МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
Кафедра информационной безопасности
«УТВЕРЖДАЮ»
Врио начальника кафедры
кандидат технических наук, доцент
майор полиции
А.Б.Сизоненко
«___» _________ 2013 г.
Дисциплина «ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ»
для всех специальностей и форм обучения
ЛЕКЦИЯ
Тема № 1
Основные понятия информационной безопасности органов внутренних дел
Рассмотрены и одобрены на
заседании кафедры
Протокол № 1 от 30.08.2013
Подготовил:
Старший преподаватель кафедры,
кандидат технических наук
С.Г.Клюев
КРАСНОДАР
2013
2
КУРС - ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ
ТЕМА № 1 «Основные понятия информационной безопасности органов
внутренних дел»
ЛЕКЦИЯ
Время - 2 часа
ЦЕЛЬ: Дать понятие информации, информационной безопасности, защиты
информации. Рассмотреть правовое обеспечение безопасности информации.
Определить концепции информационной безопасности.
ОСНОВНЫЕ ВОПРОСЫ:
Введение.
1.
Основные
понятия
информационной
безопасности
и
защиты
информации.
2.
Структура
информационной
сферы.
Основные
составляющие
национальных интересов России (интересы личности, общества и государства)
в информационной сфере.
3. Информационная безопасность и безопасность информации. Виды и
источники
угроз
государственной
Российской
информационной
политики
Федерации.
безопасности
обеспечения
Особенности
страны.
информационной
построения
Принципы
безопасности
единой
системы
информационной безопасности России.
4. Информационная сфера и информационная безопасность органов
внутренних дел. Важнейшие составляющие интересов в информационной
сфере и основные угрозы информационной безопасности органов внутренних
дел.
3
Литература:
1. Безопасность: теория, парадигма, концепция, культура. Словарьсправочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и
перераб. — М.: ПЕР СЭ-Пресс, 2005.
2. Информационная безопасность (2-я книга социально-политического
проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и
технологии», 2009.
3. ГОСТ Р ИСО/МЭК 17799-2005
4. Национальный стандарт РФ «Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК
13335-1-2006).
5. Рекомендации по стандартизации «Информационные технологии.
Основные термины и определения в области технической защиты информации»
(Р 50.1.053-2005
6. Рекомендации по стандартизации «Техническая защита информации.
Основные термины и определения» (Р 50.1.056-2005).
7. Доктрина информационной безопасности Российской Федерации" (утв.
Президентом РФ 09.09.2000 N Пр-1895).
8. Копылов В. А. Информационное право. М.: Юристъ, 2005.
9. Приказ МВД РФ №169 от 14.03.2012 года «Об утверждении Концепции
обеспечения информационной безопасности органов внутренних дел
Российской Федерации до 2020 года».
10. Приказ МВД РФ №25 от 16.01.2012 года «Об утверждении Комплекса
мер по обеспечению информационной безопасности и защиты данных
информационных систем МВД России с учетом реализации "облачной
архитектуры».
4
Введение
В настоящее время критически важным государственным ресурсом,
обеспечивающим
циркулирующая
национальную
в
безопасность,
телекоммуникационных
и
становится
информация,
компьютерных
системах
различного назначения. Эти системы являются неотъемлемым компонентом
структуры управления государством и обороной. Возможность воздействия на
них противостоящей стороной может рассматриваться как прямая угроза
национальным интересам. Информация уже стала товаром и мощным ресурсом.
Увеличение добавленной стоимости в экономике происходит сегодня в
значительной мере за счет интеллектуальной деятельности, повышения
технологического уровня производства и распространения современных
информационных и телекоммуникационных технологий [15]. В Российской
Федерации принята Стратегия развития информационного общества [15],
которая определяет, что такое общество характеризуется высоким уровнем
развития информационных и телекоммуникационных технологий и их
интенсивным
использованием
гражданами,
бизнесом
и
органами
государственной власти.
Так к 2015 году доля государственных услуг, которые население может
получить с использованием информационных и телекоммуникационных
технологий, в общем объеме государственных услуг в Российской Федерации
должна достичь 100%; доля электронного документооборота между органами
государственной власти в общем объеме документооборота - 70% и т. д. [15]
Развитие современных информационных технологий, под которыми
понимаются
процессы,
методы
поиска,
сбора,
хранения,
обработки,
предоставления, распространения информации и способы осуществления таких
процессов и методов, является одними из важнейших составляющих
национальных интересов Российской Федерации в информационной сфере [9].
Наряду с преимуществами построения информационного общества,
увеличиваются и риски, связанные с существованием угроз безопасности
5
информационным и телекоммуникационным средствам и системам. Вот лишь
некоторые из них :
разработка и распространение программ, нарушающих нормальное
функционирование
информационных
и
информационно
-
телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение
средств и систем обработки информации, телекоммуникации и связи;
компрометация
ключей
и
средств
криптографической
защиты
информации;
утечка информации по техническим каналам;
уничтожение, повреждение, разрушение или хищение машинных и других
носителей информации;
перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
несанкционированный доступ к информации, находящейся в банках и
базах данных.
Защита информационных ресурсов от несанкционированного доступа,
обеспечение безопасности информационных и телекоммуникационных систем,
также
является
одним
информационной
из
сфере.
основных
Основными
национальных
направлениями
интересов
в
обеспечения
информационной безопасности Российской Федерации в общегосударственных
информационных и телекоммуникационных системах являются [7]:
предотвращение перехвата информации из помещений и с объектов, а
также информации, передаваемой по каналам связи с помощью технических
средств;
исключение несанкционированного доступа к обрабатываемой или
хранящейся в технических средствах информации;
предотвращение
утечки
информации
по
техническим
каналам,
возникающей при эксплуатации технических средств ее обработки, хранения и
передачи;
6
предотвращение специальных программно - технических воздействий,
вызывающих разрушение, уничтожение, искажение информации или сбои в
работе средств информатизации;
обеспечение
безопасности
конфиденциальной
информации
при
взаимодействии информационных и телекоммуникационных систем различных
классов защищенности.
1. Основные понятия информационной безопасности и защиты
информации.
Информационная безопасность государства [1] — состояние сохранности
информационных ресурсов государства и защищённости законных прав
личности и общества в информационной сфере.
В современном социуме информационная сфера имеет две составляющие
[2]: информационно-техническую (искусственно созданный человеком мир
техники, технологий и т. п.) и информационно-психологическую (естественный
мир живой природы, включающий и самого человека). Соответственно, в
общем случае информационную безопасность общества (государства) можно
представить
двумя
безопасностью
и
составными
частями:
информационно-технической
информационно-психологической
(психофизической)
безопасностью.
Стандартизированные определения:
Информационная безопасность [3] – механизм защиты обеспечивающий
конфиденциальность, целостность и доступность информации.
1. Конфиденциальность: Обеспечение доступа к информации только
авторизованным пользователям.
2. Целостность: Обеспечение достоверности и полноты информации и
методов ее обработки.
3. Доступность: Обеспечение доступа к информации и связанным с ней
активам авторизованных пользователей по мере необходимости.
7
Информационная безопасность [4] — все аспекты, связанные с
определением,
достижением
и
поддержанием
конфиденциальности,
целостности, доступности, неотказуемости, подотчётности, аутентичности и
достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security)[5] –
с стояние защищённости информации (данных), при котором обеспечиваются
её (их) конфиденциальность, доступность и целостность.
Безопасность
информации
(данных)
определяется
отсутствием
недопустимого риска, связанного с утечкой информации по техническим
каналам, несанкционированными и непреднамеренными воздействиями на
данные и (или) на другие ресурсы автоматизированной информационной
системы, используемые в автоматизированной системе.
Безопасность
информации
(при
применении
информационных
технологий) (англ. IT security)[5] — состояние защищённости информации
(данных), обеспечивающее безопасность информации, для обработки которой
она применяется, и информационную безопасность автоматизированной
информационной системы, в которой она реализована.
Безопасность
состояние
автоматизированной
защищённости
обеспечиваются
информационной
автоматизированной
конфиденциальность,
системы,
доступность,
системы[5]
при
—
котором
целостность,
подотчётность и подлинность её ресурсов.
Существенные признаки понятия информационной безопасности:
В качестве стандартной модели безопасности часто приводят модель из
трёх категорий:
конфиденциальность (англ. confidentiality)[5] — состояние информации,
при котором доступ к ней осуществляют только субъекты, имеющие на неё
право;
целостность (англ. integrity)[7] — избежание несанкционированной
модификации информации;
8
доступность (англ. availability)[8] — избежание временного или
постоянного сокрытия информации от пользователей, получивших права
доступа.
Выделяют
и
другие
не
всегда
обязательные
категории
модели
безопасности:
неотказуемость или
апеллируемость (англ. non-repudiation)[4] —
способность удостоверять имевшее место действие или событие так, что эти
события или действия не могли быть позже отвергнуты;
подотчётность (англ. accountability)[6] — обеспечение идентификации
субъекта доступа и регистрации его действий;
достоверность
(англ.
reliability)[4]
—
свойство
соответствия
предусмотренному поведению или результату;
аутентичность или подлинность (англ. authenticity) [4] — свойство,
гарантирующее, что субъект или ресурс идентичны заявленным.
Рекомендации по использованию терминов:
В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в
стандарты» приводится следующая рекомендация использования терминов
«безопасность» и «безопасный»:
Слова «безопасность» и «безопасный» следует применять только для
выражения уверенности и гарантий риска.
Не следует употреблять слова «безопасность» и «безопасный» в качестве
описательного прилагательного предмета, так как они не передают никакой
полезной информации. Рекомендуется всюду, где возможно, эти слова заменять
признаками предмета, например:
«защитный шлем» вместо «безопасный шлем»;
«нескользкое покрытие для пола» вместо «безопасное покрытие».
Для термина «информационная безопасность» следует придерживаться
тех же рекомендаций. Желательно использовать более точные характеристики
объектов, разделяемые как признаки понятия «информационная безопасность».
Например, точнее будет использовать аргумент «для предотвращения угроз на
9
доступность объекта» (или «для сохранения целостности данных») вместо
аргумента «исходя из требований информационной безопасности».
В Российской Федерации к нормативно-правовым актам в области
информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные
законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные
правовые
акты
субъектов
РФ,
органов
местного
самоуправления и т. д.
К нормативно-методическим документам можно отнести:
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
Международные стандарты;
Государственные (национальные) стандарты РФ;
Рекомендации по стандартизации;
Методические указания.
10
2. Структура информационной сферы. Основные составляющие
национальных интересов России (интересы личности, общества и
государства) в информационной сфере.
Информационная сфера представляет собой совокупность информации,
информационной
инфраструктуры,
субъектов,
осуществляющих
сбор,
формирование, распространение и использование информации, а также
системы регулирования возникающих при этом общественных отношений.[7]
Информационная сфера, являясь системообразующим фактором жизни
общества, активно влияет на состояние политической, экономической,
оборонной и других составляющих безопасности Российской Федерации.
Национальная безопасность Российской Федерации существенным образом
зависит от обеспечения информационной безопасности, и в ходе технического
прогресса эта зависимость будет возрастать [7].
Именно в информационной сфере возникают общественные отношения,
подлежащие правовому регулированию, при выполнении информационных
процессов. Эти общественные отношения составляют основной предмет
информационного права, предмет его правового регулирования.
Информационная сфера может быть разделена на пять предметных
областей [8]:
1. реализация права на поиск, получение, передачу и применение
информации;
2. производство, передача и распространения исходной и производной
информации;
3. формирование информационных ресурсов, подготовки информационных
продуктов, предоставления информационных услуг;
4. создание и применения информационных систем (АИС, БД, баз знаний),
других информационно-телекоммуникационных технологий;
5. создание
и применение
средств и механизмов
информационной
безопасности, в том числе средств информатики и вычислительной
11
техники для безопасности сетей ЭВМ, а также программных и
аппаратных средств защиты информации в ЭВМ и компьютерных сетях.
В Доктрине информационной безопасности Российской Федерации" (утв.
Президентом РФ 09.09.2000 N Пр-1895) выделяются четыре основные
составляющие
национальных
интересов
Российской
Федерации
в
информационной сфере:
1. Соблюдение конституционных прав и свобод человека и гражданина в
области получения информации и пользования ею, обеспечение духовного
обновления России, сохранение и укрепление нравственных ценностей
общества, традиций патриотизма и гуманизма, культурного и научного
потенциала страны.
Для достижения этого требуется:
-
повысить
инфраструктуры
в
эффективность
интересах
использования
общественного
информационной
развития,
консолидации
российского общества, духовного возрождения многонационального народа
Российской Федерации;
- усовершенствовать систему формирования, сохранения и рационального
использования информационных ресурсов, составляющих основу научнотехнического и духовного потенциала Российской Федерации;
- обеспечить конституционные права и свободы человека и гражданина
свободно искать, получать, передавать, производить и распространять
информацию любым законным способом, получать достоверную информацию
о состоянии окружающей среды;
- обеспечить конституционные права и свободы человека и гражданина
на личную и семейную тайну, тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений, на защиту своей чести и своего
доброго имени;
- укрепить механизмы правового регулирования отношений в области
охраны интеллектуальной собственности, создать условия для соблюдения
12
установленных федеральным законодательством ограничений на доступ к
конфиденциальной информации;
- гарантировать свободу массовой информации и запрет цензуры;
- не допускать пропаганду и агитацию, которые способствуют
разжиганию социальной, расовой, национальной или религиозной ненависти и
вражды;
- обеспечить запрет на сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия и другой информации,
доступ к которой ограничен федеральным законодательством.
2. Информационное обеспечение государственной политики Российской
Федерации, связанное с доведением до российской и международной
общественности достоверной информации о государственной политике
Российской Федерации, ее официальной позиции по социально значимым
событиям российской и международной жизни, с обеспечением доступа
граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
- укреплять государственные средства массовой информации, расширять
их возможности по своевременному доведению достоверной информации до
российских и иностранных граждан;
-
интенсифицировать
формирование
открытых
государственных
информационных ресурсов, повысить эффективность их хозяйственного
использования.
3. Развитие современных информационных технологий, отечественной
индустрии информации, в том числе индустрии средств информатизации,
телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее
продукцией и выход этой продукции на мировой рынок, а также обеспечение
накопления, сохранности и эффективного использования отечественных
информационных ресурсов. В современных условиях только на этой основе
можно решать проблемы создания наукоемких технологий, технологического
перевооружения промышленности, приумножения достижений отечественной
13
науки и техники. Россия должна занять достойное место среди мировых
лидеров микроэлектронной и компьютерной промышленности.
Для достижения этого требуется:
-
развивать
и
совершенствовать
инфраструктуру
единого
информационного пространства Российской Федерации;
- развивать отечественную индустрию информационных услуг и
повышать эффективность использования государственных информационных
ресурсов;
- развивать производство в Российской Федерации конкурентоспособных
средств и систем информатизации, телекоммуникации и связи, расширять
участие России в международной кооперации производителей этих средств и
систем;
-
обеспечить
фундаментальных
и
государственную
прикладных
поддержку
исследований,
отечественных
разработок
в
сферах
информатизации, телекоммуникации и связи.
4. Защиту информационных ресурсов от несанкционированного доступа,
обеспечение безопасности информационных и телекоммуникационных систем,
как уже развернутых, так и создаваемых на территории России.
В этих целях необходимо:
- повысить безопасность информационных систем, включая сети связи,
прежде всего безопасность первичных сетей связи и информационных систем
федеральных органов государственной власти, органов государственной власти
субъектов Российской Федерации, финансово-кредитной и банковской сфер,
сферы хозяйственной деятельности, а также систем и средств информатизации
вооружения и военной техники, систем управления войсками и оружием,
экологически опасными и экономически важными производствами;
- интенсифицировать развитие отечественного производства аппаратных
и программных средств защиты информации и методов контроля за их
эффективностью;
- обеспечить защиту сведений, составляющих государственную тайну;
14
- расширять международное сотрудничество Российской Федерации в
области развития и безопасного использования информационных ресурсов,
противодействия угрозе развязывания противоборства в информационной
сфере.
3. Информационная безопасность и безопасность информации. Виды и
источники угроз информационной безопасности страны. Принципы
государственной политики обеспечения информационной безопасности
Российской Федерации. Особенности построения единой системы
информационной безопасности России.
По своей общей направленности угрозы информационной безопасности
Российской Федерации подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в
области духовной жизни и информационной деятельности, индивидуальному,
групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики
Российской Федерации;
угрозы развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи, обеспечению
потребностей внутреннего рынка в ее продукции и выходу этой продукции на
мировой рынок, а также обеспечению накопления, сохранности и эффективного
использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств
и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободам человека и гражданина в
области духовной жизни и информационной деятельности, индивидуальному,
групповому и общественному сознанию, духовному возрождению России
могут являться:
15
принятие федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации нормативных
правовых актов, ущемляющих конституционные права и свободы граждан в
области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение
информации в Российской Федерации, в том числе с использованием
телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур,
реализации гражданами своих конституционных прав на личную и семейную
тайну, тайну переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно
необходимой информации;
противоправное применение специальных средств воздействия на
индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации, органами местного
самоуправления, организациями и гражданами требований федерального
законодательства, регулирующего отношения в информационной сфере;
неправомерное
ограничение
доступа
граждан
к
открытым
информационным ресурсам федеральных органов государственной власти,
органов государственной власти субъектов Российской Федерации, органов
местного самоуправления, к открытым архивным материалам, к другой
открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения
культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в
области массовой информации;
вытеснение российских информационных агентств, средств массовой
информации с внутреннего информационного рынка и усиление зависимости
16
духовной, экономической и политической сфер общественной жизни России от
зарубежных информационных структур;
девальвация
духовных
ценностей,
пропаганда
образцов
массовой
культуры, основанных на культе насилия, на духовных и нравственных
ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения
России, что существенно осложнит подготовку трудовых ресурсов для
внедрения
и
использования
новейших
технологий,
в
том
числе
информационных;
манипулирование
информацией
(дезинформация,
сокрытие
или
искажение информации).
Угрозами информационному обеспечению государственной политики
Российской Федерации могут являться:
монополизация информационного рынка России, его отдельных секторов
отечественными и зарубежными информационными структурами;
блокирование
деятельности
государственных
средств
массовой
информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной
политики Российской Федерации вследствие дефицита квалифицированных
кадров, отсутствия системы формирования и реализации государственной
информационной политики.
Угрозами развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи, обеспечению
потребностей внутреннего рынка в ее продукции и выходу этой продукции на
мировой рынок, а также обеспечению накопления, сохранности и эффективного
использования отечественных информационных ресурсов могут являться:
противодействие
доступу
Российской
Федерации
к
новейшим
информационным технологиям, взаимовыгодному и равноправному участию
российских производителей в мировом разделении труда в индустрии
информационных услуг, средств информатизации, телекоммуникации и связи,
17
информационных продуктов, а также создание условий для усиления
технологической зависимости России в области современных информационных
технологий;
закупка
органами
государственной
власти
импортных
средств
информатизации, телекоммуникации и связи при наличии отечественных
аналогов, не уступающих по своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств
информатизации, телекоммуникации и связи;
увеличение
оттока
за
рубеж
специалистов
и
правообладателей
интеллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных
средств и систем, как уже развернутых, так и создаваемых на территории
России, могут являться:
противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение
в
аппаратные
и
программные
изделия
компонентов,
реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное
функционирование
информационных
и
информационно-
телекоммуникационных систем, в том числе систем защиты информации;
уничтожение,
повреждение,
радиоэлектронное
подавление
или
разрушение средств и систем обработки информации, телекоммуникации и
связи;
воздействие на парольно-ключевые системы защиты автоматизированных
систем обработки и передачи информации;
компрометация
ключей
и
средств
криптографической
защиты
информации;
утечка информации по техническим каналам;
внедрение
электронных
устройств
для
перехвата
информации
в
технические средства обработки, хранения и передачи информации по каналам
18
связи, а также в служебные помещения органов государственной власти,
предприятий, учреждений и организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и
других носителей информации;
перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных
информационных
технологий,
средств
защиты
информации,
средств
информатизации, телекоммуникации и связи при создании и развитии
российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и
базах данных;
нарушение законных ограничений на распространение информации.
Источники угроз информационной безопасности Российской Федерации
подразделяются на внешние и внутренние.
К внешним источникам относятся:
деятельность иностранных политических, экономических, военных,
разведывательных
и
информационных
структур,
направленная
против
интересов Российской Федерации в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России
в мировом информационном пространстве, вытеснению ее с внешнего и
внутреннего информационных рынков;
обострение
международной
конкуренции
за
обладание
информационными технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение
наращивание
их
технологического
возможностей
отрыва
по
ведущих
держав
противодействию
мира
и
созданию
конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических
и иных средств (видов) разведки иностранных государств;
19
разработка
рядом
предусматривающих
информационные
государств
создание
сферы
функционирования
концепций
средств
других
опасного
стран
информационных
информационных
мира,
и
войн,
воздействия
нарушение
на
нормального
телекоммуникационных
систем,
сохранности информационных ресурсов, получение несанкционированного
доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная
криминогенная
обстановка,
сопровождающаяся
тенденциями сращивания государственных и криминальных структур в
информационной сфере, получения криминальными структурами доступа к
конфиденциальной
информации,
усиления
влияния
организованной
преступности на жизнь общества, снижения степени защищенности законных
интересов граждан, общества и государства в информационной сфере;
недостаточная
государственной
Российской
координация
власти,
Федерации
государственной
деятельности
органов
по
политики
государственной
формированию
в
федеральных
области
и
власти
органов
субъектов
реализации
обеспечения
единой
информационной
безопасности Российской Федерации;
недостаточная
разработанность
нормативной
правовой
базы,
регулирующей отношения в информационной сфере, а также недостаточная
правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный
государственный контроль за развитием информационного рынка России;
недостаточное
финансирование
мероприятий
по
обеспечению
информационной безопасности Российской Федерации;
недостаточная экономическая мощь государства;
снижение
эффективности
системы
образования
и
воспитания,
недостаточное количество квалифицированных кадров в области обеспечения
информационной безопасности;
20
недостаточная активность федеральных органов государственной власти,
органов
государственной
власти
субъектов
Российской
Федерации
в
информировании общества о своей деятельности, в разъяснении принимаемых
решений, в формировании открытых государственных ресурсов и развитии
системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации
федеральных органов государственной власти, органов государственной власти
субъектов Российской Федерации и органов местного самоуправления,
кредитно-финансовой
сферы,
промышленности,
сельского
хозяйства,
образования, здравоохранения, сферы услуг и быта граждан.
Государственная политика обеспечения информационной безопасности
Российской Федерации определяет основные направления деятельности
федеральных органов государственной власти и органов государственной
власти субъектов Российской Федерации в этой области, порядок закрепления
их
обязанностей
по
защите
интересов
Российской
Федерации
в
информационной сфере в рамках направлений их деятельности и базируется на
соблюдении
баланса
интересов
личности,
общества
и
государства
в
информационной сфере.
Государственная политика обеспечения информационной безопасности
Российской Федерации основывается на следующих основных принципах:
соблюдение Конституции Российской Федерации, законодательства
Российской Федерации, общепризнанных принципов и норм международного
права при осуществлении деятельности по обеспечению информационной
безопасности Российской Федерации;
открытость в реализации функций федеральных органов государственной
власти, органов государственной власти субъектов Российской Федерации и
общественных объединений, предусматривающая информирование общества
об их деятельности с учетом ограничений, установленных законодательством
Российской Федерации;
21
правовое
равенство
всех
участников
процесса
информационного
взаимодействия вне зависимости от их политического, социального и
экономического статуса, основывающееся на конституционном праве граждан
на свободный поиск, получение, передачу, производство и распространение
информации любым законным способом;
приоритетное развитие отечественных современных информационных и
телекоммуникационных технологий, производство технических и программных
средств,
способных
обеспечить
телекоммуникационных
сетей,
совершенствование
их
подключение
национальных
к
глобальным
информационным сетям в целях соблюдения жизненно важных интересов
Российской Федерации.
Государство в процессе реализации своих функций по обеспечению
информационной безопасности Российской Федерации:
проводит объективный и всесторонний анализ и прогнозирование угроз
информационной безопасности Российской Федерации, разрабатывает меры по
ее обеспечению;
организует
работу
законодательных
(представительных)
и
исполнительных органов государственной власти Российской Федерации по
реализации комплекса мер, направленных на предотвращение, отражение и
нейтрализацию угроз информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную
на объективное информирование населения о социально значимых явлениях
общественной жизни, защиту общества от искаженной и недостоверной
информации;
осуществляет
использованием,
контроль
экспортом и
за
разработкой,
импортом
средств
созданием,
защиты
развитием,
информации
посредством их сертификации и лицензирования деятельности в области
защиты информации;
проводит необходимую протекционистскую политику в отношении
производителей средств информатизации и защиты информации на территории
22
Российской Федерации и принимает меры по защите внутреннего рынка от
проникновения
на
него
некачественных
средств
информатизации
и
информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа
к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику
России;
организует
разработку
федеральной
программы
обеспечения
информационной безопасности Российской Федерации, объединяющей усилия
государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и
систем, а также вхождению России в мировое информационное сообщество на
условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных
отношений, возникающих в информационной сфере, является приоритетным
направлением
государственной
политики
в
области
обеспечения
информационной безопасности Российской Федерации.
Это предполагает:
оценку эффективности применения действующих законодательных и
иных нормативных правовых актов в информационной сфере и выработку
программы их совершенствования;
создание
организационно-правовых
механизмов
обеспечения
информационной безопасности;
определение
информационной
правового
сфере,
статуса
включая
всех
субъектов
пользователей
отношений
в
информационных
и
телекоммуникационных систем, и установление их ответственности за
соблюдение законодательства Российской Федерации в данной сфере;
создание системы сбора и анализа данных об источниках угроз
информационной безопасности Российской Федерации, а также о последствиях
их осуществления;
23
разработку нормативных правовых актов, определяющих организацию
следствия и процедуру судебного разбирательства по фактам противоправных
действий в информационной сфере, а также порядок ликвидации последствий
этих противоправных действий;
разработку составов правонарушений с учетом специфики уголовной,
гражданской,
административной,
дисциплинарной
ответственности
и
включение соответствующих правовых норм в уголовный, гражданский,
административный и трудовой кодексы, в законодательство Российской
Федерации о государственной службе;
совершенствование системы подготовки кадров, используемых в области
обеспечения информационной безопасности Российской Федерации.
Правовое
обеспечение
информационной
безопасности
Российской
Федерации должно базироваться, прежде всего, на соблюдении принципов
законности,
баланса
интересов
граждан,
общества
и
государства
в
информационной сфере.
Соблюдение принципа законности требует от федеральных органов
государственной
власти
и
органов
государственной
власти
субъектов
Российской Федерации при решении возникающих в информационной сфере
конфликтов неукоснительно руководствоваться законодательными и иными
нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение
государства
закрепление
в
принципа
баланса
информационной
приоритета
этих
интересов
сфере
граждан,
предполагает
интересов
в
общества
и
законодательное
различных
областях
жизнедеятельности общества, а также использование форм общественного
контроля деятельности федеральных органов государственной власти и органов
государственной
власти
субъектов
Российской
Федерации.
Реализация
гарантий конституционных прав и свобод человека и гражданина, касающихся
деятельности
в
информационной
сфере,
является
государства в области информационной безопасности.
важнейшей
задачей
24
Разработка
механизмов
правового
обеспечения
информационной
безопасности Российской Федерации включает в себя мероприятия по
информатизации правовой сферы в целом.
В целях выявления и согласования интересов федеральных органов
государственной
власти,
органов
государственной
власти
субъектов
Российской Федерации и других субъектов отношений в информационной
сфере,
выработки
необходимых
решений
государство
поддерживает
формирование общественных советов, комитетов и комиссий с широким
представительством общественных объединений и содействует организации их
эффективной работы.
Первоочередными
мероприятиями
по
реализации
государственной
политики обеспечения информационной безопасности Российской Федерации
являются:
разработка и внедрение механизмов реализации правовых норм,
регулирующих отношения в информационной сфере, а также подготовка
концепции правового обеспечения информационной безопасности Российской
Федерации;
разработка
государственного
и
реализация
руководства
механизмов
повышения
деятельностью
эффективности
государственных
средств
массовой информации, осуществления государственной информационной
политики;
принятие и реализация федеральных программ, предусматривающих
формирование
общедоступных
архивов
информационных
ресурсов
федеральных органов государственной власти и органов государственной
власти субъектов Российской Федерации, повышение правовой культуры и
компьютерной грамотности граждан, развитие инфраструктуры единого
информационного пространства России, комплексное противодействие угрозам
информационной войны, создание безопасных информационных технологий
для систем, используемых в процессе реализации жизненно важных функций
общества и государства, пресечение компьютерной преступности, создание
25
информационно-телекоммуникационной системы специального назначения в
интересах
федеральных
органов
государственной
власти
и
органов
государственной власти субъектов Российской Федерации, обеспечение
технологической независимости страны в области создания и эксплуатации
информационно-телекоммуникационных систем оборонного назначения;
развитие
системы
подготовки
кадров,
используемых
в
области
обеспечения информационной безопасности Российской Федерации;
гармонизация отечественных стандартов в области информатизации и
обеспечения информационной безопасности автоматизированных систем
управления, информационных и телекоммуникационных систем общего и
специального назначения.
Система
обеспечения
информационной
безопасности
Российской
Федерации предназначена для реализации государственной политики в данной
сфере.
Основными
функциями
системы
обеспечения
информационной
безопасности Российской Федерации являются:
разработка
нормативной
правовой
базы
в
области
обеспечения
информационной безопасности Российской Федерации;
создание условий для реализации прав граждан и общественных
объединений на разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан,
общества и государства в свободном обмене информацией и необходимыми
ограничениями на распространение информации;
оценка состояния информационной безопасности Российской Федерации,
выявление источников внутренних и внешних угроз информационной
безопасности,
определение
приоритетных
отражения и нейтрализации этих угроз;
направлений
предотвращения,
26
координация деятельности федеральных органов государственной власти
и
других
государственных
органов,
решающих
задачи
обеспечения
информационной безопасности Российской Федерации;
контроль деятельности федеральных органов государственной власти и
органов
государственной
власти
субъектов
Российской
Федерации,
государственных и межведомственных комиссий, участвующих в решении
задач обеспечения информационной безопасности Российской Федерации;
предупреждение, выявление и пресечение правонарушений, связанных с
посягательствами на законные интересы граждан, общества и государства в
информационной сфере, на осуществление судопроизводства по делам о
преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также
индустрии телекоммуникационных и информационных средств, повышение их
конкурентоспособности на внутреннем и внешнем рынке;
организация
разработки
федеральной
и
региональных
программ
обеспечения информационной безопасности и координация деятельности по их
реализации;
проведение единой технической политики в области обеспечения
информационной безопасности Российской Федерации;
организация фундаментальных и прикладных научных исследований в
области обеспечения информационной безопасности Российской Федерации;
защита государственных информационных ресурсов, прежде всего в
федеральных органах государственной власти и органах государственной
власти субъектов Российской Федерации, на предприятиях оборонного
комплекса;
обеспечение контроля за созданием и использованием средств защиты
информации посредством обязательного лицензирования деятельности в
данной сфере и сертификации средств защиты информации;
27
совершенствование и развитие единой системы подготовки кадров,
используемых
в
области
информационной
безопасности
Российской
Федерации;
осуществление международного сотрудничества в сфере обеспечения
информационной
безопасности,
представление
интересов
Российской
Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов
государственной
власти
государственных
органов,
субъектов
Российской
входящих
в
состав
Федерации,
системы
других
обеспечения
информационной безопасности Российской Федерации и ее подсистем,
определяется федеральными законами, нормативными правовыми актами
Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, координирующих деятельность федеральных органов
государственной
власти,
органов
государственной
власти
субъектов
Российской Федерации, других государственных органов, входящих в состав
системы обеспечения информационной безопасности Российской Федерации и
ее подсистем, определяются отдельными нормативными правовыми актами
Российской Федерации.
Система
обеспечения
информационной
безопасности
Российской
Федерации является частью системы обеспечения национальной безопасности
страны.
Система
Федерации
обеспечения
строится
на
информационной
основе
безопасности
разграничения
Российской
полномочий
органов
законодательной, исполнительной и судебной власти в данной сфере, а также
предметов ведения федеральных органов государственной власти и органов
государственной власти субъектов Российской Федерации.
Основными элементами организационной основы системы обеспечения
информационной безопасности Российской Федерации являются: Президент
Российской Федерации, Совет Федерации Федерального Собрания Российской
Федерации, Государственная Дума Федерального Собрания Российской
28
Федерации, Правительство Российской Федерации, Совет Безопасности
Российской
Федерации,
федеральные
органы
исполнительной
власти,
межведомственные и государственные комиссии, создаваемые Президентом
Российской Федерации и Правительством Российской Федерации, органы
исполнительной власти субъектов Российской Федерации, органы местного
самоуправления,
органы
судебной
власти,
общественные
объединения,
граждане, принимающие в соответствии с законодательством Российской
Федерации
участие
в
решении
задач
обеспечения
информационной
безопасности Российской Федерации.
Президент
Российской
Федерации
руководит
конституционных
полномочий
органами
информационной
безопасности
Российской
действия
по
обеспечению
и
информационной
силами
в
пределах
по
Федерации;
своих
обеспечению
санкционирует
безопасности
Российской
Федерации; в соответствии с законодательством Российской Федерации
формирует, реорганизует и упраздняет подчиненные ему органы и силы по
обеспечению
определяет
информационной
в
своих
ежегодных
безопасности
посланиях
Российской
Федерации;
Федеральному
Собранию
приоритетные направления государственной политики в области обеспечения
информационной безопасности Российской Федерации, а также меры по
реализации Доктрины информационной безопасности Российской Федерации.
Палаты Федерального Собрания Российской Федерации на основе
Конституции Российской Федерации по представлению Президента Российской
Федерации
и
Правительства
Российской
Федерации
формируют
законодательную базу в области обеспечения информационной безопасности
Российской Федерации.
Правительство Российской Федерации в пределах своих полномочий и с
учетом сформулированных в ежегодных посланиях Президента Российской
Федерации Федеральному Собранию приоритетных направлений в области
обеспечения
информационной
безопасности
Российской
Федерации
координирует деятельность федеральных органов исполнительной власти и
29
органов исполнительной власти субъектов Российской Федерации, а также при
формировании в установленном порядке проектов федерального бюджета на
соответствующие годы предусматривает выделение средств, необходимых для
реализации федеральных программ в этой области.
Совет Безопасности Российской Федерации проводит работу по
выявлению и оценке угроз информационной безопасности Российской
Федерации,
оперативно
подготавливает
проекты
решений
Президента
Российской Федерации по предотвращению таких угроз, разрабатывает
предложения
в
области
обеспечения
информационной
безопасности
Российской Федерации, а также предложения по уточнению отдельных
положений настоящей Доктрины, координирует деятельность органов и сил по
обеспечению
информационной
безопасности
Российской
Федерации,
контролирует реализацию федеральными органами исполнительной власти и
органами исполнительной власти субъектов Российской Федерации решений
Президента Российской Федерации в этой области.
Федеральные органы исполнительной власти обеспечивают исполнение
законодательства Российской Федерации, решений Президента Российской
Федерации и Правительства Российской Федерации в области обеспечения
информационной безопасности Российской Федерации; в пределах своей
компетенции разрабатывают нормативные правовые акты в этой области и
представляют их в установленном порядке Президенту Российской Федерации
и в Правительство Российской Федерации.
Межведомственные
и
государственные
комиссии,
создаваемые
Президентом Российской Федерации и Правительством Российской Федерации,
решают в соответствии с предоставленными им полномочиями задачи
обеспечения информационной безопасности Российской Федерации.
Органы исполнительной власти субъектов Российской Федерации
взаимодействуют с федеральными органами исполнительной власти по
вопросам исполнения законодательства Российской Федерации, решений
Президента Российской Федерации и Правительства Российской Федерации в
30
области обеспечения информационной безопасности Российской Федерации, а
также по вопросам реализации федеральных программ в этой области;
совместно с органами местного самоуправления осуществляют мероприятия по
привлечению граждан, организаций и общественных объединений к оказанию
содействия в решении проблем обеспечения информационной безопасности
Российской Федерации; вносят в федеральные органы исполнительной власти
предложения по совершенствованию системы обеспечения информационной
безопасности Российской Федерации.
Органы
местного
законодательства
самоуправления
Российской
обеспечивают
Федерации
в
области
соблюдение
обеспечения
информационной безопасности Российской Федерации.
Органы судебной власти осуществляют правосудие по делам о
преступлениях, связанных с посягательствами на законные интересы личности,
общества и государства в информационной сфере, и обеспечивают судебную
защиту граждан и общественных объединений, чьи права были нарушены в
связи с деятельностью по обеспечению информационной безопасности
Российской Федерации.
В
состав
системы
обеспечения
информационной
безопасности
Российской Федерации могут входить подсистемы (системы), ориентированные
на решение локальных задач в данной сфере.
4. Информационная сфера и информационная безопасность органов
внутренних дел. Важнейшие составляющие интересов в информационной
сфере и основные угрозы информационной безопасности органов
внутренних дел.
Огромный объем аккумулируемой компьютерными системами ОВД
информации, как открытой, регистрируемой по официальной линии, так
конфиденциальной,
накапливаемой
по
линии
оперативно-розыскной
31
деятельности,
ставит
ее
в
положение
наиболее
информационноемкой
структуры в сфере исполнительной власти.
Все
это
делает
информационные
ресурсы
ОВД
объектом,
представляющим огромный интерес как для отдельных лиц, совершивших
преступления, их группировок, так и для организаций антиконституционной
направленности, спецслужб иностранных государств, а также партий,
общественно-политических движений и средств массовой информации,
стремящихся
использовать
для
своих
целей
оперативно-служебную
информацию ОВД. Возможность противоправных действий в отношении
информации компьютерных систем ОВД обусловливает различного рода
источники угроз информационной безопасности этих систем.
Этому способствуют следующие факторы:
-
многообразие
форм
несанкционированного
(неправомерного,
запрещенного) доступа к информации и обращения с нею;
- отсутствие адекватного механизма его предотвращения, выявления, и
пресечения;
- рост организованности современной преступности, повышение ее
криминального
профессионализма
и
дальнейшее
совершенствование
технической оснащенности, базирующееся на новейших достижениях научнотехнического прогресса.
В соответствии с поручением Президента Российской Федерации в
министерстве внутренних дел в настоящее время ведется создание единой
системы информационно-аналитического обеспечения деятельности МВД
России.
Непосредственное
руководство
информационно-аналитического
по
обеспечения
созданию
единой
деятельности
МВД
системы
России
осуществляет Совет образованный приказом Министра внутренних дел
Российской Федерации от 24 октября 2011 года №1097. Также указанный совет
создан в целях оптимизации процесса управления в области информационных
технологий, внедрения в системе МВД России современных информационно-
32
телекоммуникационных технологий, выработки общей стратегии по созданию
и развитию единой системы информатизации Министерства, подготовки
рекомендаций по решению важнейших научно-технических проблем в области
информатизации, связи и защиты информации. В его состав вошли не только
представители МВД России, но и Правительства Российской Федерации и
федеральных органов исполнительной власти.
Приказом МВД РФ № 169 от 14.03.2012 года была утверждена
Концепция обеспечения информационной безопасности органов внутренних
дел Российской Федерации до 2020 года.
В соответствии с данной концепцией основными задачами обеспечения
информационной безопасности органов внутренних дел являются:
- совершенствование правовых, научно-практических, нормативнотехнических, организационно-методических и иных основ информационной
безопасности ОВД;
- реализация комплекса организационных (режимных) и технических
мероприятий,
направленных
на
обеспечение
защиты
информации,
информационных ресурсов и информационных систем ОВД от утечки,
хищения, утраты, несанкционированного доступа, уничтожения, искажения,
модификации, подделки, копирования, блокирования;
- создание и развитие системы информационной безопасности ОВД с
учетом реализации «облачной архитектуры»;
- формирование и совершенствование системы мониторинга состояния
информационной безопасности ОВД;
- организация и совершенствование профессиональной подготовки и
переподготовки сотрудников органов внутренних дел в области обеспечения
информационной безопасности.
Решение поставленных задач осуществляется в ходе реализации
следующих основных направлений:
- выработка основных направлений единой научно-технической политики
в области обеспечения информационной безопасности ОВД;
33
- совершенствование нормативной правовой базы по обеспечению
информационной безопасности ОВД;
- развитие сети органов по аттестации объектов информатизации на базе
подразделений информационных технологий, связи и защиты информации и
оснащение их современными средствами защиты, контрольно-измерительной и
поисковой техникой;
- разработка новых и совершенствование существующих способов,
методов и средств выявления, оценки, прогнозирования, нейтрализации и
ликвидации угроз информационной безопасности ОВД;
-
организация
технической
защиты
информации,
программных,
программно-технических и технических средств защиты, в том числе
криптографической;
- реализация разрешительной системы доступа к информационным
ресурсам и информационным системам ОВД;
- обеспечение информационной безопасности при межведомственном
информационном взаимодействии с федеральными органами государственной
власти;
- разработка и совершенствование защищенных информационных
технологий и информационно-телекоммуникационных систем ОВД;
- организация защиты информации в единой информационной системе
централизованной обработки данных от несанкционированного доступа к
обрабатываемой информации и воздействий, вызывающих разрушение,
уничтожение, искажение информации, а также изменение штатных режимов
функционирования систем и средств информатизации и связи;
- обеспечение защищенного доступа пользователей к информационным
ресурсам ЕИС ЦОД;
-
осуществление
контроля
целостности
системы
обеспечения
информационной безопасности ОВД;
- проведение оценки уязвимости и рисков информации при имеющемся
множестве угроз и каналов утечки;
34
-
проведение
технического
аудита
состояния
защищенности
информационных систем ОВД;
- совершенствование профессиональной подготовки и переподготовки
сотрудников органов внутренних дел в области обеспечения информационной
безопасности на базе образовательных учреждений системы МВД России;
- совершенствование материально-технической базы ведомственных
образовательных учреждений.
В соответствии с Приказом МВД РФ №25 от 16.01.2012 года «Об
утверждении Комплекса мер по обеспечению информационной безопасности и
защиты данных информационных систем МВД России с учетом реализации
"облачной архитектуры» в настоящее время осуществляются следующие
мероприятия:
- разработка спецификаций по закупке средств защиты информации
второй очереди подсистемы информационной безопасности ИСОД МВД
России;
- закупка и поставка средств защиты информации второй очереди
подсистемы информационной безопасности ИСОД МВД России;
- развертывание (установка и настройка) средств защиты информации
второй очереди подсистемы информационной безопасности ИСОД МВД
России;
разработка правил разграничения доступа к информационным ресурсам
второй очереди подсистемы информационной безопасности ИСОД МВД
России;
уточнение и утверждение организационно-распорядительных документов
на второй очереди подсистемы информационной безопасности ИСОД МВД
России;
- ввод правил разграничения доступа к информационным ресурсам
второй очереди подсистемы информационной безопасности ИСОД МВД
России;
35
- аттестация объектов информатизации второй очереди подсистемы
информационной безопасности ИСОД МВД России;
- ввод в эксплуатацию второй очереди подсистемы информационной
безопасности ИСОД МВД России.
36
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УТВЕРЖДАЮ
Начальник кафедры ИБ
майор полиции
А.Б. Сизоненко
«____»_________________2013 г.
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Лекция
ТЕМА № 2 «Обеспечение информационной безопасности в органах
внутренних дел»
Обсуждена и одобрена
на заседании кафедры ИБ
протокол № 02 от «13» сентября 2013г.
Время-2 часа.
Подготовили:
начальник кафедры ИБ
к.т.н., доцент
майор полиции
А.Б.Сизоненко
Краснодар
37
2013
План лекции
Введение ................................................................................................................. 39
1. Понятие методов, способов и средств защиты информации........................ 41
2. Ответственность за совершение информационных и компьютерных
преступлений ......................................................................................................... 44
3. Концепция информационной безопасности органов внутренних дел
Российской Федерации ......................................................................................... 57
Литература
1. Защита информации. Основные термины и определения: ГОСТ Р
50922-2006. – Взамен ГОСТ Р 50922-96; введ. 2008-02-01 [Консультант плюс].
2. Информационные технологии. Основные термины и определения с
области технической защиты информации: ГОСТ Р 50.1.053-2005. – введ. 200601-01 [Консультант плюс]
3. Техническая защита информации. Основные термины и определения:
ГОСТ Р 50.1.056-2005. – введ. 2006-06-01 [Консультант плюс].
4. Черных П.Я. Историко-этимологический словарь русского языка: в 2 т.
– 3-е изд., стереотип. Том 1: А-Пантомима – М: Русский язык, 1999. – 626 с.
5. Техническая защита информации. Учебник для вузов / А.П. Зайцев,
А.А. Шелупанов, Р.В. Мещеряков и др.; под ред. А.П. Зайцева и А.А.
Шелупанова. – 5-е изд., перераб. и доп. – М.: Горячая линия-Телеком, 2009. –
616 с.
6. Томаси У. Электронные системы связи. – М.: Техносфера, 2007. – 1360
с.
7. Торокин А.А. Инженерно-техническая защита информации: учеб.
пособие для студентов, обучающихся по специальностям в обл. информ.
безопасности — М.: Гелиос АРВ, 2005. — 960 с. – ISBN 5-85438-140-0
8. Федеральный закон РФ от 07.07.2003 № 126-ФЗ «О связи»
[Консультант плюс]
38
9. Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации» [Консультант плюс].
10.Чубукова
С.Г.,
Элькин
В.Д.
Основы
правовой
информатики
(юридические и математические вопросы информатики): Учебное пособие. Изд.
второе, исправленное, дополненное / Под ред. доктора юридических наук,
профессора М.М. Рассолова, профессора В.Д. Элькина. — М.: Юридическая
фирма «КОНТРАКТ», 2007. — 287 с. – ISBN 978-5-98209-023-2.
11.Ожегов С. И., Щведова Н.Ю. Толковый словарь русского языка : 80
000 слов и фразеол. выражений / Рос. акад. наук, Ин-т рус. яз. им. В.В.
Виноградова. – 4-е изд, доп. – М. : Азбуковик, 1999. – 944 с. – 5-89285-003-X.
12.Основы информационной безопасности. Учебное пособие для вузов /
Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия –
Телеком, 2006. – 544 с.
13.Основы криптографии: Учебное пособие/ Алферов А.П., Зубов А.Ю.,
Кузьмин А.С., Черемушкин А.В. — М.: Гелиос АРВ, 2001. — 480 с.
14.Городов О.А. Информационное право: учеб. – М.: ТК Велби, Изд-во
Проспект, 2008. – 284 с. – ISBN 978-5-482-01772-2.
15.Стратегия
развития
информационного
общества
в
Российской
Федерации (утв. Президентом РФ 07.02.2008 N Пр-212) [Консультант плюс].
16.Доктрина информационной безопасности Российской Федерации:
Утверждена Президентом Российской Федерации Пр-1895 от 09 сентября
2000 г.
17.Комарович В.Ф., Саенко И.Б. Компьютерные информационные
войны// Защита информации. Конфидент. — 2000 — № 4-5 — с. 84-88.
УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
Оборудование классов.
Слайды.
LCD-проектор
39
ВВЕДЕНИЕ
Развитие современных информационных технологий, под которыми
понимаются
процессы,
методы
поиска,
сбора,
хранения,
обработки,
предоставления, распространения информации и способы осуществления таких
процессов и методов, является одними из важнейших составляющих
национальных интересов Российской Федерации в информационной сфере [9].
Наряду с преимуществами построения информационного общества,
увеличиваются и риски, связанные с существованием угроз безопасности
информационным и телекоммуникационным средствам и системам. Вот лишь
некоторые из них :
разработка и распространение программ, нарушающих нормальное
функционирование
информационных
и
информационно
-
телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение
средств и систем обработки информации, телекоммуникации и связи;
компрометация
ключей
и
средств
криптографической
защиты
информации;
утечка информации по техническим каналам;
уничтожение, повреждение, разрушение или хищение машинных и других
носителей информации;
перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
несанкционированный доступ к информации, находящейся в банках и
базах данных.
Защита информационных ресурсов от несанкционированного доступа,
обеспечение безопасности информационных и телекоммуникационных систем,
также
является
информационной
одним
сфере.
из
основных
Основными
национальных
направлениями
интересов
в
обеспечения
40
информационной безопасности Российской Федерации в общегосударственных
информационных и телекоммуникационных системах являются [16]:
предотвращение перехвата информации из помещений и с объектов, а
также информации, передаваемой по каналам связи с помощью технических
средств;
исключение несанкционированного доступа к обрабатываемой или
хранящейся в технических средствах информации;
предотвращение
утечки
информации
по
техническим
каналам,
возникающей при эксплуатации технических средств ее обработки, хранения и
передачи;
предотвращение специальных программно - технических воздействий,
вызывающих разрушение, уничтожение, искажение информации или сбои в
работе средств информатизации;
обеспечение
безопасности
конфиденциальной
информации
при
взаимодействии информационных и телекоммуникационных систем различных
классов защищенности.
Таким образом, знание методов и средств защиты информации в настоящее
время является актуальным
41
ПОНЯТИЕ МЕТОДОВ, СПОСОБОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Защита информации (ЗИ): деятельность, направленная на предотвращение
утечки защищаемой информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию.
В соответствии с ГОСТ 50922-2006 защиту информации по видам
подразделяют на правовую, техническую, криптографическую, физическую.
Правовая
защита
информации:
защита
информации
правовыми
методами, включающая в себя разработку законодательных и нормативных
правовых документов (актов), регулирующих отношения субъектов по защите
информации, применение этих документов (актов), а также надзор и контроль
за их исполнением.
Систему информационного законодательства (рис. Ошибка! Источник
ссылки не найден.) образуют различные законы и издаваемые в соответствии с
ними иные нормативные правовые акты, посвященные прямому или
опосредованному регулированию отношений, объектом которых является
информация, производные от нее продукты и связанная с ними деятельность.
Среди законов выделяется базовый для информационной сферы
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации».
Особое место среди нормативных актов, регулирующих отношения по
поводу информации принадлежит Закону РФ «О государственной тайне».
Данным
Техническая
защита
информации;
ТЗИ:
защита
информации,
заключающаяся в обеспечении некриптографическими методами безопасности
информации (данных), подлежащей (подлежащих) защите в соответствии с
действующим законодательством, с применением технических, программных и
программно-технических средств.
Криптографическая защита информации: защита информации с помощью
42
ее криптографического преобразования.
Физическая
применения
защита
информации:
организационных
защита
мероприятий
и
информации
совокупности
путем
средств,
создающих препятствия для проникновения или доступа неуполномоченных
физических лиц к объекту защиты. Организационные мероприятия по
обеспечению физической защиты информации предусматривают установление
режимных, временных, территориальных, пространственных ограничений на
условия использования и распорядок работы объекта защиты.
Целенаправленная
деятельность
органов
по
защите
информации
реализуется проведением целого комплекса мероприятий и применением
различных технических средств. Имеющийся опыт по защите информации
достаточно четко определил совокупность приемов, сил и средств защиты
информации.
Способ защиты информации - порядок и правила применения
определенных принципов и средств защиты информации.
Рассмотрим
термины
и
определения
в
области
средств
защиты
информации в соответствии с ГОСТ 50922-2006
Техника защиты информации: средства защиты информации, в том
числе средства физической защиты информации, криптографические средства
защиты информации, средства контроля эффективности защиты информации,
средства и системы управления, предназначенные для обеспечения защиты
информации.
Средство защиты информации: техническое, программное, программнотехническое средство, вещество и (или) материал, предназначенные или
используемые для защиты информации.
Средство контроля эффективности защиты информации: средство
защиты информации, предназначенное или используемое для контроля
эффективности защиты информации.
Средство
физической
защиты
информации:
средство
защиты
информации, предназначенное или используемое для обеспечения физической
43
защиты объекта защиты информации.
Криптографическое средство защиты информации: средство защиты
информации, реализующее алгоритмы криптографического преобразования
информации.
44
ОТВЕТСТВЕННОСТЬ ЗА СОВЕРШЕНИЕ ИНФОРМАЦИОННЫХ И
КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
Широкие возможности новейших информационных технологий могут,
безусловно, свидетельствовать об их использовании в качестве достаточно
эффективного и в то же время весьма доступного средства для совершения
иных умышленных преступлений, предметом посягательства которых является
информация, содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или
их сети. К числу таких преступлений уже сегодня можно смело отнести
нарушение неприкосновенности частной жизни (ст. 137 УК РФ), нарушение
тайны переписки, телефонных переговоров, почтовых, телеграфных или иных
сообщений (ст. 138 УК РФ), нарушение авторских и смежных прав (ст. 146 УК
РФ), разглашение тайны усыновления (удочерения) (ст. 155 УК РФ),
незаконные получение и разглашение сведений, составляющих коммерческую
или банковскую тайну (ст. 183 УК РФ), незаконный экспорт технологий,
научно-технической информации и услуг, используемых при создании оружия
массового поражения, вооружения и военной техники (ст. 189 УК РФ),
государственную измену (ст. 275 УК РФ), шпионаж (ст. 276 УК РФ),
разглашение государственной тайны (ст. 283 УК РФ) и преступления в сфере
компьютерной информации (гл. 28 ст. ст. 272-274).
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни
лица, составляющих его личную или семейную тайну, без его согласия либо
распространение
этих
сведений
в
публичном
выступлении,
публично
демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо обязательными работами на срок до трехсот шестидесяти часов,
45
либо
исправительными
работами
на
срок
до
одного
года,
либо
принудительными работами на срок до двух лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок
до трех лет или без такового, либо арестом на срок до четырех месяцев, либо
лишением свободы на срок до двух лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок
до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного
положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей
или в размере заработной платы или иного дохода осужденного за период от
одного года до двух лет, либо лишением права занимать определенные
должности или заниматься определенной деятельностью на срок от двух до
пяти лет, либо принудительными работами на срок до четырех лет с лишением
права занимать определенные должности или заниматься определенной
деятельностью на срок до пяти лет или без такового, либо арестом на срок до
шести месяцев, либо лишением свободы на срок до четырех лет с лишением
права занимать определенные должности или заниматься определенной
деятельностью на срок до пяти лет.
Статья 138. Нарушение тайны переписки, телефонных переговоров,
почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений граждан наказывается штрафом в размере до восьмидесяти тысяч рублей или в
размере заработной платы или иного дохода осужденного за период до шести
месяцев, либо обязательными работами на срок до трехсот шестидесяти часов,
либо исправительными работами на срок до одного года.
2. То же деяние, совершенное лицом с использованием своего служебного
положения, -
46
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или
в размере заработной платы или иного дохода осужденного за период от одного
года до двух лет, либо лишением права занимать определенные должности или
заниматься определенной деятельностью на срок от двух до пяти лет, либо
обязательными работами на срок до четырехсот восьмидесяти часов, либо
принудительными работами на срок до четырех лет, либо арестом на срок до
четырех месяцев, либо лишением свободы на срок до четырех лет.
Статья 138.1. Незаконный оборот специальных технических средств,
предназначенных для негласного получения информации
Незаконные производство, приобретение и (или) сбыт специальных
технических средств, предназначенных для негласного получения информации,
наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо ограничением свободы на срок до четырех лет, либо
принудительными работами на срок до четырех лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок
до трех лет или без такового, либо лишением свободы на срок до четырех лет с
лишением
права
занимать
определенные
должности
или
заниматься
определенной деятельностью на срок до трех лет или без такового.
Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в
установленном
порядке
документов
и
материалов,
непосредственно
затрагивающих права и свободы гражданина, либо предоставление гражданину
неполной или заведомо ложной информации, если эти деяния причинили вред
правам и законным интересам граждан, наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
47
месяцев либо лишением права занимать определенные должности или
заниматься определенной деятельностью на срок от двух до пяти лет.
Статья 146. Нарушение авторских и смежных прав
1. Присвоение авторства (плагиат), если это деяние причинило крупный
ущерб автору или иному правообладателю, наказывается штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо обязательными работами на срок до четырехсот восьмидесяти
часов, либо исправительными работами на срок до одного года, либо арестом
на срок до шести месяцев.
2. Незаконное использование объектов авторского права или смежных
прав, а равно приобретение, хранение, перевозка контрафактных экземпляров
произведений или фонограмм в целях сбыта, совершенные в крупном размере, наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо обязательными работами на срок до четырехсот восьмидесяти
часов, либо исправительными работами на срок до двух лет, либо
принудительными работами на срок до двух лет, либо лишением свободы на
тот же срок.
3. Деяния, предусмотренные частью второй настоящей статьи, если они
совершены:
б) группой лиц по предварительному сговору или организованной группой;
в) в особо крупном размере;
г) лицом с использованием своего служебного положения, наказываются принудительными работами на срок до пяти лет либо
лишением свободы на срок до шести лет со штрафом в размере до пятисот
тысяч рублей или в размере заработной платы или иного дохода осужденного
за период до трех лет или без такового.
Примечание. Деяния, предусмотренные настоящей статьей, признаются
48
совершенными в крупном размере, если стоимость экземпляров произведений
или фонограмм либо стоимость прав на использование объектов авторского
права и смежных прав превышают сто тысяч рублей, а в особо крупном размере
- один миллион рублей.
Статья 155. Разглашение тайны усыновления (удочерения)
Разглашение тайны усыновления (удочерения) вопреки воле усыновителя,
совершенное лицом, обязанным хранить факт усыновления (удочерения) как
служебную или профессиональную тайну, либо иным лицом из корыстных или
иных низменных побуждений, наказывается штрафом в размере до восьмидесяти тысяч рублей или в
размере заработной платы или иного дохода осужденного за период до шести
месяцев, либо обязательными работами на срок до трехсот шестидесяти часов,
либо исправительными работами на срок до одного года, либо арестом на срок
до четырех месяцев с лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до трех лет или без такового.
Статья
183.
Незаконные
получение
и
разглашение
сведений,
составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или
банковскую тайну, путем похищения документов, подкупа или угроз, а равно
иным незаконным способом наказывается штрафом в размере до восьмидесяти тысяч рублей или в
размере заработной платы или иного дохода осужденного за период от одного
до шести месяцев, либо исправительными работами на срок до одного года,
либо принудительными работами на срок до двух лет, либо лишением свободы
на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих
коммерческую, налоговую или банковскую тайну, без согласия их владельца
лицом, которому она была доверена или стала известна по службе или работе, -
49
наказываются штрафом в размере до ста двадцати тысяч рублей или в
размере заработной платы или иного дохода осужденного за период до одного
года с лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет, либо исправительными
работами на срок до двух лет, либо принудительными работами на срок до трех
лет, либо лишением свободы на тот же срок.
3. Те же деяния, причинившие крупный ущерб или совершенные из
корыстной заинтересованности, наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев с лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет, либо принудительными
работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями второй или третьей настоящей
статьи, повлекшие тяжкие последствия, наказываются принудительными работами на срок до пяти лет либо
лишением свободы на срок до семи лет.
Статья 189. Незаконные экспорт из Российской Федерации или
передача
сырья,
материалов,
оборудования,
технологий,
научно-
технической информации, незаконное выполнение работ (оказание услуг),
которые могут быть использованы при создании оружия массового
поражения, вооружения и военной техники
1. Незаконные экспорт из Российской Федерации или передача лицом,
наделенным
правом
осуществлять
иностранной
организации
или
ее
внешнеэкономическую
представителю
сырья,
деятельность,
материалов,
оборудования, технологий, научно-технической информации, незаконное
выполнение этим лицом работ для иностранной организации или ее
представителя либо незаконное оказание услуг иностранной организации или
50
ее представителю, которые заведомо для указанного лица могут быть
использованы при создании вооружения и военной техники и в отношении
которых установлен экспортный контроль (при отсутствии признаков
преступлений, предусмотренных статьями 226.1 и 275 настоящего Кодекса), наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей
или в размере заработной платы или иного дохода осужденного за период от
одного года до трех лет, либо лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до пяти лет,
либо принудительными работами на срок до трех лет, либо лишением свободы
на тот же срок.
2. Те же деяния, совершенные группой лиц по предварительному сговору, наказываются принудительными работами на срок до пяти лет с лишением
права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет или без такового либо лишением свободы на
срок до пяти лет с лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до трех лет.
3.
Деяния,
предусмотренные
частью
первой
настоящей
статьи,
совершенные организованной группой либо в отношении сырья, материалов,
оборудования, технологий, научно-технической информации, работ (услуг),
которые
заведомо
для
лица,
наделенного
правом
осуществлять
внешнеэкономическую деятельность, могут быть использованы при создании
оружия массового поражения, средств его доставки и в отношении которых
установлен экспортный контроль, наказываются лишением свободы на срок от трех до семи лет со штрафом
в размере до одного миллиона рублей или в размере заработной платы или
иного дохода осужденного за период до пяти лет либо без такового.
Примечание.
Под
внешнеэкономическую
руководитель
лицом,
наделенным
деятельность,
юридического
лица,
в
правом
настоящей
созданного
статье
в
осуществлять
понимаются
соответствии
с
законодательством Российской Федерации и имеющего постоянное место
51
нахождения на территории Российской Федерации, а также физическое лицо,
имеющее постоянное место жительства на территории Российской Федерации и
зарегистрированное
на
территории
Российской
Федерации
в
качестве
индивидуального предпринимателя.
Статья 272. Неправомерный доступ к компьютерной информации
1.
Неправомерный
информации,
если
это
доступ
деяние
к
охраняемой
повлекло
законом
компьютерной
уничтожение,
блокирование,
модификацию либо копирование компьютерной информации, наказывается штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо исправительными работами на срок до одного года, либо
ограничением свободы на срок до двух лет, либо принудительными работами
на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из
корыстной заинтересованности, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или
в размере заработной платы или иного дохода осужденного за период от одного
года до двух лет, либо исправительными работами на срок от одного года до
двух лет, либо ограничением свободы на срок до четырех лет, либо
принудительными работами на срок до четырех лет, либо арестом на срок до
шести месяцев, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи,
совершенные группой лиц по предварительному сговору или организованной
группой либо лицом с использованием своего служебного положения, наказываются штрафом в размере до пятисот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до трех лет с
лишением
права
занимать
определенные
должности
или
заниматься
определенной деятельностью на срок до трех лет, либо ограничением свободы
на срок до четырех лет, либо принудительными работами на срок до пяти лет,
52
либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей
настоящей статьи, если они повлекли тяжкие последствия или создали угрозу
их наступления, наказываются лишением свободы на срок до семи лет.
Примечания. 1. Под компьютерной информацией понимаются сведения
(сообщения, данные), представленные в форме электрических сигналов,
независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма
которого превышает один миллион рублей.
Статья 273. Создание, использование и распространение вредоносных
компьютерных программ
1. Создание, распространение или использование компьютерных программ
либо иной компьютерной информации, заведомо предназначенных для
несанкционированного
уничтожения,
блокирования,
модификации,
копирования компьютерной информации или нейтрализации средств защиты
компьютерной информации, наказываются ограничением свободы на срок до четырех лет, либо
принудительными работами на срок до четырех лет, либо лишением свободы
на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев.
2.
Деяния,
предусмотренные
частью
первой
настоящей
статьи,
совершенные группой лиц по предварительному сговору или организованной
группой либо лицом с использованием своего служебного положения, а равно
причинившие
крупный
ущерб
или
совершенные
из
корыстной
заинтересованности, наказываются ограничением свободы на срок до четырех лет, либо
принудительными работами на срок до пяти лет с лишением права занимать
53
определенные должности или заниматься определенной деятельностью на срок
до трех лет или без такового, либо лишением свободы на срок до пяти лет со
штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от двух до трех лет
или без такового и с лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи,
если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации средств хранения,
обработки или передачи компьютерной информации и информационнотелекоммуникационных сетей
1. Нарушение правил эксплуатации средств хранения, обработки или
передачи охраняемой компьютерной информации либо информационнотелекоммуникационных сетей и оконечного оборудования, а также правил
доступа
к
информационно-телекоммуникационным
сетям,
повлекшее
уничтожение, блокирование, модификацию либо копирование компьютерной
информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо исправительными работами на срок от шести месяцев до одного
года, либо ограничением свободы на срок до двух лет, либо принудительными
работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно
повлекло тяжкие последствия или создало угрозу их наступления, наказывается принудительными работами на срок до пяти лет либо
лишением свободы на тот же срок.
Статья 275. Государственная измена
54
Государственная измена, то есть совершенные гражданином Российской
Федерации шпионаж, выдача иностранному государству, международной либо
иностранной организации или их представителям сведений, составляющих
государственную тайну, доверенную лицу или ставшую известной ему по
службе,
работе,
законодательством
учебе
или
Российской
в
иных
Федерации,
случаях,
либо
предусмотренных
оказание
финансовой,
материально-технической, консультационной или иной помощи иностранному
государству,
международной
либо
иностранной
организации
или
их
представителям в деятельности, направленной против безопасности Российской
Федерации, наказывается лишением свободы на срок от двенадцати до двадцати лет со
штрафом в размере до пятисот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до трех лет либо без такового и с
ограничением свободы на срок до двух лет.
Примечание.
Лицо,
совершившее
преступления,
предусмотренные
настоящей статьей, а также статьями 276 и 278 настоящего Кодекса,
освобождается от уголовной ответственности, если оно добровольным и
своевременным сообщением органам власти или иным образом способствовало
предотвращению дальнейшего ущерба интересам Российской Федерации и
если в его действиях не содержится иного состава преступления.
Статья 276. Шпионаж
Передача, собирание, похищение или хранение в целях передачи
иностранному государству, международной либо иностранной организации или
их представителям сведений, составляющих государственную тайну, а также
передача или собирание по заданию иностранной разведки или лица,
действующего в ее интересах, иных сведений для использования их против
безопасности Российской Федерации, то есть шпионаж, если эти деяния
совершены иностранным гражданином или лицом без гражданства, наказываются лишением свободы на срок от десяти до двадцати лет.
55
Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом,
которому она была доверена или стала известна по службе, работе, учебе или в
иных случаях, предусмотренных законодательством Российской Федерации,
если эти сведения стали достоянием других лиц, при отсутствии признаков
преступлений, предусмотренных статьями 275 и 276 настоящего Кодекса, наказывается арестом на срок от четырех до шести месяцев либо лишением
свободы на срок до четырех лет с лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до трех лет
или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от трех до семи лет с лишением
права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет.
Статья
283.1.
Незаконное
получение
сведений,
составляющих
государственную тайну
1. Получение сведений, составляющих государственную тайну, путем
похищения, обмана, шантажа, принуждения, угрозы применения насилия либо
иным незаконным способом (при отсутствии признаков преступлений,
предусмотренных статьями 275 и 276 настоящего Кодекса) наказывается штрафом в размере от двухсот тысяч до пятисот тысяч
рублей или в размере заработной платы или иного дохода осужденного за
период от одного года до трех лет либо лишением свободы на срок до четырех
лет.
2. То же деяние, если оно:
а) совершено группой лиц;
б) совершено с применением насилия;
в) повлекло наступление тяжких последствий;
56
г) совершено с использованием специальных и иных технических средств,
предназначенных для негласного получения информации;
д)
сопряжено
с
распространением
сведений,
составляющих
государственную тайну, либо с перемещением носителей таких сведений за
пределы Российской Федерации, наказывается лишением свободы на срок от трех до восьми лет.
Статья 284. Утрата документов, содержащих государственную тайну
Нарушение
лицом,
имеющим
допуск
к
государственной
тайне,
установленных правил обращения с содержащими государственную тайну
документами, а равно с предметами, сведения о которых составляют
государственную тайну, если это повлекло по неосторожности их утрату и
наступление тяжких последствий, наказывается ограничением свободы на срок до трех лет, либо арестом на
срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет
с лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет или без такового.
57
КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
Концепция
обеспечения
информационной
безопасности
органов
внутренних дел Российской Федерации до 2020 года утверждена приказом
МВД России от 14.03.2012 № 169.
В соответствии с Концепцией информационная безопасность ОВД –
состояние
защищенности
информационных
систем
информации,
ОВД,
при
информационных
котором
ресурсов
обеспечивается
и
защита
информации (данных) от утечки, хищения, утраты, несанкционированного
доступа, уничтожения, искажения, модификации, подделки, копирования,
блокирования.
Система
обеспечения
информационной
безопасности
ОВД
–
совокупность правовых, организационных и технических мероприятий, средств
и методов защиты, органов управления и исполнителей, направленных на
противодействие
угрозам
информационной
безопасности
с
целью
предотвращения или существенного затруднения утечки, хищения, утраты,
уничтожения, искажения, модификации, подделки, копирования, блокирования
информации и несанкционированного доступа к ней.
Угроза информационной безопасности ОВД – совокупность условий
и факторов, создающих потенциальную или реальную опасность утечки,
хищения,
утраты,
уничтожения,
искажения,
модификации,
подделки,
копирования, блокирования информации и несанкционированного доступа к
ней.
Угрозы можно разделить на внешние и внутренние.
В качестве внешних угроз, представляющих наибольшую опасность для
органов внутренних дел, рассматриваются:
- разведывательная деятельность иностранных специальных служб и
преступных сообществ, связанных со сбором сведений, раскрывающих задачи,
58
планы деятельности, техническое оснащение, методы работы и места
дислокации специальных подразделений органов внутренних дел.
- деятельность иностранных государственных и частных коммерческих
структур,
стремящихся
получить
несанкционированных
доступ
к
информационным ресурсам правоохранительных органов.
К внутренних угрозам относятся:
- нарушение установленного регламента сбора, обработки, хранения и
передачи информации, содержащейся в картотеках и автоматизированных
банках данных;
- недостаточность законодательного и нормативного регулирования
информационного обмена в правоохранительной сфере;
отказ технических средств и сбои программного обеспечения в
информационных и телекоммуникационных системах;
-
преднамеренные
действия,
ошибки
персонала,
непосредственно
занятого формированием и ведением картотек и автоматизированных систем.
Целью обеспечения информационной безопасности ОВД является
достижение
с
использованием
методов
технической,
в
том
числе
криптографической, защиты информации необходимого уровня защиты от
специальных программно-технических воздействий, средств технических
разведок, несанкционированного доступа, а также утечки информации по
техническим каналам.
Основными задачами обеспечения информационной безопасности ОВД
являются:
совершенствование
правовых,
научно-практических,
нормативно-
технических, организационно-методических и иных основ информационной
безопасности ОВД;
реализация комплекса организационных (режимных) и технических
мероприятий,
направленных
на
обеспечение
защиты
информации,
информационных ресурсов и информационных систем ОВД от утечки,
59
хищения, утраты, несанкционированного доступа, уничтожения, искажения,
модификации, подделки, копирования, блокирования;
создание и развитие системы информационной безопасности ОВД с
учетом реализации «облачной архитектуры»;
формирование и совершенствование системы мониторинга состояния
информационной безопасности ОВД;
организация и совершенствование профессиональной подготовки и
переподготовки сотрудников органов внутренних дел в области обеспечения
информационной безопасности.
Информационная безопасность ОВД должна реализовываться на основе
принципов
законности,
комплексности,
достаточности,
целенаправленности,
оперативности,
приоритетного
системности,
использования
отечественных средств и систем защиты информации.
Решение поставленных задач осуществляется в ходе реализации
следующих основных направлений:
выработка основных направлений единой научно-технической политики
в области обеспечения информационной безопасности ОВД;
совершенствование
нормативной
правовой
базы
по
обеспечению
информационной безопасности ОВД;
развитие сети органов по аттестации объектов информатизации на базе
подразделений информационных технологий, связи и защиты информации и
оснащение их современными средствами защиты, контрольно-измерительной и
поисковой техникой;
разработка новых и совершенствование существующих способов,
методов и средств выявления, оценки, прогнозирования, нейтрализации и
ликвидации угроз информационной безопасности ОВД;
организация
технической
защиты
информации,
программных,
программно-технических и технических средств защиты, в том числе
криптографической;
60
реализация разрешительной системы доступа к информационным
ресурсам и информационным системам ОВД;
обеспечение информационной безопасности при межведомственном
информационном взаимодействии с федеральными органами государственной
власти;
разработка
и
совершенствование
защищенных
информационных
технологий и информационно-телекоммуникационных систем ОВД;
организация защиты информации в единой информационной системе
централизованной обработки данных1 от несанкционированного доступа к
обрабатываемой информации и воздействий, вызывающих разрушение,
уничтожение, искажение информации, а также изменение штатных режимов
функционирования систем и средств информатизации и связи;
обеспечение защищенного доступа пользователей к информационным
ресурсам ЕИС ЦОД;
осуществление
контроля
целостности
системы
обеспечения
информационной безопасности ОВД;
проведение оценки уязвимости и рисков информации при имеющемся
множестве угроз и каналов утечки;
проведение
технического
аудита
состояния
защищенности
информационных систем ОВД;
совершенствование профессиональной подготовки и переподготовки
сотрудников органов внутренних дел в области обеспечения информационной
безопасности на базе образовательных учреждений системы МВД России;
совершенствование
материально-технической
образовательных учреждений.
1
Далее – «ЕИС ЦОД».
базы
ведомственных
61
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УТВЕРЖДАЮ
Начальник кафедры ИБ
майор полиции
А.Б. Сизоненко
«____»_________________2013 г.
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Лекция
ТЕМА № 3 «Защита информации от утечки на объектах информатизации
органов внутренних дел»
Обсуждена и одобрена
на заседании кафедры ИБ
протокол № 03 от «27» сентября 2013г.
Время-2 часа.
Подготовили:
начальник кафедры ИБ
к.т.н., доцент
майор полиции
А.Б.Сизоненко
Краснодар
62
2013
План лекции
Введение ................................................................................................................. 63
1. Понятие и классификация угроз безопасности информации ....................... 65
2. Каналы утечки информации............................................................................. 73
3. Методы, способы и техника защиты информации ........................................ 80
4. Контроль эффективности защиты информации. ........................................... 85
Литература
18.Защита информации. Основные термины и определения: ГОСТ Р
50922-2006. – Взамен ГОСТ Р 50922-96; введ. 2008-02-01 [Консультант плюс].
19.Техническая защита информации. Основные термины и определения:
ГОСТ Р 50.1.056-2005. – введ. 2006-06-01 [Консультант плюс].
20.Техническая защита информации. Учебник для вузов / А.П. Зайцев,
А.А. Шелупанов, Р.В. Мещеряков и др.; под ред. А.П. Зайцева и А.А.
Шелупанова. – 5-е изд., перераб. и доп. – М.: Горячая линия-Телеком, 2009. –
616 с.
21.Торокин А.А. Инженерно-техническая защита информации: учеб.
пособие для студентов, обучающихся по специальностям в обл. информ.
безопасности — М.: Гелиос АРВ, 2005. — 960 с. – ISBN 5-85438-140-0
УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
Оборудование классов.
Слайды.
LCD-проектор
63
ВВЕДЕНИЕ
Необходимость
ограничения
доступа
к
различным
категориям
информации, широкое распространение средств вычислительной техники,
применение криптографических технологий обуславливают актуальность
защиты информации в современных условиях. Кроме того, в настоящее время
получили широкое распространение средства и методы несанкционированного
добывания информации, которые находят все большее применение и в
различного рода преступных группировках.
Естественные каналы утечки информации образуются самопроизвольно,
в силу специфических обстоятельств, сложившихся на объекте защиты.
Искусственные каналы утечки информации создаются преднамеренно с
применением активных методов и способов получения информации. Активные
способы предполагают намеренное создание технического канала утечки
информации с использованием специальных технических средств, например,
незаконное
подключение
к
каналам,
проводам
и
линиям
связи,
высокочастотное навязывание и облучение, установка в технических средствах
и помещениях микрофонов и телефонных закладных устройств, а также
несанкционированный
доступ
к
информации,
обрабатываемой
в
автоматизированных системах и т.д.
Поэтому особую роль и место в деятельности по защите информации
занимают мероприятия по созданию комплексной защиты с использованием
технических средств. Это обусловлено внедрением в информационные
процессы
«безбумажных»
микроэлектроники,
массового
технологий,
способствующими
изготовления
доступных
огромными
созданию
средств
достижениями
технической
нелегального
базы
для
добывания
информации, оснащением служебных помещений разнообразной электронной
техникой,
которая
информации.
может
способствовать
непреднамеренной
утечке
64
65
ПОНЯТИЕ И КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Угроза безопасности информации - совокупность условий и факторов,
создающих потенциальную или реально существующую опасность, связанную
с
утечкой
информации
и/или
несанкционированными
и/или
непреднамеренными воздействиями на нее. Структура угроз безопасности
информации представлена на рис. Ошибка! Текст указанного стиля в документе
отсутствует..1.
Структура угроз безопасности информации
Несанкционированн
Утечка информации
ое воздействие
Непреднамеренное
Разглашение
воздействие
Несанкционированн
Получение
ый доступ
информации
разведками
утечка,
искажение,
подслушивание
подделка,
перехват
уничтожение,
Рис. Ошибка! Текст указанного стиля в документе отсутствует..1. Структура угроз
наблюдение
блокирование
Существует несколько определений угрозы.
доступа
кража (копирование)
Угроза - потенциальная возможность нарушения защиты
Угроза - это потенциальные или реальные действия, приводящие к
моральному или материальному ущербу.
Утечка информации - неконтролируемое распространение защищаемой
информации в результате ее разглашения, несанкционированного доступа к
информации и получения защищаемой информации разведками.
66
Разглашение информации - несанкционированное доведение защищаемой
информации до потребителей, не имеющих права доступа к этой информации.
Несанкционированный доступ к информации - получение защищаемой
информации заинтересованным субъектом с нарушением установленных
правовыми документами или собственником, владельцем информации прав или
правил доступа к защищаемой информации. Несанкционированное воздействие
на информацию - воздействие на защищаемую информацию с нарушением
установленных прав и/или правил доступа, приводящее к утечке, искажению,
подделке, уничтожению, блокированию доступа к информации, а также к
утрате, уничтожению или сбою функционирования носителя информации.
Непреднамеренное воздействие на информацию - ошибка пользователя
информацией, сбой технических и программных средств информационных
систем, природные явления или иные нецеленаправленные на изменение
информации действия, приводящие к искажению, уничтожению, копированию,
блокированию доступа к информации, а также к утрате, уничтожению или
сбою функционирования носителя информации.
Таким образом, исходя из определения угроз безопасности информации,
по виду реализации угрозы можно разделить на две группы:
угрозы воздействия — физическое воздействие внешних сил на
источники информации, в результате которого возможны ее изменения,
уничтожение, хищение и блокирование;
угрозы утечки — несанкционированное распространение носителя с
защищаемой информацией от ее источника до злоумышленника, которое
приводит к хищению информации.
Воздействия,
которые
создаются
злоумышленниками,
являются
преднамеренными. К ним относятся как непосредственные воздействия людей
(злоумышленников) на источник информации, так и воздействия полей и
электрических сигналов технических средств, создаваемых людьми с целью
уничтожения, изменения или хищения информации. Например, мощный
электромагнитный импульс способен уничтожить (стереть) информацию на
67
машинных носителях.
Источники
информации
подвергаются
воздействиям,
вызванных
случайными физическими процессами в средствах хранения, обработки и
передачи информации, ошибками операторов и технического персонала. Такие
угрозы воздействия называются случайными.
Несанкционированное распространение носителя с информацией от ее
источника к злоумышленнику называется утечкой информации. Она может
возникнуть в результате разглашения или утери источника информации,
несанкционированного
доступа
и
получения
информации
разведками.
Способами несанкционированного доступа являются:
подслушивание;
наблюдение;
перехват
электромагнитных
полей
и
электрических
сигналов,
содержащих защищаемую информацию;
сбор отходов дело- и промышленного производства;
кража (копирования) источника информации.
При случайной утере источника закрытой информации они попадут к
злоумышленнику при совпадении многих условий, в том числе, если источник
будет найден злоумышленником или человеком, который ему его передаст.
Вероятность этого невысока. Чаще найденный на территории организации
источник возвращается человеку, который его потерял, или передается
соответствующим должностным лицам.
Утечка информации в результате ее непреднамеренного разглашения
происходит чаще, чем утеря источника. Даже прошедшие инструктаж люди не
могут постоянно контролировать свою речь, особенно в случае повышенного
эмоционального состояния. Например, в перерыве закрытого совещания его
участники часто продолжают обсуждение вопросов совещания в коридоре и в
местах для курения, в которых могут находиться посторонние люди.
Разглашение возможно в городском транспорте, на улице, дома, на различных
научных и иных конференциях. Ученые для получения признания у
68
зарубежных
коллег
разглашают
научные
сведения,
содержащие
государственную тайну.
Несанкционированный прием злоумышленником (его техническим
средством) сигнала с защищаемой информацией и его демодуляция позволяют
ему добывать эту информацию. При этом на носитель никакого воздействия не
оказывается, что обеспечивает скрытность добывания. Прием оптических и
иных сигналов от объектов и получение с их помощью изображений этих
объектов называются наблюдением, прием и анализ акустических сигналов —
подслушиванием, а прием и анализ радио- и электрических сигналов —
перехватом.
Исторически
неоднозначность
сложившиеся
толкования.
Например,
названия
могут
подслушивание
вызывать
может
быть
непосредственным (с помощью ушей) и с помощью технических средств.
Причем в последнем варианте оно может осуществляться в принципе на любом
расстоянии, например, путем перехвата междугородних или международных
телефонных разговоров.
Подслушивание — один из наиболее древних методов добывания
информации. Подслушивание, как и наблюдение, бывает непосредственное и с
помощью технических средств. Непосредственное подслушивание использует
только слуховой аппарат человека. В силу малой мощности речевых сигналов
разговаривающих людей и значительного затухания акустической волны в
среде
распространения
непосредственное
подслушивание
возможно
на
небольшом расстоянии (единицы или, в лучшем случае, при отсутствии
посторонних
звуков—
десятки
метров).
Поэтому
для
подслушивания
применяются различные технические средства.
Наблюдение предполагает получение и анализ изображения объекта
наблюдения (документа, человека, предмета, пространства и др.). При
наблюдении добываются, в основном, видовые признаки объектов. Но
возможно добывание семантической информации, если объект наблюдения
представляет собой документ, схему, чертеж т. д. Например, текст или схема
конструкции прибора на столе руководителя или специалиста могут быть
69
подсмотрены в ходе их посещения. Также возможно наблюдение через окно
помещения текста и рисунков на плакатах, развешанных на стене во время
проведения совещания.
Объекты могут наблюдаться непосредственно — глазами или с помощью
технических
средств.
Различают
следующие
способы
наблюдения
с
использованием технических средств:
визуально-оптическое;
с помощью приборов наблюдения в ИК-диапазоне;
наблюдение с консервацией изображения (фото- и киносъемка);
телевизионное наблюдение, в том числе с записью изображения;
лазерное наблюдение;
радиолокационное наблюдение;
радиотеплолокационное наблюдение.
Визуально-оптическое
наблюдение—наиболее
древний
способ
наблюдения со времени изобретения линзы. Современный состав приборов
визуально-оптического
наблюдения
разнообразен
—
от
специальных
телескопов до эндоскопов, обеспечивающих наблюдение скрытых объектов
через маленькие отверстия или щели.
Так как человеческий глаз не чувствителен к ИК-лучам, то для
наблюдения в ИК-диапазоне применяются специальные приборы (ночного
видения, тепловизоры), преобразующие невидимое изображение в видимое.
Основной недостаток визуально-оптического наблюдения в видимом и
ИК-диапазонах— невозможность сохранения изображения для последующего
анализа
специалистами.
Для
консервации
(сохранения)
статического
изображения объекта его фотографируют, для консервации подвижных
объектов производят кино- или видеосъемку.
Наблюдение объектов с одновременной передачей изображений на
любое,
в
принципе,
расстояние
осуществляется
с
помощью
средств
телевизионного наблюдения.
Возможно так называемое лазерное наблюдение в видимом и ИК-
70
диапазонах, в том числе с определением с высокой точностью расстояния до
объекта и его координат.
Радиолокационное
удаленного
объекта
в
наблюдение
позволяет
радиодиапазоне
в
получать
любое
время
изображение
суток
и
в
неблагоприятных климатических условиях, когда невозможны другие способы
наблюдения. При радиотеплолокационном наблюдении изображение объекта
соответствует распределению температуры на его поверхности
Перехват
предполагает
несанкционированный
прием
радио-
и
электрических сигналов и извлечение из них семантической информации,
демаскирующих признаков сигналов и формирование изображений объектов
при перехвате телевизионных или факсимильных сигналов.
Многообразие технических средств и их комплексное применение для
добывания
информации
приводит
к
размыванию
границ
между
рассмотренными способами. Например, при перехвате радиосигналов сотовой
системы телефонной связи возможно подслушивание ведущихся между
абонентами разговоров, т. е. одновременно производится и перехват, и
подслушивание. Учитывая неоднозначность понятий «подслушивание» и
«перехват», способы добывания акустической информации целесообразно
относить к подслушиванию, а несанкционированный прием радио- и
электрических сигналов - к перехвату
Следовательно, угрозы утечки информации представляют собой условия
и действия, при которых носитель с защищаемой информацией может попасть
к злоумышленнику.
Классификация
угроз
безопасности
информации
рис. Ошибка! Текст указанного стиля в документе отсутствует..2.
представлена
на
71
КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
По вероятности
По величине ущерба
возникновения
Потенциальный
Весьма вероятные
Реальный
Вероятные
По причинам
По характеру
появления
воздействия
Стихийные
Активные
Маловероятные
По ущербу
По отношению к
Материальный
объекту
Внутренние
Рис. Ошибка! Текст указанного
стиля в документе
отсутствует..2. Классификация
угроз
Внешние
Моральный
Преднамеренные
Пассивные
БИ
Угроза
утечки
информации
реализуется,
если
она
попадает
к
злоумышленнику. Если по тем или иным причинам это не происходит, то
угроза не реализуется. Например, утеря документа не всегда приводит к утечке
содержащейся в нем документов. Этот документ может пролежать в месте его
случайного попадания сколь угодно долго или прийти в негодность под
действием, например, природных факторов.
Таким образом, информация - это ресурс, потеря которого приносит
существенный моральный или материальный ущерб. Условия, способствующие
неправомерному овладению конфиденциальной информацией, сводятся к ее
разглашению, утечке и несанкционированному доступу к ее источникам.
Очевидно, что чем выше цена информации и больше угроза ее безопасности,
тем больше ресурсов потребуется для защиты этой информации. Каждая угроза
влечет за собой определенный ущерб - моральный или материальный, а защита
и противодействие угрозе, призваны снизить его величину, в идеале полностью, реально - значительно или хотя бы частично.
Угроза оценивается по величине ущерба, который возникает при ее
72
реализации. Различается потенциальный и реальный ущерб. Потенциальный
ущерб существует при появлении угрозы, реальный — при реализации угрозы.
Вероятность или риск возникновения угрозы зависит от многих факторов,
основными из которых являются:
цена защищаемой информации;
уровень защищенности информации;
квалификация злоумышленника, его ресурс и затраты на добывание им
информации;
криминогенная обстановка в месте нахождения организации.
Источниками внешних угроз являются:
органы добывания информации противника,
преступные группировки и формирования,
отдельные лица и организации.
Источниками внутренних угроз могут быть:
сотрудники органов управления,
сотрудники подразделений,
технические средства обеспечения функционирования организации.
Соотношение внешних и внутренних угроз на усредненном уровне можно
охарактеризовать так:
82% угроз совершается собственными сотрудниками, при их прямом или
опосредованном участии;
17% угроз совершается извне - внешние угрозы;
1% угроз совершается случайными лицами.
Предотвращением
специалисты,
связанные
или
по
снижением
роду
угроз
занимаются
деятельности
с
службы
и
информационными
процессами, в том числе решающие задачи по защите информации.
Инженерно-техническая защита решает задачи по предотвращению или
уменьшению угроз, вызванных попытками злоумышленников проникнуть к
местам хранения источников информации и организованной (случайной)
утечкой информации с использованием различных технических средств.
73
74
КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Физический путь несанкционированного распространения носителя с
защищаемой информацией от ее источника к злоумышленнику образует канал
утечки информации. Для передачи информации по любому техническому
каналу (функциональному или каналу утечки) последний должен содержать три
основные элемента: источник сигнала, среду распространения носителя и
приемник. Обобщенная типовая структура канала передачи информации
приведена на рис. Ошибка! Текст указанного стиля в документе отсутствует..3.
Канал связи
Источник
Передатчик
информации
Среда
Приемник
Несанкциони
распростране
сигнала
ния
сигнала
рованный
получатель
Помеха
Рис. Ошибка! Текст указанного стиля в документе отсутствует..3. Структура
информации
технического канала утечки информации
На вход канала поступает информация в виде первичного сигнала.
Первичный сигнал представляет собой носитель с информацией от ее
источника или с выхода предыдущего канала. В качестве источника сигнала
могут быть:
объект наблюдения, отражающий электромагнитные и акустические
волны,
объект
наблюдения,
излучающий
собственные
электромагнитные волны,
передатчик функционального канала связи,
закладное устройство,
источник опасного сигнала,
источник акустических волн, модулированных информацией.
(тепловые)
75
Так как информация от источника поступает на вход канала на языке
источника (в виде буквенно-цифрового текста, символов, знаков, звуков,
сигналов и т.д.), то передатчик производит преобразование этой формы
представления информации в форму, обеспечивающую запись ее на носитель
информации, соответствующий среде распространения. Кроме того, он
выполняет следующие функции:
производит запись информации на носитель,
усиливает
мощность
сигнала
(носителя
с
информацией)
до
электромагнитное)
или
предусмотренных значений,
создает
(генерирует)
поля
(акустическое,
электрический ток, которые переносят информацию,
обеспечивает передачу (излучение) сигнала в среду распространения в
заданном секторе пространства.
Среда распространения носителя - часть пространства, в которой
перемещается носитель. Она характеризуется набором физических параметров,
определяющих условия перемещения носителя с информацией. Основными,
которые надо учитывать при описании среды распространения, являются:
физические препятствия для субъектов и материальных тел;
мера ослабления (или пропускания энергии) сигнала на единицу длины;
частотная характеристика (неравномерность ослабления частотных
составляющих спектра сигнала);
вид и мощность помех для сигнала.
Приемник выполняет функции, обратные функции передатчика. Он
производит:
выбор (селекцию) носителя с нужной получателю информацией,
усиление принятого сигнала до значений, обеспечивающих съем
информации,
съем информации с носителя (демодуляцию, декодирование),
преобразование информации в форму сигнала, доступную получателю
(человеку, техническому устройству), и усиление сигналов до значений,
76
необходимых для безошибочного восприятия ими.
Канал утечки информации отличается от функционального канала
передачи получателем информации. Если получатель санкционированный, то
канал функциональный, в противном случае - канал утечки. Классификация
каналов утечки информации дана на рис. Ошибка! Текст указанного стиля в
документе отсутствует..4.
Технические каналы утечки информации
По физической
По
По времени
природе носителя
информативности
функционировани
я
постоянные
оптические
информативные
акустические
малоинформативные эпизодические
По
структуре
одноканальные
составные
Рис. Ошибка! Текст указанного стиля в документе
отсутствует..4. Классификация
случайные
радиоэлектронные
технических каналов утечки информации
материальноОсновным классификационным признаком технических каналов утечки
информации является физическая природа носителя. По этому признаку они
вещественные
делятся на: оптические, радиоэлектронные, акустические, материальновещественные.
Носителем
информации
в
оптическом
канале
является
электромагнитное поле в диапазоне 0.46-0.76 мкм (видимый свет) и 0.76-13 мкм
(инфракрасные излучения).
Любое
средство
наблюдения
содержит
оптический
приемник,
включающий оптическую систему, светоэлектрический преобразователь,
усилитель и индикатор.
Оптическая система или объектив проецирует световой поток с
информацией
от
объекта
наблюдения
на
экране
светоэлектрического
преобразователя. Последний преобразует изображение на своем экране (входе)
77
в параллельный или последовательный поток электрических сигналов,
параметры которых соответствуют яркости и цвету каждой точки изображения.
Размеры
точки
определяют
разрешающую
способность
оптического
приемника. Изменение вида носителя на выходе оптического приемника
вызвано тем, что только электрические сигналы в качестве носителей
информации обеспечивают возможность выполнения необходимых процедур с
сигналами (усиления, обработки, регистрации и т.д.) для представления
информации в форме, доступной человеку.
Возможности
средств
наблюдения
определяются
следующими
характеристиками средств наблюдения:
диапазоном частот и спектром световых лучей, воспринимаемых
светоэлектрическим преобразователем,
чувствительностью,
разрешающей способностью,
полем (углом) зрения.
В радиоэлектронном канале утечки информации в качестве носителей
используются
электрические,
радиодиапазоне,
а
также
магнитные
электрический
и
электромагнитные
ток,
поля
распространяющийся
в
по
проводникам из меди, железа, алюминия.
Перехват
носителей
в
виде
электромагнитного,
магнитного
и
электрического полей, а также электрических сигналов с информацией
осуществляют органы добывания радио- и радиотехнической разведки. При
перехвате решаются следующие основные задачи:
поиск по демаскирующим признакам сигналов с информацией в
диапазоне частот, в которых они могут находиться;
обнаружение и выделение сигналов, интересующих органы добывания,
прием (селекция, усиление) сигналов и съем с них информации, анализ
технических характеристик принимаемых сигналов;
определение местонахождения (координат) источников представляющих
78
интерес сигналов;
обработка полученных данных с целью формирования первичных
признаков источников излучения или текста перехваченного сообщения.
Упрощенная структура типового комплекса средств перехвата приведена
на рис. Ошибка! Текст указанного стиля в документе отсутствует..5.
Анализатор
Устройство
Антенна
Радиоприемник
индикации и
регистрации
Э/магнитная
Информация
сигналов
волна
Пеленгатор
Рис. Ошибка! Текст указанного стиля в документе отсутствует..5Структура комплекса
средств перехвата
Типовой комплекс состоит из:
приемных антенн;
радиоприемника;
анализатора технических характеристик сигналов;
радиопеленгатора;
устройства обработки сигналов;
устройства индикации и регистрации.
Антенна предназначена для преобразования электромагнитной волны в
электрические сигналы, амплитуда, частота и фаза которых соответствует
аналогичным характеристикам электромагнитной волны.
В радиоприемнике производится селекция сигналов по частоте, усиление
и
детектирование
(демодуляция)
выделенных
радиосигналов
с
целью
получения сигнала на носителе в виде электрических первичных сигналов:
речевых, цифровых данных, видеосигналов.
Для анализа радиосигналов после селекции и усиления они подаются на
79
входы комплекса измерительной аппаратуры, осуществляющей автоматическое
или автоматизированное измерение их параметров: частотных, временных,
энергетических, вида модуляции, видов и структуры кодов и др. Эти комплексы
различаются по диапазонам частот, функциям, принципам построения
(аналоговые, цифровые). Радиопеленгатор определяет направление на источник
излучения (пеленг) или его координаты. Устройство обработки и регистрации
производит первичную обработку информацию (сведений и данных) и
регистрирует ее для последующей обработки.
Носителями информации в акустическом канале являются механические
акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц – 20 кГц)
и ультразвуковом (свыше 20 кГц) диапазонах частот, распространяющиеся в
атмосфере, воде и твердой среде.
Подслушивание - метод добывания информации, носителем которой
является
акустическая,
гидроакустическая
и
сейсмическая
волны.
Классификация способов подслушивания приведена на рис. Ошибка! Текст
указанного стиля в документе отсутствует..6.
Различают
непосредственное
подслушивание
и
подслушивание
с
помощью технических средств.
При
непосредственном
подслушивании
акустические
сигналы,
распространяющиеся от источника звука прямолинейно в воздухе, по
воздухопроводам или через различные экраны (двери, стены, окна и др.),
принимаются слуховой системой разведчика.
80
Подслушивание
Непосредственное
С помощью технических
навязывание
Высокочастотное
подслушиввание
Лазерное
радиозакладок
С помощью
микрофонов
С помощью
сооружений
зданий и
Через конструкции
Прямое
средств
Рис. Ошибка! Текст указанного стиля в документе отсутствует..6. Классификация
способов подслушивания
В материально-вещественном канале утечка информации происходит за
счет несанкционированного распространения за пределы контролируемой зоны
вещественных носителей с секретной или конфиденциальной информацией.
По информативности каналы утечки делятся на информативные,
малоинформативные
и
неинформативные.
Информативность
канала
оценивается ценностью информации, которая передается по каналу.
По времени проявления каналы делятся на постоянные, периодические и
эпизодические. В постоянном канале утечка информации носит достаточно
регулярный характер. Например, наличие в кабинете источника опасного
сигнала может привести к передаче из кабинета речевой информации до
момента обнаружения этого источника. Периодический канал утечки может
возникнуть при условии, например, размещения во дворе не укрытой
продукции, демаскирующие признаки о которой составляют тайну, во время
пролетов разведывательных космических аппаратов. К эпизодическим каналам
относятся каналы, утечка информации в которых имеет разовый, случайный
характер.
81
Канал
утечки
информации,
состоящий
из
передатчика,
среды
распространения и приемника, является одноканальным. Однако возможны
варианты, когда утечка информации происходит более сложным путем - по
нескольким последовательным или параллельным каналам.
82
МЕТОДЫ, СПОСОБЫ И ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ
Целенаправленная
деятельность
органов
по
защите
информации
реализуется проведением целого комплекса мероприятий и применением
различных технических средств. Имеющийся опыт по защите информации
достаточно четко определил совокупность приемов, сил и средств защиты
информации.
Защита информации - деятельность по предотвращению утечки
защищаемой
информации,
несанкционированных
и
непреднамеренных
воздействий на защищаемую информацию.
Способ защиты информации - порядок и правила применения
определенных принципов и средств защиты информации.
Техника защиты информации: средства защиты информации, в том
числе средства физической защиты информации, криптографические средства
защиты информации, средства контроля эффективности защиты информации,
средства и системы управления, предназначенные для обеспечения защиты
информации.
Средство
защиты
программно-техническое
информации:
средство,
техническое,
вещество
и
программное,
(или)
материал,
предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации: средство
защиты информации, предназначенное или используемое для контроля
эффективности защиты информации.
Средство
физической
защиты
информации:
средство
защиты
информации, предназначенное или используемое для обеспечения физической
защиты объекта защиты информации.
Криптографическое средство защиты информации: средство защиты
информации, реализующее алгоритмы криптографического преобразования
информации.
83
Основываясь на знаниях принципов добывания информации разведкой
целесообразно сформулировать аналогичные принципы защиты информации,
определяющие требования к защите информации, а именно:
непрерывность защиты информации, характеризующая постоянную
готовность системы защиты,
активность, предусматривающая прогнозирование действий, разработку и
реализацию опережающих мер по защите,
скрытность, исключающая ознакомление посторонних лиц со средствами
и технологией защиты информации,
целеустремленность, предполагающая сосредоточение усилий по защите
наиболее ценной информации,
комплексирование различных способов и средств защиты информации,
позволяющее компенсировать недостатки одних достоинствами других.
Защита информации от утечки по техническим каналам достигается:
проектно-архитектурными решениями,
проведением организационных и технических мероприятий,
выявлением портативных электронных устройств перехвата информации
(закладных устройств).
В
общем
случае
защита
информации
техническими
средствами
обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ
объекта защиты и обеспечена механическая преграда от контакта с ними
злоумышленника или дистанционного воздействия на них полей его
технических средств добывания;
соотношение энергии носителя и помех на выходе приемника канала
утечки такое, что противнику не удается снять информацию с носителя с
необходимым для ее использования качеством;
злоумышленник
не
может
обнаружить
источник
или
носитель
информации;
вместо истинной информации противник получает ложную, которую он
84
принимает как истинную.
Эти варианты реализуют соответствующие методы защиты:
воспрепятствование непосредственному проникновению противника к
источнику информации с помощью инженерных конструкций и технических
средств охраны;
скрытие достоверной информации;
«навязывание» противнику ложной информации;
Классификация методов защиты представлена на рис. Ошибка! Текст
указанного стиля в документе отсутствует..7.
Инженерно-техническая
защита информации
Физическая
Скрытие
Нейтрализация опасных
защита
информации
источников
Пространственное
Информационное
Временное
Энергетическое
скрытие
скрытие
скрытие
скрытие
Маскировка
Дезинформирование
Уменьшение
Зашумление
энергии носителя
Рис. Ошибка! Текст указанного стиля в документе отсутствует..7. Классификация
направлений и методов ИТЗИ
Способы защиты на основе инженерных конструкций в сочетании с
техническими средствами охраны образуют так называемую физическую
защиту. Совокупность этих методов, а также соответствующие средства
изучаются в рамках курса «Технические средства охраны».
Основной
задачей
физической
защиты
является
недопущение
(предотвращение) непосредственного контакта противника или сил природы с
85
объектами зашиты. Под объектами защиты понимаются как люди и
материальные ценности. так и носители информации, локализованные в
пространстве, К таким носителям относятся бумаги, машинные носители, фото
и кино пленка, продукция. материалы и т. д., то есть все, что имеет четкие
размеры и вес. Носители информации в виде электромагнитных и акустических
полон, электрического тока не имеют четких границ и для защиты информации
па этих носителях методы инженерной защиты не приемлемы - поле с
информацией нельзя хранить, например, в сейфе. Для зашиты информации на
таких носителях применяют методы скрытия информации.
Скрытие информации предусматривает такие изменения структуры и
энергии носителей, при которых противник не может непосредственно или с
помощью
технических
средств
выделить
информацию
с
качеством,
достаточным для использования ее в собственных интересах.
Различают информационное и энергетическое скрытие.
Информационное скрытие достигается изменением или созданием
ложного информационного портрета семантического сообщения, физического
объекта или сигнала.
Другой метод информационного скрытия заключается в трансформации
исходного информационного портрета в новый, соответствующий ложной
семантической
информации
или
ложной
признаковой
структуре,
и
“навязывании” нового портрета органу разведки или противнику. Такой метод
защиты
называется
дезинформированием.
Принципиальное
отличие
информационного скрытия путем изменения информационного портрета от
дезинформирования состоит в том, что первый метод направлен на затруднение
обнаружения объекта с информацией среди других объектов (фона), а второй на создании на этом фоне признаков ложного объекта.
Другим
эффективным
методом
скрытия
информации
является
энергетическое скрытие. Оно заключается в применении способов и средств
защиты
информации,
исключающих
или
затрудняющих
выполнение
энергетического условия разведывательного контакта. Энергетическое скрытие
86
достигается уменьшением отношения энергии (мощности) сигналов, т. е.
носителей (электромагнитного или акустического полей и электрического тока)
с информацией, и помех. Уменьшение отношения сигнал/помеха (слово
“мощность”, как правило, опускается) возможно двумя методами: снижением
мощности сигнала или увеличением мощности помехи на входе приемника. В
общем случае при уменьшении отношения сигнал/помеха до единицы и менее
качество информации настолько ухудшается, что она не может практически
использоваться. Для конкретных видов информации и модуляции сигнала
существуют граничные значения отношения сигнал/помеха, ниже которых
обеспечивается
энергетическое
скрытие
информации.
Так
как
разведывательный приемник в принципе может быть приближен к границам
контролируемой зоны организации, то значения отношения сигнал/помеха
измеряются, прежде всего, на границе этой зоны. Обеспечение на границе зоны
значений отношения сигнал/помеха ниже минимально допустимой величины
гарантирует безопасность защищаемой информации от утечки за пределами
контролируемой зоны.
Мероприятия по защите информации условно можно разделить на
организационные и технические.
87
КОНТРОЛЬ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ.
Важнейшее и необходимое направление работ по защите информации –
контроль эффективности защиты информации.
Применяют следующие виды контроля:
предварительный;
периодический;
постоянный.
Предварительный контроль проводится при любых изменениях состава,
структуры и алгоритма функционирования системы защиты информации, в том
числе:
после установки нового технического средства защиты или изменения
организационных мер;
после проведения профилактических и ремонтных работ средств защиты;
после устранения выявленных нарушений в системе защиты.
Периодический
контроль
осуществляется
с
целью
обеспечения
систематического наблюдения за уровнем защиты. Он проводится выборочно
(применительно к отдельным темам работ, структурным подразделениям или
всей организации) по планам, утвержденным руководителем организации, а
также вышестоящими органами.
Технические меры контроля проводятся с использованием технических
средств радио- и электрических измерений, физического и химического анализа
и обеспечивают проверку:
напряженности полей с информацией на границах контролируемых зон;
уровней опасных сигналов и помех в проводах и экранах кабелей,
выходящих за пределы контролируемой зоны;
степени
зашумления
генераторами
помех
структурных
звуков
ограждениях;
концентрации демаскирующих веществ в отходах производства.
в
88
Для измерения напряженности электрических полей используются
селективные вольтметры, анализаторы спектра, панорамные приемники.
Различают
три
вида
технического
контроля:
инструментальный,
инструментально-расчетный, расчетный.
Инструментальные методы контроля обеспечивают наиболее точные
результаты, так как они реализуются с помощью средств измерительной
техники в местах контроля, прежде всего на границе контролируемой зоны. Так
как измеряемые уровни опасных сигналов сравнимы с уровнями шумов, то для
инструментального
контроля
необходимы
высокочувствительные
дорогостоящие измерительные приборы. Это обстоятельство существенно
затрудняет реальные возможности проведения контроля.
Инструментально-расчетный технический контроль позволяет снизить
требования к параметрам измерительной техники. Эти методы предполагают
проведение измерений не на границе контролируемой зоны, а вблизи
возможных источников сигналов. Уровни же сигналов в местах проведения
контроля рассчитываются по соответствующим методикам расчета.
Если
отсутствуют
инструментально-расчетного
требуемые
контроля
для
инструментального
измерительные
приборы,
или
то
осуществляется расчетный технический контроль путем проведения расчетов
по априорным или справочным исходным данным. Существующие методы
расчетного технического контроля обеспечивают приемлемые для практики
результаты при оценке угроз подслушивания и наблюдения.
Меры
контроля
представляют
совокупность
организационных
и
технических мероприятий, проводимых с целью проверки выполнения
установленных требований и норм по защите информации.
Организационные меры контроля включают:
проверку
выполнения
сотрудниками
требований
руководящих
документов по защите информации;
проверку работоспособности средств охраны и защиты информации от
наблюдения, подслушивания, перехвата и утечки информации по материально-
89
вещественному каналу (наличие занавесок, штор, жалюзей на окнах, чехлов на
разрабатываемых изделиях, состояние звукоизоляции, экранов, средств
подавления опасных сигналов и зашумления, емкостей для сбора отходов с
демаскирующими веществами и т. д.);
контроль за выполнением инструкций по защите информации;
оценку эффективности применяемых способов и средств защиты
информации.
Определен перечень видов исследований, охватывающий весь спектр
работ по выявлению
и контролю эффективности защиты от утечки по
техническим каналам утечки информации:
специальные проверки (СП);
специальные обследования (СО);
специальные исследования (СИ), включающие в себя:
а) специальные исследования побочных электромагнитные излучений и
наводок;
б) специальные исследования линий электропередач;
в) специальные исследования акустических и виброакустических каналов.
Специальная
проверка
-
это
комплекс
инженерно-технических
мероприятий, проводимых с использованием необходимых, в том числе и
специализированных технических средств, направленных на исключение
перехвата
технической
разведкой
информации,
содержащей
сведения,
составляющие государственную тайну, с помощью внедренных в защищаемые
технические средства и изделия специальных электронных закладочных
устройств.
Основные
операции,
выполняемые
при
проведении
специальных
таре
обнаружения
проверок следующие:
дозиметрический
контроль
изделия
в
для
радиоактивных меток и радиоизотопных источников питания;
вихретоковый контроль объектов (узлов) технических средств обработки
и передачи информации, не содержащих металлических элементов;
90
контроль тары, не имеющей полупроводниковых элементов, прибором
нелинейной локации (при необходимости рентгеноскопический контроль) с
целью выявления устройств съема информации;
проведение
радиоконтроля
с
целью
выявления
демаскирующих
признаков активных устройств съема информации;
проверка возможности осуществления высокочастотного навязывания
элементам технического средства;
разборка технического средства, осмотр его элементов и узлов с целью
выявления отклонений в схемотехнических и конструктивных решениях;
контроль элементов и узлов технических средств, не содержащих
полупроводниковых
элементов,
прибором
нелинейной
локации
(при
необходимости рентгеноскопический или рентгенографический контроль);
рентгенография или рентгеноскопия элементов и узлов технического
средства с целью выявления схемных изменений в элементах и неразборных
узлах технического средства.
После анализа результатов специальной проверки делается вывод об
отсутствии (наличии) в составе технического средства средств съема
информации. По результатам проведенных технических проверок оформляется
акт проведения специальной проверки.
Специальные обследования выделенных помещений - это комплекс
инженерно-технических
мероприятий,
проводимых
с
использованием
необходимых, в том числе и специализированных технических средств,
проводимых с целью выявления возможно внедренных электронных средств
съема информации в ограждающих конструкциях, предметах мебели и
интерьера выделенных помещений.
Комплекс мероприятий по специальному обследованию выделенных
помещений можно подразделить на визуальный осмотр и техническую
проверку.
Проверку без использования технических средств путем визуального
контроля целесообразно проводить перед каждым закрытым мероприятием
91
комиссиями органов внутренних. В целях обеспечения полноты визуального
контроля целесообразно проводить его по определенной схеме: от двери по
часовой стрелке и от периферии к центру помещения. Осмотр необходимо
проводить
последовательно,
методично,
просматривая
фрагмент
за
фрагментом.
На этапе первичного осмотра осуществляют визуальный контроль
помещения и находящихся в нем предметов. Во избежание пропуска зоны или
предмета осмотр проводят по определенной схеме, двигаясь по часовой стрелке
и от периферии к центру. При наличии плана или фотографии предварительно
сличают истинное размещение вещей и предметов с зафиксированным
документально.
Все электронные приборы концентрируют в отведенном месте или
временно удаляют. Мебель отодвигают от стен, выдвигают ящики и
осматривают их содержимое. Регистрируют наименования, серийные и
инвентарные номера, номера печатей и пломб.
При осмотре стен и потолка отмечают наличие царапин и нарушений
покрытий,
изменения
тона
(осветление
или
потемнение)
окраски.
Контролируют качество крепления плиток подвесных потолков, проверяют
межпотолочное пространство.
Люстры, бра и электророзетки отключают от сети, снимают и разбирают.
Обследуют ниши и подводящие провода розеток.
С применением эндоскопов и зеркал просматривают вентиляционные
короба, обращая внимание на состояние элементов крепления решеток.
В отопительных приборах досматривают ниши, пазы в радиаторах, места
ввода труб в стены.
Предметы, размещаемые на стенах, осматривают снаружи и внутри,
отмечая нарушения в их положении по пылевым следам или тону покрытия.
Оконные рамы проверяют в открытом и закрытом положении,
осматривают
полости
между
рамой
и
оконным
проемом,
карнизы,
подоконники, шторы.
Отслоения паркета, линолеума, царапины на них, дефекты плинтусов
92
внимательно изучают при осмотре пола.
Проверяют все предметы интерьера, сувениры, игрушки, пепельницы,
чернильные и канцелярские приборы, цветочные вазы, кашпо и т.п.
Все предметы, вызывающие сомнения, складывают в отдельную емкость
для последующей технической проверки.
Аппаратурную проверку предметов мебели и интерьера проводят с
применением нелинейного локатора и переносного рентгеновского аппарата на
подготовленной площадке, предварительно проверенной на наличие помеховых
сигналов.
Предметы проверяют несколькими приборами. Мебель обследуют при
минимальной
чувствительности
с
различных
направлений,
чтобы
зафиксировать направление на источник сигнала. Непрозрачные изделия
проверяют
с
позволяющего
подозрительные
помощью
рентгеноскопического
оперативно
исследовать
объект.
предметы
желательно
нанести
переносного
После
аппарата,
проверки
специальные
на
метки,
неразличимые при обычном освещении.
Заключительным этапом аппаратурной проверки является обследование
ограждающих конструкций помещения с помощью нелинейного локатора.
Перед началом осматривают все смежные помещения, в том числе на
прилегающих этажах. Как можно дальше от смежных поверхностей убирают
устройства, содержащие электронные узлы. Обнаруженные нелинейным
локатором подозрительные места подвергают рентгеноскопическому анализу.
Внедрение
средств
съема
в
ограждающие
конструкции
требует
благоприятных условий и профессиональной подготовки. Гораздо проще
установить подслушивающее устройство, не заходя в помещение, с внешней
стороны ограждающих поверхностей. Балки, трубы, стены и другие несущие
конструкции здания хорошо проводят звуковые волны на десятки метров,
поэтому
стетоскопы
могут
быть
установлены
достаточно
далеко
от
проверяемого помещения. Возможность существования такого канала утечки
проверяют измерительным электронным стетоскопом.
93
Электрические приборы (настольные лампы, нагревательные приборы,
электрические удлинители) перед проверкой включают в сеть и индикатором
поля определяют наличие в них источников радиоизлучения.
При установлении подозрительных излучений прибор проверяют с
помощью комплекса радиообнаружения. Затем обесточивают, разбирают и
осматривают.
Наиболее трудно обнаружить закладки в электронных приборах
(оргтехнике, телевизорах, магнитофонах, приемниках, ПЭВМ, телефонных
аппаратах и т.д.). Как правило, их техническую проверку осуществляют в
специализированных лабораториях. Однако в ряде случаев проверка может
проходить и непосредственно на контролируемом объекте. Особое внимание
уделяют: наличию в приборе небольших предметов неизвестного назначения,
подключенных, как правило, к блоку питания, дополнительных плат и
радиоэлементов, изменениям в топологии печатных плат, появлению паек,
отличных от заводских, присутствию конденсаторов и резисторов, не
соответствующих стандартным по обозначению и внешнему виду.
Разбирают и осматривают корпуса телефонных аппаратов, трубки и
розетки, отмечая детали, подключенные последовательно или параллельно к
линии. При осмотре радиоэлементов особое внимание обращают на небольшие,
диаметром около 1 мм, отверстия под миниатюрные микрофоны. Микрофонами
могут являться звонок телефона, шаговый двигатель электрочасов и т.д. После
проверки
электроприборы
опечатывают
специальными
пломбами
или
маркируют ультрафиолетовыми метками.
Затем проводят проверку проводных коммуникаций. Осмотр каждой
линии начинают с установления трассы ее прохождения в помещении,
используя монтажные схемы, трассо и металлоискатели. Целесообразно
проверить электросеть, затем абонентские телефонные линии и кабели
сигнализации, а также распределительные коробки, щиты и т.д. Особое
внимание - на линии, назначение которых не очевидно.
В начале линии проверяют на наличие в них высокочастотных сигналов,
94
модулированных
дополнительно
информационным
проверяют
на
сообщением.
присутствие
Слаботочные
в
них
линии
информационных
низкочастотных сигналов. Проверяемый участок силовой линии отключают от
распределительного
коммуникаций
отсоединяют
и
щита,
присоединяют
нагружают
электрические
к
эквивалентным
приборы,
из
нелинейному
локатору
сопротивлением,
осветительных
затем
приборов
выворачивают лампы, выключатели переводят в положение «Включено».
Телефонную линию отключают на распределительной коробке и
присоединяют
к
локатору,
вместо
телефонного
аппарата
включают
эквивалентную нагрузку.
В случае если после проведения технической проверки и визуального
осмотра в линии не обнаружено подключенных средств съема информации, то
проводится измерение ее параметров (активного и реактивного сопротивлений,
емкости и индуктивности) в разомкнутом и замкнутом (накоротко) состояниях.
Рекомендуется
по
возможности
прохождение
всей
трассы
эфирным
нелинейным локатором, так как по параметрам линии далеко не всегда удается
выявить бесконтактные устройства съема информации.
Для проведения специальных проверок выделенных помещений с
использованием технических средств рекомендуется привлекать организации,
имеющие лицензии на деятельность по выявлению электронных устройств,
предназначенных для негласного получения информации, в помещениях и
технических средствах. Периодичность и случаи проведения такой проверки
определяется руководителем органа внутренних дел. В обязательном порядке
необходимо проводить специальные проверки с использованием технических
средств после реконструкции и ремонта в выделенном помещении.
Специальные исследования (СИ) это выявление с использованием
контрольно-измерительной
аппаратуры
возможных
технических
каналов
утечки защищаемой информации от основных и вспомогательных технических
средств и систем и оценка соответствия защиты информации требованиям
нормативных документов по защите информации.
95
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УТВЕРЖДАЮ
Начальник кафедры ИБ
майор полиции
А.Б. Сизоненко
«___» _________ 2013 г.
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Лекция
ТЕМА № 4/1 «Защита информационных процессов в компьютерных
системах»
Обсуждена и одобрена
на заседании кафедры ИБ
протокол № 2 от «__» сентября 2013 г.
Время – 2 часа.
Подготовил:
Старший преподаватель кафедры ИБ
к.т.н.
С.Г.Клюев
Краснодар
2013
План лекции
96
1. Классификация угроз безопасности информации в компьютерных
системах.
2. Понятие и классификация видов и методов несанкционированного
доступа.
3. Разграничение доступа к информации.
4. Средства защиты информации от несанкционированного доступа
5. Классификация автоматизированных систем и требования по защите
информации.
97
Литература
1. Федеральный закон «Об информации, информационных технологиях и
защите информации» от 27 июля 2006 г. N 149-ФЗ.
2. Федеральный закон «О техническом регулировании» от 27 декабря 2002 г.
№ 184-ФЗ.
3. ГОСТ
50922-2006
«Защита
информации.
Основные
термины
и
определения».
4.
ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные
положения».
5. ГОСТ
Р
53113.1-2008
«Защита
информационных
технологий
и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 1. Общие
положения».
6. ГОСТ Р 53113.2-2009 «Рекомендации по организации защиты информации,
информационных технологий и автоматизированных систем от атак с
использованием скрытых каналов».
7. ГОСТ Р ИСО/МЭК 18045-2008 «Методология оценки безопасности
информационных технологий».
УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
Оборудование классов.
Слайды.
LCD-проектор
1. Классификация угроз безопасности информации в компьютерных
системах.
98
Прежде чем рассмотреть вопросы защиты информации в компьютерных
системах необходимо в первую очередь определить возможные угрозы
информационной безопасности в компьютерных системах.
Угрозы информационной безопасности в компьютерных системах можно
классифицировать по различным признакам, таким как:
1) По аспекту информационной безопасности, на который направлены
угрозы, выделяют:
- Угрозы конфиденциальности. Они заключаются в неправомерном
доступе к конфиденциальной информации.
- Угрозы целостности. Эти угрозы означают любое преднамеренное
преобразование данных, содержащихся в информационной системе.
- Угрозы доступности. Их осуществление приводит к полной или
временной невозможности получения доступа к ресурсам информационной
системы.
2) По степени преднамеренности действий угрозы делят на:
- Случайные. Эти угрозы не связаны с умышленными действиями
правонарушителей; осуществляются они в случайные моменты времени.
Источниками этих угроз могут служить стихийные бедствия и аварии, ошибки
при разработке информационной системы, сбои и отказы систем, ошибки
пользователей и обслуживающего персонала. Согласно статистическим
данным, эти угрозы наносят до 80 % от всего ущерба, наносимого различными
видами угроз.
Однако следует отметить, что этот тип угроз довольно хорошо изучен, и
имеется весомый опыт борьбы с ними. Снизить потери от реализации угроз
данного класса помогут такие меры, как: использование современных
технологий для разработки технических и программных средств, эффективная
эксплуатация
информации.
информационных
систем,
создание
резервных
копий
99
- Преднамеренные. Они, как правило, связаны с действиями какого-либо
человека, недовольного своим материальным положением или желающего
самоутвердиться путём реализации такой угрозы. Эти угрозы можно разделить
на пять групп: шпионаж и диверсии, несанкционированный доступ к
информации, электромагнитные излучения и наводки, модификация структуры
информационных систем, вредительские программы. В отличие от случайных,
преднамеренные угрозы являются менее изученными за счет их высокой
динамичности и постоянного пополнения новыми угрозами, что затрудняет
борьбу с ними.
3) По расположению источника угроз:
- Внутренние. Источники этих угроз располагаются внутри системы.
- Внешние. Источники данных угроз находятся вне системы.
4) По степени зависимости от активности информационной системы:
-
Угрозы,
реализация
которых
не
зависит
от
активности
информационной системы.
-
Угрозы,
осуществление
которых
возможно
только
при
автоматизированной обработке данных.
5) По размерам наносимого ущерба:
- Общие. Эти угрозы наносят ущерб объекту безопасности в целом,
причиняя значительное отрицательное влияние на условия его деятельности.
- Локальные. Угрозы этого типа воздействуют на условия существования
отдельных частей объекта безопасности.
- Частные. Они причиняют вред отдельным свойствам элементов
объекта или отдельным направлениям его деятельности.
6) По степени воздействия на информационную систему:
- Пассивные. При реализации данных угроз структура и содержание
системы не изменяются.
- Активные. При их осуществлении структура и содержание системы
подвергается изменениям.
100
2. Понятие и классификация видов и методов несанкционированного
доступа.
Рекомендациями по стандартизации «Информационные технологии.
Основные
термины
и
определения
в
области
технической
защиты
информации». Р 50.1.053-2005 Утвержденными Приказом Федерального
агентства по техническому регулированию и метрологии от 6 апреля 2005 г. №
77-ст дано следующее определение: несанкционированный доступ к
информации (ресурсам автоматизированной информационной системы) доступ
к
информации
(ресурсам
автоматизированной
информационной
системы), осуществляемый с нарушением установленных прав и (или) правил
доступа к информации (ресурсам автоматизированной информационной
системы).
Важно отметить, что:
1.
Несанкционированный
доступ
может
быть
осуществлен
преднамеренно или непреднамеренно.
2. Права и правила доступа к информации и ресурсам информационной
системы
устанавливаются
для
процессов
обработки
информации,
обслуживания автоматизированной информационной системы, изменения
программных, технических и информационных ресурсов, а также получения
информации о них.
Национальным стандартом Российской Федерации «Защита информации.
Основные термины и определения» ГОСТ Р 50922-2006 утвержденным
приказом
Федерального
агентства
по
техническому
регулированию
и
метрологии от 27 декабря 2006 г. № 373-ст дано следующее определение:
защита информации от несанкционированного доступа (ЗИ от НСД) защита информации, направленная на предотвращение получения защищаемой
информации заинтересованными субъектами с нарушением установленных
нормативными и правовыми документами (актами) или обладателями
101
информации прав или правил разграничения доступа к защищаемой
информации.
Здесь также важно отметить, что заинтересованными субъектами,
осуществляющими несанкционированный доступ к защищаемой информации,
могут быть: государство, юридическое лицо, группа физических лиц, в том
числе общественная организация, отдельное физическое лицо.
Все возможные способы несанкционированного доступа к информации в
компьютерных системах можно классифицировать следующим образом:
1. По принципу несанкционированного доступа:
- физический несанкционированный доступ;
- логический несанкционированный доступ.
Физический несанкционированный доступ может быть реализован одним
из следующих способов:
-
преодоление
рубежей
территориальной
защиты
и
доступ
к
незащищенным информационным ресурсам;
- хищение документов и носителей информации;
- визуальный перехват информации, выводимой на экраны мониторов и
принтеры, а также подслушивание;
- перехват электромагнитных излучений.
Логический несанкционированный доступ предполагает логическое
преодоление системы защиты ресурсов активной компьютерной системы.
Логический несанкционированный доступ является наиболее результативным
для злоумышленника.
2. По положению источника несанкционированного доступа:
- несанкционированный доступ, источник которого расположен в
компьютерной системе;
- несанкционированный доступ, источник которого расположен вне
компьютерной системы.
102
В первом случае атака проводится непосредственно из любой точки
компьютерной системы. Инициатором такой атаки чаще всего выступает
санкционированный пользователь.
При подключении любой закрытой компьютерной системы к открытым
сетям, например, к сети Интернет, высокую актуальность приобретают
возможности несанкционированного вторжения в закрытую систему из
открытой.
Подобный
объединяются
вид
отдельные
атак
характерен
сети,
также
для
ориентированные
случая,
на
когда
обработку
конфиденциальной информации совершенно разного уровня секретности или
разных категорий. При ограничении доступа этих сетей друг к другу возникают
угрозы нарушения установленных ограничений.
3. По режиму выполнения несанкционированного доступа:
- атаки, выполняемые при постоянном участии человека;
- атаки, выполняемые специально разработанными программами без
непосредственного участия человека.
В первом случае для воздействия на компьютерную систему может
использоваться стандартное программное обеспечение. Во втором случае
применяются
специально
разработанные
программы,
в
основу
функционирования которых положена вирусная технология.
4. По типу используемых слабостей системы информационнокомпьютерной безопасности:
-
атаки,
основанные
на
недостатках
установленной
политики
безопасности;
- атаки, основанные на ошибках административного управления
компьютерной системой;
- атаки, основанные на недостатках алгоритмов защиты, реализованных в
средствах информационно-компьютерной безопасности;
- атаки, основанные на ошибках реализации проекта системы защиты.
Недостатки политики безопасности означают, что разработанная для
конкретной компьютерной системы политика безопасности настолько не
103
отражает реальные аспекты обработки информации, что становится возможным
использование этого несоответствия для выполнения несанкционированных
действий.
Под
некорректная
ошибками
административного
организационная
реализация
управления
или
понимается
недостаточная
административная поддержка принятой в компьютерной сети политики
безопасности. Например, согласно политике безопасности должен быть
запрещен доступ пользователей к определенному каталогу, а на самом деле по
невнимательности администратора этот каталог доступен всем пользователям.
Эффективные способы атак могут быть также основаны на недостатках
алгоритмов защиты и ошибках реализации проекта системы информационнокомпьютерной безопасности.
5. По пути несанкционированного доступа:
- атаки, ориентированные на использование прямого стандартного пути
доступа к компьютерным ресурсам;
- атаки, ориентированные на использование скрытого нестандартного
пути доступа к компьютерным ресурсам.
Реализация атак первого типа чаще всего основана на использовании
слабостей установленной политики безопасности, а также недостатков процесса
административного управления компьютерной системой. Например, при
отсутствии
контроля
на
стойкие
пароли
возможна
маскировка
под
санкционированного пользователя компьютерной системы. Атаки второго типа
чаще всего осуществляются путем использования недокументированных
особенностей системы информационно-компьютерной безопасности.
6. По текущему месту расположения конечного объекта атаки:
- атаки на информацию, хранящуюся на внешних запоминающих
устройствах;
- атаки на информацию, передаваемую по линиям связи;
- атаки на информацию, обрабатываемую в основной памяти компьютера.
7. По непосредственному объекту атаки:
104
- атаки на политику безопасности и процесс административного
управления;
- атаки на постоянные компоненты системы защиты;
- атаки на сменные элементы системы безопасности;
- нападения на протоколы взаимодействия;
- нападения на функциональные элементы компьютерной системы.
Конечным объектом нападения всегда является защищаемая информация.
Под непосредственным же объектом атаки понимается объект, анализ или
использование которого позволяет успешно реализовать несанкционированный
доступ к защищаемой информации. Например, непосредственным объектом
нападения
может
спрогнозировать
быть
криптосистема,
значение
классификации
способов
генерируемого
позволяющая
секретного
несанкционированного
злоумышленнику
ключа.
Признак
доступа
по
непосредственному объекту атаки является наиболее важным, так как точнее
всего позволяет разграничить применяемые способы нападений.
Обобщенный алгоритм подготовки и реализации несанкционированного
доступа, как правило, включает следующие этапы.
1. Анализ структуры и принципов функционирования атакуемой
компьютерной сети.
2. Анализ найденных слабостей и разработка наиболее действенных
способов преодоления системы информационно-компьютерной безопасности.
3. Выполнение подготовленных атак и оценка полученных результатов.
4. При несоответствии полученных результатов требуемым анализ
процесса выполнения атак и переход к первому шагу для уточнения способов
их реализации.
Представленный алгоритм предполагает поэтапное совершенствование
воздействий на атакуемую компьютерную систему. Для атаки важно
определить лишь ее слабое звено. Такое звено может быть обнаружено во всем,
что связано с информационно-компьютерной безопасностью: в политике
105
безопасности, средствах защиты, реализациях программного и аппаратного
обеспечения, управлении системой и т.д.
Так
же,
как
любая
планирования,
эффективной
предшествовать
разработка
работа
должна
защите
политики
начинаться
компьютерной
безопасности.
с
тщательного
сети
должна
Данная
политика
разрабатывается людьми, ответственными за поддержание информационнокомпьютерной безопасности, и утверждается руководством организации.
Политика безопасности должна включать следующие разделы:
- формирование стратегических целей обеспечения информационнокомпьютерной безопасности и определение требований к защищаемой
информации;
- разработка концепции защиты от реализации преднамеренных угроз;
- разработка концепции защиты от реализации случайных угроз;
- составление общего плана восстановления на случай воздействия на
компьютерные ресурсы;
- разработка организационных мероприятий по созданию условий
безопасной обработки информации.
3. Разграничение доступа к информации.
Основным понятием при освещении вопросов организации разграничения
доступа к информации является Права доступа – совокупность правил,
регламентирующих порядок и условия доступа субъекта к объектам
информационной системы (информации, её носителям, процессам и другим
ресурсам) установленных правовыми документами или собственником,
владельцем информации.
Права доступа определяют набор действий (например, чтение, запись,
выполнение),
разрешённых
для
выполнения
субъектам
(например,
пользователям системы) над объектами данных. Для этого требуется некая
система для предоставления субъектам различных прав доступа к объектам.
106
Это
система
разграничения
рассматривается
в
доступа
качестве
субъектов
главного
к
объектам,
средства
которая
защиты
от
несанкционированного доступа к информации.
Руководящим документом Государственной технической комиссии при
Президенте
Российской
вычислительной
Федерации
техники
и
«Концепция
защиты
автоматизированных
средств
систем
от
несанкционированного доступа к информации» определены основные функции
системы разграничения доступа (СРД):
- реализация правил разграничения доступа (ПРД) субъектов и их
процессов к данным;
- реализация ПРД субъектов и их процессов к устройствам создания
твёрдых копий;
- изоляция программ процесса, выполняемого в интересах субъекта, от
других субъектов;
- управление потоками данных с целью предотвращения записи данных
на носители несоответствующего грифа;
- реализация правил обмена данными между субъектами для АС и СВТ,
построенных по сетевым принципам.
Кроме того, вышеуказанный руководящий документ предусматривает
наличие обеспечивающих средств для СРД, которые выполняют следующие
функции:
-
идентификацию
и
опознание
(аутентификацию)
субъектов
и
поддержание привязки субъекта к процессу, выполняемому для субъекта;
- регистрацию действий субъекта и его процесса;
- предоставление возможностей исключения и включения новых
субъектов и объектов доступа, а также изменение полномочий субъектов;
- реакцию на попытки НСД, например, сигнализацию, блокировку,
восстановление после НСД;
- тестирование;
107
- очистку оперативной памяти и рабочих областей на магнитных
носителях после завершения работы пользователя с защищаемыми данными;
- учёт выходных печатных и графических форм и твёрдых копий в АС;
- контроль целостности программной и информационной части как СРД,
так и обеспечивающих её средств.
Теперь
рассмотрим
компьютерные
системы.
основные
Наиболее
принципы
контроля
распространенными
и
доступа
в
основными
принципами контроля доступа к информации в компьютерных системах
являются избирательный (дискреционный) и мандатный.
Избирательное управление доступом – управление доступом субъектов
к объектам на основе списков управления доступом или матрицы доступа.
Также используются названия «дискреционное управлением доступом»,
«контролируемое управление доступом» или «разграничительное управление
доступом».
Субъект доступа «Пользователь № 1» имеет право доступа только к
объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется.
Субъект «Пользователь № 2» имеет право доступа как к объекту доступа № 1,
так и к объекту доступа № 2, поэтому его запросы к данным объектам не
отклоняются.
Для каждой пары (субъект — объект) должно быть задано явное и
недвусмысленное перечисление допустимых типов доступа (читать, писать
и т. д.), то есть тех типов доступа, которые являются санкционированными для
данного субъекта (индивида или группы индивидов) к данному ресурсу.
Возможны
несколько
подходов
к
построению
дискреционного
управления доступом:
- каждый объект системы имеет привязанного к нему субъекта,
называемого владельцем. Именно владелец устанавливает права доступа к
объекту.
108
- система имеет одного выделенного субъекта – суперпользователя,
который имеет право устанавливать права владения для всех остальных
субъектов системы.
- субъект с определенным правом доступа может передать это право
любому другому субъекту.
Возможны и смешанные варианты построения, когда одновременно в
системе присутствуют как владельцы, устанавливающие права доступа к своим
объектам, так и суперпользователь, имеющий возможность изменения прав для
любого объекта и/или изменения его владельца. Именно такой смешанный
вариант реализован в большинстве операционных систем, например Unix или
Windows.
Избирательное управление доступом является основной реализацией
разграничительной
политики
доступа
к
ресурсам
при
обработке
конфиденциальных сведений, согласно требованиям к системе защиты
информации.
Мандатное управление доступом – разграничение доступа субъектов к
объектам,
основанное
на
назначении
метки
конфиденциальности
для
информации, содержащейся в объектах, и выдаче официальных разрешений
(допуска)
субъектам
на
обращение
к
информации
такого
уровня
конфиденциальности. Также иногда данный принцип управления доступом
называется – принудительный контроль доступа. Это способ, сочетающий
защиту и ограничение прав, применяемый по отношению к компьютерным
процессам, данным и системным устройствам и предназначенный для
предотвращения их нежелательного использования.
Согласно требованиям ФСТЭК мандатное управление доступом или
"метки
доступа"
являются
ключевым
отличием
систем
защиты
Государственной тайны РФ старших классов 1В и 1Б от младших классов
защитных систем на классическом разделении прав по матрице доступа.
Пример: субъект «Пользователь № 2», имеющий допуск уровня «не
секретно», не может получить доступ к объекту, имеющего метку «для
109
служебного пользования». В то же время, субъект «Пользователь № 1» с
допуском уровня «секретно» право доступа к объекту с меткой «для
служебного пользования» имеет.
Мандатная модель управления доступом, помимо дискреционной,
является основой реализации разграничительной политики доступа к ресурсам
при защите информации ограниченного доступа. При этом данная модель
доступа практически не используется «в чистом виде», обычно на практике она
дополняется элементами других моделей доступа.
4. Средства защиты информации от несанкционированного доступа
Рассмотрим некоторые основные средства защиты информации от
несанкционированного доступа, используемые в настоящее время в Российской
Федерации
4.1. Программно-аппаратный комплекс "Соболь"
Электронный замок «Соболь» – это аппаратно-программное средство
защиты
компьютера
от
несанкционированного
доступа
(аппаратно-
программный модуль доверенной загрузки).
Электронный замок «Соболь» может применяться как устройство,
обеспечивающее защиту автономного компьютера, а также рабочей станции
или сервера, входящих в состав локальной вычислительной сети.
Защита в соответствии с законодательством: Сертификаты ФСБ и ФСТЭК
России
позволяют
составляющей
использовать
коммерческую
«Соболь»
или
для
защиты
государственную
информации,
тайну
автоматизированных системах с классом защищенности до 1Б включительно.
«Соболь» обладает следующими возможностями:
- Аутентификация пользователей;
- Блокировка загрузки ОС со съемных носителей;
в
110
- Контроль целостности;
- Сторожевой таймер;
- Регистрация попыток доступа к ПЭВМ.
4.2. Электронные ключ eToken.
eToken представляет собой защищенное устройство, предназначенное для
строгой аутентификации, безопасного хранения секретных данных, выполнения
криптографических вычислений и работы с асимметричными ключами и
цифровыми сертификатами.
Электронный ключ eToken обладает следующими возможностями:
- двухфакторная аутентификация пользователей в системах, построенных
на основе технологии PKI, в унаследованных приложениях, на рабочих
станциях и в сети, в гетерогенных средах, при удалённом доступе к
информационным
ресурсам.
Для
аутентификации
пользователя
могут
использоваться несколько методов, включая:
-
аутентификацию на
основе
PKI с
использованием
цифровых
сертификатов стандарта Х.509;
- аутентификацию на основе паролей, кодов доступа и других данных,
хранимых в защищенной памяти устройства.
-
Расширение
базовой
функциональности
за
счет
загрузки
дополнительных приложений (аплетов), разработанных на языке Java.
-
Увеличенный
объем
памяти
для
защищенного
хранения
пользовательских данных и ключевой информации пользователя (72 КБ).
- Работа без установки дополнительных драйверов в операционных
системах Windows Vista, Linux, Mac OS (драйвера входят в состав ОС).
- Встроенные радио-метки (RFID-метки) для использования в системах
контроля и управления доступом в помещения.
Дополнительные возможности:
111
- Наличие инфраструктурного решения (eToken TMS) для быстрого
развертывания системы аутентификации и централизованного управления
устройствами.
- Поддержка системой Microsoft ILM.
4.3. Электронный идентификатор "DS-1996"
DS-1996 представляет собой электронный ключ с памятью 64 Kбит.
- 65536 бит перезаписываемой энергонезависимой памяти;
- Связь в режиме Overdrive на скорости до 142 Кбит/сек;
- 256-битный буферный блокнот для гарантирования целостности
передаваемых данных;
- Для упаковки данных память разбита на 256-битные страницы;
- Целостность информации при обмене гарантируется протоколом
обмена;
- Рабочий температурный диапазон от -40°C до +70°C;
- Срок хранения данных не менее 10 лет.
4.4. Система защиты информации "Secret Net"
Secret Net является сертифицированным средством защиты информации
от несанкционированного доступа и позволяет привести автоматизированные
системы в соответствие требованиям регулирующих документов:
- №98-ФЗ ("О коммерческой тайне")
- №152-ФЗ ("О персональных данных")
- №5485-1-ФЗ ("О государственной тайне")
112
- СТО БР (Стандарт Банка России)
Возможности Secret Net:
- Аутентификация пользователей.
- Обеспечение разграничения доступа к защищаемой информации и
устройствам.
- Доверенная информационная среда.
- Контроль каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации
на
основе
централизованных
политик,
исключающих
утечки
конфиденциальной информации.
- Централизованное управление политиками безопасности, позволяет
оперативно реагировать на события НСД.
- Оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net
(сетевой вариант) в организации с большим количеством филиалов.
5. Классификация автоматизированных систем и требования по
защите информации.
Руководящим документом Государственной технической комиссии при
Президенте Российской Федерации «Автоматизированные системы. Защита от
несанкционированного
автоматизированных
доступа
систем
и
к
информации.
требования
по
защите
Классификация
информации»
устанавливается девять классов защищенности автоматизированных систем
(АС) от НСД к информации.
Каждый
класс
характеризуется
определенной
минимальной
совокупностью требований по защите. Классы подразделяются на три группы,
отличающиеся особенностями обработки информации в АС.
113
В пределах каждой группы соблюдается иерархия требований по защите
в
зависимости
от
ценности
(конфиденциальности)
информации
и,
следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь,
допущенный ко всей информации АС, размещенной на носителях одного
уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые
права доступа (полномочия) ко всей информации АС, обрабатываемой и (или)
хранимой на носителях различного уровня конфиденциальности. Группа
содержит два класса - 2Б и 2А.
Первая
группа
включает
многопользовательские
АС,
в
которых
одновременно обрабатывается и (или) хранится информация разных уровней
конфиденциальности. Не все пользователи имеют право доступа ко всей
информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
5.1. Требования по защите информации от НСД для АС
Защита информации от НСД является составной частью общей проблемы
обеспечения безопасности информации. Мероприятия по защите информации
от НСД должны осуществляться взаимосвязано с мероприятиями по
специальной защите основных и вспомогательных средств вычислительной
техники, средств и систем связи от технических средств разведки и
промышленного шпионажа.
В
общем
случае,
комплекс
программно-технических
средств
и
организационных (процедурных) решений по защите информации от НСД
реализуется в рамках системы защиты информации от НСД (СЗИ НСД),
условно состоящей из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
114
- обеспечения целостности.
Приведем пример требований к АС третьей группы.
Обозначения:
" - " - нет требований к данному классу;
" + " - есть требования к данному классу.
Подсистемы и требования
Классы
3Б 3А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему
+
+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ
-
-
к программам
-
-
к томам, каталогам, файлам, записям, полям записей
-
-
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети)
+
+
выдачи печатных (графических) выходных документов
-
+
запуска (завершения) программ и процессов (заданий, задач)
-
-
доступа программ субъектов доступа к защищаемым файлам, включая их создание
и удаление, передачу по линиям и каналам связи
-
-
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам
связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам,
записям, полям записей
-
-
изменения полномочий субъектов доступа
-
-
создаваемых защищаемых объектов доступа
-
-
2.2. Учет носителей информации
+
+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной
памяти ЭВМ и внешних накопителей
-
+
2.4. Сигнализация попыток нарушения защиты
-
-
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации
-
-
3.2. Шифрование информации, принадлежащей различным субъектам доступа
(группам субъектов) на разных ключах
-
-
3.3. Использование аттестованных (сертифицированных) криптографических
средств
-
-
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации +
+
4.2. Физическая охрана средств вычислительной техники и носителей информации
+
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
+
115
4.3. Наличие администратора (службы) защиты информации в АС
-
-
4.4. Периодическое тестирование СЗИ НСД
+
+
4.5. Наличие средств восстановления СЗИ НСД
+
+
4.6. Использование сертифицированных средств защиты
-
+
Таким
образом
установлены
следующие
требования
к
классу
защищенности 3Б:
Подсистема управления доступом:
- должны осуществляться идентификация и проверка подлинности
субъектов доступа при входе в систему по паролю условно-постоянного
действия,
длиной
не
менее
шести
буквенно-цифровых
символов.
Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в
систему
(из
системы),
либо
регистрация
загрузки
и
инициализации
операционной системы и ее программного останова. Регистрация выхода из
системы или останова не проводится в моменты аппаратурного отключения
АС. В параметрах регистрации указываются:
- дата и время входа (выхода) субъекта доступа в систему (из системы)
или загрузки (останова) системы;
- должен проводиться учет всех защищаемых носителей информации с
помощью их любой маркировки и с занесением учетных данных в журнал
(учетную карточку).
Подсистема обеспечения целостности:
- должна быть обеспечена целостность программных средств СЗИ НСД,
обрабатываемой информации, а также неизменность программной среды. При
этом:
целостность СЗИ НСД проверяется при загрузке системы по наличию
имен (идентификаторов) компонент СЗИ;
целостность программной среды обеспечивается отсутствием в АС
средств
разработки
и
отладки
программ;
116
- должна осуществляться физическая охрана СВТ (устройств и носителей
информации), предусматривающая контроль доступа в помещения АС
посторонних лиц, наличие надежных препятствий для несанкционированного
проникновения в помещения АС и хранилище носителей информации,
особенно в нерабочее время;
- должно проводиться периодическое тестирование функций СЗИ НСД
при изменении программной среды и персонала АС с помощью тест-программ,
имитирующих попытки НСД;
- должны быть в наличии средства восстановления СЗИ НСД,
предусматривающие ведение двух копий программных средств СЗИ НСД и их
периодическое
обновление
и
контроль
работоспособности.
Заключение
Данная лекция не завершает тему «Защита информационных процессов в
компьютерных системах». На следующей лекции нами будут рассмотрены
следующие вопросы:
1. Криптографические методы защиты информационных процессов в
компьютерных системах.
2. Вредоносные программы.
117
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УТВЕРЖДАЮ
Начальник кафедры ИБ
майор полиции
А.Б. Сизоненко
«___» _________ 2013 г.
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Лекция
ТЕМА № 4/2 «Защита информационных процессов в компьютерных
системах»
Обсуждена и одобрена
на заседании кафедры ИБ
протокол № 2 от «__» сентября 2013 г.
Время – 2 часа.
Подготовил:
Старший преподаватель кафедры ИБ
к.т.н.
С.Г.Клюев
Краснодар
2013
118
План лекции
Введение
1. Криптографические методы и средства защиты информационных
процессов в компьютерных системах.
2. Вредоносные программы: определение и
классификация. Защита
информации от разрушающих программных воздействий.
119
Литература
8. Федеральный закон «Об информации, информационных технологиях и
защите информации» от 27 июля 2006 г. N 149-ФЗ.
9. Федеральный закон «О техническом регулировании» от 27 декабря 2002 г.
№ 184-ФЗ.
10. ГОСТ
50922-2006
«Защита
информации.
Основные
термины
и
определения».
11. ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные
положения».
12. ГОСТ
Р
53113.1-2008
«Защита
информационных
технологий
и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 1. Общие
положения».
13. ГОСТ Р 53113.2-2009 «Рекомендации по организации защиты информации,
информационных технологий и автоматизированных систем от атак с
использованием скрытых каналов».
14. ГОСТ Р ИСО/МЭК 18045-2008 «Методология оценки безопасности
информационных технологий».
УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
Оборудование классов.
Слайды.
LCD-проектор
120
Введение
Проблема тайной передачи сообщений существует столько времени,
сколько существует письменность, более того, первоначально письменность
сама по себе была методом тайной передачи информации, поскольку была
доступна лишь избранным. Для реализации тайной передачи сообщения от
одного адресата к другому существует два направления: во-первых, можно
попытаться скрыть сам факт передачи сообщения, например, методами
тайнописи,
во-вторых,
можно
так
преобразовать
сообщение,
чтобы
постороннему лицу была недоступна информация, заключенная в сообщении.
Первым направлением занимается стеганография, вторым ― криптография.
В данной лекции будут рассматриваться криптографические методы
защиты информации, передаваемой по телекоммуникационным системам. Для
защиты
информации
используется,
прежде
всего,
шифрование.
При
шифровании происходит преобразование данных в вид, недоступный для
чтения без соответствующей информации (ключа шифрования). Задача состоит
в том, чтобы обеспечить конфиденциальность, скрыв информацию от лиц,
которым она не предназначена, даже если они имеют доступ к зашифрованным
данным. Кроме этого, используются криптографические методы контроля
целостности
переданной
информации
и
криптографические
методы
аутентификации абонента, позволяющие убедиться, что информация передана
именно данному абоненту.
121
1. Криптографические методы и средства защиты информационных
процессов в компьютерных системах.
Защита данных с помощью шифрования – одно из возможных решений
проблемы безопасности. Зашифрованные данные становятся доступными
только тем, кто знает, как их расшифровать, и поэтому похищение
зашифрованных данных абсолютно бессмысленно для несанкционированных
пользователей.
Криптоло́гия (от др.-греч. κρυπτός — скрытый и λόγος — слово) - наука,
занимающаяся методами шифрования и дешифрования. Криптология состоит
из двух частей — криптографии и криптоанализа. Криптография занимается
разработкой методов шифрования данных, в то время как криптоанализ
занимается оценкой сильных и слабых сторон методов шифрования, а также
разработкой методов, позволяющих взламывать криптосистемы.
Под
конфиденциальностью
понимают
невозможность
получения
информации из преобразованного массива без знания дополнительной
информации (ключа).
Аутентичность информации состоит в подлинности авторства и
целостности.
Криптоанализ
объединяет
математические
методы
нарушения
конфиденциальности и аутентичности информации без знания ключей.
Существует ряд смежных, но не входящих в криптологию отраслей
знания. Так обеспечением скрытности информации в информационных
массивах занимается стеганография. Обеспечение целостности информации в
условиях
случайного
воздействия
находится
в
ведении
теории
помехоустойчивого кодирования. Наконец, смежной областью по отношению к
криптологии являются математические методы сжатия информации.
Современная криптография включает в себя четыре крупных раздела:
симметричные криптосистемы, криптосистемы с открытым ключом,
системы электронной подписи, управление ключами.
122
Основные направления использования криптографических методов
– передача конфиденциальной информации по каналам связи (например,
электронная почта), установление подлинности передаваемых сообщений,
хранение
информации
(документов,
баз
данных)
на
носителях
в
зашифрованном виде.
В качестве информации, подлежащей шифрованию и расшифрованию, а
также электронной подписи будут рассматриваться тексты (сообщения),
построенные на некотором алфавите. Под этими терминами понимается
следующее.
Алфавит – конечное множество используемых для кодирования
информации знаков.
Текст (сообщение) – упорядоченный набор из элементов алфавита. В
качестве примеров алфавитов, используемых в современных ИС, можно
привести следующие:
− алфавит Z33 – 32 буквы русского алфавита (исключая "ё") и пробел;
− алфавит Z256 – символы, входящие в стандартные коды ASCII и КОИ8;
− двоичный алфавит – Z2 = {0, 1};
− восьмеричный или шестнадцатеричный алфавит.
Коды и шифры использовались задолго до появления ЭВМ. С
теоретической точки зрения не существует четкого различия между кодами и
шифрами. Однако в современной практике различие между ними является
достаточно четким. Коды оперируют лингвистическими элементами, разделяя
шифруемый текст на такие смысловые элементы, как слова и слоги.
В шифре всегда различают два элемента: алгоритм и ключ.
Алгоритм позволяет использовать сравнительно короткий ключ для
шифрования сколь угодно большого текста.
Определим ряд терминов, используемых в криптологии.
123
Под шифром понимается совокупность обратимых преобразований
множества открытых данных на множество зашифрованных данных, заданных
алгоритмом криптографического преобразования.
Шифр – это совокупность инъективных отображений множества
открытых текстов во множество шифрованных текстов, проиндексированная
элементами из множества ключей: {Fk : X → S, K ∈ K}.
Криптографическая система, или шифр представляет собой семейство Т
обратимых преобразований открытого текста в шифрованный. Членам этого
семейства можно взаимно однозначно сопоставить число k, называемое
ключом. Преобразование Тk определяется соответствующим алгоритмом и
значением ключа k.
Ключ – конкретное секретное состояние некоторых параметров
алгоритма криптографического преобразования данных, обеспечивающее
выбор одного варианта из совокупности всевозможных для данного алгоритма.
Секретность ключа должна обеспечивать невозможность восстановления
исходного текста по шифрованному.
Пространство ключей K – это набор возможных значений ключа.
Обычно ключ представляет собой последовательный ряд букв алфавита.
Следует отличать понятия "ключ" и "пароль". Пароль также является секретной
последовательностью букв алфавита, однако используется не для шифрования
(как ключ), а для аутентификации субъектов.
Криптосистемы подразделяются на симметричные и асимметричные
[или с открытым (публичным) ключом].
В
симметричных
криптосистемах
для
зашифрования
и
для
расшифрования используется один и тот же ключ.
В системах с открытым ключом используются два ключа открытый
(публичный) и закрытый (секретный), которые математически связаны друг с
другом. Информация зашифровывается с помощью открытого ключа, который
доступен всем желающим, а расшифровывается с помощью закрытого ключа,
известного только получателю сообщения.
124
Термины распределение ключей и управление ключами относятся к
процессам системы обработки информации, содержанием которых является
выработка и распределение ключей между пользователями.
Электронной подписью называется присоединяемое к тексту его
криптографическое преобразование, которое позволяет при получении текста
другим пользователем проверить авторство и целостность сообщения.
Зашифрованием данных называется процесс преобразования открытых
данных в зашифрованные с помощью шифра, а расшифрованием данных –
процесс преобразования закрытых данных в открытые с помощью шифра.
Вместо термина "открытые данные" часто употребляются термины "открытый
текст" и "исходный текст", а вместо "зашифрованные данные" – "шифрованный
текст".
Дешифрованием называется процесс преобразования закрытых данных в
открытые при неизвестном ключе и, возможно, неизвестном алгоритме, т.е.
методами криптоанализа.
Шифрованием называется процесс зашифрования или расшифрования
данных. Также термин шифрование используется как синоним зашифрования.
Однако неверно в качестве синонима шифрования использовать термин
"кодирование" (а вместо "шифра" – "код"), так как под кодированием обычно
понимают представление информации в виде знаков (букв алфавита).
Криптостойкостью называется характеристика шифра, определяющая
его стойкость к дешифрованию. Обычно эта характеристика определяется
периодом времени, необходимым для дешифрования.
Гаммирование – процесс наложения по определенному закону гаммы
шифра на открытые данные.
Гамма
шифра
–
псевдослучайная
двоичная
последовательность,
вырабатываемая по заданному алгоритму, для зашифрования открытых данных
и расшифрования зашифрованных данных.
Имитозащита
обеспечения
–
защита
имитозащиты
к
от
навязывания
зашифрованным
ложных
данным
данных.
Для
добавляется
125
имитовставка,
представляющая
собой
последовательность
данных
фиксированной длины, полученную по определенному правилу из открытых
данных и ключа.
Криптографическая защита – это защита данных с помощью
криптографического преобразования, под которым понимается преобразование
данных шифрованием и (или) выработкой имитовставки.
Синхропосылка
–
исходные
открытые
параметры
алгоритма
криптографического преобразования.
Уравнение
зашифрования
(расшифрования)
–
соотношение,
описывающее процесс образования зашифрованных (открытых) данных из
открытых (зашифрованных) данных в результате преобразований, заданных
алгоритмом криптографического преобразования.
1.1. Классификация алгоритмов шифрования
Общий принцип шифрования заключается в преобразовании закрытого
текста в шифрованный по криптографическому алгоритму с использованием
ключа и обратно.
Рис. 1 Общий принцип шифрования
126
По характеру использования ключа известные криптосистемы можно
разделить на два типа: симметричные (одноключевые, с секретным ключом) и
несимметричные (с открытым ключом).
1.1.1. Симметричные криптосистемы
В данной криптосистеме используется один секретный ключ для
шифрования и дешифрования сообщения. При этом секретный ключ должен
храниться в тайне, и при его передаче должна быть исключена возможность его
перехвата.
Общий принцип шифрования симметричной криптосистемы:
Преимущества:
- Большая скорость;
- Простота в реализации;
- Меньшая требуемая длина ключа для сопоставимой стойкости.
Недостатки:
- Сложность обмена ключами. Для применения необходимо решить
проблему надёжной передачи ключей каждому абоненту, так как нужен
секретный канал для передачи каждого ключа обеим сторонам.
127
-
Сложность
управления
ключами
в
большой
сети.
Означает
квадратичное возрастание числа пар ключей, которые надо генерировать,
передавать, хранить и уничтожать в сети. Для сети в 10 абонентов требуется 45
ключей, для 100 уже 4950, для 1000 — 499500 и т. д.
Примеры распространенных алгоритмов данного типа:
AES (англ. Advanced Encryption Standard) - американский стандарт
шифрования
ГОСТ 28147-89 - отечественный стандарт шифрования данных
DES (англ. Data Encryption Standard) - стандарт шифрования данных в
США до AES
IDEA (англ. International Data Encryption Algorithm)
RC6 (Шифр Ривеста)
Шифрование заменой (подстановкой)
1.1.2. Ассиметрические криптосистемы
В криптосистемах с открытым ключом в алгоритмах шифрования и
дешифрования используются два ключа - один для шифрования, а другой для
дешифрования. Первый ключ, необходимый для шифрования, передается
открыто, с его помощью отправитель шифрует сообщение. Получатель,
получив шифрограмму, дешифрирует её с помощью второго секретного ключа.
Перехват открытого колюча ни коим образом не позволяет дешифровать
сообщение, так как его можно прочитать только с помощью второго ключа.
Общий принцип шифрования ассимметричной криптосистемы:
128
Алгоритмы криптосистемы с открытым ключом можно использовать:
1) Как самостоятельные средства для защиты передаваемой и хранимой
информации
2) Как средства распределения ключей. Обычно с помощью алгоритмов
криптосистем с открытым ключом распределяют ключи, малые по объёму. А
саму передачу больших информационных потоков осуществляют с помощью
других алгоритмов.
3) Как средства аутентификации пользователей.
Преимущества:
- В больших сетях число ключей в асимметричной криптосистеме
значительно меньше, чем в симметричной;
- Преимущество асимметричных шифров перед симметричный шифр
симметричными
шифрами
состоит
в
отсутствии
необходимости
предварительной передачи секретного ключа по надёжному каналу.
Недостатки:
- В больших сетях число ключей в асимметричной криптосистеме
значительно меньше, чем в симметричной;
- Низкая скорость выполнения операций зашифровки и расшифровки;
- Используются более длинные ключи;1
- Трудно внести изменения.
129
На сегодняшний день высокоэффективные системы с открытым ключом
пока не найдены. Почти повсеместно принято ограничение использования
криптосистем с открытым ключом - только для управления ключами и для
цифровой подписи.
Виды асимметричных шифров:
RSA (Rivest-Shamir-Adleman, Ривест — Шамир — Адлеман)
Elgamal (Шифросистема Эль-Гамаля)
ГОСТ 34.10-2001
Williams System (Криптосистема Уильямса)
Алгоритм RSA
RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) —
криптографическая система с открытым ключом.
Он основан на трудности разложения очень больших целых чисел на
простые сомножители. В криптографической системе RSA каждый ключ
состоит из пары целых чисел. Каждый участник создаёт свой открытый и
закрытый ключ самостоятельно. Закрытый ключ каждый из них держит в
секрете, а открытые ключи можно сообщать кому угодно или даже публиковать
их. Открытый и закрытый ключи каждого участника обмена сообщениями
образуют «согласованную пару» в том смысле, что они являются взаимно
обратными
Преимущества:
Алгоритм RSA является ассиметричным, т.е. он основывается на
распространении открытых ключей в сети. Это позволяет нескольким
пользователям обмениваться информацией, посылаемой по незащищенным
каналам связи;
Недостатки:
Низкая скорость шифрования
Применение:
Алгоритм RSA используется для защиты программного обеспечения и в
схемах цифровой подписи. Также она используется в открытой системе
130
шифрования PGP и иных системах шифрования (к примеру, DarkCryptTC и
формат xdc) в сочетании с симметричными алгоритмами.
Алгоритм Elgamal
Схема Эль-Гамаля (Elgamal) — криптосистема с открытым ключом,
основанная на трудности вычисления дискретных логарифмов в конечном поле.
Схема Эль-Гамаля лежит в основе стандартов электронной цифровой подписи в
США и России ГОСТ Р 34.11-94 и действующий с 1 января 2013 года ГОСТ Р
34.10 2012 - Процессы формирования и проверки электронной цифровой
подписи.
Алгоритм Elgamal также как и алгоритм RSA пригодный для шифрования
информации и для цифровой подписи.
1.1.3. Системы блочного шифрования
Это такие системы, в которых текст, имеющий большой объем,
разбивается на блоки фиксированной длины, и каждый блок шифруется в
отдельности, не зависимо от его положения во входной последовательности.
Такие криптосистемы называются системами блочного шифрования В то же
время блочные шифры обладают существенным недостатком - они размножают
ошибки, возникающие в процессе передачи сообщения по каналу связи.
Одиночная ошибка в шифртексте вызывает искажение примерно половины
открытого текста при дешифровании. Это требует применения мощных кодов,
исправляющих ошибки.
Общий принцип блочного шифрования:
131
1.1.4. Системы потокового шифрования
Это такие системы, в которых каждый символ открытого текста
преобразуется в символ шифрованного текста в зависимости не только от
используемого ключа, но и от его расположения в потоке открытого текста.
Системы потокового шифрования близки к криптосистемам с одноразовым
ключом, в которых размер ключа равен размеру шифруемого текста.
Преимущества:
- Не происходит размножения ошибок, возникающие в процессе передачи
сообщения по каналу связи.
- Высокая скорость
Недостатки:
Необходимость передачи информации синхронизации перед заголовком
сообщения, которая должна быть принята до расшифрования любого
сообщения. Это связано с тем, что если два различных сообщения шифруются
на одном и том же ключе, то для расшифрования этих сообщений должна
использоваться одна и та же псевдослучайная последовательность. Такое
положение может создать опасную угрозу криптостойкости системы и поэтому
часто используется дополнительный, случайно выбираемый ключ сообщения,
который передается в начале сообщения и используется для модификации
132
ключа шифрования. В результате разные сообщения будут шифроваться с
использованием различных последовательностей.
1.2. Государственный стандарт шифрования ГОСТ 28147-89
ГОСТ 28147-89 — советский и российский стандарт симметричного
шифрования, введённый в 1990 году, также является стандартом СНГ. Полное
название - «ГОСТ 28147-89 Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования».
Блочный шифроалгоритм. При использовании метода шифрования с
гаммированием, может выполнять функции поточного шифроалгоритма.
ГОСТ 28147-89 — блочный шифр с 256-битным ключом и 32 циклами
преобразования, оперирующий 64-битными блоками. Основа алгоритма шифра
— Сеть Фейстеля. Базовым режимом шифрования по ГОСТ 28147-89 является
режим
простой
замены
(определены
также
более
сложные
режимы
гаммирование, Режим обратной связи по шифротексту гаммирование с
обратной связью и режим имитовставки).
Достоинства:
- бесперспективность силовой атаки XSL-атаки в учёт не берутся, так как
их эффективность на данный момент полностью не доказана);
- эффективность реализации и соответственно высокое быстродействие
на современных компьютерах.
-
наличие
защиты
от навязывания
ложных
данных
(выработка
имитовставки) и одинаковый цикл шифрования во всех четырех алгоритмах
ГОСТа.
Основные проблемы:
Основные проблемы ГОСТа связаны с неполнотой стандарта в части
генерации ключей и таблиц замен. Тривиально доказывается, что у ГОСТа
существуют «слабые» ключи и таблицы замен, но в стандарте не описываются
критерии выбора и отсева «слабых». Также стандарт не специфицирует
133
алгоритм генерации таблицы замен (S-блоков). С одной стороны, это может
являться дополнительной секретной информацией (помимо ключа), а с другой,
поднимает ряд проблем:
нельзя определить криптостойкость алгоритма, не зная заранее таблицы
замен;
реализации алгоритма от различных производителей могут использовать
разные таблицы замен и могут быть несовместимы между собой;
возможность преднамеренного предоставления слабых таблиц замен
лицензирующими органами РФ;
потенциальная
возможность
(отсутствие
запрета
в
стандарте)
использования таблиц замены, в которых узлы не являются перестановками,
что может привести к чрезвычайному снижению стойкости шифра.
Возможные применения:
Использование в S/MIME (PKCS#7, Cryptographic Message Syntax).
Использование для защиты соединений в TLS (SSL, HTTPS, WEB).
Использование для защиты сообщений в XML Encryption.
1.3. Электронная подпись
Использование
электронной
подписи
в
Российской
федерации
регламентируется Федеральным законом от 6 апреля 2011 года № №-ФЗ «Об
электронной подписи».
Схема формирования подписи электронного документа его отправителем
включает вычисление хэш-функции электронного документа и шифрование
этого значения посредством секретного ключа отправителя. Результатом
шифрования является значение электронной подписи электронного документа
(реквизит ЭД), которое пересылается вместе с самим ЭД получателю. При этом
получателю сообщения должен быть предварительно передан открытый ключ
отправителя сообщения.
134
Рис. 3 Схема электронной подписи в криптографии с открытыми ключами.
Схема
проверки
(верификации)
электронной
подписи,
осуществляемая
получателем сообщения, состоит из следующих этапов. На первом из них
производится расшифрование блока электронной подписи посредством
открытого ключа отправителя. Затем вычисляется хэш-функция ЭД. Результат
вычисления сравнивается с результатом расшифрования блока ЭП. В случае
совпадения, принимается решение о соответствии ЭП ЭД. Несовпадение
результата расшифрования с результатом вычисления хеш-функции ЭД может
объясняться следующими причинами:
- в процессе передачи по каналу связи была потеряна целостность ЭД;
- при формировании ЭП был использован не тот (поддельный) секретный
ключ;
- при проверке ЭП был использован не тот открытый ключ (в процессе
передачи по каналу связи или при дальнейшем его хранении открытый ключ
был модифицирован или подменен).
2. Вредоносные программы: определение и классификация. Защита
информации от разрушающих программных воздействий.
135
Вредоносная программа - компьютерная программа или переносной код,
предназначенный
для
реализации
угроз
информации,
хранящейся
в
компьютерной системе, либо для скрытого нецелевого использования ресурсов
системы,
либо
иного
воздействия,
препятствующего
нормальному
функционированию компьютерной системы.
Статья 273. Создание, использование и распространение вредоносных
компьютерных программ
К вредоносному программному обеспечению относятся сетевые черви,
классические файловые вирусы, троянские программы, хакерские утилиты и
прочие программы, наносящие заведомый вред компьютеру, на котором они
запускаются на выполнение, или другим компьютерам в сети.
Независимо от типа, вредоносные программы способны наносить
значительный ущерб, реализуя любые угрозы информации - угрозы нарушения
целостности, конфиденциальности, доступности.
Местом глобального распространения вредоносных программ является,
конечно же, Internet.
Интернет, без сомнения, вещь в наше время нужная, для кого-то просто
необходимая.
За
небольшой
отрезок
времени
можно
найти
нужную
информацию, ознакомиться с последними новостями, а также пообщаться с
множеством людей и все это не выходя из дома, офиса и т.д. Но не забывайте,
что по этой "толстой трубе" хакеры легко могут влезть в ваш компьютер и
получить доступ к вашей личной информации.
Хотя поставщики аппаратного и программного обеспечения, а также
официальные лица в правительстве принимают позы защитников личной
информации, в которую постороннее вторжение недопустимо, имеются
серьезные основания опасаться, что наши путешествия по Internet не останутся
без внимания чьих-то "внимательных" глаз, анонимность и безопасность не
гарантируется. Хакеры могут легко читать послания по электронной почте, а
136
Web-серверы
протоколируют
все
и
вся,
включая
даже
перечень
просматриваемых Web-страниц.
2.1 Первые вирусные программы
1949 год. Американский ученый венгерского происхождения Джон фон
Науманн (John von Naumann) разработал математическую теорию создания
самовоспроизводящихся
программ.
Это
была
первая
теория
создания
компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного
сообщества.
В начале 60-х инженеры из американской компании Bell Telephone
Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру
"Дарвин". Игра предполагала присутствие в памяти вычислительной машины
так называемого супервизора, определявшего правила и порядок борьбы между
собой программ-соперников, создававшихся игроками. Программы имели
функции исследования пространства, размножения и уничтожения. Смысл
игры заключался в удалении всех копий программы противника и захвате поля
битвы.
Конец 60-х - начало 70-х годов. Появление первых вирусов. В ряде
случаев это были ошибки в программах, приводивших к тому, что программы
копировали сами себя, засоряя жесткий диск компьютеров, что снижало их
продуктивность, однако считается, что в большинстве случаев вирусы
сознательно
создавались
для
разрушения.
Вероятно,
первой
жертвой
настоящего вируса, написанного программистом для развлечения, стал
компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только
один компьютер - на котором и был создан.
2.2 Вредоносные программы в наше время
137
Проблема
заслуживает
вредоносных
повышенного
неприятностей,
с
программ
внимания
которыми
рекламных
как
одна
ежедневно
и
из
шпионских
самых
сталкиваются
-
главных
современные
пользователи компьютеров. Их пагубное воздействие проявляется в том, что
они
подрывают
принцип
неприкосновенность
личной
надёжности
жизни,
компьютера
нарушают
и
нарушают
конфиденциальность
и
разрывают отношения между защищёнными механизмами работы компьютера,
посредством
некоторых
комбинаций
шпионских
действий.
Подобные
программы часто появляются без ведома получателя, и даже при обнаружении
от
них
трудно
беспорядочная
избавиться.
смена
Заметное
пользовательских
снижение
настроек
производительности,
и
появление
новых
сомнительных панелей инструментов или аддонов являются лишь немногими
страшными последствиями заражения "шпионом" или рекламной программой.
"Шпионы" и другие вредоносные программы могут также прилаживаться к
более незаметным режимам функционирования компьютера и глубоко
внедряться в сложные механизмы работы операционной системы так, чтобы в
значительной степени осложнить их обнаружение и уничтожение.
Снижение производительности является, наверное, самым заметным
последствием вредоносных программ, так как напрямую влияет на работу
компьютера до такой степени, что даже непрофессионал может это
обнаружить. Если пользователи не так настораживаются, когда то и дело
всплывают рекламные окна, пусть компьютер и не подключён к Интернету, то
снижение
отзывчивости
операционной
системы,
поскольку
потоки
вредоносного кода конкурируют с системой и полезными программами, явно
говорит
о
появлении
проблем.
Меняются
программные
настройки,
таинственным образом добавляются новые функции, необычные процессы
появляются в диспетчере задач (иногда их бывает и десяток), или программы
ведут себя так, будто их использует кто-то другой, а вы потеряли над ними
контроль. Побочные эффекты вредоносных программ (будь то рекламная или
шпионская программа) приводят к серьёзным последствиям, и, тем не менее,
138
многие пользователи продолжают вести себя легкомысленно, открывая настежь
дверь к своему компьютеру.
В современном Интернет в среднем каждое тридцатое письмо заражено
почтовым червем, около 70% всей корреспонденции - нежелательна. С ростом
сети
Интернет
увеличивается
количество
потенциальных
жертв
вирусописателей, выход новых операционных систем влечет за собой
расширение спектра возможных путей проникновения в систему и вариантов
возможной вредоносной нагрузки для вирусов. Современный пользователь
компьютера не может чувствовать себя в безопасности перед угрозой стать
объектом чей-то злой шутки - например, уничтожения информации на
винчестере - результатов долгой и кропотливой работы, или кражи пароля на
почтовую систему. Точно так же неприятно обнаружить себя жертвой массовой
рассылки конфиденциальных файлов или ссылки на порно-сайт. Кроме уже
ставших привычными краж номеров кредитных карт, участились случаи
воровства персональных данных игроков различных онлайновых игр - Ultima
Online, Legend of Mir, Lineage, Gamania. В России также зафиксированы случаи
с игрой "Бойцовский клуб", где реальная стоимость некоторых предметов на
аукционах достигает тысяч долларов США. Развитие получили и вирусные
технологии для мобильных устройств. В качестве пути проникновения
используются не только Bluetooth-устройства, но и обычные MMS-сообщения
(червь ComWar).
2.3. Разновидности вредоносных программ
2.3.1. Компьютерный вирус
Компьютерный вирус - разновидность компьютерных программ,
отличительной особенностью которой является способность к размножению
(саморепликация). В дополнение к этому вирусы могут повредить или
полностью уничтожить все файлы и данные, подконтрольные пользователю, от
139
имени которого была запущена заражённая программа, а также повредить или
даже уничтожить операционную систему со всеми файлами в целом.
Неспециалисты к компьютерным вирусам иногда причисляют и другие
виды вредоносных программ, такие как трояны, программы-шпионы и даже
спам. (Спам (англ. spam) - рассылка коммерческой, политической и иной
рекламы или иного вида сообщений лицам, не выражавшим желания их
получать. Легальность массовой рассылки некоторых видов сообщений, для
которых не требуется согласие получателей, может быть закреплена в
законодательстве страны. Например, это может касаться сообщений о
надвигающихся стихийных бедствиях, массовой мобилизации граждан и т.п. В
общепринятом значении термин "спам" в русском языке впервые стал
употребляться применительно к рассылке электронных писем) Известны
десятки тысяч компьютерных вирусов, которые распространяются через
Интернет по всему миру, организуя вирусные эпидемии.
Вирусы распространяются, внедряя себя в исполняемый код других
программ или же заменяя собой другие программы. Какое-то время даже
считалось, что, являясь программой, вирус может заразить только программу какое угодно изменение не-программы является не заражением, а просто
повреждением данных. Подразумевалось, что такие копии вируса не получат
управления, будучи информацией, не используемой процессором в качестве
инструкций. Так, например неформатированный текст не мог бы быть
переносчиком вируса.
Однако позднее злоумышленники добились, что вирусным поведением
может обладать не только исполняемый код, содержащий машинный код
процессора. Были написаны вирусы на языке пакетных файлов. Потом
появились макровирусы, внедряющиеся через макросы в документы таких
программ, как Microsoft Word и Excel.
Некоторое время спустя взломщики создали вирусы, использующие
уязвимости в популярном программном обеспечении (например, Adobe
Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем
140
обычные данные. Вирусы стали распространяться посредством внедрения в
последовательности данных (например, картинки, тексты, и т.д.) специального
кода, использующего уязвимости программного обеспечения.
2.3.2. Троян
Троянская программа (также - троян, троянец, троянский конь, трой) вредоносная программа, проникающая на компьютер под видом безвредной кодека, скринсейвера, хакерского ПО и т.д.
"Троянские кони" не имеют собственного механизма распространения, и
этим отличаются от вирусов, которые распространяются, прикрепляя себя к
безобидному ПО или документам, и "червей", которые копируют себя по сети.
Впрочем, троянская программа может нести вирусное тело - тогда запустивший
троянца превращается в очаг "заразы".
Троянские программы крайне просты в написании: простейшие из них
состоят из нескольких десятков строк кода на Visual Basic или C++.
Название "троянская программа" происходит от названия "троянский
конь" - деревянный конь, по легенде, подаренный древними греками жителям
Трои,
внутри
которого
прятались
воины,
впоследствии
открывшие
завоевателям ворота города. Такое название, прежде всего, отражает
скрытность и потенциальное коварство истинных замыслов разработчика
программы.
Троянская программа, будучи запущенной на компьютере, может:
мешать работе пользователя (в шутку, по ошибке или для достижения
каких-либо других целей);
шпионить за пользователем;
использовать ресурсы компьютера для какой-либо незаконной (а иногда и
наносящей прямой ущерб) деятельности и т.д.
Для того, чтобы спровоцировать пользователя запустить троянца, файл
программы (его название, иконку программы) называют служебным именем,
маскируют под другую программу (например, установки другой программы),
141
файл другого типа или просто дают привлекательное для запуска название,
иконку и т.п. Злоумышленник может перекомпилировать существующую
программу, добавив к её исходному коду вредоносный, а потом выдавать за
оригинал или подменять его.
Чтобы успешно выполнять эти функции, троянец может в той или иной
степени имитировать (или даже полноценно заменять) задачу или файл данных,
под которые она маскируется (программа установки, прикладная программа,
игра, прикладной документ, картинка). Схожие вредоносные и маскировочные
функции также используются компьютерными вирусами, но в отличие от них,
троянские программы не умеют распространяться самостоятельно.
Троянские программы помещаются злоумышленником на открытые
ресурсы (файл-серверы, открытые для записи накопители самого компьютера),
носители
информации
или
присылаются
с
помощью
служб
обмена
сообщениями (например, электронной почтой) из расчета на их запуск на
конкретном, входящем в определенный круг или произвольном "целевом"
компьютере.
Иногда использование троянов является лишь частью спланированной
многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в
том числе, третьи).
Трояны обладают множеством видов и форм, поэтому не существует
абсолютно надёжной защиты от них.
Для обнаружения и удаления троянов необходимо использовать
антивирусные программы. Если антивирус сообщает, что при обнаружении
трояна он не может удалить его, то можно попробовать выполнить загрузку ОС
с альтернативного источника и повторить проверку антивирусом. Если троян
обнаружен в системе, то его можно также удалить вручную (рекомендуется
"безопасный режим").
Чрезвычайно важно для обнаружения троянов и другого вредоносного
ПО, регулярно обновлять антивирусную базу данных установленного на
142
компьютере антивируса, так как ежедневно появляется множество новых
вредоносных программ.
2.3.3. Шпионское программное обеспечение
Spyware (шпионское программное обеспечение) - программа, которая
скрытным образом устанавливается на компьютер с целью полного или
частичного контроля за работой компьютера и пользователя без согласия
последнего.
В настоящий момент существует множество определений и толкований
термина spyware. Организация "Anti-Spyware Coalition", в которой состоят
многие
крупные
производители
антишпионского
и
антивирусного
программного обеспечения, определяет его как мониторинговый программный
продукт,
установленный
и
применяемый
без
должного
оповещения
пользователя, его согласия и контроля со стороны пользователя, то есть
несанкционированно установленный.
Spyware могут осуществлять широкий круг задач, например:
собирать информацию о привычках пользования Интернетом и наиболее
часто посещаемые сайты (программа отслеживания);
запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать
скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию
создателю spyware;
несанкционированно и удалённо управлять компьютером (remote control
software) - бэкдоры, ботнеты, droneware;
инсталлировать на компьютер пользователя дополнительные программы;
использоваться для несанкционированного анализа состояния систем
безопасности (security analysis software) - сканеры портов и уязвимостей и
взломщики паролей;
изменять параметры операционной системы (system modifying software) руткиты, перехватчики управления (hijackers) и пр. - результатом чего является
снижение скорости соединения с Интернетом или потеря соединения как
143
такового, открывание других домашних страниц или удаление тех или иных
программ;
перенаправлять активность браузеров, что влечёт за собой посещение
веб-сайтов вслепую с риском заражения вирусами.
Законные виды применения "потенциально нежелательных технологий"
Tracking Software (программы отслеживания) широко и совершенно
законно применяются для мониторинга персональных компьютеров.
Adware может открыто включаться в состав бесплатного и условнобесплатного программного обеспечения, и пользователь соглашается на
просмотр рекламы, чтобы иметь какую-либо дополнительную возможность
(например - пользоваться данной программой бесплатно). В таком случае
наличие программы для показа рекламы должно явно прописываться в
соглашении конечного пользователя (EULA).
Программы удалённого контроля и управления могут применяться для
удалённой технической поддержки или доступа к собственным ресурсам,
которые расположены на удалённом компьютере.
Дозвонщики (диалеры) могут давать возможность получить доступ к
ресурсам, нужным пользователю (например - дозвон к Интернет-провайдеру
для подключения к сети Интернет).
Программы для модификации системы могут применяться и для
персонализации, желательной для пользователя.
Программы для автоматической загрузки могут применяться для
автоматической загрузки обновлений прикладных программ и обновлений ОС.
Программы для анализа состояния системы безопасности применяются
для исследования защищённости компьютерных систем и в других совершенно
законных целях.
Технологии
пассивного
отслеживания
могут
быть
полезны
для
персонализации веб-страниц, которые посещает пользователь.
Согласно данным AOL и National Cyber-Security Alliance от 2005 года
61% респондентных компьютеров содержали ту или иную форму spyware, из
144
них 92% пользователей не знали о присутствии spyware на их машинах и 91%
сообщили, что они не давали разрешения на инсталляцию spyware.
К 2006 году spyware стали одним из превалирующих угроз безопасности
компьютерных систем, использующих Windows. Компьютеры, в которых
Internet Explorer служит основным браузером, являются частично уязвимыми не
потому, что Internet Explorer наиболее широко используется, но из-за того, что
его тесная интеграция с Windows позволяет spyware получать доступ к
ключевым узлам ОС.
До релиза Internet Explorer 7 браузер автоматически выдавал окно
инсталляции для любого компонента ActiveX, который веб-сайт хотел
установить.
Сочетание
наивной
неосведомлённости
пользователя
по
отношению к spyware и предположение Internet Explorer, что все компоненты
ActiveX безвредны, внесло свой вклад в массовое распространение spyware.
Многие компоненты spyware также используют изъяны в JavaScript, Internet
Explorer и Windows для инсталляции без ведома и/или разрешения
пользователя.
Реестр
Windows
содержит
множество
разделов,
которые
после
модифицирования значений ключей позволяют программе исполняться
автоматически при загрузке ОС. Spyware могут использовать такой шаблон для
обхождения попыток деинсталляции и удаления.
Spyware обычно присоединяют себя из каждого местонахождения в
реестре,
позволяющего
исполнение.
Будучи
запущенным,
spyware
контролирует периодически, не удалено ли одно из этих звеньев. Если да, то
оно автоматически восстанавливается. Это гарантирует, что spyware будет
выполняться во время загрузки ОС, даже если некоторые (или большинство)
звенья в реестре автозапуска удалены.
Если угроза со стороны spyware становится более чем назойливой,
существует ряд методов для борьбы с ними. Среди них программы,
разработанные для удаления или блокирования внедрения spyware, также как и
145
различные советы пользователю, направленные на снижение вероятности
попадания spyware в систему.
Тем не менее, spyware остаётся дорогостоящей проблемой. Когда
значительное число элементов spyware инфицировало ОС, единственным
средством остаётся сохранение файлов данных пользователя и полная
переустановка ОС.
Программы, такие как Ad-Aware (бесплатно для некоммерческого
использования, дополнительные услуги платные) от Lavasoft и Spyware Doctor
от
PC
Tools
(бесплатное
сканирование,
удаление
spyware
платное)
стремительно завоевали популярность как эффективные инструменты удаления
и, в некоторых случаях, препятствия внедрению spyware. В 2004 году Microsoft
приобрела GIANT AntiSpyware, переименовав её в Windows AntiSpyware beta и
выпустив её как бесплатную загрузку для зарегистрированных пользователей
Windows XP и Windows Server 2003. В 2006 году Microsoft переименовал бетаверсию в Windows Defender который был выпущен для бесплатной загрузки
(для зарегистрированных пользователей) с октября 2006 года и включён как
стандартный инструмент в Windows Vista.
2.3.4. Сетевые черви
Сетевой червь - разновидность самовоспроизводящихся компьютерных
программ, распространяющихся в локальных и глобальных компьютерных
сетях. Червь является самостоятельной программой.
Одни из первых экспериментов по использованию компьютерных червей
в распределённых вычислениях были проведены в исследовательском центре
Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в
1978. Термин возник под влиянием научно-фантастических романов Дэвида
Герролда "Когда ХАРЛИ исполнился год" и Джона Браннера "На ударной
волне"
Одним из наиболее известных компьютерных червей является "Червь
Морриса", написанный Робертом Моррисом (Robert Morris) младшим, который
был в то время студентом Корнельского Университета. Распространение червя
146
началось 2 ноября 1988, после чего червь быстро заразил большое количество
компьютеров, подключённых к интернету.
Черви
могут
распространения.
использовать
Некоторые
различные
черви
требуют
механизмы
("векторы")
определенного
действия
пользователя для распространения (например, открытия инфицированного
сообщения
в
клиенте
электронной
почты).
Другие
черви
могут
распространяться автономно, выбирая и атакуя компьютеры в полностью
автоматическом режиме. Иногда встречаются черви с целым набором
различных векторов распространения, стратегий выбора жертвы, и даже
эксплойтов под различные операционные системы.
Часто выделяют так называемые ОЗУ-резидентные черви, которые могут
инфицировать работающую программу и находиться в ОЗУ, при этом не
затрагивая жёсткие диски. От таких червей можно избавиться перезапуском
компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном
из "инфекционной" части: эксплойта (шелл-кода) и небольшой полезной
нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика
таких червей заключается в том, что они не загружаются через загрузчик как
все обычные исполняемые файлы, а значит, могут рассчитывать только на те
динамические библиотеки, которые уже были загружены в память другими
программами.
Также существуют черви, которые после успешного инфицирования
памяти сохраняют код на жёстком диске и принимают меры для последующего
запуска этого кода (например, путём прописывания соответствующих ключей в
реестре Windows). От таких червей можно избавиться только при помощи
антивируса или подобных инструментов. Зачастую инфекционная часть таких
червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая
загружается в ОЗУ и может "догрузить" по сети непосредственно само тело
червя в виде отдельного файла. Для этого некоторые черви могут содержать в
инфекционной части простой TFTP-клиент. Загружаемое таким способом тело
червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее
147
сканирование и распространение уже с инфицированной системы, а также
может содержать более серьёзную, полноценную полезную нагрузку, целью
которой может быть, например, нанесение какого-либо вреда (например, DoSатаки).
Большинство почтовых червей распространяются как один файл. Им не
нужна отдельная "инфекционная" часть, так как обычно пользователь-жертва
при помощи почтового клиента добровольно скачивает и запускает червя
целиком.
2.3.5. Руткиты
Руткит (Rootkit) - программа или набор программ, использующих
технологии сокрытия системных объектов (файлов, процессов, драйверов,
сервисов, ключей реестра, открытых портов, соединений и пр) посредством
обхода механизмов системы.
Термин руткит исторически пришел из мира Unix, где под этим термином
понимается набор утилит, которые хакер устанавливает на взломанном им
компьютере после получения первоначального доступа. Это, как правило,
хакерский инструментарий (снифферы, сканеры) и троянские программы,
замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться во
взломанной системе и скрыть следы своей деятельности.
В системе Windows под термином руткит принято считать программу,
которая внедряется в систему и перехватывает системные функции, или
производит
замену
системных
библиотек.
Перехват
и
модификация
низкоуровневых API функций в первую очередь позволяет такой программе
достаточно качественно маскировать свое присутствие в системе, защищая ее
от обнаружения пользователем и антивирусным ПО. Кроме того, многие
руткиты могут маскировать присутствие в системе любых описанных в его
конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие
руткиты устанавливают в систему свои драйверы и сервисы (они естественно
также являются "невидимыми").
148
В последнее время угроза руткитов становится все более актуальной, т.к
разработчики вирусов, троянских программ и шпионского программного
обеспечения начинают встраивать руткит-технологии в свои вредоносные
программы. Одним из классических примеров может служить троянская
программа Trojan-Spy. Win32. Qukart, которая маскирует свое присутствие в
системе при помощи руткит-технологии. Ее RootKit-механизм прекрасно
работает в Windows 95, 98, ME, 2000 и XP.
Классификация руткитов
Условно все руткит-технологии можно разделить на две категории:
Руткиты работающие в режиме пользователя (user-mode)
Руткиты работающие в режиме ядра (kernel-mode)
Первая
категория
основана
на
перехвате
функций
библиотек
пользовательского режима, вторая - на установке в систему драйвера,
осуществляющего перехват функций уровня ядра.
Также, руткиты можно классифицировать по принципу действия и по
постоянству существования. По принципу действия:
Изменяющие алгоритмы выполнения системных функций
Изменяющие системные структуры данных
2.4.
Признаки
заражения
компьютера
вирусом.
Действия
при
обнаружении заражения
Присутствие вирусов на компьютере обнаружить сложно, потому что они
маскируются среди обычных файлов. В данной статье наиболее подробно
описаны признаки заражения компьютера, а также способы восстановления
данных после вирусной атаки и меры по предотвращению их поражения
вредоносными программами.
Признаки заражения:
вывод на экран непредусмотренных сообщений или изображений;
подача непредусмотренных звуковых сигналов;
149
неожиданное открытие и закрытие лотка CD-ROM-устройства;
произвольный, без вашего участия, запуск на компьютере каких-либо
программ;
при наличии на вашем компьютере межсетевого экрана, появление
предупреждений о попытке какой-либо из программ вашего компьютера выйти
в интернет, хотя вы это никак не инициировали.
Если вы замечаете, что с компьютером происходит подобное то, с
большой степенью вероятности, можно предположить, что ваш компьютер
поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения вирусом
через электронную почту:
друзья или знакомые говорят вам о сообщениях от вас, которые вы не
отправляли;
в вашем почтовом ящике находится большое количество сообщений без
обратного адреса и заголовка.
Следует
отметить,
что
не
всегда
такие
признаки
вызываются
присутствием вирусов. Иногда они могут быть следствием других причин.
Например, в случае с почтой зараженные сообщения могут рассылаться с
вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
частые зависания и сбои в работе компьютера;
медленная работа компьютера при запуске программ;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
частое обращение к жесткому диску (часто мигает лампочка на
системном блоке);
интернет-браузер "зависает" или ведет себя неожиданным образом
(например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в
аппаратном или программном обеспечении. Несмотря на то, что подобные
150
симптомы с малой вероятностью свидетельствуют о заражении, при их
появлении рекомендуется провести полную проверку вашего компьютера
установленной на нем антивирусной программой
Действия при обнаружении заражения:
Отключите компьютер от интернета (от локальной сети).
Если симптом заражения состоит в том, что вы не можете загрузиться с
жесткого диска компьютера (компьютер выдает ошибку, когда вы его
включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска
аварийной
загрузки
Windows,
который
вы
создавали
при
установке
операционной системы на компьютер.
Прежде чем предпринимать какие-либо действия, сохраните результаты
вашей работы на внешний носитель (дискету, CD-диск, флэш-накопитель и
т.д.).
Установите антивирус, если на вашем компьютере не установлено
никаких антивирусных программ.
Получите последние обновления антивирусных баз. Если это возможно,
для их получения выходите в интернет не со своего компьютера, а с
незараженного
компьютера
друзей,
интернет-кафе,
с
работы.
Лучше
воспользоваться другим компьютером, поскольку при подключении к
интернету с зараженного компьютера есть вероятность отправки вирусом
важной информации злоумышленникам или распространения вируса по
адресам вашей адресной книги. Именно поэтому при подозрении на заражение
лучше всего сразу отключиться от интернета.
Запустите полную проверку компьютера.
2.5. Методы защиты от вредоносных программ
Стопроцентной защиты от всех вредоносных программ не существует: от
эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы
снизить риск потерь от воздействия вредоносных программ, рекомендуется:
151
использовать современные операционные системы, имеющие серьёзный
уровень защиты от вредоносных программ;
своевременно
устанавливать
патчи;
если
существует
режим
автоматического обновления, включить его;
постоянно работать на персональном компьютере исключительно под
правами пользователя, а не администратора, что не позволит большинству
вредоносных программ инсталлироваться на персональном компьютере;
использовать специализированные программные продукты, которые для
противодействия вредоносным программам используют так называемые
эвристические (поведенческие) анализаторы, то есть не требующие наличия
сигнатурной базы;
использовать
антивирусные
программные
продукты
известных
производителей, с автоматическим обновлением сигнатурных баз;
использовать персональный Firewall, контролирующий выход в сеть
Интернет с персонального компьютера на основании политик, которые
устанавливает сам пользователь;
ограничить физический доступ к компьютеру посторонних лиц;
использовать внешние носители информации только от проверенных
источников;
не открывать компьютерные файлы, полученные от ненадёжных
источников;
отключить автозапуск
со
сменных носителей, что не позволит
запускаться кодам, которые находятся на нем без ведома пользователя (для
Windows
необходимо
gpedit.
msc->Административные
шаблоны
(Конфигурация пользователя) - >Система->Отключить автозапуск->Включен
"на всех дисководах").
Современные средства защиты от различных форм вредоносных
программ включают в себя множество программных компонентов и методов
обнаружения "хороших" и "плохих" приложений. Сегодня поставщики
антивирусных продуктов встраивают в свои программы сканеры для
152
обнаружения "шпионов" и другого вредоносного кода, таким образом, всё
делается для защиты конечного пользователя. Тем не менее, ни один пакет
против шпионских программ не идеален. Один продукт может чересчур
пристально относиться к программам, блокируя их при малейшем подозрении,
в том числе "вычищая" и полезные утилиты, которыми вы регулярно
пользуетесь. Другой продукт более лоялен к программам, но может пропускать
некоторый шпионский код. Так что панацеи, увы, нет.
В отличие от антивирусных пакетов, которые регулярно показывают
100%
эффективности
по
обнаружению
вирусов
в
профессиональном
тестировании, проводящемся такими экспертами, как "Virus Bulletin", ни один
пакет против рекламных программ не набирает более 90%, а эффективность
многих других продуктов определяется между 70% и 80%.
Это
объясняет,
почему
одновременное
использование,
например,
антивируса и антишпионской программы, наилучшим образом обеспечивает
всестороннюю защиту системы от опасностей, которые могут прийти
неожиданно. Практика показывает, что один пакет следует использовать в
качестве постоянного "блокировщика", который загружается всякий раз при
включении компьютера, в то время как ещё один пакет (или более) должен
запускаться, по крайней мере, раз в неделю, чтобы обеспечить дополнительное
сканирование (например, Ad-Aware). Таким образом, то, что пропустит один
пакет, другой сможет обнаружить.
2.6. Классификация антивирусных программ
Евгений
Касперский
в
1992
году
использовал
следующую
классификацию антивирусов в зависимости от их принципа действия
(определяющего функциональность):
Сканеры (устаревший вариант - "полифаги") - определяют наличие
вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы)
вирусов. Их эффективность определяется актуальностью вирусной базы и
наличием эвристического анализатора (см.: Эвристическое сканирование).
153
Ревизоры (класс, близкий к IDS) - запоминают состояние файловой
системы, что делает в дальнейшем возможным анализ изменений.
Сторожа (мониторы) - отслеживают потенциально опасные операции,
выдавая пользователю соответствующий запрос на разрешение/запрещение
операции.
Вакцины - изменяют прививаемый файл таким образом, чтобы вирус,
против которого делается прививка, уже считал файл заражённым. В
современных (2007 год) условиях, когда количество возможных вирусов
измеряется сотнями тысяч, этот подход неприменим.
154
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
КРАСНОДАРСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УТВЕРЖДАЮ
Начальник кафедры ИБ
майор полиции
А.Б. Сизоненко
«___» _________ 2013 г.
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Лекция
ТЕМА № 5 «Защита информации в телекоммуникационных системах»
Обсуждена и одобрена
на заседании кафедры ИБ
протокол № 6 от «8» ноября 2013 г.
Время – 2 часа.
Подготовил:
Старший преподаватель кафедры ИБ
к.т.н.
С.Г.Клюев
Краснодар
2013
155
План лекции
Введение .................................................................................................................. 155
1. Угрозы безопасности современных телекоммуникационных сетей. ..... 157
1.1. Классификация угроз безопасности телекоммуникационных сетей. ..... 157
1.2. Хакеры: социальное определение и анализ мотиваций преступного
поведения. ............................................................................................................ 164
2. Сравнительный анализ методов воздействия и противодействия в сети
Internet. .................................................................................................................... 170
2.1. Направления по защите от враждебных воздействий на безопасность
сетей. ..................................................................................................................... 170
2.1.1 Классификация сетевых атак ................................................................ 171
3. Современные технические и программные средства сетевой защиты
компьютерной информации. .............................................................................. 184
3.1. Межсетевые экраны: классификация и особенности использования..... 184
3.2. Виды и основные функции систем обнаружения вторжений. ................ 187
3.2.1. Типы систем обнаружения вторжений ............................................... 187
156
Литература
15. Федеральный закон «О техническом регулировании» от 27 декабря 2002 г.
№ 184-ФЗ.
16. ГОСТ
50922-2006
«Защита
информации.
Основные
термины
и
определения».
17. ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные
положения».
18. ГОСТ
Р
53113.1-2008
«Защита
информационных
технологий
и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 1. Общие
положения».
19. ГОСТ Р 53113.2-2009 «Рекомендации по организации защиты информации,
информационных технологий и автоматизированных систем от атак с
использованием скрытых каналов».
20. ГОСТ Р ИСО/МЭК 18045-2008 «Методология оценки безопасности
информационных технологий».
УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
Оборудование классов.
Слайды.
LCD-проектор
157
Введение
Все больше в прошлое уходит бесполезное нагромождение различных
средств защиты, которое стало «модным» в результате реакции на первую
волну страха перед компьютерными преступлениями. К тому, что защита
информации должна носить комплексный характер, все начинают постепенно
привыкать. При этом компании-заказчики больше не хотят выбрасывать деньги
на ветер, они хотят приобретать только то, что им действительно необходимо
для построения надежной системы защиты информации. Но организация
обеспечения безопасности информации должна не просто носить комплексный
характер, а еще и основываться на глубоком анализе возможных негативных
последствий. При этом важно не упустить какие-либо существенные аспекты.
Принятый в настоящее время курс в связи с вступлением России в ВТО и
другие влиятельные международные организации заметно способствует
формированию положительного образа нашей страны на международной арене.
Однако этот процесс требует и гармонизации стандартов в различных областях
деятельности, в том числе и в области информационной безопасности. Таким
образом, признание на территории России наиболее распространенных в мире
стандартов в области информационных технологий, в области защиты
информации – это естественный и обязательный шаг на пути продвижения в
избранном направлении.
Процесс признания в России международных стандартов по защите
информации не является обособленным исключительным решением, а
становится естественной составной частью реформирования всей системы
стандартизации. В настоящее время в России наряду с отечественной
нормативной
базой
широко
используются
около
140
международных
стандартов в области информационных технологий, из них около 30
затрагивают вопросы защиты информации.
Одним из наиболее значимых является стандарт ИСО/МЭК 15408–99
«Критерии
оценки
безопасности
информационных
технологий»,
более
158
известный как «Общие критерии». Этот стандарт дает новую методологию
формирования требований по безопасности информационных технологий,
отвечающих современному уровню их развития, и методологию оценки
безопасности продуктов и систем информационных технологий.
Но вся идеология этого стандарта построена на необходимости глубокого
изучения и анализа существующей обстановки и, особенно, выявлении
актуальных угроз информационной безопасности. При этом должны быть
оценены все угрозы, с которыми можно столкнуться, и выбраны только те,
которые могут повлиять на безопасность информации. Стандарт предполагает,
что при описании угроз должны быть идентифицированы источники этих
угроз, методы воздействия, уязвимости, присущие объекту и многое другое.
Именно поэтому выбор правильной методологии оценки возможных
угроз информационной безопасности является одним из основных направлений
при переходе к международным требованиям.
Целью данной лекции является рассмотрение моделей угроз безопасности
телекоммуникационных систем и способов их реализации, анализировать
критерии уязвимости и устойчивости телекоммуникационных систем к
деструктивным воздействиям, описать средства мониторинга для выявления
фактов применения несанкционированных информационных воздействий,
рассмотреть характер разработки методологии и методического аппарата
оценки ущерба от воздействия угроз информационной безопасности.
159
1. Угрозы безопасности современных телекоммуникационных сетей.
1.1. Классификация угроз безопасности телекоммуникационных сетей.
Еще в конце 80-х - начале 90-х годов XX века такого понятия и научного
направления, как сетевая безопасность, по сути, не существовало. В те годы
только зарождалось направление, связанное с компьютерной безопасностью
вообще (особенно это относится к России), поэтому в научных исследованиях,
посвященных анализу угроз безопасности ВС, не проводилось разделения
между
угрозами,
специфичными
для
распределенных
и
локальных
вычислительных систем.
Все угрозы информационной безопасности телекоммуникационных или
распределенных вычислительных сетей (РВС) в зависимости от объекта,
подвергающегося
воздействию,
можно
разделить
на
следующие
два
подмножества:

удаленные атаки на инфраструктуру (под инфраструктурой сети мы
будем понимать сложившуюся систему организации отношений между
объектами сети и используемые в сети сервисные службы) и протоколы
сети (множество В1);

удаленные атаки на телекоммуникационные службы или серверы
предоставления удаленного сервиса (множество В2).
Первые
используют
уязвимости
в
сетевых
протоколах
и
в
инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах
("дыры", программные закладки, программные ошибки).
Проведенный анализ причин успеха реальных воздействий (из множества
В1) на различные распределенные вычислительные системы позволил выделить
основные причины, по которым возможна реализация данных угроз:
160

использование широковещательной среды передачи (например, Ethernet
или WiFi);

применение нестойких алгоритмов идентификации удаленных субъектов
и объектов РВС;

использование протоколов динамического изменения маршрутизации с
нестойкими алгоритмами идентификации;

применение
алгоритмов
удаленного
поиска
с
использованием
широковещательных и направленных поисковых запросов;

возможность анонимного захвата одним субъектом РВС множества
физических или логических каналов связи.
Иными словами, возможный успех атак из множества В1 обусловлен
наличием в распределенной системе одной (или нескольких) из вышеназванных
причин. Систематизация основных причин успеха угроз безопасности РВС
позволила ввести понятие типовой угрозы безопасности РВС (из множества
В1), инвариантной к типу РВС, и создать систематизацию типовых угроз
безопасности РВС из множества В1, которая рассмотрена далее.
Итак, перейдем к классификации угроз из выделенного множества В1.
Основная цель любой классификации состоит в том, чтобы предложить такие
отличительные признаки, используя которые, можно наиболее точно описать
характеризуемые явления или объекты. Поскольку ни в одном из известных
авторам научных исследований не проводилось различия между локальными и
удаленными информационными воздействиями на ВС, применение уже
известных обобщенных классификаций для описания удаленных воздействий
не позволяет более или менее точно раскрыть их сущность и описать
механизмы и условия их осуществления. Для более точного описания угроз
безопасности РВС (из множества В1) предлагается следующая классификация
(рис. 1).
161
Рис. 1. Классификация угроз безопасности РВС
1. По характеру воздействия:

пассивное;

активное.
162
Пассивным воздействием на распределенную вычислительную систему
можно назвать воздействие, которое не оказывает непосредственного влияния
на работу системы, но способно нарушать ее политику безопасности. Именно
отсутствие непосредственного влияния на работу распределенной ВС приводит
к тому, что пассивное удаленное воздействие практически невозможно
обнаружить. Примером типового пассивного удаленного воздействия в РВС
служит прослушивание канала связи в сети. При пассивном воздействии, в
отличие от активного, не остается никаких следов (от того, что атакующий
просмотрит чужое сообщение в системе, ничего не изменится).
Под активным воздействием на распределенную ВС понимается
воздействие, оказывающее непосредственное влияние на работу системы
(изменение конфигурации РВС, нарушение работоспособности и т. д.) и
нарушающее принятую в ней политику безопасности. Практически все типы
удаленных атак являются активными воздействиями. Это связано с тем, что в
самой природе разрушающего воздействия заложено активное начало.
Очевидным
отличием
активного
воздействия
от
пассивного
является
принципиальная возможность его обнаружения (естественно, с большими или
меньшими усилиями), так как в результате его осуществления в системе
происходят определенные изменения.
2. По цели воздействия:

нарушение конфиденциальности информации либо ресурсов системы;

нарушение целостности информации;

нарушение работоспособности (доступности) системы.
Этот классификационный признак является прямой проекцией трех основных
типов угроз: раскрытия, целостности и отказа в обслуживании.
Цель
большинства
информации.
атак
-
получить
несанкционированный
доступ
к
163
Существуют две принципиальные возможности такого доступа: перехват
и искажение. Перехват - это получение информации без возможности ее
искажения. Примером перехвата может служить прослушивание канала в сети.
Такая атака является пассивным воздействием и ведет к нарушению
конфиденциальности информации.
Искажение информации означает полный контроль над информационным
потоком между объектами системы или возможность передачи сообщений от
имени другого объекта. Очевидно, что искажение информации ведет к
нарушению ее целостности, то есть представляет собой активное воздействие.
Примером
удаленной
атаки,
цель
которой
-
нарушение
целостности
информации, может служить типовая удаленная атака (УА) "ложный объект
РВС".
Принципиально
иной
целью
атаки
является
нарушение
работоспособности системы. В этом случае основная цель взломщика добиться, чтобы операционная система на атакованном объекте вышла из строя
и, следовательно, для всех остальных объектов системы доступ к ресурсам
данного объекта был бы невозможен. Примером удаленной атаки, целью
которой является нарушение работоспособности системы, может служить
типовая атака "отказ в обслуживании".
3. По условию начала осуществления воздействия.
Удаленное
воздействие,
как
и
любое
другое,
может
начать
осуществляться только при определенных условиях. В распределенных ВС
существуют три вида таких условий:

атака после запроса от атакуемого объекта;

атака после наступления ожидаемого события на атакуемом объекте;

безусловная атака.
В первом случае взломщик ожидает передачи от потенциальной цели
атаки запроса определенного типа, который и будет условием начала
164
осуществления воздействия. Примером подобных сообщений в Internet могут
служить запросы DNS или ARP (определение MAC адреса по известному IP
адресу). Следует отметить, что такой тип удаленных атак наиболее характерен
для распределенных ВС.
При осуществлении следующего вида атаки атакующий осуществляет
постоянное наблюдение за состоянием операционной системы объекта атаки и
при возникновении определенного события в этой системе начинает
воздействие. Как и в предыдущем случае, инициатором начала атаки выступает
сам атакуемый объект. Примером такого события может быть прерывание
сеанса работы пользователя с сервером без выдачи команды LOGOUT.
При безусловной атаке ее начало не зависит от состояния системы
атакуемого
объекта,
то
есть
воздействие
осуществляется
немедленно.
Следовательно, в этом случае его инициатором является атакующий.
4. По наличию обратной связи с атакуемым объектом:

с обратной связью;

без обратной связи, или однонаправленная атака.
Если взломщику требуется получить ответ на некоторые запросы,
переданные на объект воздействия, то есть между атакующим и целью атаки
существует обратная связь, которая позволяет ему адекватно реагировать при
изменении ситуации, то такое воздействие можно отнести к классу с обратной
связью. Подобные удаленные атаки наиболее характерны для распределенных
ВС.
Инициатор удаленной атаки без обратной связи, напротив, не реагирует
ни на какие изменения, происходящие на атакуемом объекте. Воздействие
данного вида обычно осуществляется передачей на атакуемый объект
одиночных запросов, ответы на которые атакующему не нужны. Примером
подобных атак - их можно назвать однонаправленными - является типовая
атака "отказ в обслуживании".
165
5. По расположению субъекта атаки относительно атакуемого
объекта:

внутрисегментное;

межсегментное.
Первоначально рассмотрим ряд определений.
Субъект атаки, или источник атаки - это атакующая программа или
оператор, непосредственно осуществляющие воздействие.
Хост (host) - сетевой компьютер.
Маршрутизатор, или роутер (router) - устройство, обеспечивающее
маршрутизацию пакетов обмена в глобальной сети.
Подсеть (subnetwork в терминологии Internet) - логическое объединение,
совокупность хостов, являющихся частью глобальной сети, для которых
маршрутизатором выделен одинаковый номер. Хосты внутри одной подсети
могут взаимодействовать непосредственно, минуя маршрутизатор.
Сегмент сети (segment) - физическое объединение хостов. Например,
сегменты сети образуются совокупностью хостов, подключенных к серверу по
схеме "общая шина". При такой схеме подключения каждый хост имеет
возможность подвергать анализу любой пакет в своем сегменте.
Для осуществления удаленного воздействия чрезвычайно важно, как по
отношению друг к другу располагаются субъект и объект атаки, то есть в одном
или в разных сегментах они находятся. В случае внутрисегментной атаки, как
следует из названия, субъект и объект атаки находятся в одном сегменте, а при
межсегментной - в разных.
Данный классификационный признак позволяет судить о так называемой
степени
удаленности
атаки.
На
практике
межсегментное
воздействие
осуществить значительно труднее, чем внутрисегментное, но и опасность оно
представляет гораздо большую. В таком случае объект и субъект атаки могут
находиться на расстоянии многих тысяч километров друг от друга, что
166
существенно
усложняет
возможность
непосредственного
обнаружения
атакующего и адекватной реакции на атаку.
6. По уровню эталонной модели ISO/OSI, на котором осуществляется
воздействие:

физический;

канальный;

сетевой;

транспортный;

сеансовый;

представительный;

прикладной.
Международная организация по стандартизации (ISO) приняла стандарт
ISO 7498, описывающий взаимодействие открытых систем (OSI), к которым
относятся и распределенные ВС. Любой сетевой протокол обмена, как и любую
сетевую программу, можно с той или иной степенью точности спроецировать
на эталонную многоуровневую модель OSI. Такая проекция позволит описать в
терминах модели OSI функции, заложенные в сетевой протокол или программу.
Поскольку удаленная атака также является сетевой программой, представляется
логичным рассматривать такие воздействия на распределенные ВС, проецируя
их на эталонную модель ISO/OSI.
1.2. Хакеры: социальное определение и анализ мотиваций преступного
поведения.
Хакер (англ. hacker, от to hack — рубить, кромсать; слово hack пришло из
лексикона хиппи, в русском языке есть идентичное жаргонное слово
«врубаться» или «рубить в ...»).
167
Итак, предлагаются следующие значения понятия хакер:
1. Человек, увлекающийся исследованием подробностей (деталей)
программируемых систем, изучением вопроса повышения их возможностей, в
противоположность
большинству
пользователей,
которые
предпочитают
ограничиваться изучением необходимого минимума. RFC 1983 усиливает это
определение следующим образом: «Человек, наслаждающийся доскональным
пониманием внутренних действий систем, компьютеров и компьютерных сетей
в частности».
2. Кто-либо программирующий с энтузиазмом (даже одержимо) или
любящий программировать, а не просто теоретизировать о программировании.
3. Человек, способный ценить и понимать хакерские ценности.
4. Человек, который силён в быстром программировании.
5. Эксперт по отношению к определённой компьютерной программе или
кто-либо часто работающий с ней; пример: «хакер Unix». (Определения 1—5
взаимосвязаны, так что один человек может попадать под несколько из них.)
6. Эксперт или энтузиаст любого рода. Кто-либо может считаться
«хакером астрономии», например.
7. Кто-либо любящий интеллектуальные испытания, заключающиеся в
творческом преодолении или обходе ограничений.
8. Злоумышленник, добывающий конфиденциальную информацию в
обход систем защиты (например, «хакер паролей», «сетевой хакер»).
Правильный термин — взломщик, крэкер (англ. cracker).
Исторически сложилось так, что в настоящее время слово часто
употребляется
именно
в
последнем
значении —
«компьютерный
злоумышленник». Более того, в кинофильмах хакер обычно подаётся как
человек, который способен с ходу «взломать» любую систему, что на самом
деле невозможно в принципе.
В последнее время словом «хакер» часто называют всех сетевых
взломщиков, создателей компьютерных вирусов и других компьютерных
преступников,
таких
как
кардеры,
крэкеры,
скрипт-кидди.
Многие
168
компьютерные взломщики по праву могут называться хакерами, потому как
действительно соответствуют всем (или почти всем) вышеперечисленным
определениям слова «хакер».
Виды хакеров.
Часто IT-хакеров классифицируют на разные виды из которых двумя
основными являются White hat (англ.) русск. (англ. белая шляпа) и Black
hat (англ.) русск. (англ. чёрная шляпа).
Блекхет-хакерами называют киберпреступников, тогда как Вайтхетхакерами прочих специалистов по информационной безопасности (в частности
специалистов, работающих в крупных IT-компаниях) или исследователей ITсистем, не нарушающих закон. В случаях например мелких нарушений
законодательства или отсутствия нарушений законодательства, но нарушения
внутренних правил какого-либо интернет-сервиса может использоваться
термин Grey hat (англ.) русск. (англ. серая шляпа). Термин скрипткидди
означает взломщика или киберпреступника, использующего чужие наработки
(например покупающего их), но не понимающих механизма их реализации и
которого к хакерам как правило не относят.
Ценности хакеров
В целом, понятие "хакерских ценностей" воплощается в семи устойчивых
высказываниях, которые отражают всю суть хакерской культуры. Эти семь
тезисов и принято считать хакерским кодексом, который должен в идеале
признаваться всей общностью хакерского сообщества.
1. Величайшая цель - превосходство знаний и нестандартного мышления,
преобладание стремлений и рвения разума к изучению.
2. Величайшая задача - безграничная свобода информации для изучения и
реализации в ней личности.
3. Поиск себя в соревновании с самим собой. Попытка узнать, кто мудрее
в соревновательной борьбе с системой.
4. Утончённость в каждом движении, особый, тонкий подход в решении
любой задачи.
169
5. Поддержка и защита работоспособности глобальных мировых сетей,
развитие проектов, признаваемых важными для сообщества.
6. Огромная ценность в передаче своего наследия - знаний и опыта в
поколения.
7. Расовая принадлежность, цвет кожи, национальность и религия - ничто.
Они не имеют веса, потому не должны являться мерой или каким-либо
способом разделения.
Также в среде хакеров принято ценить время своё и других хакеров («не
изобретать велосипед»), что, в частности, подразумевает необходимость
делиться
своими
достижениями,
создавая
свободные
и/или
открытые
программы.
В России, Европе и Америке взлом компьютеров, уничтожение
информации,
создание
и
распространение
компьютерных
вирусов
и
вредоносных программ преследуется законом. Злостные взломщики согласно
международным
законам
по
борьбе
с
киберпреступностью
подлежат
экстрадиции подобно военным преступникам.
Тем не менее, США в 2013 году первыми в мире учредили боевую
награду за особые заслуги солдат, действующих в кибер-пространстве: Медаль
«За отличие в боевых операциях» - боевая награда в Вооружённых силах
США за особые заслуги солдат, действующих в кибер-пространстве или
управляющих беспилотными аппаратами, но не проявивших личной доблести
непосредственно в бою. Медаль была введена 13 февраля 2013 года, а 12 марта
2013 — отменена.
170
Рис.2 «Глайдер», неофициальный символ движения хакеров
Весьма подробные объяснения термина в его первоначальном смысле
приведены в статье Эрика Рэймонда «Как стать хакером»[3]. Также Эрик
Рэймонд предложил в октябре 2003 года эмблему для хакерского сообщества —
символ «глайдера» (glider) из игры «Жизнь». Поскольку сообщество хакеров не
имеет единого центра или официальной структуры, предложенный символ
нельзя считать официальным символом хакерского движения. По этим же
причинам невозможно судить о распространённости этой символики среди
хакеров — хотя вполне вероятно, что какая-то часть хакерского сообщества
приняла её.
Не будет лишним напомнить, что в соответствии с уголовным кодексом
Российской
Федерации
предусмотрена
следующая
ответственность
за
преступления в компьютерной сфере.
Статья 272. Неправомерный доступ к компьютерной информации
1.
Неправомерный
доступ
к
охраняемой
законом
компьютерной
информации, то есть информации на машинном носителе, в электронновычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование
информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо исправительными работами на срок от шести месяцев до одного
года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору
или организованной группой либо лицом с использованием своего служебного
положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от ста до трехсот тысяч рублей или в
размере заработной платы или иного дохода осужденного за период от одного
года до двух лет, либо исправительными работами на срок от одного года до
171
двух лет, либо арестом на срок от трех до шести месяцев, либо лишением
свободы на срок до пяти.
Статья
273.
Создание,
использование
и
распространение
вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие
программы, заведомо приводящих к несанкционированному уничтожению,
блокированию, модификации либо копированию информации, нарушению
работы ЭВМ, системы ЭВМ или их сети, а равно использование либо
распространение таких программ или машинных носителей с такими
программами наказываются лишением свободы на срок до трех лет со штрафом в
размере до двухсот тысяч рублей или в размере заработной платы или иного
дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ
или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее
уничтожение,
блокирование
или
модификацию
охраняемой
законом
информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до пяти лет, либо
обязательными работами на срок от ста восьмидесяти до двухсот сорока часов,
либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
172
2. Сравнительный анализ методов воздействия и противодействия в сети
Internet.
2.1. Направления по защите от враждебных воздействий на безопасность сетей.
Сеть Интернет полностью меняет нашу жизнь, и мы только учимся
осознавать ее возможности. Однако эта технология несет в себе и
потенциальную
угрозу
разглашения
персональных
данных,
важных
корпоративных ресурсов и даже государственных тайн, а хакерские атаки
становятся все более изощренными и опасными. И поэтому вопросам сетевой
безопасности нужно уделять особое внимание, какими бы призрачными не
казались эти угрозы.
Каждый день хакеры подвергают угрозе многие ресурсы, пытаясь
получить к ним доступ с помощью специальных атак. Этому способствуют два
основных фактора. Во-первых, это повсеместное проникновение Интернет.
Сегодня к сети Интернет подключены миллионы устройств. Многие миллионы
устройств будут подключены к ней в ближайшем будущем. И поэтому
вероятность доступа хакеров к уязвимым устройствам постоянно возрастает.
Кроме того, широкое распространение Интернет позволяет хакерам
обмениваться информацией в глобальном масштабе. Простой поиск по
ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak" даст вам
тысячи сайтов, на многих из которых можно найти вредоносные коды и
способы их использования.
Во-вторых, это всеобщее распространение простых в использовании
операционных систем и сред разработки. Этот фактор резко снижает уровень
знаний и навыков, которые необходимы хакеру. Раньше хакер должен был
обладать
хорошими
навыками
программирования,
чтобы
создавать
и
распространять простые в использовании приложения. Теперь, чтобы получить
173
доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а
для проведения атаки достаточно щелкнуть мышкой.
И чтобы четко представить возможные угрозы для безопасности сети или
данных, разберем типы существующих атак, а также способы по их
предотвращению.
2.1.1 Классификация сетевых атак
Сетевые атаки столь же разнообразны, как и системы, против которых
они направлены. Некоторые атаки отличаются большой сложностью. Другие
может осуществить обычный пользователь, даже не предполагающий, какие
последствия может иметь его деятельность. Для оценки типов атак необходимо
знать некоторые ограничения, изначально присущие протоколу TCP/IP. Сеть
Интернет создавалась для связи между государственными учреждениями и
университетами в помощь учебному процессу и научным исследованиям.
Создатели
этой
сети
не
подозревали,
насколько
широко
она
распространится. В результате в спецификациях ранних версий Интернетпротокола (IP) отсутствовали требования безопасности. Именно поэтому
многие реализации IP являются изначально уязвимыми. Через много лет,
получив множество рекламаций (RFC - Request for Comments), наконец, стали
внедрять средства безопасности для IP. Однако ввиду того, что изначально
средства защиты для протокола IP не разрабатывались, все его реализации
стали дополняться разнообразными сетевыми процедурами, услугами и
продуктами, снижающими риски, присущие этому протоколу. Далее опишем
кратко типы атак, которые обычно применяются против сетей IP, и
перечислены способы борьбы с ними.
Снифферы пакетов.
Сниффер пакетов представляет собой прикладную программу, которая
использует сетевую карту, работающую в режиме promiscuous mode (в этом
174
режиме все пакеты, полученные по физическим каналам, сетевой адаптер
отправляет приложению для обработки). При этом сниффер перехватывает все
сетевые пакеты, которые передаются через определенный домен. В настоящее
время снифферы работают в сетях на вполне законном основании. Они
используются для диагностики неисправностей и анализа графика. Однако
ввиду того, что некоторые сетевые приложения передают данные в текстовом
формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать
полезную, а иногда и конфиденциальную информацию (например, имена
пользователей и пароли). Перехват имен и паролей создает большую опасность,
так как пользователи часто применяют один и тот же логин и пароль для
множества приложений и систем. Многие пользователи вообще имеют один
пароль для доступа ко всем ресурсам и приложениям. Если приложение
работает в режиме клиент/сервер, а аутентификационные данные передаются
по сети в читаемом текстовом формате, эту информацию с большой
вероятностью можно использовать для доступа к другим корпоративным или
внешним ресурсам. Хакеры слишком хорошо знают и используют наши
человеческие слабости (методы атак часто базируются на методах социальной
инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем
для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш
пароль, получить доступ к важной информации. В самом худшем случае хакер
получает доступ к пользовательскому ресурсу на системном уровне и с его
помощью создает нового пользователя, которого можно в любой момент
использовать для доступа в сеть и к ее ресурсам. Смягчить угрозу сниффинга
пакетов можно с помощью следующих средств:
1. Аутентификация. Сильные средства аутентификации являются
первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем
такой метод аутентификации, который трудно обойти. Примером такой
аутентификации являются однократные пароли (OTP - One-Time Password).
OTP - это технология двухфакторной аутентификации, при которой
происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным
175
примером
двухфакторной
аутентификации
является
работа
обычного
банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и,
во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР
также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token)
понимается аппаратное или программное средство, генерирующее (по
случайному принципу) уникальный одномоментный однократный пароль. Если
хакер узнает этот пароль с помощью сниффера, эта информация будет
бесполезной, потому что в этот момент пароль уже будет использован и
выведен из употребления. Заметим, что этот способ борьбы со сниффингом
эффективен
только
для
борьбы
с
перехватом
паролей.
Снифферы,
перехватывающие другую информацию (например, сообщения электронной
почты), не теряют своей эффективности.
2. Коммутируемая инфраструктура. Еще одним способом борьбы со
сниффингом пакетов в вашей сетевой среде является создание коммутируемой
инфраструктуры. Если, к примеру, во всей организации используется
коммутируемый Ethernet, хакеры могут получить доступ только к графику,
поступающему на тот порт, к которому они подключены. Коммутируемая
инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее
остроту.
3. Анти-снифферы. Третий способ борьбы со сниффингом заключается в
установке аппаратных или программных средств, распознающих снифферы,
работающие в вашей сети. Эти средства не могут полностью ликвидировать
угрозу, но, как и многие другие средства сетевой безопасности, они
включаются в общую систему защиты, Так называемые "анти-снифферы"
измеряют время реагирования хостов и определяют, не приходится ли хостам
обрабатывать "лишний" график.
4. Криптография. Самый эффективный способ борьбы со сниффингом
пакетов не предотвращает перехвата и не распознает работу снифферов, но
делает эту работу бесполезной. Если канал связи является криптографически
защищенным, это значит, что хакер перехватывает не сообщение, а
176
зашифрованный текст (то есть непонятную последовательность битов). IPSec
представляет собой стандартный метод защищенной связи между устройствами
с помощью протокола IP. К прочим криптографическим протоколам сетевого
управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket
Level).
IP-спуфинг
IP-спуфинг происходит, когда хакер, находящийся внутри корпорации
или вне ее, выдает себя за санкционированного пользователя. Это можно
сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом,
находящимся в пределах диапазона санкционированных IP-адресов, или
авторизованным
внешним
адресом,
которому
разрешается
доступ
к
определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной
точкой для прочих атак. Классический пример - атака DoS, которая начинается
с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг
ограничивается вставкой ложной информации или вредоносных команд в
обычный поток данных, передаваемых между клиентским и серверным
приложением или по каналу связи между одноранговыми устройствами. Для
двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы
направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не
пытаются получить ответ от приложений. Если главная задача состоит в
получении от системы важного файла, ответы приложений не имеют значения.
Если же хакеру удается поменять таблицы маршрутизации и направить трафик
на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так,
будто он является санкционированным пользователем. Угрозу спуфинга можно
ослабить (но не устранить) с помощью следующих мер:
Контроль доступа. Самый простой способ предотвращения IP-спуфинга
состоит в правильной настройке управления доступом. Чтобы снизить
эффективность IP-спуфигна, настройте контроль доступа на отсечение любого
графика, поступающего из внешней сети с исходным адресом, который должен
177
располагаться внутри вашей сети. Заметим, что это помогает бороться с IPспуфингом, когда санкционированными являются только внутренние адреса.
Если санкционированными являются и некоторые адреса внешней сети, данный
метод становится неэффективным.
Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих
сетей пользователями вашей сети (и стать добропорядочным "сетевым
гражданином"). Для этого необходимо отбраковывать любой исходящий
трафик, исходный адрес которого не является одним из IP-адресов вашей
организации. Этот тип фильтрации, известный под названием "RFC 2827",
может выполнять и ваш провайдер (ISP). В результате отбраковывается весь
трафик, который не имеет исходного адреса, ожидаемого на определенном
интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом
15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного
интерфейса на маршрутизатор ISP допускался только трафик, поступающий с
адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят
этот тип фильтрации, его эффективность будет намного ниже возможной.
Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить
точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне
маршрутизатора доступа требует пропуска всего графика с главного сетевого
адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре)
можно ограничить трафик более точно (адрес - 10.1.5.0/24).
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в
случае со сниффингом пакетов: необходимо сделать атаку абсолютно
неэффективной. IP-спуфинг может функционировать только при условии, что
аутентификация
происходит
на
базе
IP-адресов.
Поэтому
внедрение
дополнительных методов аутентификации делает этот вид атак бесполезными.
Лучшим видом дополнительной аутентификации является криптографическая.
Если она невозможна, хорошие результаты может дать двухфакторная
аутентификация с использованием одноразовых паролей.
178
Отказ в обслуживании (Denial of Service - DoS)
DoS, без всякого сомнения, является наиболее известной формой
хакерских атак. Кроме того, против атак такого типа труднее всего создать
стопроцентную
защиту.
Даже
среди
хакеров
атаки
DoS
считаются
тривиальными, а их применение вызывает презрительные усмешки, потому что
для организации DoS требуется минимум знаний и умений. Тем не менее,
именно простота реализации и огромный причиняемый вред привлекают к DoS
пристальное внимание администраторов, отвечающих за сетевую безопасность.
Атаки DoS отличаются от атак других типов. Они не нацелены на
получение доступа к вашей сети или на получение из этой сети какой-либо
информации. Атака DoS делает вашу сеть недоступной для обычного
использования за счет превышения допустимых пределов функционирования
сети, операционной системы или приложения. В случае использования
некоторых серверных приложений (таких как Web-сервер или FTP-сервер)
атаки DoS могут заключаться в том, чтобы занять все соединения, доступные
для этих приложений, и держать их в занятом состоянии, не допуская
обслуживания обычных пользователей. В ходе атак могут использоваться
обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message
Protocol). Большинство атак DoS опирается не на программные ошибки или
бреши в системе безопасности, а на общие слабости системной архитектуры.
Некоторые атаки сводят к нулю производительность сети, переполняя ее
нежелательными и ненужными пакетами или сообщая ложную информацию о
текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так
как для этого требуется координация действий с провайдером. Если график,
предназначенный для переполнения вашей сети, не остановить у провайдера, то
на входе в сеть вы это сделать уже не сможете, потому что вся полоса
пропускания будет занята. Когда атака этого типа проводится одновременно
через множество устройств, мы говорим о распределенной атаке DoS (DDoS distributed DoS). Угроза атак типа DoS может снижаться тремя способами:
179
Функции анти-спуфинга. Правильная конфигурация функций антиспуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить
риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC
2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли
решится провести атаку.
Функции анти-DoS. Правильная конфигурация функций анти-DoS на
маршрутизаторах и межсетевых экранах может ограничить эффективность
атак. Эти функции часто ограничивают число полуоткрытых каналов в любой
момент времени.
Ограничение объема графика (traffic rate limiting). Организация может
попросить провайдера ограничить объем трафика. Этот тип фильтрации
позволяет ограничить объем некритического трафика, проходящего по вашей
сети. Обычным примером является ограничение объемов графика ICMP,
который используется только для диагностических целей. Атаки (D)DoS часто
используют ICMP.
Парольные атаки
Хакеры могут проводить парольные атаки с помощью целого ряда
методов, таких как простой перебор (brute force attack), "троянский конь", IPспуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при
помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать
пароль и логин, используя для этого многочисленные попытки доступа. Такой
подход носит название простого перебора (brute force attack). Часто для такой
атаки используется специальная программа, которая пытается получить доступ
к ресурсу общего пользования (например, к серверу). Если в результате хакер
получает доступ к ресурсам, он получает его на правах обычного пользователя,
пароль которого был подобран. Если этот пользователь имеет значительные
привилегии доступа, хакер может создать для себя "проход" для будущего
доступа, который будет действовать, даже если пользователь изменит свой
пароль и логин.
180
Еще одна проблема возникает, когда пользователи применяют один и тот
же (пусть даже очень хороший) пароль для доступа ко многим системам:
корпоративной, персональной и системам Интернет. Поскольку устойчивость
пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через
этот хост, получает доступ ко всем остальным системам, где используется тот
же пароль. Прежде всего, парольных атак можно избежать, если не
пользоваться паролями в текстовой форме. Одноразовые пароли и/или
криптографическая аутентификация могут практически свести на нет угрозу
таких атак. К сожалению, не все приложения, хосты и устройства
поддерживают указанные выше методы аутентификации. При использовании
обычных паролей старайтесь придумать такой пароль, который было бы трудно
подобрать. Минимальная длина пароля должна быть не менее восьми символов.
Пароль должен включать символы верхнего регистра, цифры и специальные
символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить,
что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать
этого, пользователи и администраторы могут поставить себе на пользу ряд
последних
технологических
достижений.
Так,
например,
существуют
прикладные программы, шифрующие список паролей, который можно хранить
в карманном компьютере. В результате пользователю нужно помнить только
один сложный пароль, тогда как все остальные пароли будут надежно
защищены приложением.
Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам,
передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от
провайдера в любую другую сеть, может, к примеру, получить сотрудник этого
провайдера. Для атак этого типа часто используются снифферы пакетов,
транспортные протоколы и протоколы маршрутизации. Атаки проводятся с
целью кражи информации, перехвата текущей сессии и получения доступа к
частным сетевым ресурсам, для анализа трафика и получения информации о
181
сети и ее пользователях, для проведения атак типа DoS, искажения
передаваемых данных и ввода несанкционированной информации в сетевые
сессии. Эффективно бороться с атаками типа Man-in-the-Middle можно только с
помощью криптографии. Если хакер перехватит данные зашифрованной
сессии, у него на экране появится не перехваченное сообщение, а
бессмысленный набор символов. Заметим, что если хакер получит информацию
о криптографической сессии (например, ключ сессии), это может сделать
возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами.
Самый распространенный из них состоит в использовании хорошо известных
слабостей серверного программного обеспечения (sendmail, HTTP, FTP).
Используя эти слабости, хакеры могут получить доступ к компьютеру от имени
пользователя, работающего с приложением (обычно это бывает не простой
пользователь, а привилегированный администратор с правами системного
доступа). Сведения об атаках на уровне приложений широко публикуются,
чтобы дать возможность администраторам исправить проблему с помощью
коррекционных модулей (патчей). К сожалению, многие хакеры также имеют
доступ к этим сведениям, что позволяет им учиться.
Вот некоторые меры, которые можно предпринять, чтобы снизить
уязвимость для атак этого типа:
- читайте лог-файлы операционных систем и сетевые лог-файлы и/или
анализируйте их с помощью специальных аналитических приложений;
- подпишитесь на услуги по рассылке данных о слабых местах
прикладных
программ:
Bugtrad
(http://www.securityfocus.com)
и
CERT
(http://www.cert.com);
- пользуйтесь самыми свежими версиями операционных систем и
приложений и самыми последними коррекционными модулями (патчами).
182
-
кроме
системного
администрирования,
пользуйтесь
системами
распознавания атак (IDS).
Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью
общедоступных данных и приложений. При подготовке атаки против какойлибо сети хакер, как правило, пытается получить о ней как можно больше
информации. Сетевая разведка проводится в форме запросов DNS, эхотестирования (ping sweep) и сканирования портов. Запросы DNS помогают
понять, кто владеет тем или иным доменом и какие адреса этому домену
присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью
DNS, позволяет увидеть, какие хосты реально работают в данной среде.
Получив список хостов, хакер использует средства сканирования портов,
чтобы составить полный список услуг, поддерживаемых этими хостами. И
наконец, хакер анализирует характеристики приложений, работающих на
хостах. В результате добывается информация, которую можно использовать
для взлома.
Полностью избавиться от сетевой разведки невозможно. Если, к примеру,
отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы
избавитесь от эхо-тестирования, но потеряете данные, необходимые для
диагностики сетевых сбоев. Кроме того, сканировать порты можно и без
предварительного эхо-тестирования. Просто это займет больше времени, так
как сканировать придется и несуществующие IP-адреса. Системы IDS на
уровне сети и хостов обычно хорошо справляются с задачей уведомления
администратора о ведущейся сетевой разведке, что позволяет лучше
подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети
которого установлена система, проявляющая чрезмерное любопытство.
Злоупотребление доверием
183
Собственно говоря, этот тип действий не является "атакой" или
"штурмом". Он представляет собой злонамеренное использование отношений
доверия,
существующих
в
сети.
Классическим
примером
такого
злоупотребления является ситуация в периферийной части корпоративной сети.
В этом сегменте часто располагаются серверы DNS, SMTP и HTTP.
Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из
них приводит к взлому и всех остальных, так как эти серверы доверяют другим
системам своей сети. Другим примером является система, установленная с
внешней стороны межсетевого экрана, имеющая отношения доверия с
системой, установленной с его внутренней стороны. В случае взлома внешней
системы хакер может использовать отношения доверия для проникновения в
систему, защищенную межсетевым экраном.
Переадресация портов
Переадресация
портов
представляет
собой
разновидность
злоупотребления доверием, когда взломанный хост используется для передачи
через межсетевой экран графика, который в противном случае был бы
обязательно отбракован. Представим себе межсетевой экран с тремя
интерфейсами, к каждому из которых подключен определенный хост. Внешний
хост может подключаться к хосту общего доступа (DMZ), но не к хосту,
установленному с внутренней стороны межсетевого экрана. Хост общего
доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер
захватит хост общего доступа, он сможет установить на нем программное
средство, перенаправляющее трафик с внешнего хоста прямо на внутренний
хост.
Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом
атаки.
Большинство
сетевых
атак
проводятся
ради
получения
несанкционированного доступа. Чтобы подобрать логин Telnet, хакер должен
184
сначала получить подсказку Telnet на своей системе. После подключения к
порту Telnet на экране появляется сообщение "authorization required to use this
resource" (для пользования этим ресурсом нужна авторизация). Если после
этого
хакер
продолжит
попытки
доступа,
они
будут
считаться
несанкционированными. Источник таких атак может находиться как внутри
сети, так и снаружи.
Способы борьбы с несанкционированным доступом достаточно просты.
Главным здесь является сокращение или полная ликвидация возможностей
хакера по получению доступа к системе с помощью несанкционированного
протокола. В качестве примера можно рассмотреть недопущение хакерского
доступа к порту Telnet на сервере, который предоставляет Web-услуги внешним
пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать.
Что же касается межсетевого экрана, то его основной задачей является
предотвращение самых простых попыток несанкционированного доступа.
Вирусы и приложения типа "троянский конь"
Рабочие станции конечных пользователей очень уязвимы для вирусов и
"троянских коней". Вирусами называются вредоносные программы, которые
внедряются в другие программы для выполнения определенной нежелательной
функции на рабочей станции конечного пользователя. В качестве примера
можно привести вирус, который прописывается в файле command.com (главном
интерпретаторе систем Windows) и стирает другие файлы, а также заражает все
другие найденные им версии command.com. "Троянский конь" - это не
программная вставка, а настоящая программа, которая выглядит как полезное
приложение, а на деле выполняет вредную роль. Примером типичного
"троянского коня" является программа, которая выглядит, как простая игра для
рабочей станции пользователя. Однако пока пользователь играет в игру,
программа отправляет свою копию по электронной почте каждому абоненту,
занесенному в адресную книгу этого пользователя. Все абоненты получают по
почте игру, вызывая ее дальнейшее распространение.
185
Борьба с вирусами и "троянскими конями" ведется с помощью эффективного
антивирусного программного обеспечения, работающего на пользовательском
уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают
большинство вирусов и "троянских коней" и пресекают их распространение.
Получение самой свежей информации о вирусах поможет эффективнее
бороться с ними. По мере появления новых вирусов и "троянских коней"
предприятие должно устанавливать новые версии антивирусных средств и
приложений.
186
3. Современные технические и программные средства сетевой защиты
компьютерной информации.
3.1. Межсетевые экраны: классификация и особенности использования.
Межсетевой экран, сетевой экран, файервол, брандмауэр - комплекс
аппаратных
или
программных
средств,
осуществляющий
контроль
и
фильтрацию проходящих через него сетевых пакетов в соответствии с
заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей
или отдельных узлов от несанкционированного доступа. Также сетевые экраны
часто называют фильтрами, так как их основная задача - не пропускать
(фильтровать) пакеты, не подходящие под критерии, определённые в
конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию
адресов - динамическую замену внутрисетевых (серых) адресов или портов на
внешние, используемые за пределами ЛВС.
Другие названия: Брандма́уэр (нем. Brandmauer) — заимствованный из
немецкого языка термин, являющийся аналогом английского firewall в его
оригинальном
предохраняя
значении
(стена,
которая
от распространения пожара).
разделяет
смежные
Интересно,
что
здания,
в области
компьютерных технологий в немецком языке употребляется слово «Firewall».
Файрво́лл,
файрво́л,
файерво́л,
фаерво́л —
образовано
транскрипцией
английского термина firewall.
Разновидности межсетевых экранов
Поддерживаемый уровень сетевой модели OSI является основной
характеристикой
при
классификации
межсетевых
следующие типы межсетевых экранов:
1. Управляемые коммутаторы (канальный уровень).
экранов.
Различают
187
2. Сетевые фильтры сетевого уровня (stateless). Фильтрация статическая,
осуществляется путём анализа IP-адреса источника и приёмника, протокола,
портов отправителя и получателя.
3. Шлюзы сеансового уровня (circuit-level proxy). В сетевой модели
TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI,
поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно
отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем:
a. Шлюзы, транслирующие адреса (NAT, PAT) или сетевые
протоколы (транслирующий мост);
b. Фильтры контроля состояния канала. К фильтрам контроля
состояния канала связи нередко относят сетевые фильтры
сетевого уровня с расширенными возможностями (stateful),
которые дополнительно анализируют заголовки пакетов и умеют
фильтровать фрагментированные пакеты);
c. Шлюзы сеансового уровня. Наиболее известным и популярным
шлюзом сеансового уровня является посредник SOCKS;
4. Шлюз прикладного уровня (application-level proxy), часто называемые
прокси-серверами. Делятся на прозрачные (transparent) и непрозрачные.
5. Брандмауэр SPI (Stateful Packet Inspection, SPI), или иначе брандмауэры
с динамической фильтрацией пакетов (Dynamic Packet Filtering), являются по
сути
шлюзами
сеансового
уровня
с
расширенными
возможностями.
Инспекторы состояния оперируют на сеансовом уровне, но «понимают»
протоколы прикладного и сетевого уровней. В отличие от шлюза прикладного
уровня, открывающего два виртуальных канала TCP (один — для клиента,
другой — для сервера) для каждого соединения, инспектор состояния не
препятствует организации прямого соединения между клиентом и сервером.
Существует также понятие «межсетевой экран экспертного уровня». Сетевой
экран данного типа базируются на посредниках прикладного уровня или
188
инспекторах состояния, но обязательно комплектуются шлюзами сеансового
уровня и сетевыми фильтрами, иногда понимая и сетевой уровень. Зачастую
имеют систему протоколирования событий и оповещения администраторов,
средства поддержки удаленных пользователей (например авторизация),
средства построения виртуальных частных сетей и т. д. К нему относятся почти
все имеющиеся на рынке брандмауэры.
Типичные возможности

фильтрация доступа к заведомо незащищенным службам;

препятствование получению закрытой информации из защищенной
подсети, а также внедрению в защищенную подсеть ложных данных с
помощью уязвимых служб;

контроль доступа к узлам сети;

может регистрировать все попытки доступа как извне, так и из
внутренней сети, что позволяет вести учёт использования доступа в
Интернет отдельными узлами сети;

регламентирование порядка доступа к сети;

уведомление о подозрительной деятельности, попытках зондирования
или атаки на узлы сети или сам экран;
Межсетевой экран сам по себе не панацея от всех угроз для сети. В
частности, он:

не защищает узлы сети от проникновения через «люки» (англ. back doors)
или уязвимости ПО;

не обеспечивает защиту от многих внутренних угроз, в первую очередь утечки данных;

не защищает от загрузки пользователями вредоносных программ, в том
числе вирусов;
189
Для решения последних двух проблем используются соответствующие
дополнительные
средства,
в
частности,
антивирусы.
Обычно
они
подключаются к файрволу и пропускают через себя соответствующую часть
сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси,
или же получают с файрвола копию всех пересылаемых данных. Однако такой
анализ
требует
значительных
аппаратных
ресурсов,
поэтому
обычно
проводится на каждом узле сети самостоятельно.
3.2. Виды и основные функции систем обнаружения вторжений.
Обнаружение вторжений – это активный процесс, при котором
происходит обнаружение хакера при его попытках проникнуть в систему.
Обнаружение вторжений помогает при превентивной идентификации активных
угроз посредством оповещений и предупреждений о том, что злоумышленник
осуществляет
сбор
информации,
необходимой
для
проведения
атаки.
Система обнаружения вторжений IDS (Intrusion Detection System)
предназначена
для
разграничения
авторизованного
входа
и
несанкционированного проникновения. Систему IDS можно сравнить с
охранником,
следящим
за
всем,
что
происходит,
и
выявляющим
несанкционированные действия.
3.2.1. Типы систем обнаружения вторжений
Узловая или хостовая система обнаружения вторжений (Host-based
intrusion detection system, HIDS). Располагается на отдельном узле и
отслеживает признаки атак на данный узел.
Сетевая система обнаружения вторжений (network intrusion detection
system, NIDS). Находится на отдельной системе, отслеживающей сетевой
190
трафик на наличие признаков атак, проводимых в подконтрольном сегменте
сети.
Узловые IDS. Узловые IDS (HIDS), представляют собой систему
датчиков, загружаемых на различные сервера организации и управляемых
центральным диспетчером. Датчики отслеживают различные типы событий и
предпринимают
определенные
действия
на
сервере
либо
передают
уведомления.
Пять основных типов датчиков HIDS.

анализаторы журналов.

датчики признаков.

анализаторы системных вызовов.

анализаторы поведения приложений.

контролеры целостности файлов.
Сетевые IDS. NIDS (Network Intrusion Detection System) – это
программный процесс, работающий на специально выделенной системе, и
отвечающий за переключение сетевой карты в системе в неразборчивый режим
работы, при котором сетевой адаптер пропускает весь сетевой трафик в
программное обеспечение NIDS. Анализирует трафик, используя набор правил
и признаков атак для определения того, представляет ли этот трафик какойлибо
интерес.
После
чего
генерируется
соответствующее
событие.