КНПИ — это физический канал от источника защищаемой информации к злоумышленнику, по которому возможна утечка охраняемых сведений [Ярочкин]
Классифицируем все возможные каналы несанкционированного получения информации (КНПИ) по двум критериям: необходимости доступа (физического или логического) к элементам АС для реализации того или иного КНПИ и зависимости появления КНПИ от состояния АС.
По первому критерию КНПИ могут быть разделены на не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС) и требующие доступа в помещения АС.
В свою очередь, КНПИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях) и на КНПИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).
По второму критерию КНПИ делятся на постоянно существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).
КНПИ 1-го класса — каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств.
Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена АС.
КНПИ 2-го класса — каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излученияразличных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры. К этому же классу может быть отнесен осмотр отходов производства, попадающих за пределы контролируемой зоны.
КНПИ 3-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а такжехищение производственных отходов.
КНПИ 4-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также поражение программного обеспечения вредоносными закладками, маскировка под зарегистрированного пользователя.
КНПИ 5-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением последних. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа «троянский конь», «компьютерный червь» и т.п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов.
КНПИ 6-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.
Не нашли то, что искали? Воспользуйтесь поиском:
Лучшие изречения: Как то на паре, один преподаватель сказал, когда лекция заканчивалась — это был конец пары: "Что-то тут концом пахнет". 8428 — 
| 8040 — 
или читать все.
91.146.8.87 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.
Отключите adBlock!
и обновите страницу (F5)
очень нужно
Рассмотрим относительно полное множество каналов несанкционированного получения информации, сформированного на основе такого показателя, как степень взаимодействия злоумышленника с элементами объекта обработки информации и самой информацией.
К первому классу относятся каналы от источника информации при НСД к нему.
Хищение носителей информации.
Копирование информации с носителей (материально-вещественных, магнитных и т. д.).
Подслушивание разговоров (в том числе аудиозапись).
Установка закладных устройств в помещение и съем информации с их помощью.
Выведывание информации обслуживающего персонала на объекте.
Фотографирование или видеосъемка носителей информации внутри помещения.
Ко второму классу относятся каналы со средств обработки информации при НСД к ним.
Снятие информации с устройств электронной памяти.
Установка закладных устройств в СОИ.
Ввод программных продуктов, позволяющих злоумышленнику получать информацию.
Копирование информации с технических устройств отображения (фотографирование с мониторов и др.).
К третьему классу относятся каналы от источника информации без
Получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов).
Получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств).
Использование технических средств оптической разведки (биноклей, подзорных труб и т. д.).
Использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т. д.).
Осмотр отходов и мусора.
Выведывание информации у обслуживающего персонала за пределами объекта.
Изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т. д.).
К четвертому классу относятся каналы со средств обработки информации без НСД к ним.
Электромагнитные излучения СОИ (паразитные электромагнитные излучения (ПЭМИ), паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию).
Электромагнитные излучения линий связи.
Подключения к линиям связи.
Снятие наводок электрических сигналов с линий связи.
Снятие наводок с системы питания.
Снятие наводок с системы заземления.
Снятие наводок с системы теплоснабжения.
Использование высокочастотного навязывания.
Снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счет акустоэлектрических преобразований.
Снятие излучений оптоволоконных линий связи.
Подключение к базам данных и ПЭВМ по компьютерным сетям.
1.4 Источники угроз (понимается непосредственный исполнитель угрозы в плане ее негативного воздействия на информацию)
модели, алгоритмы, программы;
технологические схемы обработки;
внешняя среда. Предпосылки появления угроз:
объективные (количественная или качественная недостаточность элементов системы) — причины, не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;
субъективные — причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
1. Каналы от источника информации при несанкционированного доступа (НСД) к нему:
a. Хищение носителей информации
b. Копирование информации с носителей
c. Подслушивание разговоров
d. Установка закладных устройств и съем информации с их помощью
e. Выведывание информации у обслуживающего персонала
f. Фотографирование или видеосъемка носителей информации
2. Каналы со средств обработки информации (СОИ) при НСД к ним:
a. Снятие информации с устройств памяти
b. Установка закладных устройств в СОИ
c. Ввод программных продуктов, позволяющих злоумышленнику получать информацию
d. Копирование информации с технических устройств отображения
3. Каналы от источника информация без НСД
a. Получение информации по акустическим каналам
b. Получение информации по виброакустическим каналам
c. Использование технических средств оптической разведки
d. Использование технических средств оптикоэлектронной разведки
e. Осмотр отходов и мусора
f. Выведывание информации у сотрудников за пределами объекта
g. Изучение выходящей за пределы объекта открытой информации
4. Каналы со средств обработки без НСД к ним
a. Электромагнитные излучения средств обработки информации
b. Электромагнитные излучения линий связи
c. Подключений к линиям связи
d. Снятие наводок электрических сигналов
e. Снятие наводок с системы питания, заземления, теплоснабжения
f. Подключение к базам данных по компьютерным сетям
Идентификация и аутентификация
Идентификация и аутентификация – основа программнотехнических средств безопасности, остальные сервисы рассчитаны на обслуживание именованных субъектов.
Идентификация – позволяет субъекту назвать себя.
По средствам аутентификации, вторая сторона убеждается, что субъект тот, за кого он себя выдает (проверка подлинности).
1. Односторонней – клиент доказывает свою подлинность серверу
2. Двусторонней – «взаимно»
В сетевой среде, стороны идентификации и аутентификации территориально разнесены.
Сервис аутентификации характеризуется:
1. Что служит аутентификатором
2. Как организован обмен данными идентификации и аутентификации
Субъект может подтвердить подлинность на основании:
1. Знания чего-либо
2. Нечто, чем он владеет (аппаратная часть)
3. Нечто, что есть часть его самого (биометрические характеристики)
В открытой сетевой среде не существует доверенного маршрута между сторонами. Это значит, что данные, переданные субъектом, могут не совпадать с полученными данными (необходимо обеспечить защиту от пассивного и активного прослушивания, и, как вследствие, от перехвата, изменения и воспроизведения данных). Защита (шифрование) пароля не защищает от воспроизведения. Для решения этой проблемы используются протоколы аутентификации. Он определяет порядок, правила и основные требования взаимодействия к сторонам.
Надежность аутентификации вступает в противоречие с удобством. Почти все аутентификационные сущности можно узнать, украсть или подделать.
Надежность системы является дорогим.
Как правило, в современных информационных системах используется концепция единого входа.
Единый вход в сеть наиболее востребован в корпоративных системах, состоящих из большого количества сервисов, допускающих независимое обращение. Многократный ввод аутентификационной информации становится неприемлимым.
Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств аутентификации и идентификации.
Сервис аутентификации и идентификации может стать объектом атак на доступность.
Парольная аутентификация
Требования к паролю должны обеспечивать стойкость к подбору по словарю, к угадыванию по интересам субъекта, не должны использоваться в других системах, не должны оставаться стандартными.
Недостатком является возможность подсмотреть пароль, записать на листочек.
Дополнительные мероприятия для защиты пароля:
1. Использование программных генераторов
2. Защита базы паролей
3. Ограничение количества неудачных попыток входа
4. Обучение пользователя
Одноразовые пароли
Одноразовые пароли устойчивы к прослушиванию сети, поскольку не могут быть использованы многократно. Суть системы одноразовых паролей состоит в следующем – имеется односторонняя функция, эта функция известна пользователю и серверу аутентификации, имеется закрытый ключ, известный только пользователю. На этапе начального администрирования, функция применяется к ключу n раз. После этого результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:
1. Сервер посылает на пользовательскую систему число n-1
2. Пользователь применяет функцию f к секретному ключу n-1 раз и отправляет результат по сети на сервер аутентификации.
3. Сервер применяет функцию к значению и сравнивает результат с ранее полученной величиной.
4. В случае совпадения личность пользователя считается установленной, сервер запоминает новое значение и уменьшает счетчик на единицу.
Другой подход к надежной аутентификации состоит в генерации одноразового пароля через небольшой промежуток времени (например, раз в минуту). Для этого могут использоваться программы либо специальные интеллектуальные карты. Серверу должны быть известен алгоритм генерации пароля и связанные с ним параметры. Кроме того часы клиента и сервера должны быть синхронизированы.
Дата добавления: 2016-04-03 ; просмотров: 911 | Нарушение авторских прав