ВИДЫ И ОСОБЕННОСТИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕРВЕРА В БУХГАЛТЕРСКОЙ ОРГАНИЗАЦИИ

Камбулов Д.А., Дьяченко Н.В.

Донской государственный технический университет

ВИДЫ И ОСОБЕННОСТИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕРВЕРА В БУХГАЛТЕРСКОЙ ОРГАНИЗАЦИИ

Аннотация

В работе рассматриваются вопросы, касающиеся информационной безопасности  сервера, находящегося в бухгалтерском учреждении. Рассмотрены виды угроз, а также характер происхождения. Представлена классификация уязвимостей, возможные основные угрозы и меры их нейтрализации.

Ключевые слова: информационная безопасность, защита информации, сервер отчетов, виды угроз, уязвимость

Keyword: information security, Information security, report Server, types of threats, vulnerability

В любой экономической деятельности значительную роль приобретает вопрос обеспечения информационной безопасности (ИБ). Это связанно с тем, что информации сегодня – наиболее ценный ресурс, от которого зависит как функционирование отдельного предприятия, так и всей страны.  Грамотный подход к защите информации (ЗИ) еще больше улучшит финансовое благополучие компании. Напротив, пренебрежение  таким вопросом может привести к экономическим потерям из-за утечки информации и даже к потере доверия со стороны внешней среды (покупателя). Тяжело представить компанию, которая в своей работе не использует компьютерные технологии. Сегодня происходит радикальная смена парадигмы, идет массовое внедрение информационных технологий в нашу жизнь, тем самым существенно повышается качество  жизни.  

Чтобы снизить риск утечки информации находящейся в информационной системе (ИС) предприятия, используют не только организационно — правовые и технические средства ЗИ, но и программно-аппаратные средства.  Программно-аппаратные комплексы ЗИ предназначены для защиты  конфиденциальной информации  находящейся в электронно-вычислительных машинах (ЭВМ).

Рынок продуктов ИБ сегодня находится на подъеме. Этот рост объясняется беспрецедентным спросом на такие продукты. Что является косвенным подтверждением ценности информации, как продукта человеческой деятельности и как желание владельца защитить информацию, которая ценится на уровне золота, а иногда и превосходит.

В качестве предмета анализа ИБ, рассмотрим выделенный компьютер (сервер) в бухгалтерии, который обрабатывает полученные отчеты и затем отправляет их получателю.

Мы живем во времена быстрого технологического развития. Особенно информационного. И сегодня сложно представить жизнь без эффективного управления. Государство, банки и крупные организации используют много информации для своей работы. Они разрабатывают, хранят и передают информацию с помощью компьютера. ЭВМ используются не только для решения вычислительных проблем, но и для создания систем обработки отчетов или, в частности, содержащейся в них информации.

База данных (БД) — это организованная структура для хранения, изменения и обработки связанной информации, в основном больших объемов. Для обработки данных в БД используют специальные программы для их оптимизации, выборки  по указанному правилу и т.д. БД относятся к компьютерным технологиям для хранения, поиска и сортировки информации.

Программное обеспечение для управления и обслуживания состояния БД называется системой управления базой данных (СУБД). СУБД собирает, проверяет, систематизирует, извлекает и обрабатывает данные и печатает их в виде отчетов.

Рассматривая структуру сервера, содержащего бухгалтерский отчет крупной организации, можно заметить, что сервер не имеет собственного хранилища и хранит все объекты и метаданные в базе данных SQL Server.

Рассматриваемый сервер отчетов содержит два обработчика:

  • предварительная и промежуточная обработка отчетов;
  • функция планирования и доставки отчетов.

Обработчик отчетов объединяет макета отчета с данными, полученными из модуля обработки данных. Затем происходит его формирование для просмотра в запрошенном пользователем формате Обработчик планирования и доставки производит подготовку отчета в соответствии с графиком и передает его получателям.

Рассматривая структуру сервера, содержащего бухгалтерский отчет крупной организации, можно заметить, что сервер не имеет собственного хранилища и хранит все объекты и метаданные в базе данных SQL Server.В базе данных хранятся отчеты, шаблоны отчетов и файловая иерархия, которая позволяет обрабатывать все элементы, управляемые сервером отчетов.

Анализ защищенности объекта защиты

Угроза представляет собой совокупность условий и факторов, призванных подорвать конфиденциальность, целостность и доступность информации, а также незаконное использование других системных ресурсов.

Рассмотрим виды угроз ИБ, которые классифицируют по ряду признаков:

  • по составляющим ИБ, а именно доступность, конфиденциальность, целостность, против которых, в первую очередь направлены угрозы;
  • по компонентам ИС, на которые угрозы нацелены (данные, программы, аппаратура, персонал);
  • по характеру воздействия (случайные или преднамеренные, действия природного или техногенного характера);
  • по расположению источника угроз (внутри или вне рассматриваемой ИС).

В ИБ следует выделить такие нарушения как:

  • конфиденциальности (разглашение информации, уменьшение степени ЗИ);
  • физической целостности (разрушение или уничтожение элементов);
  • логической целостности (изменение или разрушение логических связей);
  • содержания (изменение структуры блоков, навязывание ложной информации);
  • прав собственности на информацию (несанкционированное копирование и использование информации).

Из вышеперечисленных видов, наиболее выраженными являются угрозы:

  • несанкционированная модификация информации;
  • несанкционированное получение информации третьими лицами;
  • физическое уничтожение или искажение информации.

Классификация атак на рассматриваемую ИС может быть выполнена по нескольким признакам.

По месту возникновения:

  • локальные атаки (источником данного вида атак являются пользователи и/или программы локальной системы);
  • удаленные атаки (источником атаки выступают удаленные пользователи, сервисы или приложения).

По воздействию на ИС:

  • активные атаки (результатом воздействия которой является нарушение деятельности ИС);
  • пассивные атаки (ориентированные на получение информации из системы, не нарушая функционирование ИС).

Даже при отсутствии ошибок реализации и правильной конфигурации сервера существует вероятность атаки, если не будут приняты особые меры предосторожности, о которых знают, как правило, не все системные администраторы компании.

Ниже рассмотрен перечень некоторых атак, которым подвержено бухгалтерское учреждение, использующее в своей работе сервера:

  • удаленное проникновение (remote penetration). Атака, которая позволяет реализовать удаленное управление ЭВМ находящейся в ИС организации;
  • локальное проникновение (local penetration). Атака, позволяющая получить несанкционированный доступ к узлу, на котором она запущена;
  • удаленный отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование ИС по условиям реализации ее услуг или имеют возможность контролированной перезагрузки системы путем удаленного доступа;
  • дистанционное проникновение. Атака: позволяет удаленно управлять компьютером, расположенным ИС организации.
  • локального проникновения. Атака, которая разрешает несанкционированный доступ к узлу, на котором она работает.
  • удаленный отказ в обслуживании. Атаки, которые мешают функционированию ИБ в условиях реализации его услуг или могут управлять системой удаленно.
  • локальный отказ в обслуживании. Атака, позволяющая нарушить функционирование системы или перезагрузить систему, на которой она реализуется.

Характер происхождения угроз

Особое внимание уделяется выявлению угроз ИБ. Однако для успешного исследования необходимо определить характер их происхождения. Многолетний опыт разработки, эксплуатации и производства ИС показывает, что информация подвергается различным случайным и преднамеренным воздействиям на всех этапах жизненного цикла системы.

Под целенаправленными действиями мы подразумеваем целенаправленные действия злоумышленника. В роли такого преступника могут выступать как сотрудники компании, так и конкуренты и посетители. Действия злоумышленника могут иметь разные причины. Одним из вариантов является намеренные факторы:

  • производить подключение к каналам связи;
  • разглашение конфиденциальной информации предприятия;
  • копирование информации;
  • хищение носителей информации.

Одной из причин случайных воздействий при эксплуатации являются естественные факторы:

  • стихийные бедствия (землетрясения, ураганы, наводнения);
  • несчастные случаи (пожары, взрывы, аварии);
  • ошибки, возникающие в процессе обработки информации (сбои аппаратуры, ошибки пользователей).

Рассмотрим угрозы, связанные с запуском сервера в организации учета. Согласно статистике хакерских атак, вероятность осуществления атаки на серверы ниже среднего уровня, поскольку они имеют один или несколько уровней защиты, работают в контролируемых условиях и обслуживанием и настройкой аппаратуры занимаются квалифицированные специалисты. Сервер отчетов — это сервер без сохранения состояния, в котором хранятся данные, хранящиеся во внешнем хранилище.

Одной из основных угроз для установки сервера отчетов является несанкционированный доступ и вторжение в БД сервера, которая содержит файлы конфигурации сервера отчетов. Менее очевидная, но не менее важная угроза определяется методом отчетности группой людей, уполномоченных публиковать контент на сервере отчетов. Определения отчетов — это файлы, которые запускаются на компьютере (сервере) с полным доступом. Эти файлы могут содержать другие пользовательские сборки, которые также запускаются на сервере. Нетрудно догадаться, содержит ли отчет или пользовательская сборка вредоносный код. Затем, когда запрашивается отчет, этот код запускается на сервере отчетов, который хранит учетные данные пользователя в своем хранилище. Другие неявные угрозы могут быть вызваны неправильной структурой отчетности, которая непреднамеренно раскрывает конфиденциальную информацию о сотрудниках. Представьте себе сотрудника бухгалтерии, генерирующего отчет с идентификатором сотрудника в качестве параметра. Он не должен иметь возможность отображать информацию о другом сотруднике, вставляя какие-либо идентификаторы в URL-адрес отчета.

Учитывая методы распределения отчетов в организации можно настроить сервер так, чтобы снизить риск создания отчетов за пределами организации. Правильно используя разрешения файловой системы и сервера, так что только авторизованные пользователи могут открывать отчет.

В таблице 1 указаны угрозы и меры по снижению рассматриваемых уязвимостей.

Таблица 1

Угрозы и меры по снижению

Компонент или операция Угрозы Меры по снижению уязвимости
Параметры конфигурации, хранящиеся в файле Web.config и файлах конфигурации приложения на компьютере сервера отчетов. Злоумышленник может получить доступ к компьютеру, обнаружить незашифрованный или незащищенный файл конфигурации и внести изменения в этот файл. Назначить разрешения для файла. По умолчанию разрешения предоставляются группам безопасности служб Службы Reporting Services, созданным в процессе установки.
Веб-служба сервера отчетов обрабатывает запросы по требованию, переданные через соединения TCP/IP. Злоумышленник может запустить атаку типа «отказ в обслуживании», которая принимает следующие формы. Несколько не аутентифицированных запросов отправляются на целевой сервер. Неполные запросы отправляются на сервер назначения, но никогда не выполняются. Требования огромны; Злоумышленник инициирует запрос и затем отправляет большой объем данных на сервер Сервер отчетов удаляет все запросы без проверки подлинности в течение двух минут, что может уменьшить последствия атаки типа «запрет в обслуживании». Двухминутный интервал имеет фиксированную длительность, его нельзя уменьшить. Если атака основана на операциях передачи данных на сервер отчетов, можно уменьшить значение элемента max Request Lengthв файле Machine.config. По умолчанию устанавливаемая платформой ASP.NET верхняя граница для объема передаваемых на сервер файлов составляет 4 МБ.
Службы Службы Reporting Services поддерживают расширяемую архитектуру, которая позволяет развертывать сторонние модули обработки данных, модули доставки и модули подготовки отчетов. Также можно развертывать пользовательские конструкторы запросов. Модули должны выполняться с полным уровнем доверия. Злоумышленник может вставить вредный код в пользовательский модуль. Развертывайте модули только от доверенных пользователей и организаций.

Подводя итоги, можно с уверенностью сказать, что ИБ организации представляет собой совокупность решений, направленных на защиту коммерческой информации от различного рода угроз в целях качественного ведения бизнеса. Это могут быть данные о покупателях и поставщиках, управленческие и бухгалтерские документы, персональные данные сотрудников организации, информация о технологиях и многое другое. Для обеспечения безопасности ИС, руководством организации должны реализовываться четко сформулированные и продуманные меры. Произведя полную оценку угроз ИБ, станет возможно подобрать наиболее подходящие для конкретного случая, эффективные и оптимальные методы и средства ЗИ.

Литература

  1. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95
  2. Ю.Ф. Каторин., А.В. Разумовский, А.И. Спивак. Защита информации и техническими средствами — 2012г.
  3. В.Л. Цилов. Основы информационной безопасности. Краткий курс. 2008г.