Библибоба

Читаем Безопасность информационных систем полностью

Безопасность информационных систем

Виктор Викторович Ерохин , Дина Алексеевна Погонышева , Илья Геннадьевич Степченко

Преднамеренно внедренные нарушения информационной безопасности без деструктивных функций.

Вредоносные программы могут осуществлять взаимодействие с атакующим систему злоумышленником через «скрытые каналы» утечки информации. Под скрытым каналом понимают любую возможность обмена информацией с процессами или другими компонентами системы, не предусмотренную ее разработчиками и, как следствие, неконтролируемую системой защиты. Отсутствие контроля над скрытыми каналами со стороны системы защиты широко используются злоумышленниками.

Для использования скрытых каналов требуется наличие двух процессов:

1) посредством вредоносных программ осуществляется сбор информации, интересующей злоумышленника, которая помещается в скрытый канал, неконтролируемый системой защиты;

2) прослушивание канала в ожидании поступления собранной информации, и при ее появлении выполняет необходимую обработку и сохранение.

Скрытые каналы утечки в зависимости от способа кодирования информации, передаваемой между этими процессами, подразделяются на два типа: с использованием памяти и с использованием времени.

В первом случае для кодирования передаваемой информации используется либо область памяти (установление характерных признаков в имени и атрибутах файла), либо вообще неиспользуемая область (зарезервированные поля в заголовке сетевого пакета).

Во втором случае информация кодируется определенной последовательностью и длительностью событий, происходящих в системе. Например, с помощью модуляции интервалов обращения к устройствам, введения задержек между приемом и посылкой сетевых пакетов и т. д.

Кроме скрытых каналов в системе могут присутствовать и другие преднамеренно внесенные ошибки, не влекущие за собой разрушительных последствий. К их появлению автоматически приводит любое расхождение между требованиями по безопасности и требованиями к функциональности системы.

Непреднамеренные (неумышленные) ошибки и нарушения информационной безопасности.

Непреднамеренные нарушения информационной безопасности могут возникнуть в системе из-за наличия ошибок на этапе разработки требований к безопасности, при разработке спецификаций и на этапе их реализации, т. е. в процессе написания программ. Большинство из ошибок обнаруживается и устраняется во время тестирования. Некоторые ошибки могут остаться незамеченными и вызвать проблемы эксплуатации вычислительных сетей. Наиболее трудно выявляются такие ошибки в сложных системах, состоящих из многочисленных компонентов, разработанных при участии большого коллектива специалистов. Одна из проблем таких систем – невозможность исчерпывающего описания их спецификаций, т. е. невозможность адекватного документирования. Недостатки проектной документации при сопровождении и эксплуатации приводят к тому, что при попытке устранения одних ошибок в нее вносятся другие. Наличие неумышленных ошибок не приводит к немедленному их использованию и нарушению безопасности системы.

Неумышленные нарушения информационной безопасности могут быть классифицированы в соответствии со следующими группами ошибок, предопределяющих их существование:

1. Ошибки контроля допустимых значений параметров.

2. Ошибки определения областей (доменов).

3. Ошибки последовательности действий и использования нескольких имен для одного объекта.

4. Ошибки идентификации/аутентификации.

5. Ошибки проверки границ объектов.

6. Ошибки в логике функционирования.

Ошибки контроля допустимых значений параметров заключаются в принятии соответствующим механизмом неправильного заключения о соответствии проверяемого параметра допустимым значениям. Это касается числа, состава, типа, размера, статуса (передаваемые или принимаемые) параметров, или ряда других их характеристик. Ошибки контроля можно рассматривать как неадекватную реакцию механизмов защиты на возникающие в системе события.

Ошибки определения областей (доменов) выражаются в наличии открытого или неконтролируемого способа доступа в защищенную область. Например, возможность получения доступа к объекту файловой системы, непосредственный доступ к которому запрещен, посредством доступа к его физическому представлению на аппаратных носителях. Другим примером является повторное использование объекта, например, доступ к остаточной информации в занимаемой объектом области памяти после ее освобождения.

Перейти на страницу:
Читать далее

Похожие книги

Основы информатики: Учебник для вузов
Основы информатики: Учебник для вузов

Учебник состоит из двух разделов: теоретического и практического. В теоретической части учебника изложены основы современной информатики как комплексной научно-технической дисциплины, включающей изучение структуры и общих свойств информации и информационных процессов, общих принципов построения вычислительных устройств, рассмотрены вопросы организации и функционирования информационно-вычислительных сетей, компьютерной безопасности, представлены ключевые понятия алгоритмизации и программирования, баз данных и СУБД. Для контроля полученных теоретических знаний предлагаются вопросы для самопроверки и тесты. Практическая часть освещает алгоритмы основных действий при работе с текстовым процессором Microsoft Word, табличным редактором Microsoft Excel, программой для создания презентаций Microsoft Power Point, программами-архиваторами и антивирусными программами. В качестве закрепления пройденного практического курса в конце каждого раздела предлагается выполнить самостоятельную работу.

Вадим Васильевич Лысенко , Лариса Александровна Малинина , Максим Анатольевич Беляев

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать бесплатно
Инфраструктуры открытых ключей
Инфраструктуры открытых ключей

Ольга Юрьевна Полянская

Зарубежная компьютерная, околокомпьютерная литература
Без регистрации
Linux и все, все, все... Статьи и колонки в LinuxFormat, 2006-2013
Linux и все, все, все... Статьи и колонки в LinuxFormat, 2006-2013

Колонки и статьи Алексея Федорчука, печатавшиеся в журнале LinuxFormat на протяжении 2006-2013 годов, собранные в хронологическом порядке. Они посвящёны UNIX, Linux и другим UNIX-подобным системам, их приложениям, а также идеологическим вопросам Свободного и Открытого Программного Обеспечения (FOSS). Публикуются в авторской редакции.

Алексей Викторович Федорчук

Зарубежная компьютерная, околокомпьютерная литература
Полная версия
Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов
Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Увы, друг мой, защита твоей информации - или хотя бы четкое понимание того, что это такое и как подобная защита должна строиться - это Твое Личное Дело! Не Cosa Nostra (хотя твои проблемы могут стать и Нашим Делом тоже), а Cosa Roba - Твое Дело!  Я знаю, что ты солидный человек, который привык платить, чтобы за него решали проблемы. Однако есть проблемы, которые за тебя никто не решит, - даже за очень большие деньги. Например, заниматься любовью со своей женой должен ты сам. Но кто тебе сказал, что защита твоей информации - это менее интимное дело, и его можно поручить постороннему?  Первая книга по безопасности для Менеджеров, а не для ботаников-компьютерщиков, информации от широко неизвестного благодаря своей репутации эксперта международного класса. Только благодаря ей Большой Босс сможет понять, каким образом он сможет чувствовать себя хотя бы в относительной безопасности!  Ты должен сам знать, что такое безопасность информации! Ни один нанятый специалист не решит это за тебя!  Если ты нанимаешь студента-компьютерщика за двести баксов в месяц и совершенно серьезно считаешь его специалистом по информационной безопасности, - не понятно, как ты вообще смог стать менеджером подобного уровня.

Алекс Экслер , Карл Шкафиц

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать Онлайн
Избранное