Анализ антивирусных средств защиты (стр. 4 из 6)

Сервер

Абонентский Сервер Абонентский Абонентский локальной

пункт локальной пункт пункт сети

сети Абонентски

пункт

Рисунок 2- Обобщенная структурк сети ЭВМ

Можно выделить следующие функционально законченные эле­менты сети:

локальные сегменты сети (с различной архитектурой). Их осо­бенностью является возможность использования удаленных ресур­сов файловых серверов или других рабочих станций, абонентских пунктов;

коммуникационные сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.

Как правило, рабочие станции не могут использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соеди­нений.

Для различных сегментов сети можно выделить следующие уг­розы безопасности информации:

перехват, искажение, навязывание информации со стороны фрагментов сети;

имитация посылки ложных сообщений на локальные фрагмен­ты сети;

имитация логического канала (удаленный доступ) к ресурсам локальных сегментов сети;

внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное воздействие на программ­ное обеспечение и информацию;

перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;

внедрение программных закладок в программное обеспечение рабочих станций или в общедоступные ресурсы (во внешней па­мяти файл-серверов) локальных сегментов сети.

По принципу действий программной закладки на компьютер­ную сеть можно выделить две основные группы.

1.Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программ­ного обеспечения. Закладки такого типа особенно опасны для або­нентских пунктов сети и рабочих станций локальных вычисли­тельных сетей. Они могут распространяться от одного абонентско­го пункта к другому с потоком передаваемых файлов или инфи­цировать программное обеспечение рабочей станции при исполь­зовании удаленных ресурсов (при запуске инфицированных про­грамм в оперативной памяти рабочей станции даже без экспорта
выполняемого,модуля с файл-сервера).

2.В сетях могут функционировать специально написанные зак­
ладки типа «троянркий конь» и «компьютерный червь». «Троян­ский конь» включается, и проявляет себя в определенных усло­
виях (по времени, ключевым сообщениям и т.п.). «Троянские
кони» могут разрушать и (или) искажать информацию, копиро­вать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жест­ко функциональны и учитывают различные особенности и свой­
ства программно-аппаратной среды, в которой работают. Инфор­мация для их работы доставляется закладками следующего типа — «компьютерный червь».

«Компьютерные черви» нацелены на проникновение в систе­мы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц уста­новления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.

Возможно создание закладок, объединяющих в себе черты и свойства как «троянских коней», так и «компьютерных червей».

Программные закладки представляют опасность как для або­нентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.

Возможны следующие пути проникновения (внедрения) про­граммных закладок в сеть:

заражение программного обеспечения абонентских пунктов ви­русами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных дей­ствий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);

умышленное внедрение в программное обеспечение абонент­ских пунктов закладок типа «компьютерных червей» путем их ас­социирования с выполняемыми модулями или программами на­чальной загрузки;

передача деструктивных программ и вирусов с пересылаемыми файлами на другой абонентский пункт и заражение его в резуль­тате пользования зараженными программами;

распространение вирусов внутри совокупности абонентских пун­ктов, объединенных в локальную сеть общего доступа;

внедрение в программное обеспечение абонентских пунктов ви­русов при запуске программ с удаленного терминала;

внедрение вирусов и закладок в пересылаемые файлы на ком­мутационной машине и (или) на сервере локальной сети.

Телекоммуникационные сети, как правило, имеют неоднород­ную операционную среду, поэтому передача вирусов по направ­лению абонентский пункт — коммутатор чрезвычайно затрудне­на: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информа­ция на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины. В этом случае заражение вирусами мо­жет наступать только при пользовании коммутационной маши­ной как обычной ЭВМ (для игр или выполнения нерегламенти­рованных работ). При этом возможны заражение коммуникацион­ного программного обеспечения и негативное влияние на целос­тность и достоверность передаваемых пакетов.

Исходя из перечисленных путей проникновения вирусов и воз­никновения угроз в сети можно детализировать вирусные угрозы.

Для абонентских пунктов:

искажение (разрушение) файлов и системных областей DOS;

уменьшение скорости работы, неадекватная реакция на коман­ды оператора и т.д.;

вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений;

блокирование принимаемых или передаваемых сообщений, их искажение;

имитация физических сбоев (потери линии) и т.д.;

имитация пользовательского интерфейса или приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);

накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;

копирование содержания оперативной памяти для выявления ключевых таблиц или фрагментов ценной информации;

искажение программ и данных в оперативной памяти абонен­тских пунктов.

Для серверов локальных сетей:

искажение проходящей через сервер информации (при обмене между абонентскими пунктами);

сохранение проходящей информации в скрытых областях внеш­ней памяти;

искажение или уничтожение собственной информации серве­ра (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;

внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.

Для коммутатора:

разрушение собственного программного обеспечения и вывод из строя коммутационного узла вместе со всеми присоединенны­ми абонентскими терминалами;

засылка пакетов не по адресу, потеря пакетов, неверная сбор­ка пакетов, подмена пакетов;

внедрение вирусов в (Коммутируемые пакеты; : контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются або­ненты.

3 Оценка рисков информационных угроз безопасности

Целью анализа является оценка рисков информационных угроз безо­пасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 2002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности на­несения ущерба и тяжести этого ущерба".

Вообще говоря, уязвимым является каждый компонент информационной системы – от сетевого кабеля, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Эти особенности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера ущерба. Вероятность осуществления также оценивается по трехбалльной системе. Данный метод называется экспертной оценкой событий[4]. Риск для каждой угрозы оценивается путем умножения вероятности на ущерб.

В таблице 1 представлены возможные угрозы Web-серверу, данным подлежащим защите и организации в целом, а также вероятность их наступления и оценка причиненного ущерба в случае успешного осуществления атаки, несанкционированного доступа и т. д.