со стороны сотрудников 71
Отказ в обслуживании 27
Атаки внешних злоумышленников 25
Кража конфиденциальной информации 20
Саботаж 17
Финансовые мошенничества 11
Мошенничества с телекоммуникационными
устройствами 11
Таблица 6. Размер потерь от атак (млн. долл.).
Тип атаки 1988 1999 2000
Вирусы 7,9 5,3 29,2
Злоупотребления в Internet со стороны
Сотрудников 3,7 7,6 28,0
Несанкционированный доступ
со стороны сотрудников 50,6 3,6 22,6
Отказ в обслуживании 2,8 3,3 8,2
Атаки внешних злоумышленников 1,6 2,9 7,1
Кража конфиденциальной информации 33,6 42,5 66,7
Саботаж 2,1 4,4 27,1
Финансовые мошенничества 11,2 42,5 56,0
Мошенничества с телекоммуникационными
устройствами 17,3 0,8 4,0
За последние несколько лет также возрос объем потерь вследствие нарушений политики безопасности. Если в 1997 году сумма потерь равнялась 100 млн. долл., в 1999-м 124 млн., то в 2000-м эта цифра возросла до 266 млн. долл.. Размер потерь от атак типа «отказ в обслуживании» достиг 8,2 млн. долл. К другим интересным данным можно отнести источник атак (табл. 4), типы распространенных атак (таблица 5) и размеры потерь от них (табл. 6).
Другой авторитетный источник – координационный центр CERT – также подтверждает эти данные. Кроме того, согласно собранным им данным (http:/www.cert.org/stats/cert-stats.html), рост числа инцидентов, связанных с безопасностью, совпадает с распространением internet.
В 80-е – начале 90-х годов внешние злоумышленники атаковали узлы internet из любопытства или для демонстрации своей квалификации. Сейчас атаки чаще всего преследуют финансовые или политические цели. Число успешных проникновений в информационные системы только в 1999 году возросло вдвое по сравнению с предыдущим годом (с 12 до 23%). И в 2000-м, и 2001-м годах эта тенденция сохраняется.
В данной области существует и российская статистика. За 2000 год, согласно данным МВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999 годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают, что больше всего преступлений – 584 от общего количества – относиться к неправомерному доступу к компьютерной информации; 258 случаев – это причинение имущественного ущерба с использованием компьютерных средств; 172 преступления связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 101 преступление – из серии «незаконное производство или приобретение с целью сбыта технических средств для незаконного получения информации», 210 – мошенничество с применением компьютерных и телекоммуникационных сетей; 44 – нарушение правил эксплуатации ЭВМ и их сетей.
Существенную роль в реализации несанкционированного доступа к информации играет компьютерная сеть Интернет, являясь чуть ли самым популярным каналом утечки информации. Поэтому на ее примере целесообразно рассмотреть современные угрозы безопасности и методы защиты от них, используемые средства защиты и услуги безопасности.
Интернет действительно становится всемирной глобальной магистралью. В сеть Интернет можно входить не только по проводным телефонным линиям, но и по радиоканалу. Используя оптико-волоконные и спутниковые линии связи, как со стационарных, так и с мобильных объектов, как с суши, так и с моря, с воздуха, из космоса. Новая прогрессивная технология DirecPC обеспечивает прямой (непосредственный) доступ к Интернету с использованием бытового телевизионного приемника и т.д. и т.п. Необычайно широкие возможности Интернета как магнит притягивают к нему все больше и больше пользователей, и он растет как снежный ком. Концепция «открытых дверей», провозглашенная в Интернете, с одной стороны, способствует ее невероятным темпам роста, а с другой стороны, существенно обостряет проблемы обеспечения безопасности в сети.
Магистраль – это большая дорога. И сегодня, следуя традициям, на ней появились и разбойники; это в первую очередь хакеры, различные криминальные элементы, любители быстрой наживы, просто любители острых ощущений и т.п.
Можно сделать вывод о достаточно высокой эффективности хакерского программного обеспечения и необходимости поиска методов и средств активного противодействия. Результаты исследования показывают, что даже хорошо оснащенные современные банковские системы в настоящее время являются практически беззащитными против хорошо подготовленной атаки. Это же самое можно сказать и о важных военных и научных центрах, даже имеющих защищенный выход в компьютерную (телекоммуникационную) сеть.
Обобщив рассмотренные выше результаты, можно провести классификацию возможных угроз безопасности автоматизированных сетей обработки информации (АСОИ), которая представлена на рис.4.
Представленная классификация угроз безопасности является достаточно полной, понятной и не требует особых пояснений.
Одной из важнейших составляющих политики безопасности является поиск потенциально опасных мест в системе защиты. Обнаружение угрозы уже процентов на семьдесят предопределяет ее уничтожение (ликвидацию).
Установлено, что наибольшие угрозы в сети исходят от специальных программ несанкционированного доступа, компьютерных вирусов и программных закладок, которые представляют угрозу для всех основных объектов сети ЭВМ, в том числе абонентских пунктов, серверов, коммутационных машин и каналов связи.
Принципиальная открытость сети Интернет делает ее не только уникальной по масштабам, но и создает существенные трудности в обеспечении безопасности. Являясь исключительно динамичной сетью, Интернет постоянно испытывает воздействия с использованием несанкционированного доступа. В недрах сети постоянно идут невидимые миру войны в полном соответствии с требованиями современной войны. Имеется эффективное информационное оружие (как нападения, так и защиты). Имеются серьезные трофеи (например, большие суммы денег, переведенные на соответствующие счета банков). Имеются убитые и раненные (например, от инфарктов, полученных после проведения очередной «операции») и т.п. Однако нет самого главного: нет конкретного физического противника, а есть виртуальный противник, которого нельзя физически наблюдать, чувствовать, слышать и т.п. Его наличие можно определить лишь по косвенным признакам, по результатам его деятельности, которые также тщательно скрываются. Однако результаты являются самыми что ни на есть реальными, иногда даже роковыми.
Типовая операция враждебного воздействия в общем случае содержит следующие этапы:
1. подготовительный;
2. несанкционированный доступ;
3. основной (разведывательный или диверсионный);
4. скрытая передача информации (основной или вспомогательной);
5. сокрытие следов воздействия.
7 ТЕХНИЧЕСКИЕ СРЕДСТВА ОБНАРУЖЕНИЯ УГРОЗ
Угрозы безопасности (личной, имущества и информации) окружают нас на каждом шагу. Специалисты утверждают, что надежное обнаружение угрозы – это уже процентов на семьдесят решение задачи ликвидации угрозы. Вот почему в последнее время внимание к техническим средствам поиска и обнаружения угроз безопасности значительно усилилось. Детекторы и обнаружители являются сегодня основными элементами большинства систем безопасности.
Что представляют собой современные обнаружители угроз безопасности? На рисунке 5 в соответствии с классификацией по видам обеспечения безопасности приведены основные технические средства обнаружения угроз безопасности, предлагаемые сегодня российским коммерческим рынком.
Как видно из рисунка, на сегодняшний день не существует универсальных обнаружителей, причем каждый вид обнаружителей рассчитан на использование при решение определенного класса задач.
Наиболее обширную группу образуют технические средства, используемые для обеспечения информационной безопасности, в частности для обнаружения радио-, видео- и телефонных закладок (жучков). Для более полного анализа рынка рассмотрим кратко назначение и основные возможности устройств поиска и обнаружения, в наибольшей степени представленных на рынке. Прежде всего это устройства поиска по электромагнитному излучению: приемники, сканеры, шумометры, детекторы инфракрасного излучения, анализаторы спектра, частотомеры, панорамные приемники, селективные микровольтметры и т.д. Общим для всех этих устройств является задача обнаружения сигнала.
Специальные приемники для поиска работающих передатчиков в широком диапазоне частот на российском рынке представлены рядом фирм США, Германии и Японии. Подобные широкополосные приемники (сканеры), как правило, обладают частотным диапазоном не менее 30…1500МГц и чувствительностью порядка 1 мкВ. Поэтому сканеры – довольно сложные и дорогие устройства. Так, самый дешевый компактный японский сканер AR-8000 стоит порядка 700 долларов, а самый дорогой IC-R9000 – порядка 7500 долларов.
Как правило, современные сканеры имеют возможность подключения к компьютеру. В этом случае специально разработанные программы позволяют автоматически управлять всеми режимами, отображать результаты работы на мониторе, записывать и хранить эти результаты в памяти компьютера, отображать на мониторе спектр в текущем времени и сравнивать его с предыдущим, выводить материалы на печать и т.д.
Процесс обнаружения закладок методом радиомониторинга еще более упрощается при использовании сканеров, реализующих дополнительную функцию измерения частоты (так называемых частотомеров).
Отдельную группу составляют приборы на основе приемников-сканеров, реализующие одновременно несколько функций по поиску закладок, ярким представителем которых является комплекс OSCOR-5000. Этот комплекс автоматически проводит мониторинг источников опасности 24 ч. в сутки. Имеется возможность перехода от обзора широкого спектра к детальному анализу индивидуального сигнала с его демодуляцией и построением графика. Радиоприемник построен по схеме супергетеродина с четырьмя преобразованиями частоты и тремя синтезаторами фазовой подстройки частоты. Предусмотрена демодуляция сигналов в режимах: АМ, FM, FMW, FMSC, SSB CW. Имеется жидкокристаллический дисплей и термопринтер. Конструктивно прибор выполнен в корпусе кейса, общий вес комплекса составляет 12,7 кг.