logo
ОЗІ / Лекц_ї / все / Методы и средства защиты информации, 2003

Классификация

Методы и средства несанкционированного получения информации из АС можно классифицировать, исходя из разных признаков: по виду доступа, по уровню доступа, по характеру действий злоумышленника, по многократности доступа, по направленности действий злоумышленника, по тяжести последствий (рис. 13.1).

По виду доступавсе методы и средства можно разделить на две большие группы. К первой группе относятся методы и средства, используемые прилокальном(физическом)доступе к АС, а ко второй — методы и средства, используемые приудаленном доступе (по компьютерной сети). Как правило, любая, даже самая надежная АС при наличии у злоумышленника локального доступа, достаточных сил и средств и достаточного времени, не сможет обеспечить сохранности информации. При удаленном доступе АС может быть достаточно надежно защищена, но, с другой стороны, абсолютной безопасности АС, имеющей физическое подключение к сетям передачи данных, гарантировать также нельзя.

По уровню доступаметоды и средства несанкционированного получения информации обычно разделяют на методы и средствагостевого,пользовательского,административного,системногоинеограниченногоуровня. Во многих современных операционных системах имеются встроенные учетные записи, предоставляющие их владельцами гостевой (Guestв системахWindowsNT/2000/XP), административный (AdministratorвWindowsNT/2000/XP,rootвUnix-системах), системный (SYSTEMвWindows2000/XP) или неограниченный (администратор предприятия вWindows2000/XP) доступ. При создании дополнительных учетных записей в большинстве современных операционных систем можно указать любой уровень доступа, но изменить его для встроенных учетных записей зачастую невозможно.

По характеру действийзлоумышленника используемые им методы и средства могут быть направлены накопирование,модификацию,уничтожение иливнедрение информации. В последнем случае проявляется особенность АС, отсутствующая у традиционных средств накопления информации, связанная с тем, что в АС хранятся не только данные, но и программные средства, обеспечивающие их обработку и обмен информацией. Эта особенность интенсивно используется злоумышленниками, которые часто стремятся получить доступ к той или иной АС не ради несанкционированного доступа к хранящейся в ней информации, а для внедрения программной закладки, т.е. для несанкционированного создания в АС новой информации, представляющей собой активный компонент самой АС, либо для скрытного хранения собственной информации без ведома владельца АС.

Рис. 13.1.Классификация методов и средств несанкционированного получения информации из АС

По многократности доступавыделяют методы и средства, направленные наразовое получениенесанкционированного доступа имногократное. В первом случае задача предупреждения несанкционированных действий злоумышленника значительно осложняется, однако часто, поскольку последний не заботится о сокрытии факта таких действий, несколько облегчается задача выявления таких действий. Во втором случае задача предупреждения упрощается, но усложняется задача выявления, поскольку основное внимание злоумышленник, планирующий многократно проникать в АС, сосредотачивает на сокрытии всех признаков такого проникновения.

По направленности действийзлоумышленника методы и средства несанкционированного получения информации из АС подразделяются на методы и средства, направленные наполучение системной информации(файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т.п.) исобственно прикладной информации. Многих злоумышленников, проникающих в АС, подключенные к глобальным сетям, вообще не интересует хранящаяся в этих АС прикладная информация или интересует лишь в той степени, в какой она позволяет получить доступ к системной информации. Обычно такие злоумышленники используют подобные АС либо в качестве промежуточных узлов для проникновения в другие АС, либо для несанкционированного хранения собственной информации.

По тяжести последствийиспользуемые злоумышленниками методы и средства несанкционированного получения информации можно разделить нанеопасные(сканирование портов, попытки установления соединений и т.п.),потенциально опасные(получение доступа к содержимому подсистем хранения данных, попытки подбора паролей и т.п.),опасные(получение доступа с высоким уровнем полномочий, модификация информации в АС, копирование системной и прикладной информации, создание собственной информации и т.п.) ичрезвычайно опасные(уничтожение информации, блокирование доступа легальных пользователей к АС и т.п.).