Обеспечение безопасности КИС

Анализ методов и средств защиты информации в КИС

Объем информации, хранимой в электронном виде, вырос в тысячи раз. С массовым внедрением компьютеров во все сферы деятельности человека разнообразие несанкционированных способов доступа в корпоративную информационную сеть (КИС) увеличилось. Это подтверждают следующие методы несанкционированного проникновения:

• 1. Подмена IP адреса или спуфинг (spoofing)
• 2. Перехват пакетов или снифинг (sniffing)
• 3. Использование перехватчиков ввода с клавиатуры (keystroke grabbers)
• 4. Подбор или расшифровка пароля
• 5. Методы социальной инженерии (social engineering)
• 6. Атака типа «отказ в обслуживании»
• 7. Подмена системных утилит
• 8. Использование слабостей и ошибок системных утилит
• 9. Использование особенностей и недостатков сетевых протоколов.
• 10. Применение сетевых вирусов
• 11. Использование программно-аппаратного контроля и настройки сети
• 12. Другие методы.

Более подробное описание этих методов и средств защиты при их использовании приведено ниже.

Спуфинг, или подмена IP адреса.

Методом защиты от такого рода преступлений служит фильтрация пакетов, поступающих из Интернет на маршрутизатор, их задержка и нераспознание IP адреса без пароля. Наибольший вред может нанести данный метод в том случае, если в системе разрешены соединения без пароля. Отрицательной стороной системы аутентификации является её слабость, она позволяет провести только идентификацию IP адреса. Такую атаку весьма сложно обнаружить.

Снифинг, или перехват пакетов. Аппаратный перехватчик пакетов физически подключается к сети, а программный — способен работать на компьютерах, подключенных к сети через модем. От программных перехватчиков защищаются не только шифрованием и частой сменой паролей, но и аппаратными средствами, такими, как сетевые адаптеры.

Использование перехватчиков ввода с клавиатуры. Код нажатия клавиши на клавиатуре компьютера передается по сети по заданному адресу, либо сохраняется в заданном файле. Следует защищаться от таких нападений, запретив администратору пользоваться любыми компьютерами, за исключением специально выделенного.

И еще необходимо в целях профилактики отслеживать любую установку или удаление ПО, т. е. проводить мониторинг компонентов.

Подбор или расшифровка пароля. Защитой от перехвата пароля пользователя могут служить специальные программы-дешифраторы паролей. Эффективный способ защиты заключается в сравнении зашифровки настоящего пароля и зашифрованных ключевых слов с помощью одного и того же алгоритма.

Методы социальной инженерии. Действие таких методов основано на психологическом доверии пользователей. Предотвратить применение этих методов можно организационным путем: установкой локальной телефонной сети на рабочих местах, строгим регламентом полномочий и правил общения с провайдером или с любыми представителями внешних служб.

Атака типа «отказ в обслуживании». Проводится в сети путем засорения линии связи или загрузкой серверов ненужной работой. С целью контроля атак такого типа используется анализатор сети или перехватчик пакетов, а в Windows NT используется команда NetStat.

Подмена системных утилит. Например, систему Unix другим самодельным компонентом под тем же названием. Угрозу в данном случае представляет условно бесплатное программное обеспечение, которое приобретается нелегально, либо выступает в качестве «подарка» через Интернет.

Использование слабых мест и ошибок системных утилит. Ошибки устраняются с выявлением. Можно сделать вывод, что надо чаще обновлять ОС, а также следить за хакерской информацией и их новинками.

Использование недостатков сетевых протоколов. Многопротокольные сети имеют «дыры», которые один протокол может создавать в другом. Неправильное конфигурирование администратором сети фильтров на маршрутизаторе является ошибкой. Например, в протоколе TCP/ IP содержится 150 «дыр», что оказывает большую услугу хакерам в целях несанкционированного проникновения в сеть.

Применение сетевых вирусов. Они могут быть программами, наносящими большой ущерб компьютерам сети. Это такие программы, как: «Черви» — по цепной реакции быстро распространяются, могут уничтожить все сетевые и компьютерные ресурсы и прекратить работу самой сети. «Троянские кони» — скрытая от пользователя программа, внешне безопасная, запускаясь, проникает в систему и вводит вирусы, перехватывает пакеты вместе с паролями, воспроизводит на сервере не установленные ранее службы или сервисы. Таким образом, защитой может быть проведение аудита сети, мониторинга, регулярного сканирования портов и проведения проверок на вирусы.

Использование программ аппаратного контроля и настройки. Такие программы могут использовать хакеры для начала атаки, делая хаос в сети. Штурм сервера пакетами со скоростью несколько тысяч пакетов в минуту неизбежно замедлит работу сети вплоть до «отказа в обслуживании». Для избежания атаки необходимо производить фильтрацию трафика протокола ICMP. [2].