Компоненты асои и опасные воздействия на них

Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АСОИ можно разбить на следующие группы:

- аппаратные средства − ЭВМ и их составные части (процессоры, мониторы, терминалы, периферийные устройства-дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.;

- программное обеспечение − приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

- данные − хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

- персонал − обслуживающий персонал и пользователи.

Опасные воздействия на АСОИ можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации АСОИ показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АСОИ. Причинами случайных воз­действий при эксплуатации АСОИ могут быть:

- аварийные ситуации из-за стихийных бедствий и отключений электропитания;

- отказы и сбои аппаратуры;

- ошибки в программном обеспечении;

- ошибки в работе обслуживающего персонала и пользователей;

- помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д. Действия нарушителя могут быть обусловлены разными мотивами: недовольством служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением самоутвердиться любой ценой и т. п.

Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно составить гипотетическую модель потенциального нарушителя:

- квалификация нарушителя может быть на уровне разработчика данной системы;

- нарушителем может быть как постороннее лицо, так и законный пользователь системы;

- нарушителю известна информация о принципах работы системы;

- нарушитель выберет наиболее слабое звено в защите.

В частности, для банковских и АСОИ других организаций можно выделить следующие преднамеренные угрозы:

- несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских и служащих других организаций, и ознакомление с хранимой конфиденциальной информацией;

- ознакомление банковских и служащих других организаций с информацией, к которой они не должны иметь доступ;

- несанкционированное копирование программ и данных;

- кража магнитных носителей, содержащих конфиденциальную информацию;

- кража распечатанных банковских и документов других организаций;

- умышленное уничтожение информации;

- несанкционированная модификация банковскими и служащими других организаций финансовых документов, отчетности и баз данных;

- фальсификация сообщений, передаваемых по каналам связи;

- отказ от авторства сообщения, переданного по каналам связи;

- отказ от факта получения информации;

- навязывание ранее переданного сообщения;

- разрушение информации, вызванное вирусными воздействиями;

- разрушение архивной информации, хранящейся на магнитных носителях;

- кража оборудования.

Несанкционированный доступ (НСД) является наиболее распространенным и многообразным видом компьютерных нарушений. Суть НСД состоит в получении пользователем (нарушителем) доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой в организации политикой безопасности. НСД основан на использовании любой ошибки в системе защиты и возможен при нерациональном выборе средств зашиты, их некорректной установке и настройке. НСД может быть осуществлён, как штатными средствами АСОИ, так и специально созданными аппаратными и программными средствами.

Основные каналы несанкционированного доступа, через которые нарушитель может получить доступ к компонентам АСОИ и осуществить хищение, модификацию и/или разрушение информации, следующие:

- все штатные каналы доступа к информации (терминалы пользователей, оператора, администратора системы;

- средства отображения и документирования информации; каналы связи) при их использовании нарушителями, а также законными пользователями вне пределов их полномочий;

-технологические пульты управления;

- линии связи между аппаратными средствами АСОИ;

- побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.

Из всего разнообразия способов и приемов несанкционированного доступа остановимся на следующих распространенных и связанных между собой нарушениях:

- перехват паролей;

- "маскарад";

- незаконное использование привилегий.

Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление возвращается операционной системе. Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей.

"Маскарад "- это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Целью "маскарада" является приписывание каких-либо действий другому пользователю либо присвоение полномочий - и привилегий другого пользователя.

Примерами реализации "маскарада" являются:

- вход в систему под именем и паролем другого пользователя (этому "маскараду" предшествует перехват пароля);

- передача сообщений в сети от имени другого пользователя.

"Маскарад" особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за "маскарада" злоумышленника может привести к большим убыткам законного клиента банка.

Незаконное использование привилегий. Большинство систем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи – минимальные, администраторы – максимальные. Несанкционированный захват приви­легий, например, посредством "маскарада", приводит к возможности выполнения нарушителем определенных; действий в обход системы защиты. Следует отметить, что незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и на­значении привилегий.