую форму, требующую ввести конфиденциальную информацию от домашнего адреса до пин-кода банковской карты.
Эта техника эксплуатирует любопытство, либо алчность цели. На компьютер внедряется троянская программа Пример: злоумышленник отправляет , содержащий во вложении «клёвый» или «сексуальный» скринсейвер, важный апгрейд антивируса или даже свежий компромат на сотрудника.
Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный диск или флешку в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство. Пример: злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта или в вестибюле
Методы защиты от социальной инженерии Технические Антропогенные
анализ текста входящих писем по ключевым словам (например, ПАРОЛЬ и ВВЕСТИ) привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам авторизация по системе Captcha
Привлечение внимания людей к вопросам безопасности. Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы. Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения
Огромный процент пользователей не обращает внимания на предупреждения, даже написанные самым заметным шрифтом В компьютерной безопасности это явление получило название «проблема пляшущих свинок»
Под проблемой пляшущих свинок подразумевается отношение пользователя к компьютерной безопасности, когда, стремясь получить желаемое, пользователь обычно игнорирует угрозу безопасности Учитывая это, безопасность системы должна быть спроектирована так, чтобы не возникало необходимости спрашивать мнение пользователя, часто технически неграмотного
«Если дать пользователю выбрать между пляшущими свинками и безопасностью, он выберет пляшущих свинок. Если случайный посетитель, кликая на кнопку, обещающую пляшущих по экрану свиней, получит сообщение о потенциальной опасности данной программы, он не подумает отказываться от пляшущих свиней. Даже если компьютер запросит подтверждения с текстом: «Приложение ПЛЯШУЩИЕ СВИНКИ, возможно, содержит зловредный код, который может нанести необратимый ущерб вашему компьютеру, украсть все ваши сбережения и ослабить способность иметь детей», пользователь нажмет «ОК», не читая. Спустя тридцать секунд он забудет, что такое предупреждение когда-либо существовало»
В ходе исследования фишинга участникам продемонстрировали ряд поддельных сайтов, включая один, имитирующий главную страницу известного банка. «Симпатичный» дизайн, степень детализации и тот факт, что сайт не требовал чересчур много данных, показались убедительными большинству участвующих. Двое (из двадцати) сослались на анимированную заставку с медведем (якобы, «это должно быть не так просто подделать»). Участникам в целом понравилась обаятельная заставка, и многие даже перезагружали страницу, чтобы просмотреть ролик сначала