Информационная безопасность. Макаренко С.И. - 60 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

60
4.4 Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на:
- предметную;
- служебную.
Служебная информация (например, пароли пользователей) не
относится к определенной предметной области, в информационной системе
она играет техническую роль, но ее раскрытие особенно опасно, поскольку
оно чревато получением несанкционированного доступа ко всей информации,
в том числе предметной.
Даже если информация хранится в компьютере или предназначена для
компьютерного использования, угрозы ее конфиденциальности могут носить
некомпьютерный и вообще нетехнический характер.
Если для доступа к различным системам используются многоразовые
пароли или иная конфиденциальная информация, то наверняка эти данные
будут храниться не только в голове, но и в записной книжке, которые
пользователь часто оставляет на рабочем столе, а то и попросту теряет.
Невозможно помнить много разных паролей и как результат применение
несложных схем чередования или использование двухрех легко
запоминающихся (и столь же легко угадываемым) паролей. Описанный класс
уязвимых мест можно назвать размещением конфиденциальных данных в
среде, где им не обеспечена (зачастую - и не может быть обеспечена)
необходимая защита. Угроза же состоит в том, что кто-то не откажется
узнать секреты, которые сами просятся в руки.
Помимо паролей, хранящихся в записных книжках пользователей, в
этот класс попадает передача конфиденциальных данных в открытом виде
(в разговоре, в письме, по сети), которая делает возможным перехват данных.
Для атаки могут использоваться разные технические средства
(подслушивание или прослушивание разговоров, пассивное прослушивание
сети и т.п.), но идея одна - осуществить доступ к данным в тот момент, когда
они наименее защищены.
Весьма опасной угрозой являются... выставки, на которые многие
организации, недолго думая, отправляют оборудование из производственной
сети, со всеми хранящимися на них данными. Остаются прежними пароли,
при удаленном доступе они продолжают передаваться в открытом виде. Это
плохо даже в пределах защищенной сети организации; в объединенной сети
выставки - это слишком суровое испытание честности всех участников.
Еще один пример изменения, о котором часто забывают, - хранение
данных на резервных носителях. Для защиты данных на основных
носителях применяются развитые системы управления доступом; копии же
нередко просто лежат в шкафах и получить доступ к ним могут многие. 
            4.4 Основные угрозы конфиденциальности

     Конфиденциальную информацию можно разделить на:
     - предметную;
     - служебную.

      Служебная информация (например, пароли пользователей) не
относится к определенной предметной области, в информационной системе
она играет техническую роль, но ее раскрытие особенно опасно, поскольку
оно чревато получением несанкционированного доступа ко всей информации,
в том числе предметной.

      Даже если информация хранится в компьютере или предназначена для
компьютерного использования, угрозы ее конфиденциальности могут носить
некомпьютерный и вообще нетехнический характер.
      Если для доступа к различным системам используются многоразовые
пароли или иная конфиденциальная информация, то наверняка эти данные
будут храниться не только в голове, но и в записной книжке, которые
пользователь часто оставляет на рабочем столе, а то и попросту теряет.
Невозможно помнить много разных паролей и как результат применение
несложных схем чередования или использование двух-трех легко
запоминающихся (и столь же легко угадываемым) паролей. Описанный класс
уязвимых мест можно назвать размещением конфиденциальных данных в
среде, где им не обеспечена (зачастую - и не может быть обеспечена)
необходимая защита. Угроза же состоит в том, что кто-то не откажется
узнать секреты, которые сами просятся в руки.
      Помимо паролей, хранящихся в записных книжках пользователей, в
этот класс попадает передача конфиденциальных данных в открытом виде
(в разговоре, в письме, по сети), которая делает возможным перехват данных.
Для атаки могут использоваться разные технические средства
(подслушивание или прослушивание разговоров, пассивное прослушивание
сети и т.п.), но идея одна - осуществить доступ к данным в тот момент, когда
они наименее защищены.
      Весьма опасной угрозой являются... выставки, на которые многие
организации, недолго думая, отправляют оборудование из производственной
сети, со всеми хранящимися на них данными. Остаются прежними пароли,
при удаленном доступе они продолжают передаваться в открытом виде. Это
плохо даже в пределах защищенной сети организации; в объединенной сети
выставки - это слишком суровое испытание честности всех участников.
      Еще один пример изменения, о котором часто забывают, - хранение
данных на резервных носителях. Для защиты данных на основных
носителях применяются развитые системы управления доступом; копии же
нередко просто лежат в шкафах и получить доступ к ним могут многие.



                                     60

Страницы