Программные средства защиты информации в школе. Средства защиты информации. Напомним, что под идентификацией принято понимать присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, а

Программные средства защиты информации в школе. Средства защиты информации. Напомним, что под идентификацией принято понимать присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, а

7.1 Защита информации в электронных платёжных системах

Электронная платёжная система (ЭПС) – это система проведения расчётов между финансовыми и бизнес-организациями (с одной стороны), и Интернет-пользователями (с другой стороны) в процессе покупки-продажи товаров и услуг через Интернет. Именно ЭПС позволяет превратить службу по обработке заказов или электронную витрину в полноценный магазин со всеми стандартными атрибутами: выбрав товар или услугу на сайте продавца, покупатель может осуществить платёж, не отходя от компьютера. ЭПС представляет собой электронную версию традиционных платёжных систем.

В системе электронной коммерции платежи осуществляются при соблюдении следующих условий:

А. Соблюдение конфиденциальности . При проведения расчётов через Интернет покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право.

Б . Сохранение целостности информации . Информация о покупке никем не может быть изменена.

В. Аутентификация . См п. 7.2.

Г. Средства оплаты . Возможность оплаты любыми доступными покупателю платёжными средствами.

Е. Гарантии рисков продавца . Осуществляя торговлю в Интернете, продавец подвержен множеству рисков, связанных с отказами от товара и недобросовестностью покупателя. Величина рисков должна быть связана с провайдером платёжной системы и другими организациями, включённым в торговые цепочки посредством специальных соглашений.

Ж . Минимизация платы за транзакцию. Плата за обработку транзакций заказа т оплаты товара входит, естественно, в их стоимость. Поэтому снижение цены транзакции снижает себестоимость и увеличивает себестоимость товара. Важно отметить, что цена транзакции должна быть оплачена в любом случае, даже при отказе покупателя от заказа.

7.2.1 Идентификация (от позднелат. identifico - отождествляю), признание тождественности, отождествление объектов, опознание. Идентификация широко применяется в математике, технике и других науках (право и т.д.), например в алгоритмических языках используют символы-идентификаторы операций, в кассовых автоматах осуществляется Идентификация монет по их массе и форме и др. К основным задачам Идентификация относятся: распознавание образов, образование аналогий, обобщений и их классификация, анализ знаковых систем и др. Идентификация устанавливает соответствие распознаваемого предмета своему образу - предмету, называемому идентификатором. Идентификаторы, как правило, являются знаками взаимосоответствующих предметов; идентичные предметы считают равнозначными, то есть имеющими одинаковый смысл и значение.

7.2.2 Аутентификация – – процедура установления соответствия параметров, характеризующих пользователя, процесс или данные, заданным критериям. Аутентификация, как правило, применяется для проверки права доступа пользователя к тем или иным ресурсам, программам, данным. В качестве критерия соответствия обычно используется совпадение заранее введенной в систему и поступающей в процессе аутентификации информации, например, о пароле пользователя, его отпечатке пальца или структуре сетчатки глаза. В электронных платёжных системах аутентификация – это процедура, позволяющая продавцу и покупателю быть уверенными, что все стороны, участвующие в сделке, являются теми, за кого они себя выдают.

7.2.3 Авторизация – это процедура, в процессе которой вы вводите свое имя, например, при регистрации на сайте «одноклассники»(никнейм) и пароль, который вы также указываете при регистрации. После авторизации сервис сайта «узнаёт вас» именно под этим именем, предоставляя вам доступ на те страницы и к тем функциям, которые доступны для введенного имени. Авторизация в локальной сети выполняет те же функции.

7.3 Обеспечение безопасности банкоматов

Что такое банкомат и каковы его функции – общеизвестно. Средства обеспечения безопасности банкоматов обеспечивают многоуровневую защиту операций – организационную, механическую, оптическую, электронную, программную – вплоть до установки системы сигнализации с видеокамерой (оптическая защита). Возможна установка видеокамеры с видеомагнитофоном, которые фиксируют все действия пользователей с банкоматом.

Программная защита банкомата обеспечивается пин-кодом карточки и программным обеспечением для его распознавания. Организационная защита заключается в размещении части банкомата, где хранятся кассеты с банкнотами, в видном месте операционного зала или другого хорошо просматриваемого места либо в изолированном помещении. Заправка кассет проводится инкассаторами либо в конце рабочего дня, когда нет клиентов, либо при удалении клиентов из операционного зала. Для защиты от вандализма применяются специальные кабины, например, фирмы DIEBOLD. Кабина, в которой устанавливается один или несколько банкоматов, запираются с помощью электронных замков. Замки пропускают в кабину только владельцев карточек и защищаются системой сигнализации.

Механическая защита обеспечивается хранением кассет с банкнотами в сейфах различных конструкций (UL 291, RAL-RG 626/3, C1/C2). Они различаются габаритами, толщиной стенок, весом. Запираются сейфы различными замками с ключами, с одинарным или двойным цифровым ключом, с электронным ключом (электронная защита).

Для предотвращения взлома банкомата применяются датчики различного назначения с системой сигнализации. Тепловые датчики, например, выявляют попытки плазменной резки металла. Сейсмические датчики выявляют попытки увоза банкомата (электронная защита).

7.4 Обеспечение безопасности электронных платежей через сеть Интернет

ЭПС делятся на дебетовые и кредитные. Дебетовые ЭПС работают с электронными чеками и цифровой наличностью. Чеки (электронные деньги, например, деньги на счетах в банке), выпускает эмитент, управляющий ЭПС-мой. Используя выпущенные чеки, пользователи производят и принимают платежи в Интернет. Чек (аналог бумажного чека) – это электронное предписание клиента своему банку о перечислении денег. Внизу электронного чека – электронная цифровая подпись (ЭЦП). Защита информации в дебетовых ЭПС осуществляется именно с помощью ЭЦП, в которой используется система шифрования с открытым ключом.

Кредитные ЭПС используют кредитные карты, работа с которыми аналогична работе с картами в других системах. Отличие – все транзакции в кредитных ЭПС проводятся через Интернет. Поэтому в кредитных ЭПС также есть возможность перехвата в сети реквизитов карты злоумышленником. Защиту информации в кредитных ЭПС проводят защищёнными протоколами транзакций (например, протокол SSL (Secure Sockets Layer)), а также стандартом SET (Secure Electronic Transaction), призванным со временем заменить SSL при обработке транзакций, связанных с расчётами за покупки по кредитным картам через Интернет.

7.5 Программное обеспечение для защиты информации, хранящейся на персональных компьютерах

Большинство компьютеров в настоящее время подключено к Интернету. Кроме полезной информации в компьютер из Интернета может проникать и вредная информация. И если спам только засоряет компьютер, то Интернет может быть источником вирусов, хакерских атак на компьютер и другого вредоносного ПО. Для защиты информации, хранящейся на персональных компьютерах, от вредоносного ПО, служат различные антивирусные программы (АП), файрволлы, антихакеры, антитрояны. Основными из них являются АП и файрволлы. АП подробно рассмотрены в подразделе 7.8.

Файрволл (firewall), он же брандмауэр или сетевой экран - это программа, которая обеспечивает фильтрацию сетевых пакетов на различных уровнях, в соответствии с заданными правилами. Основная задача файрволла - это защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевой экран не пропускает пакеты, которые не подходят по критериям, определённым в конфигурации, т.е. задерживает вредоносное ПО от проникновения в компьютер. В Минске находится филиал, насчитывающий примерно 70 программистов (20% общей численности) известного разработчика брандмауэров – фирмы Check Point.

7.6 Методы организации разграничения доступа

Основными функциями системы разграничения доступа (СРД) являются:

Реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;

Реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

Изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

Управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;

Реализация правил обмена данными между субъектами для автоматизированных систем (АС) и средств вычислительной техники, построенных по сетевым принципам.

Функционирование СРД опирается на выбранный способ разграничения доступа. Наиболее прямой способ гарантировать защиту данных - это предоставить каждому пользователю вычислительную систему как его собственную. В многопользовательской системе похожих результатов можно добиться использованием модели виртуальной ЭВМ.

При этом каждый пользователь имеет собственную копию операционной системы. Монитор виртуального персонального компьютера для каждой копии операционной системы будет создавать иллюзию, что никаких других копий нет и что объекты, к которым пользователь имеет доступ, являются только его объектами. Однако при разделении пользователей неэффективно используются ресурсы автоматизированной системы (АС).

В АС, допускающих совместное использование объектов доступа, существует проблема распределения полномочий субъектов по отношению к объектам. Наиболее полной моделью распределения полномочий является матрица доступа. Матрица доступа является абстрактной моделью для описания системы предоставления полномочий.

Строки матрицы соответствуют субъектам, а столбцы - объектам; элементы матрицы характеризуют право доступа (читать, добавлять информацию, изменять информацию, выполнять программу и т.д.). Чтобы изменять права доступа, модель может, например, содержать специальные права владения и управления. Если субъект владеет объектом, он имеет право изменять права доступа других субъектов к этому объекту. Если некоторый субъект управляет другим субъектом, он может удалить права доступа этого субъекта или передать свои права доступа этому субъекту. Для того чтобы реализовать функцию управления, субъекты в матрице доступа должны быть также определены в качестве объектов.

Элементы матрицы установления полномочий (матрицы доступа) могут содержать указатели на специальные процедуры, которые должны выполняться при каждой попытке доступа данного субъекта к объекту и принимать решение о возможности доступа. Основами таких процедур могут служить следующие правила:

Решение о доступе основывается на истории доступов других объектов;

Решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав других субъектов);

Решение о доступе основывается на значении определенных внутрисистемных переменных, например значений времени и т.п.

В наиболее важных АС целесообразно использование процедур, в которых решение принимается на основе значений внутрисистемных переменных (время доступа, номера терминалов и т.д.), так как эти процедуры сужают права доступа.

Матрицы доступа реализуются обычно двумя основными методами - либо в виде списков доступа, либо мандатных списков. Список доступа приписывается каждому объекту, и он идентичен столбцу матрицы доступа, соответствующей этому объекту. Списки доступа часто размещаются в словарях файлов. Мандатный список приписывается каждому субъекту, и он равносилен строке матрицы доступа, соответствующей этому субъекту. Когда субъект имеет права доступа по отношению к объекту, то пара (объект - права доступа) называется мандатом объекта.

На практике списки доступа используются при создании новых объектов и определении порядка их использования или изменении прав доступа к объектам. С другой стороны, мандатные списки объединяют все права доступа субъекта. Когда, например, выполняется программа, операционная система должна быть способна эффективно выявлять полномочия программы. В этом случае списки возможностей более удобны для реализации механизма предоставления полномочий.

Некоторые операционные системы поддерживают как списки доступа, так и мандатные списки. В начале работы, когда пользователь входит в сеть или начинает выполнение программы, используются только списки доступа. Когда субъект пытается получить доступ к объекту в первый раз, список доступа анализируется и проверяются права субъекта на доступ к объекту. Если права есть, то они приписываются в мандатный список субъекта и права доступа проверяются в дальнейшем проверкой этого списка.

При использовании обоих видов списков список доступа часто размещается в словаре файлов, а мандатный список - в оперативной памяти, когда субъект активен. С целью повышения эффективности в техническом обеспечении может использоваться регистр мандатов.

Третий метод реализации матрицы доступа - так называемый механизм замков и ключей. Каждому субъекту приписывается пара (А, К), где А- определенный тип доступа, а К- достаточно длинная последовательность символов, называемая замком. Каждому субъекту также предписывается последовательность символов, называемая ключом. Если субъект захочет получить доступ типа А к некоторому объекту, то необходимо проверить, что субъект владеет ключом к паре (А, К), приписываемой конкретному объекту.

К недостаткам применения матриц доступа со всеми субъектами и объектами доступа можно отнести большую размерность матриц. Для уменьшения размерности матриц установления полномочий применяют различные методы сжатия:

Установление групп пользователей, каждая из которых представляет собой группу пользователей с идентичными полномочиями;

Распределение терминалов по классам полномочий;

Группировка элементов защищаемых данных в некоторое число категорий с точки зрения безопасности информации (например, по уровням конфиденциальности).

По характеру управления доступом системы разграничения разделяют на дискреционные и мандатные.

Дискреционное управление доступом дает возможность контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам и т.п.). Например, владельцам объектов предоставляется право ограничивать доступ к этому объекту других пользователей. При таком управлении доступом для каждой пары (субъект-объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта к данному объекту. Однако имеются и другие задачи управления доступом, которые не могут быть решены только дискреционным управлением. Одна из таких задач - позволить администратору АС контролировать формирование владельцами объектов списков управления доступом.

Мандатное управление доступом позволяет разделить информацию на некоторые классы и управлять потоками информации при пересечениях границ этих классов.

Во многих системах реализуется как мандатное, так и дискреционное управление доступом. При этом дискреционные правила разграничения доступа являются дополнением мандатных. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должны контролироваться не только единичный акт доступа, но и потоки информации.

Обеспечивающие средства для системы разграничения доступа выполняют следующие функции:

Идентификацию и опознавание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

Регистрацию действий субъекта и его процесса;

Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

Реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление системы защиты после НСД;

Тестирование всех функций защиты информации специальными программными средствами;

Очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными путем двукратной произвольной записи;

Учет выходных печатных и графических форм и твердых копий в АС;

Контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Для каждого события должна регистрироваться следующая информация, дата и время; субъект, осуществляющий регистрируемое действие; тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа); успешно ли осуществилось событие (обслужен запрос на доступ или нет).

Выдача печатных документов должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе общего количества листов (страниц). Вместе с выдачей документа может автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа.

Автоматическому учету подлежат создаваемые защищаемые файлы, каталоги, тома, области оперативной памяти персонального компьютера, выделяемые для обработки защищаемых файлов, внешних устройств и каналов связи.

Такие средства, как защищаемые носители информации, должны учитываться документально, с использованием журналов или картотек, с регистрацией выдачи носителей. Кроме того, может проводиться несколько дублирующих видов учета.

Реакция на попытки несанкционированного доступа (НСД) может иметь несколько вариантов действий:

Исключение субъекта НСД из работы АС при первой попытке нарушения ПРД или после превышения определенного числа разрешенных ошибок;

Работа субъекта НСД прекращается, а информация о несанкционированном действии поступает администратору АС и подключает к работе специальную программу работы с нарушителем, которая имитирует работу АС и позволяет администрации сети локализовать место попытки НСД.

Реализация системы разграничения доступа может осуществляться как программными, так и аппаратными методами или их сочетанием. В последнее время аппаратные методы защиты информации от НСД интенсивно развиваются благодаря тому, что: во-первых, интенсивно развивается элементная база, во-вторых, стоимость аппаратных средств постоянно снижается и, наконец, в-третьих, аппаратная реализация защиты эффективнее по быстродействию, чем программная.

7.7 Контроль целостности информации

Целостность информации – это отсутствие признаков её уничтожения или искажения. Целостность информации означает, что данные полны. Целостность – это условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление К задаче контроля целостности необходимо подходить с двух позиций. Во-первых, необходимо дать ответ на вопрос, с какой целью реализуется контроль целостности. Дело в том, что при корректном реализации разграничительной политики доступа к ресурсам их целостность не может быть несанкционированно нарушена. Отсюда напрашивается вывод, что целостность ресурсов следует контролировать в том случае, когда невозможно осуществить корректное разграничение доступа (например, запуск приложения с внешнего накопителя – для внешних накопителей замкнутость программной среды уже не реализовать), либо в предположении, что разграничительная политика может быть преодолена злоумышленником. Это вполне резонное предположение, т.к. СЗИ от НСД, обеспечивающую 100% защиту, построить невозможно даже теоретически. Во-вторых, необходимо понимать, что контроль целостности – это весьма ресурсоемкий механизм, поэтому на практике допустим контроль (а тем более с высокой интенсивностью, в противном случае, данный контроль не имеет смысла) лишь весьма ограниченных по объему объектов .

Принципиальная особенность защиты информации на прикладном уровне состоит в том, что реализация какой-либо разграничительной политики доступа к ресурсам (основная задача СЗИ от НСД) на этом уровне не допустима (потенциально легко преодолевается злоумышленником). На этом уровне могут решаться только задачи контроля, основанные на реализации функций сравнения с эталоном. При этом априори предполагается, что с эталоном могут сравниваться уже произошедшие события. Т.е. задача защиты на прикладном уровне состоит не в предотвращении несанкционированного события, а в выявлении и в фиксировании факта того, что несанкционированное событие произошло.

Рассмотрим достоинства и недостатки защиты на прикладном уровне, по сравнению с защитой на системном уровне. Основной недостаток состоит в том, что на прикладном уровне в общем случае невозможно предотвратить несанкционированное событие, т.к. контролируется сам факт того, что событие произошло, поэтому на подобное событие лишь можно отреагировать (максимально оперативно), с целью минимизаций его последствий.

Основное достоинство состоит в том, что факт того, что произошло несанкционированное событие, может быть зарегистрирован практически всегда, вне зависимости от того, с какими причинами связано его возникновение (так как регистрируется сам факт подобного события). Проиллюстрируем сказанное простым примером. Один из основных механизмов защиты в составе СЗИ от НСД является механизм обеспечения замкнутости программной среды (суть – не дать запускать любые сторонние процессы и приложения, вне зависимости от способа их внедрения на компьютер). Данная задача должна решаться на системном уровне. При решении задачи на системном уровне, драйвер средства защиты перехватывает все запросы на запуск исполняемого файла и анализирует их, обеспечивая возможность запуска лишь разрешенных процессов и приложений. При решении же аналогичной задачи на прикладном уровне осуществляется анализ того, какие процессы и приложения запущены, и если выявляется, что запущен несанкционированный процесс (приложение), он завершается средством защиты (реакция СЗИ от НСД на несанкционированное событие). Как видим, преимуществом реализации на системном уровне является то, что при этом должен в принципе предотвращаться запуск несанкционированных процессов (приложений), при реализации же на прикладном уровне, событие фиксируется по факту совершения, т.е. в данном случае – уже после того, как процесс запущен, как следствие, до момента его завершения средством защиты (если установлена такая реакция на такое событие), данным процессом может быть выполнено какое-либо несанкционированное действие (по крайней мере, его часть, почему важнейшим условием здесь и становится оперативное реагирование на обнаруженное событие). С другой стороны, а кто может гарантировать, что системный драйвер, решает данную задачу защиты корректно и в полном объеме, а потенциальная опасность, связанная с ошибками и закладками в системном и прикладном ПО и т.д.? Другими словами, никогда нельзя гарантировать, что системный драйвер не может быть обойден злоумышленником при определенных условиях. Что мы получим в первом случае – администратор даже не узнает о том, что совершен факт НСД. При реализации же решения задачи на прикладном уровне, уже не важна причина, приведшая к возникновению несанкционированного события, так как фиксируется сам факт проявления данного события (даже, если оно вызвано использованием ошибок и закладок ПО). В этом случае, мы зарегистрируем, что событие произошло, однако, не сумеем его предотвратить в полном объеме, лишь можем попытаться минимизировать последствия.

С учетом сказанного можем сделать следующий важный вывод. Механизмы защиты, призванные решать одну и ту же задачу на системном и на прикладном уровнях, ни в коем случае нельзя рассматривать в качестве альтернативных решений. Эти решения дополняют друг друга, так как предоставляют совершенно различные свойства защиты. Следовательно, при реализации эффективной защиты (в первую очередь, речь идет о корпоративных приложениях) наиболее критичные задачи должны решаться одновременно обоими способами: и на системном, и на прикладном уровнях.

7.8 Методы защиты от компьютерных вирусов

Точного термина, определяющего вирусную (вредоносную) программу (ВП, «компьютерный вирус») в науке до сих пор не существует. Впервые этот термин употребил сотрудник Лехайского университета (США) доктор Fred Cohen (Фрэд Коэн) в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. Определение, которое дал вирусу доктор Фрэд Коэн, звучало так – «Компьютерный вирус – это последовательность символов на ленте машины Тьюринга: «программа, которая способна инфицировать другие программы, изменяя их, чтобы внедрить в них максимально идентичную копию себя». Термин «компьютерный вирус» в западной литературе звучит как: «Самокопирующаяся программа, которая может «инфицировать» другие программы, изменяя их или их окружение так, что запрос к «инфицированной» программе подразумевает запрос к максимально идентичной, а в большинстве случаев - функционально подобной, копии «вируса».

Информация о первой ВП также отсутствует. Известно только, что в конце 60х - начале 70х годов 20-го столетия на машине Univac 1108 была создана очень популярная игра «ANIMAL», которая создавала свои копии в системных библиотеках. Об угрозах компьютерной безопасности за счёт вирусов мы уже беседовали на первом практическом занятии. Для парирования этих угроз существуют специальные антивирусные программы (АВ). Разработан специальный стандарт – СТБ П 34.101.8 «Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Общие требования». Согласно СТБ П 34.101.8 ВП – это программный код (исполняемый или интерпретируемый), обладающий свойством несанкционированного воздействия на «объект информационной технологии».

Виды вирусов. А. Троянская программа (trojan) – ВП, которая не способна создавать свои копии и не способна распространять свое тело в «объектах информационной технологии». Б. Дроппер (dropper) – ВП, которая не способна создавать свои копии, но внедряет в «объект информационной технологии» другую «вредоносную программу», бестелесые черви и др. (см. в презентации). Классификацию компьютерных вирусов по среде обитания см. в презентации.

Наиболее широко в Минске распространены следующие антивирусные программы (АВ) – Антивирус Касперского,например, Kaspersky Internet Security до версии 11, антивирус Bit Defender Internet Security, Panda Internet Security, Avast! Free Antivirus 5.0 Final, Avira AntiVir Personal Edition 10.0.0, антивирус Dr Web 6.0, АП ООО «Вирус БлокАда». Однако современные АП имеют целый ряд проблем, которые делятся на идеологические и технические.

Идеологические проблемы связаны, во-первых, с увеличением объема работ по анализу кода вируса из-за расширения понятия ВП, а во-вторых, со сложностью классификации ПО, которая зависит либо от конфигурации ПО либо от способа установки ПО. Принятие решения по устранению проблем с вирусами перекладывается в этом случае на пользователя.

Технические проблемы заключаются в постоянном появлении новых сложных ВП, а также в задержке детектирования ВП. Появление сложных ВП вызывает усложнение алгоритмов обнаружения и обезвреживания вирусов. Это, в свою очередь, приводит к перераспределению ресурсов компьютера: увеличение на АВ защиту, уменьшение на прикладные задачи. Разрулирование этой проблемы проводится обновлением парка компьютеров, а также оптимизацией алгоритмов АВ. Для реализации последнего мероприятия необходима реализация эмулятора процессора на языке ассемблера, а также использование динамического транслятора.

Для устранения задержки детектирования ВП изобретена технология MalwareScope, позволяющая детектировать неизвестных представителей известных семейств ВП без обновления антивирусных баз. Можно использовать также эвристический анализ, выявляющий наличие ошибок “false positive” и “false negative”. Метод этот, однако, характеризуется высокой трудоемкостью выявления типовых для семейства ВП фрагментов кода вируса. Для снижения трудоемкости разработан программный робот, автоматизирующий процесс корректировки эвристических записей. Кроме эвристического анализа ошибок можно использовать также поведенческие анализаторы/блокираторы, которые применимы однако только для защиты объекта, на котором установлены.

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

  • * программы идентификации и аутентификации пользователей КС;
  • * программы разграничения доступа пользователей к ресурсам КС;
  • * программы шифрования информации;
  • * программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Надо понимать, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта)5.

Также к программным средствам защиты информации относятся:

  • * программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
  • * программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
  • * программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
  • * программы тестового контроля защищенности КС и др.

К преимуществам программных средств защиты информации относятся:

  • * простота тиражирования;
  • * гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
  • * простота применения -- одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни каких новых (по сравнению с другими программами) навыков;
  • * практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.

Рис. 4

Рис. 5

К недостаткам программных средств защиты информации относятся:

  • * снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирование программ защиты;
  • * более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
  • * пристыкованность многих программных средств защиты (а не их устроенность в программное обеспечение КС, рис. 4 и 5), что создает для нарушителя принципиальную возможность их обхода;
  • * возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.

Безопасность на уровне операционной системы

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы .

Семейство операционных систем Windows 2000, Millenium - это клоны, изначально ориентированные на работу в домашних ЭВМ. Эти операционные системы используют уровни привилегий защищенного режима, но не делают никаких дополнительных проверок и не поддерживают системы дескрипторов безопасности. В результате этого любое приложение может получить доступ ко всему объему доступной оперативной памяти как с правами чтения, так и с правами записи. Меры сетевой безопасности присутствуют, однако, их реализация не на высоте. Более того, в версии Windows XP была допущена основательная ошибка, позволяющая удаленно буквально за несколько пакетов приводить к "зависанию" ЭВМ, что также значительно подорвало репутацию ОС, в последующих версиях было сделано много шагов по улучшению сетевой безопасности этого клона6.

Поколение операционных систем Windows Vista, 7 уже значительно более надежная разработка компании MicroSoft. Они являются действительно многопользовательскими системами, надежно защищающими файлы различных пользователей на жестком диске (правда, шифрование данных все же не производится и файлы можно без проблем прочитать, загрузившись с диска другой операционной системы - например, MS-DOS). Данные ОС активно используют возможности защищенного режима процессоров Intel, и могут надежно защитить данные и код процесса от других программ, если только он сам не захочет предоставлять к ним дополнительного доступа извне процесса.

За долгое время разработки было учтено множество различных сетевых атак и ошибок в системе безопасности. Исправления к ним выходили в виде блоков обновлений (англ. service pack).

Другая ветвь клонов растет от операционной системы UNIX. Эта ОС изначально разрабатывалась как сетевая и многопользовательская, а потому сразу же содержала в себе средства информационной безопасности. Практически все широко распространенные клоны UNIX прошли долгий путь разработки и по мере модификации учли все открытые за это время способы атак. Достаточно себя зарекомендовали: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Естественно все сказанное относится к последним версиям этих операционных систем. Основные ошибки в этих системах относятся уже не к ядру, которое работает безукоризненно, а к системным и прикладным утилитам. Наличие ошибок в них часто приводит к потере всего запаса прочности системы.

Основные компоненты:

Локальный администратор безопасности - несет ответственность за несанкционированный доступ, проверяет полномочия пользователя на вход в систему, поддерживает:

Аудит - проверка правильности выполнения действий пользователя

Диспетчер учетных записей - поддержка БД пользователей их действий и взаимодействия с системой.

Монитор безопасности - проверяет имеет ли пользователь достаточные права доступа на объект

Журнал аудита - содержит информацию о входах пользователей, фиксирует работы с файлами, папками.

Пакет проверки подлинности - анализирует системные файлы, на предмет того, что они не заменены. MSV10 - пакет по умолчанию.

Windows XP дополнена:

можно назначать пароли для архивных копий

средства защиты от замены файлов

система разграничения … путем ввода пароля и создания учета записей пользователя. Архивацию может проводить пользователь, у которого есть такие права.

NTFS: контроль доступа к файлам и папкам

В XP и 2000 - более полное и глубокое дифференцирование прав доступа пользователя.

EFS - обеспечивает шифрование и дешифрование информации (файлы и папки) для ограничения доступа к данным.

Криптографические методы защиты

Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.

Криптография занимается поиском и исследованием математических методов преобразования информации (7).

Современная криптография включает в себя четыре крупных раздела:

симметричные криптосистемы;

криптосистемы с открытым ключом;

системы электронной подписи;

управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Шифрование дисков

Зашифрованный диск - это файл-контейнер, внутри которого могут находиться любые другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру - тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».

На сегодняшний день наиболее распространенные программы для создания зашифрованных дисков - DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.

Общие черты программ: (8)

  • - все изменения информации в файле-контейнере происходят сначала в оперативной памяти, т.е. жесткий диск всегда остается зашифрованным. Даже в случае зависания компьютера секретные данные так и остаются зашифрованными;
  • - программы могут блокировать скрытый логический диск по истечении определенного промежутка времени;
  • - все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл. Очень эффективный метод скрытия информации, хранящейся в своп-файле - это вообще отключить его, при этом не забыв нарастить оперативную память компьютера;
  • - физика жесткого диска такова, что даже если поверх одних данных записать другие, то предыдущая запись полностью не сотрется. С помощью современных средств магнитной микроскопии (Magnetic Force Microscopy - MFM) их все равно можно восстановить. С помощью этих программ можно надежно удалять файлы с жесткого диска, не оставляя никаких следов их существования;
  • - все три программы сохраняют конфиденциальные данные в надежно зашифрованном виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой прикладной программы;
  • - они защищают зашифрованные файлы-контейнеры от случайного удаления;
  • - отлично справляются с троянскими приложениями и вирусами.

Способы идентификации пользователя

Прежде чем получить доступ к ВС, пользователь должен идентифицировать себя, а механизмы защиты сети затем подтверждают подлинность пользователя, т. е. проверяют, является ли пользователь действительно тем, за кого он себя выдает. В соответствии с логической моделью механизма защиты ВС размещены на рабочей ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным способом. Поэтому процедуры идентификации, подтверждения подлинности и наделения полномочиями выполняются в начале сеанса на местной рабочей ЭВМ.

В дальнейшем, когда устанавливаются различные сетевые протоколы и до получения доступа к сетевым ресурсам, процедуры идентификации, подтверждения подлинности и наделения полномочиями могут быть активизированы вновь на некоторых удаленных рабочих ЭВМ с целью размещения требуемых ресурсов или сетевых услуг.

Когда пользователь начинает работу в вычислительной системе, используя терминал, система запрашивает его имя и идентификационный номер. В соответствии с ответами пользователя вычислительная система производит его идентификацию. В сети более естественно для объектов, устанавливающих взаимную связь, идентифицировать друг друга.

Пароли - это лишь один из способов подтверждения подлинности. Существуют другие способы:

  • 1. Предопределенная информация, находящаяся в распоряжении пользователя: пароль, личный идентификационный номер, соглашение об использовании специальных закодированных фраз.
  • 2. Элементы аппаратного обеспечения, находящиеся в распоряжении пользователя: ключи, магнитные карточки, микросхемы и т.п..
  • 3. Характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства.
  • 4. Характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать манипуляторы и т.д.
  • 5. Привычки: использование специфических компьютерных заготовок.
  • 6. Навыки и знания пользователя, обусловленные образованием, культурой, обучением, предысторией, воспитанием, привычками и т.п.

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычислительной системы. Если процедура установления подлинности является односторонней, такую процедуру называют одностороннего подтверждения подлинности объекта (9).

Специализированные программные средства защиты информации.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

Firewalls - брандмауэры (дословно firewall -- огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью -- попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 6). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис. 7).


Рис. 7

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

Архитектурные аспекты безопасности

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника. Последней - если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.

Межсетевой экран - идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (см. рис. 8). Первичная фильтрация (например, блокирование пакетов управляющего протокола SNMP, опасного атаками на доступность, или пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором (см. также следующий раздел), за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации - Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).


Рис. 8

Вообще говоря, и внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным МЭ (или их компонентами) являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.

При развертывании межсетевых экранов следует соблюдать рассмотренные нами ранее принципы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об эшелонированности обороны, а также о невозможности перехода в небезопасное состояние. Кроме того, следует принимать во внимание не только внешние, но и внутренние угрозы.

Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один - два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Redundant Arrays of Inexpensive Disks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в "горячем" режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные технические решения, реализованные на нескольких уровнях:

RAID уровеня 0 предусматривает простое разделение потока данных между двумя или несколькими дисками. Преимущество подобного решения заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков.

RAID уровня 1 заключается в организации так называемых "зеркальных" дисков. Во время записи данных информация основного диска системы дублируется на зеркальном диске, а при выходе из строя основного диска в работу тут же включается "зеркальный".

RAID уровни 2 и 3 предусматривают создание параллельных дисковых массивов, при записи на которые данные распределяются по дискам на битовом уровне.

RAID уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива.

Повышение надежности и защита данных в сети, основанная на использовании избыточной информации, реализуются не только на уровне отдельных элементов сети, например дисковых массивов, но и на уровне сетевых ОС. Например, компания Novell реализует отказоустойчивые версии операционной системы Netware - SFT (System Fault Tolerance):

  • - SFT Level I. Первый уровень предусматривает,создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска.
  • - SFT Level II содержала дополнительно возможности создания "зеркальных" дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
  • - Версия SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является "главным", а второй, содержащий копию всей информации, вступает в работу в случае выхода "главного" сервера из строя.

Анализ защищенности

Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а "оперативные" бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.

Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Соответственно, ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практически постоянной актуализации.

В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д. Однако наиболее эффективными являются сетевые сканеры (очевидно, в силу доминирования семейства протоколов TCP/IP), а также антивирусные средства (10). Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности.

Сканеры могут выявлять уязвимые места как путем пассивного анализа, то есть изучения конфигурационных файлов, задействованных портов и т.п., так и путем имитации действий атакующего. Некоторые найденные уязвимые места могут устраняться автоматически (например, лечение зараженных файлов), о других сообщается администратору.

Контроль, обеспечиваемый системами анализа защищенности, носит реактивный, запаздывающий характер, он не защищает от новых атак, однако следует помнить, что оборона должна быть эшелонированной, и в качестве одного из рубежей контроль защищенности вполне адекватен. Известно, что подавляющее большинство атак носит рутинный характер; они возможны только потому, что известные бреши в защите годами остаются неустраненными.

К аппаратным методам защиты относят разные устройства по принципу работы, по техническим конструкциям которые реализуют защиту от разглашения, утечки и НСД доступу к источникам информации. Такие средства применяют для следующих задач:

  • Выявление линий утечки данных на разных помещения и объектах
  • Реализация специальных статистических исследований технических методов обеспечения деятельности на факт наличия линий утечки
  • Локализация линий утечки данных
  • Противодействие по НСД к источникам данных
  • поиск и обнаружение следов шпионажа

Аппаратные средства можно классифицировать по функциональному назначению на действия обнаружения, измерений, поиска, пассивного и активного противодействия. Также средства можно делить на простоту использования. Разработчики устройств пытаются все больше упростить принцип работы с устройством для обычных пользователей. К примеру группа индикаторов электромагнитных излучений вида ИП, которые обладают большим спектром входящих сигналов и низкой чувствительностью. Или же комплекс для выявления и нахождения радиозакладок, которые предназначены для обнаружения и определения местонахождения радиопередатчиков, телефонных закладок или сетевых передатчиков. Или же комплекс Дельта реализовывает:

  • автоматическое нахождение места нахождение микрофонов в пространстве определенного помещения
  • Точное обнаружение любых радиомикрофонов которые есть в продаже, и других излучающих передатчиков.

Поисковые аппаратные средства можно поделить на методы съем данных и ее исследование линий утечки. Устройства первого вида настроены на локализацию и поиск уже внедренных средств НСД, а второго типа для выявления линий утечки данных. Для использования профессиональной поисковой аппаратуры нужно большой квалификации пользователя. Как в другой любой сфере техники, универсальность устройства приводит к снижению его отдельных параметров. С другой точки зрения, есть очень много разных линий утечки данных по своей физической природе. Но большие предприятия могут себе позволить и профессиональную дорогую аппаратуру и квалифицированных сотрудников по этим вопросам. И естественно такие аппаратные средства будут лучше работать в реальных условиях, то бишь выявлять каналы утечек. Но это не значит, что не нужно использовать простые дешевые средства поиска. Такие средства просты в использовании и в ускоспециализированных задачах будут проявлять себя не хуже.

Аппаратные средства могут применяться и к отдельным частям ЭВМ, к процессору, оперативной памяти, внешних ЗУ, контроллерах ввода-вывода, терминалах и тд. Для защиты процессоров реализуют кодовое резервирование — это создание дополнительных битов в машинных командах и резервных в регистрах процессора. Для защиты ОЗУ реализуют ограничение доступа к границам и полям. Для обозначения уровня конфиденциальности программ или информации, применяются дополнительные биты конфиденциальности с помощью которых реализуется кодирование программ и информации. Данные в ОЗУ требуют защиты от НСД. От считывания остатков информация после обработки их в ОЗУ используется схема стирания. Эта схема записывает другую последовательность символов по весь блок памяти. Для идентификации терминала используют некий генератор кода, который зашит в аппаратуру терминала, и при подключении он проверяется.

Аппаратные методы защиты данных — это разные технические приспособления и сооружения, которые реализуют защиту информации от утечки, разглашения и НСД.

Программные механизмы защиты

Системы защиты рабочей станции от вторжения злоумышленником очень разнятся, и классифицируются:

  • Методы защиты в самой вычислительной системы
  • Методы личной защиты, которые описаны программным обеспечением
  • Методы защиты с запросом данных
  • Методы активной/пассивной защиты

Подробно про такую классификацию можно посмотреть на рис.1.

Рисунок — 1

Направления реализации программной защиты информации

Направления которые используют для реализации безопасности информации:

  • защита от копирования
  • защита от НСД
  • защита от вирусов
  • защита линий связи

ПО каждому из направлений можно применять множество качественных программных продуктов которые есть на рынке. Также Программные средства могут иметь разновидности по функционалу:

  • Контроль работы и регистрации пользователей и технических средств
  • Идентификация имеющихся технических средств, пользователей и файлов
  • Защита операционных ресурсов ЭВМ и пользовательских программ
  • Обслуживания различных режимов обработки данных
  • Уничтожение данных после ее использования в элементах системы
  • Сигнализирование при нарушениях
  • Дополнительные программы другого назначения

Сферы программной защиты делятся на Защиты данных (сохранение целостности/конфиденциальности) и Защиты программ (реализация качество обработки информации, есть коммерческой тайной, наиболее уязвимая для злоумышленника). Идентификация файлов и технических средств реализуется программно, в основе алгоритма лежит осмотр регистрационных номеров разных компонентов системы. Отличным методов идентификации адресуемых элементов есть алгоритм запросно-ответного типа. Для разграничения запросов различных пользователей к разным категориям информации применяют индивидуальные средства секретности ресурсов и личный контроль доступа к ним пользователями. Если к примеру одну и тот же файл могут редактировать разные пользователи, то сохраняется несколько вариантов, для дальнейшего анализа.

Защита информации от НСД

Для реализации защиты от вторжения нужно реализовать основные программные функции:

  • Идентификация объектов и субъектов
  • Регистрация и контроль действия с программами и действиями
  • Разграничения доступа к ресурсам системы

Процедуры идентификации подразумевают проверки есть ли субъект, который пытается получить доступ к ресурсам, тем за кого выдает себя. Такие проверки могут быть периодическими или одноразовыми. Для идентификации часто в таких процедурах используются методы:

  • сложные,простые или одноразовые пароли;
  • значки,ключи,жетоны;
  • специальные идентификаторы для апаратур, данных, программ;
  • методы анализа индивидуальных характеристик (голос, пальцы, руки, лица).

Практика показывает что пароли для защиты есть слабым звеном, так как его на практике можно подслушать или подсмотреть или же разгадать. Для создания сложного пароля, можно прочитать эти рекомендации . Объектом, доступ к которому тщательно контролируется, может быть запись в файле, или сам файл или же отдельное поле в записи файла. Обычно множество средств контроля доступа черпает данные с матрицы доступа. Можно также подойти к контролю доступа на основе контроле информационных каналов и разделении объектов и субъектов доступа на классы. Комплекс программно-технических методов решений в безопасности данных от НСД реализуется действиями:

  • учет и регистрация
  • управление доступом
  • реализация средств

Также можно отметить формы разграничения доступа:

  • Предотвращение доступа:
      • к отдельным разделам
      • к винчестеру
      • к каталогам
      • к отдельным файлам

    к сменным носителям данных

  • защита от модификации:
    • каталогов
    • файлов
  • Установка привилегий доступа к группе файлов
  • Предотвращение копирования:
    • каталогов
    • файлов
    • пользовательских программ
  • Защита от уничтожения:
    • файлов
    • каталогов
  • Затемнение экрана спустя некоторое время.

Общие средства защиты от НСД показаны на рис.2.

Рисунок — 2

Защита от копирования

Методы защиты от копирования предотвращают реализацию ворованных копий программ. Под методами защиты от копирования подразумевается средства, которые реализуют выполнения функций программы только при наличия уникального некопируемого элемента. Это может быть часть ЭВМ или прикладные программы. Защита реализуется такими функциями:

  • идентификация среды, где запускается программа
  • аутентификация среды, где запускается программа
  • Реакция на старт программы из несанкционированной среды
  • Регистрация санкционированного копирования

Защита информации от удаления

Удаление данных может реализовываться при ряда мероприятий таких как, восстановление, резервирование, обновления и тд. Так как мероприятия очень разнообразны, подогнать их под они правила тяжело. Также это может быть и вирус, и человеческий фактор. И хоть от вируса есть противодействие, это антивирусы. А вот от действий человека мало противодействий. Для уменьшения рисков от такой есть ряд действий:

  • Информировать всех пользователей про ущерб предприятия при реализации такой угрозы.
  • Запретить получать/открывать программные продукты, которые есть посторонние относительно информационной системы.
  • Также запускать игры на тех ПК где есть обработка конфиденциальной информации.
  • Реализовать архивирование копий данных и программ.
  • Проводить проверку контрольных сумм данных и программ.
  • Реализовать СЗИ.

Програмные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К ним относятся:

Программное обеспечение (совокупность управляющих и обрабатывающих программ). Состав:

Системные программы (операционные системы, программы технического обслуживания);

Прикладные программы (программы, которые предназначены для решения задач определенного типа, например редакторы текстов, антивирусные программы, СУБД и т.п.);

Инструментальные программы (системы программирования, состоящие из языков программирования: Turbo C, Microsoft Basic и т.д. и трансляторов – комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды);

Машинная информация владельца, собственника, пользователя.

Подобную детализацию я провожу, чтобы потом более четко понять суть рассматриваемого вопроса, чтобы более четко выделить способы совершения компьютерных преступлений, предметов и орудий преступного посягательства, а также для устранения разногласий по поводу терминологии средств компьютерной техники. После детального рассмотрения основных компонентов, представляющих в совокупности содержание понятия компьютерного преступления, можно перейти к рассмотрению вопросов, касающихся основных элементов криминалистической характеристики компьютерных преступлений.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

Идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;

Определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;

Контроль работы технических средств и пользователей;

Регистрация работы технических средств и пользователей при обработки информации ограниченного использования;

Уничтожения информации в ЗУ после использования;

Сигнализации при несанкционированных действиях;

Вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Антивирусная защита

Безопасность информации - один из важнейших параметров любой компьютерной системы. Для ее обеспечения создано большое количество программных и аппаратных средств. Часть из них занимается шифрованием информации, часть - разграничением доступа к данным. Особую проблему представляют собой компьютерные вирусы. Это отдельный класс программ, направленных на нарушение работы системы и порчу данных. Среди вирусов выделяют ряд разновидностей. Некоторые из них постоянно находятся в памяти компьютера, некоторые производят деструктивные действия разовыми "ударами". Существует так же целый класс программ, внешне вполне благопристойных, но на самом деле портящих систему. Такие программы называют "троянскими конями". Одним из основных свойств компьютерных вирусов является способность к "размножению" - т.е. самораспространению внутри компьютера и компьютерной сети.

С тех пор, как различные офисные прикладные программные средства получили возможность работать со специально для них написанными программами (например, для Microsoft Office можно писать приложения на языке Visual Basic) появилась новая разновидность вредоносных программ - т.н. МакроВирусы. Вирусы этого типа распространяются вместе с обычными файлами документов, и содержатся внутри них в качестве обычных подпрограмм.

Не так давно (этой весной) прокатилась эпидемия вируса Win95.CIH и его многочисленных подвидов. Этот вирус разрушал содержимое BIOS компьютера, делая невозможной ее работу. Часто приходилось даже выбрасывать испорченные этим вирусом материнские платы.

С учетом мощного развития средств коммуникации и резко возросших объемов обмена данными проблема защиты от вирусов становится очень актуальной. Практически, с каждым полученным, например, по электронной почте документом может быть получен макровирус, а каждая запущенная программа может (теоретически) заразить компьютер и сделать систему неработоспособной.

Поэтому среди систем безопасности важнейшим направлением является борьба с вирусами. Существует целый ряд средств, специально предназначенных для решения этой задачи. Некоторые из них запускаются в режиме сканирования и просматривают содержимое жестких дисков и оперативной памяти компьютера на предмет наличия вирусов. Некоторые же должны быть постоянно запущены и находиться в памяти компьютера. При этом они стараются следить за всеми выполняющимися задачами.

На российском рынке программного обеспечения наибольшую популярность завоевал пакет AVP, разработанный лабораторией антивирусных систем Касперского. Это универсальный продукт, имеющий версии под самые различные операционные системы.

Антивирус Касперского (AVP) использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Различные версии продукта поддерживают все популярные операционные системы, почтовые шлюзы, межсетевые экраны (firewalls), web-серверы. Система позволяет контролировать все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту и мобильные носители информации. Средства управления Антивируса Касперского позволяют автоматизировать важнейшие операции по централизованной установке и управлению, как и на локальном компьютере, так и в случае комплексной защиты сети предприятия. Лаборатория Касперского предлагает три готовых решения антивирусной защиты, расчитанные на основные категории пользователей. Во-первых, антивирусная защита для домашних пользователей (одна лицензия для одного компьютера). Во-вторых, антивирусная защита для малого бизнеса (до 50 рабочих станций в сети). В третьих, антивирусная защита для корпоративных пользователей (свыше 50 рабочих станций в сети).Безвозвратно прошли времена, когда для полной уверенности в сохранности от "заразы" было достаточно не пользоваться "случайными" дискетами и раз-другой в неделю запускать на машине утилиту Aidstest R, проверяющую жесткий диск компьютера на наличие подозрительных объектов. Во-первых, расширился спектр областей, в которых эти объекты могут оказаться. Электронная почта с присоединенными "вредными" файлами, макровирусы в офисных (в основном речь идет о Microsoft Office) документах, "троянские кони" - все это появилось сравнительно недавно. Во-вторых, перестал оправдывать себя подход периодических ревизий жесткого диска и архивов - такие проверки приходилось бы проводить слишком часто, и они отнимали бы слишком много ресурсов системы.

На смену устаревшим системам защиты пришло новое поколение, способное отследить и нейтрализовать "угрозу" на всех ответственных участках - от электронной почты до копирования файлов между дисками. При этом современные антивирусы организовывают постоянную защиту - это означает, что они постоянно находятся в памяти и анализируют обрабатываемую информацию.

Одним из наиболее известных и повсеместно применяемых пакетов антивирусной защиты является AVP от Лаборатории Касперского. Этот пакет существует в большом количестве различных вариантов. Каждый из них предназначен для решения определенного круга задач обеспечения безопасности, и обладает рядом специфических свойств.

Системы защиты, распространяемые Лабораторией Касперского, разделяются на три основных категории, в зависимости от видов решаемых ими задач. Это защита для малого бизнеса, защита для домашних пользователей и защита для корпоративных клиентов.

В AntiViral Toolkit Pro входят программы, позволяющие защищать рабочие станции, управляемые различными ОС - сканеры AVP для DOS, Windows 95/98/NT, Linux, мониторы AVP для Windows 95/98/NT, Linux, файловые сервера - монитор и сканер AVP для Novell Netware, монитор и сканер для NT сервера, WEB-сервера - ревизор диска AVP Inspector для Windows, почтовые сервера Microsoft Exchange - AVP для Microsoft Exchange и шлюзы.

AntiViral Toolkit Pro включает в себя программы-сканеры и программы-мониторы. Мониторы позволяют организовать более полный контроль, необходимый на самых ответственных участках сети.

В сетях Windows 95/98/NT AntiViral Toolkit Pro позволяет проводить с помощью программного комплекса AVP Сетевой Центр Управления централизованное администрирование всей логической сети с рабочего места ее администратора.

Концепция AVP позволяет легко и регулярно обновлять антивирусные программы, путем замены антивирусных баз - набора файлов с расширением.AVC, которые на сегодняшний день позволяют обнаруживать и удалять более 50000 вирусов. Обновления к антивирусным базам выходят и доступны с сервера Лаборатории Касперского ежедневно. На данный момент пакет антивирусных программ AntiViral Toolkit Pro (AVP) имеет одну из самых больших в мире антивирусных баз.


Похожая информация.


Популярное в рубрике:
Что такое подключаемые модули в Яндекс
Что такое подключаемые модули в Яндекс
читать
Почему телефон не заряжается от зарядного устройства
Почему телефон не заряжается от зарядного устройства
читать
Ручная установка драйверов windows 7
Ручная установка драйверов windows 7
читать
Подключаем тв к компьютеру
Подключаем тв к компьютеру
читать

Последние Статьи
Как проверить баланс на Билайне?
читать
Операционный усилитель LM324
читать
Как раскрутить группу в ВК самому бесплатно
читать
Как изменить настройки и подключить...
читать
0 подключение передней панели
читать
Пентиум 2 дуо. Процессоры. Новые команды...
читать
Как перепрошить андроид в домашних условиях...
читать
Пропал полностью звук на компьютере
читать
Top