Обобщенная структура сети ЭВМ

Рассматривая использующиеся в настоящее время сети ЭВМ, можно выделить их обобщенную структуру (рис.2).

Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются между собой. Таким образом, через линии связи объе­диняются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значительные удаления.

Серверы локальной сети могут быть подключены к концентрато­ру сообщений, объединяющему потоки информации с нескольких локальных сетей и (или) изолированных абонентских пунктов. Объ­единенный концентратором сообщений информационный поток по­ступает на коммутационную машину (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в другие локальные сети, их объединения, кон­центраторы сообщений или изолированные абонентские пункты.

Абонентский Сервер      Абонентский                             Абонентский Абонентский

пункт     локальной      пункт                                        пункт          пункт

                         сети  

                                                                             Коммутатор

                                Концентратор

                                           сообщений

                                                                                                     Абонентский пункт

                                                                                      Сервер

Абонентский       Сервер       Абонентский Абонентский локальной

    пункт        локальной           пункт         пункт        сети

                       сети                                                                                           Абонентски

                                                                                                                пункт

Рисунок 2- Обобщенная структурк сети ЭВМ

Можно выделить следующие функционально законченные эле­менты сети:

локальные сегменты сети (с различной архитектурой). Их осо­бенностью является возможность использования удаленных ресур­сов файловых серверов или других рабочих станций, абонентских пунктов;

коммуникационные сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.

Как правило, рабочие станции не могут использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соеди­нений.

Для различных сегментов сети можно выделить следующие уг­розы безопасности информации:

перехват, искажение, навязывание информации со стороны фрагментов сети;

имитация посылки ложных сообщений на локальные фрагмен­ты сети;

имитация логического канала (удаленный доступ) к ресурсам локальных сегментов сети;

внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное воздействие на программ­ное обеспечение и информацию;

перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;

внедрение программных закладок в программное обеспечение рабочих станций или в общедоступные ресурсы (во внешней па­мяти файл-серверов) локальных сегментов сети.

По принципу действий программной закладки на компьютер­ную сеть можно выделить две основные группы.

1. Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программ­ного обеспечения. Закладки такого типа особенно опасны для або­нентских пунктов сети и рабочих станций локальных вычисли­тельных сетей. Они могут распространяться от одного абонентско­го пункта к другому с потоком передаваемых файлов или инфи­цировать программное обеспечение рабочей станции при исполь­зовании удаленных ресурсов (при запуске инфицированных про­грамм в оперативной памяти рабочей станции даже без экспорта
выполняемого,модуля с файл-сервера).

2. В сетях могут функционировать специально написанные зак­
ладки типа «троянркий конь» и «компьютерный червь». «Троян­ский конь» включается, и проявляет себя в определенных усло­
виях (по времени, ключевым сообщениям и т.п.). «Троянские
кони» могут разрушать и (или) искажать информацию, копиро­вать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жест­ко функциональны и учитывают различные особенности и свой­
ства программно-аппаратной среды, в которой работают. Инфор­мация для их работы доставляется закладками следующего типа — «компьютерный червь».

«Компьютерные черви» нацелены на проникновение в систе­мы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц уста­новления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.

Возможно создание закладок, объединяющих в себе черты и свойства как «троянских коней», так и «компьютерных червей».

Программные закладки представляют опасность как для або­нентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.

Возможны следующие пути проникновения (внедрения) про­граммных закладок в сеть:

заражение программного обеспечения абонентских пунктов ви­русами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных дей­ствий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);

умышленное внедрение в программное обеспечение абонент­ских пунктов закладок типа «компьютерных червей» путем их ас­социирования с выполняемыми модулями или программами на­чальной загрузки;

передача деструктивных программ и вирусов с пересылаемыми файлами на другой абонентский пункт и заражение его в резуль­тате пользования зараженными программами;

распространение вирусов внутри совокупности абонентских пун­ктов, объединенных в локальную сеть общего доступа;

внедрение в программное обеспечение абонентских пунктов ви­русов при запуске программ с удаленного терминала;

внедрение вирусов и закладок в пересылаемые файлы на ком­мутационной машине и (или) на сервере локальной сети.

Телекоммуникационные сети, как правило, имеют неоднород­ную операционную среду, поэтому передача вирусов по направ­лению абонентский пункт — коммутатор чрезвычайно затрудне­на: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информа­ция на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины. В этом случае заражение вирусами мо­жет наступать только при пользовании коммутационной маши­ной как обычной ЭВМ (для игр или выполнения нерегламенти­рованных работ). При этом возможны заражение коммуникацион­ного программного обеспечения и негативное влияние на целос­тность и достоверность передаваемых пакетов.

Исходя из перечисленных путей проникновения вирусов и воз­никновения угроз в сети можно детализировать вирусные угрозы.

Для абонентских пунктов:

искажение (разрушение) файлов и системных областей DOS;

уменьшение скорости работы, неадекватная реакция на коман­ды оператора и т.д.;

вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений;

блокирование принимаемых или передаваемых сообщений, их искажение;

имитация физических сбоев (потери линии) и т.д.;

имитация пользовательского интерфейса или приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);

накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;

копирование содержания оперативной памяти для выявления ключевых таблиц или фрагментов ценной информации;

искажение программ и данных в оперативной памяти абонен­тских пунктов.

Для серверов локальных сетей:

искажение проходящей через сервер информации (при обмене между абонентскими пунктами);

сохранение проходящей информации в скрытых областях внеш­ней памяти;

искажение или уничтожение собственной информации серве­ра (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;

внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.

Для коммутатора:

разрушение собственного программного обеспечения и вывод из строя коммутационного узла вместе со всеми присоединенны­ми абонентскими терминалами;

засылка пакетов не по адресу, потеря пакетов, неверная сбор­ка пакетов, подмена пакетов;

внедрение вирусов в (Коммутируемые пакеты; : контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются або­ненты.

3 Оценка рисков информационных угроз безопасности

Целью анализа является оценка рисков информационных угроз безо­пасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 2002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности на­несения ущерба и тяжести этого ущерба".

Вообще говоря, уязвимым является каждый компонент информационной системы – от сетевого кабеля, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Эти особенности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера ущерба. Вероятность осуществления также оценивается по трехбалльной системе. Данный метод называется экспертной оценкой событий[4]. Риск для каждой угрозы оценивается путем умножения вероятности на ущерб.

В таблице 1 представлены возможные угрозы Web-серверу, данным подлежащим защите и организации в целом, а также вероятность их наступления и оценка причиненного ущерба в случае успешного осуществления атаки, несанкционированного доступа и т. д.

Таблица 1 Оценка рисков

На основе полученных данных можно выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.

Рисунок 4 Количество рисков по категориям

Как видно из диаграммы, организация остро нуждается в разработке и применении новой политики безопасности, которая позволит сократить риски.
4 Совершенствование системы информацион­ной безопасности сети