русс | укр

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании


Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Общая характеристика уязвимостей информационной системы


Дата добавления: 2013-12-23; просмотров: 16139; Нарушение авторских прав


Уязвимость информационной системы – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности информации.

Причинами возникновения уязвимостей являются:

· ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;

· преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;

· неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;

· несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

· внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

· несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

· сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).


Классификация основных уязвимостей приведена на рисунке 4.2.3.1.

Рисунок 4.2.3.1 – Классификация основных уязвимостей

Ниже представлена общая характеристика основных групп уязвимостей информационной системы, включающих:

· уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

· уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем.



При этом возможны уязвимости:

· в микропрограммах, в прошивках ПЗУ, ППЗУ;

· в средствах операционной системы, предназначенных для управления локальными ресурсами информационной системы (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;

· в средствах операционной системы, предназначенных для выполнения вспомогательных функций, – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);

· в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Краткая характеристика этих уязвимостей применительно к протоколам приведена в таблице 4.2.3.1.

Таблица 4.2.3.1 - Уязвимости отдельных протоколов стека протоколов TCP/IP,
на базе которого функционируют глобальные сети общего пользования

Наименование протокола Уровень стека протоколов Наименование (характеристика) уязвимости Содержание нарушения безопасности информации
FTP (File Transfer Protocol) – протокол передачи файлов по сети Прикладной, представи-тельный, сеансовый 1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) 2. Доступ по умолчанию 3. Наличие двух открытых портов Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам
telnet – протокол управления удаленным терминалом Прикладной, представи-тельный, сеансовый Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) Возможность перехвата данных учетной записи пользователя. Получение удаленного доступа к хостам
UDP – протокол передачи данных без установления соединения Транспорт-ный Отсутствие механизма предотвращения перегрузок буфера   Возможность реализации UDР-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера
ARP – протокол преобразования IP-адреса в физический адрес Сетевой Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) Возможность перехвата трафика пользователя злоумышленником
RIP – протокол маршрутной информации Транспорт-ный Отсутствие аутентификации управляющих сообщений об изменении маршрута Возможность перенаправления трафика через хост злоумышленника
TCP – протокол управления передачей Транспорт-ный Отсутствие механизма проверки корректности заполнения служебных заголовков пакета Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS – протокол установления соответствия мнемонических имен и сетевых адресов Прикладной, представи-тельный, сеансовый Отсутствие средств проверки аутентификации полученных данных от источника Фальсификация ответа DNS-сервера
IGMP – протокол передачи сообщений о маршрутизации Сетевой Отсутствие аутентификации сообщений об изменении параметров маршрута Зависание систем Win 9x/NT/2000
SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте Прикладной, представи-тельный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP – протокол управления маршрутизаторами в сетях Прикладной, представи-тельный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность переполнения пропускной способности сети

Для систематизации описания множества уязвимостей используется единая база данных уязвимостей CVE (Common Vulnerabilities and Exposures),
в разработке которой принимали участие специалисты многих известных компаний и организаций, таких как MITRE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS и т.д. Эта база данных постоянно пополняется и используется при формировании баз данных многочисленных программных средств анализа защищенности и, прежде всего, сетевых сканеров.

К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.

Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.

Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной информационной системы (в том числе программные средства защиты информации, разработанные для конкретной информационной системы).

Уязвимости прикладного программного обеспечения могут представлять собой:

· функции и процедуры, относящиеся к разным прикладным программам
и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;

· функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду информационной системы и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;

· фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;

· отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

· ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.

Данные об уязвимостях разрабатываемого и распространяемого на коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE.

 



<== предыдущая лекция | следующая лекция ==>
Угрозы несанкционированного доступа к информации в информационной системе | Лекция 4 Совместимость и множественные прикладные среды


Карта сайта Карта сайта укр


Уроки php mysql Программирование

Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных


 


Полезен материал? Поделись:

Не нашли то, что искали? Google вам в помощь!

 
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.

Генерация страницы за: 0.002 сек.