В общем случае программное обеспечение любой универсальной компьютерной системы состоит из трех основных компонентов: операционной системы (ОС), сетевого программного обеспечения (СПО) и систем управления базами данных (СУБД). Поэтому все попытки взлома защиты компьютерных систем можно разделить на три группы:
- атаки на уровне ОС;
- атаки на уровне СПО;
- атаки на уровне СУБД.
Атаки на уровне СУБД
Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. В большинстве случаев атака направляется на ОС, с тем, чтобы с помощью ее средств получить доступ к файлам СУБД. Однако, если используются СУБД, не имеющие достаточно надежных защитных механизмов, или применяется плохо протестированная версия СУБД, содержащая ошибки, или при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление злоумышленником защиты, реализуемой на уровне СУБД.
Кроме того имеются два специфических сценария атаки на СУБД: в первом случае выполняются определенные арифметические операции над числовыми полями БД; во втором случае злоумышленник получает доступ к полям статистических банков данных с целью получения конкретной информации.
Атаки на уровне ОС
Защищать ОС, в отличие от СУБД, из-за ее сложной структуры, гораздо труднее, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей.
Возможные виды атак на ОС:
- кража пароля (подглядывание, получение из файла, с не машинных носителей информации, кража внешнего носителя информации, полный перебор всех возможных вариантов пароля, дешифровка зашифрованного пароля);
- сканирование жестких дисков компьютера с целью поиска не закрытых паролями файлов и каталогов;
- превышение полномочий (используя ошибки в программном обеспечении или администрировании ОС, злоумышленник получает полномочия, превышающие полномочия, предоставленные ему согласно действующей политике безопасности;
- отказ в обслуживании (целью этой атаки является частичный или полный вывод из строя ОС.
Если в ПО компьютерной системы не ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками ОС, то все выше перечисленные атаки малоэффективны.
Дополнительные меры для обеспечения безопасности зависят от конкретной ОС, под управлением которой работает данная компьютерная система. Тем не менее следует признать тот факт, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы даже преодолев защиту, злоумышленник не смог нанести серьезного ущерба системе.
Атаки на уровне СПО
СПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищены. Поэтому на уровне СПО возможны следующие атаки:
- прослушивание сегмента сети;
- перехват сообщений на маршрутизаторе;
- создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида злоумышленник добивается того, чтобы его компьютер стал маршрутизатором сети);
- отказ в обслуживании (в сеть посылаются сообщения специального вида, после чего одна или несколько компьютерных систем, подключенных к сети, выходят из строя).
Поскольку атаки на уровне СПО спровоцированы открытостью сетевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защищать каналы связи.
Основная терминология
Введем несколько базовых терминов.
Безопасность данных – защита данных от случайного или преднамеренного разрушения, раскрытия или модификации.
Секретность – это право лица решать, какую информацию он желает разделить с другими, а какую хочет скрыть от других.
Конфиденциальность – это статус, присваиваемый данным согласованный между лицом и организацией, предоставляющей данные, и лицом или организацией, получающей их. Конфиденциальность определяет требуемую степень защиты.
Целостность данных – имеет место когда данные в системе не отличаются от данных в исходных документах, т.е. не произошло их случайной или преднамеренной замены или разрушения.
Доступность компонента (ресурса) системы – свойство компнента (ресурса) быть готовым для использования санкционированными субъектами системы в любое время.
Государственная политика России в области информационной безопасности
Национальная политика России в сфере информационных отношений строится исходя из провозглашенных принципов открытости общества, реализации свобод и прав граждан на информацию, защиты жизненно важных интересов личности, общества и государства в информационной сфере. Она имеет свои особенности, связанные с недостаточным уровнем информационных технологий и взрывным характером накопления информации в последние годы со сжатыми временными рамками на нормотворческую деятельность.
Государственная политика России в этой сфере является открытой и предусматривает информированность общества о деятельности государственных органов и общественных институтов в области информационной безопасности с учетом ограничений, предусмотренных действующим законодательством.
Государственная политика исходит из принципа безусловного равенства всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса. Она основывается на обязательном обеспечении прав граждан и организаций на свободное создание, поиск, получение и распространение информации любым законным путем.
Право на информацию – одно из фундаментальных неотъемлемых прав человека, призванное обеспечить как его личные интересы, так и участие в делах общества и государства. Оно отражено в ряде основополагающих актов и законов РФ.
