ФАКТОРЫ УЯЗВИМОСТИ ИНФОРМАЦИОННОЙ ТЕХНИЧЕСКОЙ СИСТЕМЫ

Авторы
Файлы

Жаринов А.А. Шмокин М.Н. Статья в формате PDF 355 KB

Одной из проблем, возникающих при планировании системы информационной безопасности предприятия, является необходимость оценить актуальность угроз, создаваемых различными источниками. Оценка актуальности этих угроз и целесообразности применяемых мер противодействия должна основываться на вероятностях реализации этих угроз. Оценить вероятность реализации тех или иных угроз можно лишь, основываясь на публикациях экспертных организаций, которые проводят расследование инцидентов в области информационной безопасности, а также выполняют тесты на проникновение.

В общем случае можно выделить три основных возможности проникновения в информационные системы компаний:

- использование ошибок в настройках телекоммуникационного оборудования и серверов;

- уязвимости Web-приложений, когда злоумышленник использует ошибки, допускаемые разработчиками этих приложений;

- использование нарушителем уязвимостей рабочих мест пользователей в сочетании с методами социальной инженерии.

Анализ недостатков сетевой инфраструктуры показывает, что залогом успешной атаки является не отсутствие тех или иных средств защиты, а неправильное использование этих средств или неправильная реализация отдельных механизмов защиты.

Проблемы парольной защиты. Разработчики бизнес-приложений часто допускают одновременно две ошибки:

- не предусматривают ограничения на минимальную сложность задаваемого пользователем пароля;

- не предусматривают механизмов противодействия автоматическому перебору паролей - блокировку учетной записи после определенного числа неуспешных попыток аутентификации и т.п..

Как показывают результаты исследований, российские пользователи склонны выбирать пароли, являющиеся сочетанием расположенных рядом клавиш клавиатуры. При этом, наиболее распространенные пароли: «1234567» - 3,36 %; «12345678» - 1,65 %.

Кроме онлайновых методов подбора пароля, нарушителю доступны и другие методы, например восстановление пароля по его хэшу. Источниками парольных хэшей могут являться:

- конфигурационные файлы сетевого оборудования;

- файлы /etc/shadow операционных систем Unix;

- резервные копии операционных систем;

- системные таблицы СУБД, в том числе - доступные с помощью уязвимостей Web-приложений и т.п.

При правильной организации локальной вычислительной сети рекомендуется разделять ее на сегменты разного функционального назначения и обеспечивать фильтрацию трафика на границах сегментов.

При развертывании сетевых сервисов при наличии защищенных вариантов протоколов прикладного уровня, для передачи конфиденциальной информации используются их аналоги без криптографии или со слабой криптографической защитой (NTLM вместо Kerberos, POP3 вместо IMAP, а также SMTP, FTP и HTTP без поддержки SSL/TLS).

Использование сотрудниками ноутбуков создает для нарушителя дополнительный фактор проникновения. Соединяясь с посторонней точкой доступа, пользователь попадает в среду, созданную владельцем этой точки доступа.

Как правило, в отношении мобильных устройств применяются те же меры защиты, что и для стационарных рабочих мест.

Одним из самых больших недостатков является несвоевременная установка обновлений безопасности или отказ от установки этих обновлений.

Аналогичную картину можно наблюдать при анализе конфигурации программного обеспечения. Для безопасной настройки операционной системы Windows XP необходимо настроить свыше 200 параметров, при этом около 60% параметров настраиваются автоматически при инсталляции операционной системы, а остальные требуют дополнительной настройки. Как правило, анализ конфигурации показывает, что подобная настройка не выполняется, что приводит к наличию на рабочих станций типичных ошибок конфигурации:

- использование протокола NTLM;

- сохранение парольных хэшей LanManager;

- автозапуск с отчуждаемых носителей и т.п.

Подобные ошибки активно используются при проникновении в информационные системы.

Перспективы применения спиртовых топлив на трaнcпорте

Статья в формате PDF 254 KB...

11 06 2026 7:49:33

ПРИМЕНЕНИЕ МЕТОДА ДЛИТЕЛЬНОЙ ВНУТРИАРТЕРИАЛЬНОЙ ИНФУЗИИ В КОМПЛЕКСЕ ЛЕЧЕНИЯ НАРУШЕНИЯ ЦЕРЕБРАЛЬНОЙ ГЕМОДИНАМИКИ ПРИ ТЯЖЁЛОЙ ЧЕРЕПНО-МОЗГОВОЙ ТРАВМЕ

Статья в формате PDF 127 KB...

10 06 2026 15:41:39

ИННОВАЦИОННЫЕ ТЕНДЕНЦИИ В ПРОИЗВОДСТВЕ ФУНКЦИОНАЛЬНЫХ НАПИТКОВ С ИСПОЛЬЗОВАНИЕМ СЫРЬЯ ЖИВОТНОГО И РАСТИТЕЛЬНОГО ПРОИСХОЖДЕНИЯ

Статья в формате PDF 297 KB...

09 06 2026 21:43:19

ИСПОЛЬЗОВАНИЕ ТЕНЗОМЕТРИИ ДЛЯ ИССЛЕДОВАНИЯ ДИНАМИЧЕСКИХ ЯВЛЕНИЙ ПРИ ВЫГЛАЖИВАНИИ (НА БАЗЕ ТЕНЗОСТАНЦИИ ТА-5)

Статья в формате PDF 304 KB...

08 06 2026 1:47:47

МОЛЕКУЛЯРНЫЙ МЕХАНИЗМ ДЕЙСТВИЯ ТЕРМИЧЕСКОЙ ТРАВМЫ НА АКТИВНОСТЬ АЛЬДЕ-ГИДДЕГИДРОГЕНАЗЫ ПЕЧЕНИ ЖИВОТНЫХ

Статья в формате PDF 117 KB...

07 06 2026 9:24:11

ОСОБЕННОСТИ НАКОПЛЕНИЯ СТРОНЦИЯ В КОСТНОЙ ТКАНИ БОЛЬНЫХ, ПРИНИМАЮЩИХ КОРТИКОСТЕРОИДЫ

Статья в формате PDF 100 KB...

06 06 2026 1:53:16

Глобальный пик эндоэкологического отравления – биологический предел существования человечества

Статья в формате PDF 128 KB...

05 06 2026 6:45:29

МИКРОЭЛЕМЕНТНЫЙ СОСТАВ РАСТЕНИЙ СЕМЕЙСТВА BORAGINACEAE ФЛОРЫ ЗАПАДНОЙ СИБИРИ

Статья в формате PDF 120 KB...

04 06 2026 17:13:42

ФОРМИРОВАНИЕ СВЯЗНОЙ РЕЧИ ПЕРВОКЛАССНИКОВ ПОСРЕДСТВОМ КУКОЛЬНОГО КРУЖКА «ПЕТРУШКА»

Статья в формате PDF 242 KB...

03 06 2026 16:14:26

РОЛЬ РАННЕЙ РЕАБИЛИТАЦИИ В ПРОФИЛАКТИКЕ ЗАБОЛЕВАЕМОСТИ У ДЕТЕЙ

Статья в формате PDF 90 KB...

02 06 2026 20:16:50

Гомеокинез и биоэкологический закон

Статья в формате PDF 119 KB...

01 06 2026 10:44:20

ЕСТЕСТВЕННЫЕ ЗАКОНОМЕРНОСТИ ФОРМИРОВАНИЯ ЧЕЛОВЕЧЕСКИХ ОБЩЕСТВ

Данная статья представляет собой введение к программе поиска эмпирических закономерностей развития цивилизации. Первая закономерность получена по результатам научных оценок возраста Вселенной данным с момента зарождения науки до настоящего времени. Замысел программы и первая закономерность из этой программы появилась благодаря полученным физическим результатам. Современная физическая теория показывает, что предсказуема и поддаётся расчёту вся цепочка эволюции от образования Вселенной и Солнечной системы до эволюции планет земной группы. В данной статье в популярной форме излагаются основы физической теории, позволяющей описывать физические хаpaктеристики каждой из планет земной группы. Эволюция физических хаpaктеристик планет показывает условия возникновения и направление развития жизни на Земле. Если вся эта цепочка поддаётся расчёту, то можно допустить предсказуемость эволюции цивилизации и существование строгих социально-экономических законов. ...

31 05 2026 17:54:52

ПЕРЕВОД ТЕРМИНОВ С АНГЛИЙСКОГО ЯЗЫКА НА РУССКИЙ В ТЕКСТАХ ЭКОНОМИЧЕСКОЙ ТЕМАТИКИ

Статья в формате PDF 286 KB...

30 05 2026 13:28:14

СТРАТЕГИЯ РАЗВИТИЯ НАУЧНОГО ЕСТЕСТВОЗНАНИЯ В ХХI ВЕКЕ

К концу ХХ века накопилось огромное количество фактов и доказательств научной несостоятельности постулатов теории относительности (ТО), положенных в основу физических представлений о структуре микро- и макромира. ТО оторвала науку от изучения природных взаимосвязей, подменив их уравнениями с некими значками без чёткого понимания их сущности: масса, заряд, магнетизм и т.д. Игнорирование законов Природы привело человечество к цивилизационному кризису – нарушено равновесие биосферы. Причина глобальных изменений состоит в том, что антропогенное производство энергии в десятки раз превышает допустимый по законам межсистемного обмена порог. Продолжение технократического развития – тупик, катастрофа. Необходимо новое естествопонимание на основе аксиомы: «Мир построен системно». Структура материального мира определяется взаимодействием непрерывной не материальной вихреобразной среды и дискретных образований материи – элементарных частиц, из которых закономерно и системно построено всё от атомов до звёзд и галактик. ...