Защита информации. 3

ФГОУ ВПО  «АКАДЕМИЯ ПРАВА И УПРАВЛЕНИЯ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ИСПОЛНЕНИЯ НАКАЗАНИЙ»

ЭКОНОМИЧЕСКИЙ ФАКУЛЬТЕТ

ЗАОЧНАЯ ФОРМА  ОБУЧЕНИЯ

Кафедра математики и информационных технологий управления

КОНТРОЛЬНАЯ РАБОТА

по дисциплине «ЗАЩИТА ИНФОРМАЦИИ»

                                                    Выполнил: сл. 1 курса, спец. 080502.65,

         уч.группа 3202;

                         зачетная книжка Э 0923

       ЧАПКОВ Р.И.

- Рязань, 2012 -

СОДЕРЖАНИЕ

Понятие глобальной сети Internet……………………………………………………3

Особенности безопасности компьютерных систем, сетевая информационная безопасность…………………………………………………………………………………..4

 Классификация  атак на информацию……………………………….. …………...10

Методы защиты информации от атак из глобальной сети, политика сетевой информационной безопасности……………………………………………………………16

Литература…………………………………………………………………………...21

ПОНЯТИЕ ГЛОБАЛЬНОЙ СЕТИ INTERNET

Internet на сегодняшний день представляет  собой глобальную компьютерную  сеть, захватившую в свою паутину  весь мир. Её работа осуществляется с помощью специальных протоколов TCP/IP.

Люди существа социальные и важнейшим  элементом их жизни является общение  с себе подобными. Internet сегодня помогает нам удовлетворять эту жизненно важную потребность и открывает  необъятный мир возможностей. В наши дни трудно представить человека, который не пользуется интернетом, он прочно и навсегда вошёл в жизнь каждого из нас. Его появление можно назвать переворотом в коммуникации человека с человеком. Каждый человек находит в паутине что-то интересное лично ему, что-то удовлетворяющее его желаниям, будь-то общение с незнакомыми людьми или просто интересная информация.

Internet стал доступен абсолютно  каждому человеку, у которого  есть компьютер, телефонная розетка  и специальное оборудование, предназначенное для обмена информацией по телефонной линии – модем.

Глобальная компьютерная сеть Internet состоит из компьютеров-клиентов и  серверов. Компьютер, владельцем которого вы являетесь – это клиент, который  имеет доступ к общим ресурсам Internet. А те, которые сами предоставляют в пользование свои собственные ресурсы, являются серверами.

Когда говорят, что компьютер подключен  к сети, то имеют в виду, что  он посредствам модема или же сетевой  карты имеет связь со службой  доступа в интернет (провайдером) и способен связаться с любым из компьютеров глобальной сети. Internet по сути, это и есть то множество серверов, ресурсами которых вы можете пользоваться.

Конечно, что именно заинтересует вас в Интернет в первую очередь-люди или компьютеры, зависит только от вас, но не будет преувеличением сказать, что, выходя в Internet, вы делаете для себя доступным целый мир.

Изобретение и совершенствование  модемов - специальных устройств, позволяющих  компьютеру посылать информацию по обычной  телефонной линии, открыло двери в Internet огромному количеству людей, у которых нет никакого специального сетевого оборудования, а есть лишь персональный компьютер и телефонная розетка поблизости.

Все компьютеры сети Internet можно разделить  на два типа: серверы и клиенты. Ваш компьютер является компьютером-клиентом сети Internet,т.к. вы используете ресурсы Internet.Компьютеры-серверы образуют основу сети и предоставляют свои ресурсы в использование другим компьютерам.

Когда говорят, что компьютер подключён  к сети Internet, это означает, что этот компьютер с помощью одного из основных средств связи – модема (Dial-Up подключение) или сетевой карты соединён с провайдером (службой доступа в Internet) и может обратиться к любому компьютеру сети Internet. А под термином Internet в данном случае понимают множество серверов, к которым ваш компьютер имеет доступ и ресурсами которых может пользоваться.

Получая доступ в сеть Internet, вы подключаетесь  к различным серверам и получаете  необходимую вам информацию. «Внутри» Internet располагается сложная структура связанных между собой компьютерных сетей, позволяющая им иметь доступ ко всем компьютерам сети.

ОСОБЕННОСТИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ, СЕТЕВАЯ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Основной особенностью любой сетевой  системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной  компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных ВС состоит в том, что если в локальных ВС наиболее частыми были угрозы раскрытия и целостности, то в сетевых системах, как будет показано далее, на первое место выходит угроза отказа в обслуживании.

Под удаленной атакой будем понимать информационное разрушающее воздействие  на распределенную ВС, программно осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому далее будут рассмотрены два подвида таких атак - это удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах. При этом под инфраструктурой сети мы понимаем сложившуюся систему организации отношений между объектами сети и используемые в сети сервисные службы.

Одной из характерных особенностей нашего времени является проникновение  во все сферы человеческой деятельности компьютерных технологий. Как и во всех, явлениях человеческой деятельности такого масштаба наряду с огромным числом положительных факторов возникают отрицательные явления, не учитывая которые можно практически свести к нулю весь положительный потенциал данной области. Одной из таких проблем компьютерных технологий является компьютерная преступность.

Рассматривая данную проблему можно  выделить следующие виды компьютерной преступности: незаконное присвоение технических и программных средств, несанкционированное использование  существующих программных продуктов, распространяемых фирмами — разработчиками на твердых носителях; сетевая компьютерная преступность. Генеральным направлением развития современных компьютерных технологий является объединение отдельных вычислительных устройств в компьютерные сети, а также построение на базе вычислительных средств сетей передачи данных различного назначения. Компьютерные сети применяются в настоящее время для решения самых различных задач, в частности, для построения распределенных баз данных, обмена информацией между отдельными пользователями, построения распределенных вычислительных систем для решения сложных научно-технических, производственных и хозяйственных задач. Естественно, что при таком мощном проникновении сетевых технологий во все сферы деятельности человека на первое место выдвигается задача обеспечения безопасности функционирования сетей и безопасности передаваемой по сетям информации. Как показывает опыт мирового развития, одновременно с появлением сетевых технологий возникла и сетевая компьютерная преступность, борьба с которой требует больших интеллектуальных и финансовых затрат. Необходимо отметить, что применение только законодательных мер в данной области практически не может решить данную проблему. Для того чтобы определить возможные меры выявления фактов компьютерных преступлений и разработки соответствующих противодействующих мер необходимо определить основные виды сетевой компьютерной преступности.

Компьютерные преступления в сетях  можно условно разделить на две  группы — несанкционированный доступ к информационным и программным ресурсам пользователей сетей и нарушение функционирования компьютерных сетей.

Несанкционированный доступ к информационным и программным ресурсам пользователей  сетей. В данную группу входят следующие  виды компьютерных преступлений:

заимствование информации пользователей, находящихся в индивидуальных хранилищах и передаваемых по сети, нарушение целостности или модификация информационных ресурсов пользователей;

заимствование программных продуктов  пользователей в целях их несанкционированного использования;

внедрение в программные продукты программ-вирусов, нарушающих нормальное функционирование пользовательских программ;

уничтожение программных продуктов  пользователя. Нарушение функционирования компьютерных сетей. В данную группу входят следующие виды компьютерных преступлений:

несанкционированное получение или  модификация информационно-справочных материалов о пользователях сетей;

внедрение в контур оперативного или  административного управления сетью;

несанкционированное изменение структур обеспечения безопасности функционирования, например, модификация доменов безопасности, преднамеренное или случайное создание мешающего трафика, внедрение программ-вирусов, формирование ложных сообщений пользователя. Анализ компьютерных преступлений, связанных с сетевыми технологиями, показывает, во-первых, их очень широкую номенклатуру, что в значительной степени затрудняет борьбу с ними, и, во-вторых, то, что совершенно реальная возможность их появления может в ряде случаев привести к последствиям общегосударственного масштаба.

В настоящее время в компьютерно  развитых странах накоплен большой  опыт выявления и борьбы с преступлениями этого типа. Как показывает данный опыт, основной метод борьбы — это  соответствующая организация сетевых  технологий.

Общепринятые методы обеспечения безопасности компьютерных сетей

В существующих сетевых технологиях  до последнего времени использовались следующие методы обеспечения безопасности компьютерных сетей.

Использование средств, предусмотренных  в стандартных протоколах построения сетей (модель OSI). Фактически обязательным является применение следующих методов: организация доменов безопасности как на уровне транспортной сети, так и на уровне сервиса электронной почты; регистрация попыток пользователей установления соединений вне заданных доменов безопасности; протокольная аутентификация устанавливаемых соединений; определение доступного сервиса для каждого конкретного абонента, а также ряд других.

Использование криптографических  методов защиты передаваемой и хранящейся в сети пользовательской информации. В настоящее время криптографическая защита применяется на канальном, транспортном и прикладном уровнях модели OSI. В работе отмечается высокая эффективность использования шифрования на транспортном уровне, применение которого позволяет даже без закрытия информации на прикладном уровне обеспечить необходимый уровень защиты информации пользователя на всех трактах транспортной сети вне зависимости от типа коммутационного оборудования. Реальным объектом, в котором решаются вопросы транспортного шифрования, как правило, является устройство удаленного доступа.

Использование специальных методов  идентификации и аутентификации пользователей. Аутентификация и идентификация  пользователей обеспечивает проверку санкционированности доступа пользователей  к сети и регламентацию прав конкретного пользователя на получение прикладного и сетевого сервисов. В этих целях в состав сетей вводятся программные и аппаратные средства предотвращения и регистрации несанкционированных действий как пользователей, так и обслуживающего персонала сети. Например, в устройствах удаленного доступа, обеспечивающих доступ пользователей к транспортной сети, имеются специальные программно-технические средства — блокираторы. На абонентском уровне применяются специальные программы — брандмауэры, обеспечивающие защиту от несанкционированных действий как удаленных абонентов, так и обслуживающего персонала сети.

В настоящее время в США проводятся работы по комплексному решению вопросов обеспечения безопасности компьютерных сетей, в рамках которых разрабатывается архитектура компьютерной безопасности — проект OSA (Open Security Architecture).

В рамках данной архитектуры создается  среда, в которой возможно следующее:

для важнейших данных будут применяться  приемлемые и осуществимые процедуры  управления;

добавление управления и защиты не окажет отрицательного влияния на производительность пользователя;

потоки данных и капиталовложения, которые ранее были внесены организациями, будут по-прежнему применяться для  расширения обмена информацией между  пользователями;

с помощью данной архитектуры можно  охватить все рабочие станции  и абонентские устройства и легко  управлять ими независимо от их размещения в глобальной или локальной сети.

В основу построения архитектуры безопасности положен принцип защиты любой информации в момент ее создания и раскрытия ее только в момент потребления у удаленного потребителя данной информации. Применение данной архитектуры, естественно, не отрицает и не налагает никаких ограничений на применение существующих в настоящее время средств обеспечения компьютерной безопасности (например, аппаратура линейного закрытия каналов).

Особенности решения задач обеспечения  сетевой безопасности в России

Основная особенность применения сетевых компьютерных технологий в  России — это повальное засилье зарубежных технологий как для построения государственных, так и частных сетей. Такое положение, в первую очередь, связано с практически полным отсутствием финансирования соответствующих отечественных разработок. Необходимо отметить, что опыт и соответствующие кадры, имеющие опыт создания сетевых технологий с комплексным решением вопросов гарантированной безопасности функционирования сетей и передаваемой по ним информации в России имеется, примером может служить сеть документального обмена ИСТОК. В рамках данной сети решен полный комплекс вопросов по обеспечению передачи грифованной информации с заданной степенью стойкости.

В ОТД ИСТОК безопасность достигается  комплексом алгоритмических криптографических, программно-аппаратных и организационных  мер.

Информация пользователя защищается в процессе ее обработки и хранения в элементах сети и на всех участках ее передачи между элементами сети.

Защита информации и параметров обмена в каналах связи осуществляется за счет применения аппаратуры линейного  засекречивания.

Ряд типов абонентских пунктов  оснащены аппаратурой абонентского засекречивания "Криптон 3", обеспечивающей защиту информации на всем пути следования от отправителя к получателю.

В абонентских пунктах установлены  два уровня полномочий обслуживающего персонала оператора и администратора, реализуемых с помощью парольного доступа к информационным ресурсам.

Защита от несанкционированного доступа  и ввода ложных сообщений со стороны  обслуживающего персонала коммутационных узлов осуществляется системой защиты, также построенной на принципах разграничения и контроля доступа. С этой целью предусмотрена идентификация и регистрация рабочих мест операторов, регистрация попыток несанкционированных действий операторов элементов сети.

Сетевыми средствами предусмотрен контроль доступа абонента в сеть с помощью процедур идентификации.

Производится идентификация элементов  сети на всем пути прохождения информации от отправителя до получателя.

Осуществляется регистрация и  временная индексация передаваемой по сети информации. Пользователь имеет возможность запросить сведения о прохождении отправленного сообщения при возникновении конфликтной ситуации.

В узлах коммутации производится архивация  передаваемой информации. Таким образом  обеспечивается защита от некорректных отказов отправителя и получателя от факта передачи или приема сообщения, где в роли независимого эксперта выступает администрация сети.Существует возможность объединения абонентов в замкнутую группу с исключением обмена между различными группами. Связь между абонентами замкнутых групп возможна только при выполнении правил парольного доступа. При этом адрес получателя защищен контрольными разрядами, а адрес отправителя — контрольной суммой сообщения.

Эти и ряд других мер помимо криптографической  защиты предотвращают некорректные обращения абонентов друг к другу, формирование ложных сообщений, засылку не по адресу, их модификацию в результате случайных Искажений, ошибочные и некорректные действия обслуживающего персонала и действий злоумышленников на сета

Преобладающее использование зарубежных сетевых технологий, по нашему мнению, не может на должном уровне решить проблему обеспечения безопасности и предотвращения сетевых компьютерных преступлений (особенно это касается общегосударственных и специальных ведомственных сетей), что связано со следующими причинами.

Как правило, в современных зарубежных сетевых технологиях на должном  уровне решаются протокольные методы защиты. Однако все эти методы должны поддерживаться соответствующими реализациями систем управления, которые в рамках проблем обеспечения безопасности должны решать следующие задачи: организация доменов безопасности, регистрация и предотвращение фактов несанкционированного доступа, ведение информационных служб паролей и идентификаторов, контроль и регулирование трафика сети, а также ряд других важных функций.

В покупаемых системах данные службы как правило сдаются "под ключ", без передачи соответствующих исходных Модулей, что влечет за собой практически  полное отсутствие контроля за функционированием  системы управления, возможность введения программных закладок, отсутствие возможности модификации программного обеспечения с целью, введения в его состав специфических, необходимых для конкретной сети систем контроля и обеспечения безопасности.

В состав технологий зарубежных сетей практически невозможно введение отечественных средств криптозащиты как линейного, так и абонентского уровней.

При реализации сетевых технологий двойного назначения для обеспечения  требуемых показателей безопасности, как правило, не достаточно соответствующих протокольных методов защиты. Введение в состав зарубежных средств специальных методов обеспечения безопасности практически невозможно.

Исходя из вышесказанного и учитывая важность решения задачи предотвращения компьютерных преступлений и обеспечения требуемой безопасности функционирования отечественных компьютерных сетей, авторы предлагают рассмотреть возможные научно-технические шаги по решению данной проблемы отечественных сетевых технологий.

КЛАССИФИКАЦИЯ АТАК НА ИНФОРМАЦИЮ

Классификация атак:

1. По характеру воздействия:

• пассивное
• активное

Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного  влияния на работу системы, но может  нарушать ее политику безопасности.

Пассивное удаленное воздействие практически невозможно обнаружить.

Пример: прослушивание канала связи в сети.

Активное воздействие  на распределенную вычислительную систему - воздействие, оказывающее непосредственное влияние на работу системы (изменение  конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности.

Практически все типы удаленных  атак являются активными воздействиями. Особенностью активного воздействия  по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов.

2. По цели воздействия:

• нарушение конфиденциальности информации
• нарушение целостности информации
• нарушение работоспособности (доступности) системы

При перехвате информации нарушается её конфиденциальность.

Пример: прослушивание канала в сети.

При искажении информации нарушается её целостность.

Пример: внедрение ложного объекта  в РВС.

При нарушении работоспособности  не происходит несанкционированного доступа, т.е. сохраняется целостность и  конфиденциальность информации, однако доступ к ней легальных пользователей  также невозможен.

Пример: отказ в обслуживании (DoS).

3. По условию начала осуществления  воздействия:

• Атака по запросу от атакуемого объекта
• Атака по наступлению ожидаемого события на атакуемом объекте
• Безусловная атака

В случае запроса атакующий ожидает  передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: DNS- и ARP-запросы в стеке TCP/IP.

В случае наступления события, атакующий  осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: прерывание сеанса работы пользователя с сервером в сетевых ОС без выдачи команды LOGOUT.

В случае безусловной атаки начало её осуществления безусловно по отношению  к цели атаки, то есть атака осуществляется немедленно и безотносительно к  состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.

4. По наличию обратной связи  с атакуемым объектом:

• с обратной связью
• без обратной связи (однонаправленная атака)

Атака с обратной связью - атака, во время которой атакующий получает ответ от атакуемого объекта на часть своих действий. Эти ответы нужны, чтобы иметь возможность продолжить атаку и/или осуществлять её более эффективно, реагируя на изменения, происходящие на атакуемой системе.

Атака без обратной связи - атака, происходящая без реакции на поведение атакуемой системы.

Пример: отказ в обслуживании (DoS).

5. По расположению атакующего  относительно атакуемого объекта:

• внутрисегментное
• межсегментное

Внутрисегментная атака - атака, при  которой субъект и объект атаки  находятся внутри одного сегмента сети, где сегмент - есть физическое объединение станций с помощью коммуникационных устройств не выше канального уровня.

Межсегментная атака - атака, при которой  субъект и объект атаки находятся  в разных сегментах сети.

6. По количеству атакующих:

• распределённая
• нераспределённая

Распределённая атака - атака, производимая двумя или более атакующими на одну и ту же вычислительную систему, объединёнными единым замыслом и  во времени.

Нераспределённая атака проводится одним атакующим.

7. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие:

• физический
• канальный
• сетевой
• транспортный
• сеансовый
• представительный
• прикладной

2.  Классификация способов обнаружения  и защиты от атак

Классификация средств обеспечения  секретности:

• информации по уровням модели ISO/OSI
• в стандарте  ISO   7498-2.

 Физический уровень.

     Средства,    предоставляемые    на     этом     уровне,ограничиваются  конфиденциальностью   для   соединений    и конфиденциальностью  для потока данных, согласно  ISO  7498-2.Конфиденциальность на  этом уровне обеспечивается  обычно с помощью шифрования бит. Эти средства  могут быть реализованы как почти прозрачные, то есть без появления дополнительных  данных(  кроме   установления   соединения).

Целостность и аутентификация обычно  невозможны здесь  из-за того, что интерфейс на уровне  бит  этого  уровня  не  имеет возможностей для передачи дополнительных  данных,  требуемых   при реализации этих средств.      Тем не менее, использование соответствующих  технологий   шифрования на этом уровне  может  обеспечить  предоставление этих   средств   на   более   высоких   уровнях. 

Например,  криптографические модели, такие как DES  в  режиме  обратной  связи  по  выходу,  не  обеспечивают  возникновения   очень большого числа ошибок при модификации  шифрованного  текста, поэтому этот режим  будет  плохим  выбором,  если  нужна  не  только конфиденциальность. В отличие от  этого,  режим  DES,  такой как режим с обратной  связью  по  одному  шифрованному   биту, обеспечивает требуемые характеристики  для  ошибок,  и может  служить  подходящей   основой   для   целостности   и аутентификации. Средства  секретности физического и канального уровня обычно  реализуются  в  виде дополнительной аппаратуры.

Канальный уровень

    Согласно ISO 7498-2,  средствами,  предоставляемыми  на канальном уровне, являются конфиденциальность для соединений и конфиденциальность для  дейтаграмм.

    Средства   секретности   канального    уровня    обычно обеспечиваются  на  основе  точка-точка,  как   и   средства  физического уровня. И снова, область действия средств должна заканчиваться в местах,  где находятся взаимодействующие равноправные  сущности,   то   есть   конечные   системы   и коммутаторы. В среде ЛВС(ГВС)  средства  секретности  также могут предоставляться для  широковещательной  или  групповой передачи,  на  основе  технологий  ЛВС,   а   также   канала точка-точка.

Сетевой уровень

    Средства    секретности    сетевого    уровня     могут  предоставляться между  конечными системами в сети, независимо  от используемых коммутаторов (например коммутаторов  пакетов  Х.25). ISO 7498-2 отмечает применимость  нескольких  средств  секретности  для  этого   уровня:   конфиденциальность   для соединений,     конфиденциальность      для      дейтаграмм, конфиденциальность   потока   данных,    целостность    (для соединений   без   восстановления   и    для    дейтаграмм), аутентификацию   источника   данных   и    взаимодействующих сущностей, а также управление доступом.

Транспортный уровень

   Для  транспортного   уровня   ISO   7498-2   определяет   следующие  средства секретности:   конфиденциальность (для  соединений   или   дейтаграмм),   целостность(любая,  кроме отдельных  полей),   аутентификация   источника   данных   и взаимодействующих   сущностей,   и   управление    доступом. Существует лишь одно отличие между  средствами  секретности, предоставляемыми  для   дейтаграммного   взаимодействия   на транспортном уровне и средствами, предлагаемыми над  сетевым  уровнем. Оно заключается в способности обеспечить  защиту  в промежуточных   системах (используя   механизмы   сетевого  уровня),  а  не  только  в  конечных   системах (используя мезанизмы транспортного уровня).