Скачать 0.5 Mb.
|
1.3 Методы обеспечения информационной безопасностиЛюбая информационная система подвержена угрозам, это подтверждается статистическими данными[12] с одной стороны, с другой стороны, как и в любой другой ИС есть уязвимости, которые нельзя полностью исключить. Понятие информационной системы хорошо разъяснено в Федеральном законе РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «информационная система — совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств» [13]. Защищаемой информацией в ИС являются хранящиеся данные, а также методы и алгоритмы использующиеся при их обработке. Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:
Для обеспечения выше перечисленных свойств необходимо выполнить ряд мер законодательных, организационных и технических. На законодательном уровне Российской Федерации существует перечень действующих стандартов и руководящих документов в области методов и средств обеспечения безопасности. Основным направлением политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу. Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают:
Для определения актуальных угроз используют документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных » [15]. Не секрет что для обеспечения безопасности требуются денежные средства для того чтобы построить оптимальную защиту для ИС необходимо выработать решение, которое будет защищать от актуальных угроз ИС. Основываясь на базовой модели угроз, разработанной ФСТЭК России следует построить модель угроз для разрабатываемой ИС. При построении моделей угроз необходимо дать несколько определений. Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства [16]. Угроза – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам[16]. Уязвимость - это свойство ИС, использование которой нарушителем может привести к реализации угрозы. Атака - это любое действие нарушителя, которое приводит к реализации угрозы путём использования уязвимостей информационной системы[16]. Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. По наличию права постоянного или разового доступа нарушители подразделяются на два типа: нарушители, не имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена; нарушители, имеющие доступ к ИС, включая пользователей, реализующие угрозы непосредственно в ИС, внутренние нарушители [16]. По итогам 2012 года компания Positive Technologies провела анализ уровня защищенности веб-приложений ИС[12], отсюда можно выделить два больших класса атак по методу их реализации:
1.4.1 Атаки на веб-приложений и методы противодействия им.С быстро растущей распространенностью сети Интернет увеличивается и количество потенциально интересных для хакеров ресурсов. Для того чтобы повлиять на работоспособность ИС хакерам не требуется особых знаний о технологиях и алгоритмах устройства ИС, достаточно лишь знать IP-адрес жертвы. Атаки осуществляющиеся по средствам коммуникации сети Интернет настолько же разнообразна, как и системы против которых они направлены. Сниффер пакетовСниффер пакетов – это прикладная программа, которая перехватывает все сетевые пакеты в данный момент передающиеся по сети. Эти программы являются законными, но некоторые протоколы передают информацию в незашифрованном виде и тогда у злоумышленника появляется возможность перехватить конфиденциальную информацию такую как, имена пользователей или пароли, а также сообщения пользователей. Пользователи часто используют одни и те же данные в разных ИС, тем самым перехвативший эти данные может получить доступ во множество приложений и системы , которыми пользуется жертва. Способы защиты от сниффинга пакетов:
IP-спуфингIP-спуфинг происходит в том случае, когда злоумышленник выдает себя за санкционированного пользователя. Это также производится на основе протокола IP. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Угрозу спуфинга можно ослабить (но не устранить) с помощью перечисленных ниже мер.
Отказ в обслуживанииDenial of Service (DoS), самая распространенная атака легко реализуемая и очень тяжело ей полностью противостоять. Данная атака направлена на свойство доступности информации, что очень важно для больших организации и потери при ее реализации выражаются в финансовом эквиваленте. Наиболее известные разновидности:
Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (distributed DoS, DDoS). Угроза атак типа DoS может быть снижена тремя способами: • Функции антиспуфинга. Правильная конфигурация функций антиспуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции как минимум должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку. • Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах способна ограничить эффективность атак[17]. Парольные атакиОрганизация парольных атак может производиться различными методами описанными выше. При использовании простых паролей очень актуальна атака простого перебора (brute force attack).В большинстве случаев для реализации данной атаки используется специализированная программа, которая пытается получить доступ к ресурсу общего пользования путем попытки входа используя значения из заранее определенного справочника. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак, но не все устройства поддерживают данные методы. Обычно ИС системы используют парольную политику, которая определяет длину пароля, наличие определенных символов и букв в разных регистрах. Атаки типа Man-in-the-MiddleПо способу и технологиям реализации данная атака очень разнообразна. Суть ее заключается в осуществлении вмешательства в протокол передачи для удаления или изменения информации в корыстных целях, которые в конечном счете дадут желаемый результат. Примеры реализации данной атаки
Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. В качестве примера данную атаку часто применяют на банковские системы, где злоумышленник получает возможность украсть денежные средства[17]. Защита от атаки сбора данных(Fingerprinting) Стандартные настройки проектов в Visual Studio включают в себя информацию о версии ASP.NET и версии сервера IIS, как показано на рис.13, что дает злоумышленнику выбрать вектор атаки на ИС. Рис.4 Заголовок ответа сервера. Для отключения данной информации были произведены следующие действия: Добавление строки в конфигурационном файле в конфигурационном файле web.config, как показано на примере ниже <system.web> <httpRuntime enableVersionHeader="false"/> system.web> Добавление изменения в файл Global.asax protected void Application_Start() { MvcHandler.DisableMvcResponseHeader = true; } После чего ответ сервера стал выглядеть как на рис.14 Рис.5 Заголовок ответа сервера XSS(межсайтовый скриптинг) Тип атаки заключающийся во внедрении в выдаваемую сервером веб-страницу вредоносного кода, который будет выполнен при открытии пользователем данной страницы. Данная атака может быть использована для получения личных данных пользователя или вставки ссылок на другие сайты. По статистике предоставленной Positive Technologies [12] 63% процента атак были произведены с помощью уязвимости XSS. На популярном веб-ресурсе скрипт может организовать DDoS атаку. По виду XSS делятся на активные и пассивные, для простого понимания пассивные требуют действий пользователя, а активные выполняются без участия пользователя. Основные каналы внедрения XSS:
Основные способы защиты от XSS это:
Внедрение SQL кода(SQL-injection) Метод атаки направленные на внедрение в посылаемые пользователем параметры SQL кода, в случае успеха злоумышленник может изменить логику запроса получить, удалить или добавить данные в базу. Существует множество разновидностей использования этой атаки, но все они направлены на изменения пользовательского запроса на свой синтаксически правильный запрос. Классической защитой от SQL-инъекции является строгое типизирование и фильтрация принимаемых параметров в зависимости от типа, а именно фильтрация кавычек и символов “-/\*”. Большинство современных средств разработки позволяет на корню уничтожить данную уязвимость путем использования ORM(объектное представление данных) , в частности компания Microsoft предлагает свое решение EntityFramework. Прогнозирование сессии/сертификата(Credential/Session Prediction) Метод когда злоумышленник выдает себя за пользователя сайта путем угадывания, предсказывания уникального значения пользовательской сессии, которую он получает после авторизации. Данный метод актуален, если приложение использует механизм сессии с использованием cookie. Защищаться от данной атаки нужно путем использования надежного алгоритма генерации уникальных идентификаторов для пользователей. Неправильная настройка сервера(Server Misconfiguration) Проблема неправильной настройки сервера дает еще один вектор атак для злоумышленников, по умолчанию при установке сервера включены многие службы, которые не используются, но тем самым позволяют злоумышленнику реализовать атаку, например доступны файлы конфигурации сервера, включены ненужные службы(управления контентом, удаленное управление), а также функции отладки или административные функции. Все это может послужить средством для злоумышленника, чтобы обойти методы аутентификации и получить доступ к конфиденциальной информации, возможно с повышенными привилегиями. Сервер может включать известные учетные записи и пароли по умолчанию. Неправильно сконфигурированные сертификаты SSL и настройки шифрования, использование сертификатов по умолчанию, и не надлежащая аутентификация с внешними системами может поставить под угрозу конфиденциальность информации. Подробные и информативные сообщения об ошибках могут привести к утечке данных, а информация может быть использована для разработки следующего шага атаки.[18] Directory Traversal(выход за пределы разрешенной директории) Уязвимость заключается в неправильно реализованной аутентификации и авторизации пользователей, рекомендуется использовать политики и роли, а так же запрещать доступ по умолчанию. CSRF Уязвимость заключается в том, что веб-приложение позволяет при переходе по обычной ссылке выполнять какое-нибудь действие. Злоумышленник подготавливает специальный URL , при загрузке которого будет, например, осуществлён перевод денег со счёта жертвы на его, и размещает его в виде картинки на популярном ресурсе. Методы защиты от CSRF:
Использование компонентов с известными уязвимостями Используются уязвимости ПО, которые получили широкую огласку и уже исправлены производителем. Рекомендациями являются:
Открытые перенаправления (Open redirect) Уязвимость заключается в использовании ссылки для перенаправления пользователя в качестве параметра и отсутствии проверки этого параметра на уровне приложения. Уязвимость чаще всего используется для фишинговых атак. Методы защиты являются:
|
Реферат Отчёта по нир на тему: Разработка и внедрение автоматизированной... ... | Доклад Информационное обеспечение автоматизированной системы мониторинга... Учебник содержит тестовый контроль знаний по психотерапии и список рекомендуемой литературы. Для студентов медицинских вузов и врачей... | ||
Реферат Настоящий отчет был разработан в рамках выполнения научно-исследовательской... Целью выполнения работ является разработка Концепции единой автоматизированной системы персонального учета населения Кемеровской... | Отчет о научно-исследовательской работе исследования в области построения... Этап 2 «Разработка концепции построения системы управления информационным обменом в защищенной сети порталов через открытые каналы... | ||
Отчет о научно-исследовательской работе «Разработка методов и средств... «Разработка методов и средств информационной поддержки образовательных процессов с применением перспективных технологий передачи... | Отчет о выполнение научно-исследовательских работ на тему: «Разработка... «Разработка информационной системы «Информационная среда современного университета, этап 1» | ||
Положение об автоматизированной обработке персональных данных участников... Рабочая программа составлена на основании рабочего учебного плана по фгос утвержденного ученым советом юргту(нпи) протоколом №4 от... | Инструкция для организаторов тестирования в рамках апробации процедуры... Злотникова Т. В., кандидат юридических наук, председатель Комитета по экологии Государственной Думы Федерального Собрания Российской... | ||
Инструкция для организаторов тестирования в рамках апробации процедуры... Злотникова Т. В., кандидат юридических наук, председатель Комитета по экологии Государственной Думы Федерального Собрания Российской... | Междисциплинарный подход к формированию информационной среды по проблемам... Стран в области общественных наук началось еще в середине 1980-х годов, когда украинские потребители информации получили доступ к... | ||
Разработка автоматизированной системы состояния и использования земель... Работа выполнена в Московском государственном университете геодезии и картографии (миигаиК) | Руководство пользователя Руководство предназначено для специалистов Администрации города Екатеринбурга. В нем описываются возможности автоматизированной информационной... | ||
Разработка автоматизированной системы тестирования т. А. Фролова, Д. В. Бабанин График и методические указания по организации самостоятельной работы по дисциплине «Исполнительное производство» для студентов заочной... | Актуальные проблемы создания единой автоматизированной информационной... Концептуальные основы построения еаис в таможеных органах республики беларусь 9 | ||
Моделирование коррозионных процессов для информационной системы поддержки... Ведущая организация – фгоу впо кемеровский государственный сельскохозяйственный институт | Дипломному проекту На тему: «Проектирование и разработка автоматизированной... Охватывают различные подразделения, начиная с приема больного в стационаре и заканчивая его выпиской. В медицинских учреждениях работает... |