Информационная безопасность. 
Сетевые атаки

С этой целью компания должна разработать комплекс внутренних регламентов и процедур, гарантирующих функционирование системы информационной безопасности. Содержание данных документов в большей степени находится в зависимости от величинсобственно организации, уровня сложности информационной системы, числа объектов защиты. К примеру, для масштабных организаций главной нормативной документацией в сфереохраны информации должна быть концепция либо политика безопасности. В условиях кадровой информационной безопасности в компании должен быть организован процесс обучения работников по вопросам информационных атак. В ходе обучения должны изучаться как теоретические, так и практические аспекты информационной безопасности. В даннойситуации программа обучения может быть подготовлена в зависимости от должностных обязанностей работника, и кроме того от того, к каким информационным ресурсам у него имеется доступ. Разные методы снижения негативного воздействия угроз информационной безопасности можно подразделить на несколькоключевых групп:

Правовой метод; Организационный метод; Инженерный метод; Технический метод; Аппаратно-программные методы. Правовые методы защиты информации регулируют правовой порядок работы с информацией и устанавливают ответственность за ее нарушение в соответствии с национальным законодательством. В нашей стране нормативными и правовыми актами в сфере информационной безопасности значатся [11, 17]: Акты федерального законодательства: Международные договоры Российской Федерации; Конституция Российской Федерации; Федеральные законы (в том числе федеральные конституционные законы, кодексы); Указы Президента Российской Федерации; Постановление Правительства Российской Федерации; Нормативно-правовые акты федеральных министерств и ведомств; Нормативно-правовые акты субъектов РФ, органов местного самоуправления и др. Нормативно-методические документы: Методические документы государственных органов России: Доктрина информационной безопасности Российской Федерации;

Руководящие документы ФСТЭК; Приказы ФСБ; Стандарты информационной безопасности: Международный стандарт; Государственные (Национальные) стандарты Российской Федерации; Рекомендации по стандартизации; Методическое указание. Организационные методы главным образомнацелены на работу с сотрудниками, подбор местоположения и положения корпоративной сети, организация физической и пожарной охраны, организация контроля над выполнением принятых мер, назначение персональной ответственности за исполнение мер защиты. Данные методы используются не только для защиты информации и, чаще всего, уже частично внедрены в корпоративную сеть. Но их использование оказывает существенное влияние и снижает общее количество угроз. Информационная безопасность организации является «ядром» в общей системе информационной безопасности. Эффективность системы информационной безопасности в целом находится в зависимости от полноты и качества решения организационных проблем. Организационная защита выполнена посредством выбора определенных сил и средств для реализации намеченных мероприятий по защите информации. Оназначится неотъемлемой частью системы информационной безопасности, которая определяет и разрабатывает порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения безопасности. Организационная защита информации охватывает [9]: организация работы с сотрудниками; организация в пределах объекта и режимов передачи и защиты;

организация работы со средствами массовой информации;

комплексное планирование мер информационной безопасности; организация аналитической работы и контроля. Инженерные методы взаимосвязаны со строительством оптимальных сетей инженерных коммуникаций, с учетом требований информационной безопасности. Это достаточно дорогие по цене методы, однако они, чаще всего, осуществляются на стадии строительства либо реконструкции объекта, благоприятствуютувеличению его общей живучести и дают повышенныйрезультат при устранении перечня угроз информационной безопасности. Определенные источники угроз, к примеру, вызванные стихийным бедствиемлибо антропогенным фактором, не устраняются полностью другими методами.

Технические методы базируются на применении специальных технических средств защиты информации и контроля обстановки (радиосканеры, детекторы, передатчики, сетевые фильтры, генераторы шума, системы видеонаблюдения) и гарантируютсущественный эффект при устранении угроз, взаимосвязанных с действиями преступных элементов по добыванию сведенийнелегитимными техническими средствами. Вместе с тем, определенные методы, такие как резервирование объектов и каналов связи, результативны в уменьшении воздействия определенных негативных техногенных факторов. Аппаратные и программные методы главным образомнацелены на ликвидацию угроз, конкретновзаимосвязанных с ходом обработки и передачи информации. Без данных методов нет возможности построить комплексную систему информационной безопасности. Программные методы защиты информации применяют специальные компьютерные программы, назначение которых варьируется от цифрового кодирования данных, логического управления информационными потоками, управления системой защиты до идентификации пользователя и верификации пароля.

Сегодняесть возможностьперечислитьнижеследующие главныетипы аппаратных и программных средств защиты: средства криптографической защиты информации; средства разграничения доступа пользователей к информационным ресурсам;

средства брандмауэра; средства анализа безопасности информационных систем; обнаружение вторжений; антивирусная защита; контент-анализ; защита от спама. Средствами криптографической защиты информации являются компьютерные средства, которые осуществляют криптографическое преобразование сведений с намерение обеспечения ее конфиденциальности и контроля целостности. Защита информации способна реализовываться в ходе ее передачи по каналам связи либо в процессе хранения и обработки информации на IP-узлах. Для разрешения данных задач применяются разные виды средств криптографической защиты информации (СКЗИ): Крипто-про, Верба. Средства контроля доступа предназначены для защиты от несанкционированного доступа к информационным ресурсам. Контроль доступа осуществляется средствами защиты на базе процедур идентификации, аутентификации и авторизации пользователей, которые претендуютна доступ к информационным ресурсам информационной системы.

На стадии идентификации пользователь предоставляет свой ID, который обычно является регистрационным именем учетной записи пользователя информационной системы. После отправки идентификатора проверяется, что идентификатор действительно принадлежит пользователю, претендующему на доступ к информации. С этой цельюисполняется процедура аутентификации, в ходе которой пользователи должны указать параметр аутентификации, с помощью которого подтверждается относительность к пользователю. В качестве характеристик аутентификации могут применяться сетевой адрес, пароль, симметричный секретный ключ, цифровой сертификат, биометрические сведения (отпечаток пальца, голосовая информация) и др. Можно отметить, что процесс идентификации и аутентификации пользователей в большей частиситуаций осуществляется единовременно, то есть пользователь вводит параметры идентификации и аутентификации доступа. В ситуации успешного завершения процедур идентификации и аутентификации пользователь проходит авторизацию.

В ходе данной авторизацииустанавливается совокупность информационных ресурсов, с которыми может работать пользователь, а кроме того совокупность операций, которые могут быть исполнены с данными информационными ресурсами. Назначение параметров идентификации и аутентификации пользователем, а кроме того определение их прав доступа осуществляется на стадии регистрации пользователей в информационной системе. Межсетевые экраны осуществляют методы для управления информацией, поступающей и/или выходящей из информационной системы, и гарантируют защиту путем фильтрации информации на базе критериев, установленных администратором. Процесс фильтрации заключается в анализе заголовков каждого пакета, проходящего через межсетевой экран, и передачу дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. Фильтруя межсетевые экраны, можно защитить от сетевых атак, удалив из информационного потока те пакеты данных, которые представляют потенциальную опасность для информационной системы. Средства анализа безопасности выделяются в классификации в отдельную группу, поскольку предназначены для выявления уязвимостей в программной и аппаратнойинформационной системы. Системы анализа безопасности-это превентивный инструмент безопасности, который позволяет выявлять уязвимости путем анализа исходного кода программного обеспечения, анализа исполняемого кода или анализа настроек аппаратного и программного обеспечения информационной системы. Антивирусная защита предназначается для выявления и ликвидации вредоносных программ, присутствующих в информационной системе.

К данному вредоносномупрограммному обеспечению относятся компьютерные вирусы, и кроме того такие программы, как «троянский конь», «шпионское по», «рекламное по» и другие. Средства защиты от спама, гарантируют идентификацию и фильтрацию нежелательных сообщений электронной почты рекламного характера. В некоторых случаях для рассылки спама используется вредоносное программное обеспечение, которое реализовано на IP-хостах и использует адресные книги, хранящиеся в почтовых клиентах пользователей. Присутствие спама в информационной системе может привести к одному из нижеследующих негативных последствий: нарушение работоспособности почтовой системы вследствие большого потока входящих сообщений. При этом может быть нарушена доступность как всего почтового сервера, так и отдельных почтовых ящиков вследствие их переполнения.

В результате пользователи ИС не смогут отправлять или получать сообщения при помощи почтовой системы;

осуществление «phishing» .

— атак, по итогу которых пользователю приходит почтовое сообщение от неизвестного имени с просьбой исполнить конкретные действия. В данном сообщении пользователя могут спросить запустить конкретное программное средство, записать своё регистрационное имя и пароль либо исполнить какое-либо другое действие, которое может помочь злоумышленникам успешно осуществить атаку на информационные ресурсы информационной системы. Примером атаки данного типа является посылка пользователю сообщения от имени известного банка, в котором содержится запрос о необходимости смены пароля доступа к ресурсам Web-сайта банка. В случае если пользователь обратится по Интернет-адресу, указанному в таком почтовом сообщении, то он будет перенаправлен на ложный Web-сайт злоумышленника, представляющий собой копию реального сайта банка. В результате такой атаки вся парольная информация, введённая пользователем на ложном сайте, будет автоматически передана нарушителю; уменьшение производительности труда сотрудниковиз-за необходимости постоянного просмотра и ручного удаления спам-сообщений из почтовых ящиков. Средства контентного анализа предназначены для мониторинга сетевого трафика с намерением выявления нарушений политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа — системы аудита почтовых сообщений и системы мониторинга Интернеттрафика. Системы аудита почтовых сообщений предполагают сбор информации о SMTP-сообщениях, циркулирующих в информационных системах, и её последующий анализ с целью выявления несанкционированных почтовых сообщений, нарушающих требования безопасности, заданные администратором.

Так, к примеру, системы данного типа дают возможностьобнаружить и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Системы мониторинга Интернет-трафиканужны для контроля доступа пользователей к ресурсам сети Интернет. Средства защиты данного типа дают возможность блокировать доступ пользователей к запрещённым Интернетресурсам, а кроме того выявить попытку передачи конфиденциальной информации по протоколу HTTP. Системы мониторинга устанавливаются таким образом, чтобы через них проходил весь сетевой трафик, передаваемый в сеть Интернет.

Системы обнаружения атак представляют собой специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АС посредством сбора и анализа данных о событиях, регистрируемых в системе. Система обнаружения атак включает в себя нижеследующие компоненты [12, 14]: модули-датчики, предназначенные для сбора необходимой информации о функционировании системы. Иногда датчики также называют сенсорами; модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак; модуль реагирования на обнаруженные атаки;

модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак; модуль управления компонентами средств обнаружения атак. Таким образом, в качестве ключевых мер защиты информации рекомендованы: документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

внедрение разрешительной системы допусков (пользователи, обслуживающиеработники) к информации и сопутствующим работам и документции;

ограничение доступа персонала и неуполномоченных лиц в охраняемые помещения и помещения, где расположены информационно-коммуникационные объекты и где хранятся информационно-коммуникационные средства; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программной обработке (передаче) и информационной безопасности; регистрация действий пользователей автоматизированной системы и обслуживающего персонала, контроль действий пользователей, обслуживающихсотрудников и посторонних лиц; учет и надежное хранение бумажных и машина носите лей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

использование специальных знаков безопасности, созданных на основе физико-химических технологий для контроля доступа к объектам охраны и защиты документов от подделки; необходимое резервирование оборудования и дублирование наборов данных и носителей; использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; использование технических средств, отвечающих требованиям стандартов электромагнитной совместимости; использование сертифицированных средств защиты ;размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны; размещение понижающих трансформаторных подстанций электроснабжения и наземных цепей объектов защиты в пределах контролируемой зоны; развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны, и информационными цепями, по которым циркулирует защищаемая информация; использование защищенных каналов связи и криптографических средств защиты информации; размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации; организация физической защиты помещений и собственно технических средств при помощи сил охраны и технических средств, препятствующих либо существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и носителей информации, средств информации, кроме наличия внутри контролируемой зоны технических средств разведки или промышленного шпионажа; криптографическое преобразование сведений, обрабатываемых и передаваемых средствами вычислительной техники и связи; предупреждениевведения программных вирусов и закладок в систему. Определенные требования к защите информации и меры по их осуществлению определяются в зависимости от класса защиты, установленного для автоматизированной системы. Лица, которые были допущены к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение установленного учреждением (предприятием) порядка гарантирования защиты данной информации.

Заключение

.

Сетевая атака-действие, совершаемое злоумышленником и направленное на реализацию угрозы, вторжение в операционную систему удаленного компьютера. Действие состоит в том, чтобы найти любую уязвимость компьютерной системы с помощью специализированного программного обеспечения и с использованием различных психологических методов. Уязвимость-слабое место в системе, которое может быть использовано для проведения сетевой атаки. Угроза-это потенциально возможное событие, явление или процесс, которое, воздействуя на компоненты информационной системы, может нанести ущерб. Сетевые атаки столь же многообразны, как и системы, на которые они нацелены. Несмотря на все разнообразие, из всех сетевых атак по характеру воздействия можно выделить два класса: пассивные и активные. Основные сетевые атаки, которые используют уязвимости IP-сетей, на сегодняшний день являются: подслушивание (сниффинг), захват паролей (пароль сниффинг), анализ сетевого трафика, замена доверенного объекта (IP-спуфинг), посредничества, отказ в обслуживании (DOS), отгадка ключей криптозащиты, атака на уровне приложений, сетевая разведка. Процесс обнаружения атак — это процесс оценки подозрительных действий, которые происходят в сети. Другими словами, обнаружение атак — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Таким образом, в качестве ключевых мер защиты информации рекомендованы: документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

внедрение разрешительной системы допусков (пользователи, обслуживающиеработники) к информации и сопутствующим работам и документции;

ограничение доступа персонала и неуполномоченных лиц в охраняемые помещения и помещения, где расположены информационно-коммуникационные объекты и где хранятся информационно-коммуникационные средства; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программной обработке (передаче) и информационной безопасности; регистрация действий пользователей автоматизированной системы и обслуживающего персонала, контроль действий пользователей, обслуживающихсотрудников и посторонних лиц; учет и надежное хранение бумажных и машина носите лей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

необходимое резервирование оборудования и дублирование наборов данных и носителей; использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; использование технических средств, отвечающих требованиям стандартов электромагнитной совместимости; использование сертифицированных средств защиты;

размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны. Таким образом, в ходе выполнения работы была достигнута поставленная цель, а именно были изучены основные виды сетевых атак, методы их обнаружения и защиты от возможных угроз безопасности.

Список литературы

Бейс Р.

Введение

в обнаружение атак и анализ защищенности // НИП «Информзащита» [Эл.ресурс] - URL:

http://bugtraq.ru/library/books/icsa/Браницкий А.А., Котенко И. В. Построение нейросетевой и иммуноклеточной системы обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 23−27.Галатенко В. А.

Основы информационной безопасности. — M.: Интернет-университет информационных технологий — www.INTUIT.ru, 2008.- 208 с. ГОСТ Р 50 739—95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.

Общие технические требования. ГОСТ Р 51 583—2000.

Защита информации. Порядок создания систем в защищенном исполнении. Карпов В. Е., Коньков К. А. Основы операционных систем. — M.: Интернет-университет информационных технологий — www.INTUIT.ru, 2005. 536 с. Котенко И. В. Многоагентные технологии для анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Новости искусственного интеллекта.

2004. № 1. С. 56−72.Котенко И. В. Многоагентные технологии для анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Новости искусственного интеллекта.

2004. № 1. С. 56−72.Котенко И. В., Саенко И. Б. К новому поколению систем мониторинга и управления безопасностью // Вестник Российской академии наук.

Том 84. № 11. С. 993−1001.

Лукацкий А. В. Обнаружение атак // СПб.: БХВ-Петербург. 2003. 608 с. Макаренко С. И.

Методика оценки времени задержки пакета вканале связи в условиях нестабильности входного трафика //Инфокоммуникационные технологии. 2007. Т. 5.

№ 3. С. 95−96.Медведовский И. Д., Атака через Интернет. Семьянов П.

В., Платонов В. В.; под ред. П. Д. Зегжды. ;

СПб.: изд. НПО «Мир и семья-95», 1997.

Мельников В. П., под.

ред. С. А. Клейменова. Информационная безопасность и защита информации. — М.: Издательский центр «Академия», 2008. — 336 с. Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации вкомпьютерных системах и сетях / Под ред.В. Ф. Шаньгина.-2-е изд., перераб.

и доп. — М.: Радио и связь, 2001. — 376 с. Семенов Ю. А. Протоколы и ресурсы Internet. — М.: Радио и связь, 1996.

— 320 с. Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализи использование кода.: Пер. с англ. — М.: Издательский дом «Вильямс», 2005.- 400 с. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей.

— М.: ИД «ФОРУМ»: ИНФРА-М, 2008. — 416 с.