Программные средства обеспечения защиты информации используют метод. Программные средства защиты информации в сетях. Как видно из Приложения Д, принципиально новыми по сравнению с сервисами, применявшимися для построения системы защиты от угроз нарушения

Требования к программно-техническим средствам защиты информации сформулированы в руководящих документах ФСТЭК России. В приказе ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" представлены меры по обеспечению безопасности персональных данных при их обработке в информационных системах. Это защита от неправомерного или случайного доступа к данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора.

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

Межсетевой экран

Межсетевой экран – это комплекс аппаратных и (или) программных мер, осуществляющих фильтрацию проходящих через него сетевых пакетов. Его основной задачей является защита компьютерных сетей или отдельных устройств от несанкционированного доступа.

Например, новая сертифицированная версия интернет- шлюза – межсетевого экрана Интернет Контроль Сервер (ИКС) – предназначена для защиты конфиденциальной информации и персональных данных. Имеет сертификат ФСТЭК от 19 апреля 2012 г. № 2623. Основные характеристики экрана:

  • соответствует требованиям РД "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" по 4-му классу защищенности;
  • пользователи И КС могут иметь 4-й, 3-й и 2-й классы ИСПДн (информационной системы персональных данных);
  • может быть использован в составе информационных систем персональных данных до класса защищенности КЗ включительно;
  • возможность восстановления свойств межсетевого экрана в случае сбоя или отказа оборудования;
  • возможность проверки подлинности сетевых адресов, благодаря фильтрации с учетом входного и выходного сетевого интерфейса;
  • возможность фильтрации с учетом любых значимых полей сетевых пакетов;
  • независимая фильтрация каждого сетевого пакета;
  • организация контроля целостности информационной и программной частей;
  • фильтрация пакетов служебных протоколов, использующихся для диагностики и регулирования работ сетевых устройств;
  • аутентификация и идентификация администратора в случае его локальных запросов на доступ;
  • осуществление контроля HTTP-трафика и реализация политики доступа на основании URL и REG-EXP посредством сертифицированного прокси-сервера;
  • система журналирования заблокированного сетевого трафика;
  • целостность программной части продукта осуществляется системой контроля с использованием контрольных сумм;
  • при необходимости: возможность покупки сертифицированного аппаратного межсетевого экрана.

Что же такое межсетевой экран (брандмауэр)?

Брандмауэр – это совокупность аппаратных средств и программного обеспечения, которая связывает две и большее число сетей и одновременно является центральным пунктом управления безопасностью. Брандмауэры могут реализовываться как программно, так и аппаратно-программно. В начале XXI в. все большее внимание уделяется вопросам применения аппаратных брандмауэров. Они являются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой операционной системой, адаптированной под выполняемые функции.

Обычно брандмауэр устанавливается между корпоративной сетью организации и Интернетом как способ закрыть доступ остальному миру к корпоративной сети. Сразу следует сказать, что брандмауэр не может защитить корпоративную ееть от вирусов – для этой цели служат специальные антивирусные программы.

Для удовлетворения потребностей широкого диапазона пользователей имеются три типа брандмауэров: сетевого уровня, уровня приложения и уровня соединения. В брандмауэрах каждого типа используется несколько различных подходов для защиты корпоративных сетей. Сделав наиболее оптимальный выбор, можно лучше разработать брандмауэр.

Брандмауэр сетевого уровня – это обычно маршрутизатор или специальный компьютер, который исследует адреса пакетов и затем решает, передать ли пакет в (из) корпоративную сеть или отклонить его. Как известно, пакеты, наряду с другой информацией, содержат IP-адреса отправителя и получателя. Можно было бы, например, сконфигурировать свой брандмауэр сетевого уровня так, чтобы он блокировал все сообщения из того или иного узла. Обычно пакеты блокируются с помощью файла, который содержит набор IP-адресов некоторых узлов. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как адреса отправителя или получателя. Обнаружив пакет, который содержит подобный IP-адрес, маршрутизатор отклонит его, не позволяя попасть в корпоративную сеть. Подобное блокирование конкретных узлов иногда называется занесением в черный список. Обычно программное обеспечение маршрутизатора позволяет помещать в черный список весь узел, но не конкретного пользователя.

Пакет, пришедший на маршрутизатор, может содержать сообщение электронной почты, запрос на услугу типа HTTP (доступ к веб-странице), ftp (возможность пересылки или загрузки файла) или даже запрос telnet на вход в корпоративную систему (удаленный доступ к компьютеру). Маршрутизатор сетевого уровня распознает каждый тип запроса и выполняет конкретные ответные действия. Так, можно запрограммировать маршрутизатор, разрешив пользователям Интернета просматривать веб-страницы организации, но не позволять им использовать ftp, чтобы передавать файлы на корпоративный сервер или из него.

Правильно установленный и сконфигурированный брандмауэр сетевого уровня будет очень быстродействующим и "прозрачным" для пользователей. Конечно, для пользователей, помещенных в черный список, маршрутизатор оправдает свое название (брандмауэр) с точки зрения эффективности задержания нежелательных посетителей.

Как правило, маршрутизаторы поставляются с соответствующим программным обеспечением. Для программирования маршрутизатора в специализированный файл вводятся соответствующие правила, которые указывают маршрутизатору, как обрабатывать каждый входящий пакет.

В качестве брандмауэра уровня приложения обычно используется главный компьютер сети, выполняющий программное обеспечение, известное как сервер-посредник (proxy-, или прокси-сервер). Сервер-посредник – это программа, управляющая трафиком между двумя сетями. При использовании брандмауэра уровня приложения корпоративная сеть и Интернет физически не соединены. Трафик одной сети никогда не смешивается с трафиком другой, потому что их кабели разъединены. Работа прокси-сервера заключается в передаче изолированных копий пакетов из одной сети в другую. Этот тип брандмауэра эффективно маскирует происхождение инициализации соединения и защищает корпоративную сеть от пользователей Интернета, пытающихся раздобыть информацию из этой сети.

Прокси-серверы понимают сетевые протоколы, поэтому можно конфигурировать такой сервер и установить набор услуг, предоставляемых корпоративной сетью.

При установке прокси-сервера уровня приложения пользователи должны применять клиентские программы, которые поддерживают режим посредника.

Таким образом, брандмауэры уровня приложения позволяют контролировать тип и объем трафика, поступающего на узел. Они обеспечивают надежный физический барьер между корпоративной сетью и Интернетом и потому являются хорошим вариантом в ситуациях, когда требуется повышенная безопасность. Однако поскольку программа должна анализировать пакеты и принимать решения по управлению доступом, брандмауэры уровня приложения могут уменьшать эффективность сети. Если планируется использовать такой брандмауэр, то для установки прокси-сервера необходимо использовать самый быстродействующий компьютер.

Брандмауэр уровня соединения подобен брандмауэру уровня приложения – оба они являются серверами-посредниками. Однако для брандмауэра уровня соединения не нужно использовать специальные приложения, поддерживающие режим посредника для клиента.

Брандмауэр уровня соединения устанавливает связь между клиентом и сервером, не требуя, чтобы каждое приложение знало что-либо о сервисе.

Преимущество брандмауэра уровня соединения заключается в том, что он обеспечивает сервис для широкого класса протоколов, в то время как брандмауэр уровня приложения требует посредника этого уровня для всех и каждого вида сервиса. Так, используя брандмауэр уровня соединения для HTTP, ftp или, например, telnet, нет необходимости принимать какие-либо специальные меры или вносить изменения в приложения – можно просто использовать существующее программное обеспечение. Другая полезная особенность брандмауэров уровня соединения связана с тем, что можно работать только с одним сервером-посредником, что проще, чем регистрировать и контролировать несколько серверов.

Создавая брандмауэр, необходимо определить, какой трафик надо пропустить через свою корпоративную сеть. Как отмечалось выше, можно выбрать маршрутизатор, который будет фильтровать выбранные пакеты, или использовать некоторый тип программы посредника, которая будет выполняться на главном компьютере сети. В свою очередь, архитектура брандмауэра может включать обе эти конфигурации. Другими словами, можно максимально повысить безопасность корпоративной сети, объединяя в брандмауэре и маршрутизатор, и сервер-посредник.

Существуют три наиболее популярные типа архитектуры брандмауэра:

  • двусторонний главный брандмауэр;
  • фильтрующий главный брандмауэр;
  • фильтрующий брандмауэр подсети.

В фильтрующем главном брандмауэре и фильтрующем брандмауэре подсети используется комбинация маршрутизатора и сервера-посредника.

Двусторонний главный брандмауэр – это простая, но обеспечивающая очень высокую степень безопасности конфигурация, в которой один главный компьютер играет роль разделительной линии между корпоративной сетью и Интернетом. В главном компьютере используются две отдельные сетевые платы для соединения с каждой сетью. Используя двусторонний главный брандмауэр, необходимо блокировать возможности маршрутизации компьютера, потому что он не соединяет две сети. Один из недостатков этой конфигурации заключается в том, что можно просто по неосторожности разрешить доступ к внутренней сети.

Двусторонний главный брандмауэр работает, выполняя программу сервера-посредника уровня приложения либо уровня соединения. Как уже говорилось, программа-посредник управляет передачей пакетов из одной сети в другую. Будучи двусторонним (соединенным с двумя сетями), главный компьютер брандмауэра видит пакеты в обеих сетях, что позволяет ему выполнять программу-посредник и управлять трафиком между сетями.

Фильтрующий главный брандмауэр обеспечивает более высокую степень безопасности, чем двусторонний. Добавляя маршрутизатор и помещая этим главный компьютер дальше от Интернета, можно получить очень эффективный и простой в работе брандмауэр. Маршрутизатор соединяет Интернет с корпоративной сетью и одновременно фильтрует типы проходящих через него пакетов. Можно конфигурировать маршрутизатор так, чтобы он видел только один главный компьютер. Пользователи корпоративной сети, желающие соединиться с Интернетом, должны делать это только через главный компьютер. Таким образом, для внутренних пользователей имеется прямой доступ в Интернет, но доступ внешних пользователей ограничен главным компьютером.

Фильтрующий брандмауэр подсети еще более изолирует корпоративную сеть от Интернета, включая между ними промежуточную периферийную сеть. В фильтрующем брандмауэре подсети главный компьютер помещается на этой периферийной сети, к которой пользователи имеют доступ через два отдельных маршрутизатора. Один из них управляет трафиком корпоративной сети, а второй – трафиком Интернета.

Фильтрующий брандмауэр подсети обеспечивает чрезвычайно эффективную защиту от нападения. Он изолирует главный компьютер в отдельной сети, что уменьшает вероятность успешного нападения на главный компьютер и дополнительно понижает шансы нанесения ущерба корпоративной сети.

Из всего вышесказанного можно сделать следующие выводы.

  • 1. Брандмауэр может быть весьма простым – единственным маршрутизатором, или же весьма сложным – системой маршрутизаторов и хорошо защищенных главных компьютеров.
  • 2. Можно установить брандмауэры внутри корпоративной сети, чтобы усилить меры безопасности для отдельных ее сегментов.
  • 3. Кроме обеспечения безопасности, необходимо обнаруживать и предотвращать проникновение компьютерных вирусов. Брандмауэры этого делать не могут.

Применяя межсетевые экраны, нельзя недооценивать возможности защиты, предоставляемые системным программным обеспечением. Например, операционная система (ОС) "Фебос" реализует следующие функции:

  • идентификацию и аутентификацию пользователя на основе пароля с последующим предоставлением доступа к информационным ресурсам в соответствии с его полномочиями;
  • контроль и управление доступом к информационным ресурсам в соответствии с дискреционной и мандатной политикой безопасности;
  • регистрацию и аудит всех общественных событий, критических ситуаций, успешных и неуспешных попыток идентификации и аутентификации, осуществленных и отвергнутых операций доступа к информационным ресурсам, изменений атрибутов безопасности субъектов и объектов;
  • локальное и удаленное администрирование, управление полномочиями пользователей в соответствии с политикой безопасности;
  • контроль целостности средств защиты и системных компонентов защищенной ОС "Фебос".

Криптография

Криптография, ранее являвшаяся стратегической технологией, теперь благодаря быстрому развитию корпоративных сетей и Интернета проникла в широкие сферы деятельности и стала применяться большим количеством пользователей.

Технология криптографии и протоколы шифрования данных специально созданы для применения в условиях, когда принимающая и передающая стороны не уверены в том, что переданная информация не будет перехвачена третьей стороной. Конфиденциальность переданной информации будет обеспечена, т. к. хотя она и перехвачена, но без расшифровки использовать ее невозможно.

Рассмотрим основные понятия шифрования, применяемые для защиты данных при их передаче в корпоративных сетях, в электронных и цифровых платежных системах Интернета.

Шифрование закрытым ключом. Шифрование по какому-либо алгоритму означает преобразование исходного сообщения в зашифрованное. Это подразумевает создание секретного ключа – пароля, без которого невозможно раскодировать сообщение.

Такой ключ должен быть засекречен, иначе сообщение легко будет прочитано нежелательными лицами.

Наиболее известные и применяемые в США и Европе криптографические алгоритмы шифрования данных закрытым ключом – DES, IDEA, RC2 – RC5.

Шифрование открытым ключом. Шифрование сообщения открытым ключом подразумевает создание двух полностью независимых друг от друга ключей – открытого и закрытого. С помощью открытого ключа можно зашифровать сообщение, но расшифровать его возможно, только применяя закрытый ключ. Свободно распространяя открытый ключ, вы даете возможность шифровать и посылать вам шифрованные сообщения, которые кроме вас никто расшифровать не сможет.

Для осуществления двусторонней коммуникации стороны создают каждая свою пару ключей и затем обмениваются открытыми ключами. Передаваемые сообщения шифруются каждой стороной с применением открытых ключей партнера, а расшифровка производится при использовании своих собственных закрытых ключей.

Алгоритм открытого распределения ключей. Другой вариант работы с открытыми ключами – алгоритм открытого распределения ключей (алгоритм Диффи – Хеллмана). Он позволяет сформировать один общий секретный ключ для шифрования данных без передачи его по каналу связи.

Этот алгоритм также основан на использовании пары ключей (открытый/закрытый) и формируется следующим образом:

  • обе стороны создают свои пары ключей;
  • после этого они обмениваются открытыми ключами;
  • из комбинации двух ключей – свой (закрытый) и чужой (открытый), применяя данный алгоритм, генерируется одинаковый и единственный для двух сторон закрытый (секретный) ключ;
  • после этого сообщения шифруются и расшифровываются единственным закрытым ключом.

Технология цифровой подписи. Цифровая подпись введена в практику на основании Федерального закона от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи". Этот закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.

Технология цифровой подписи позволяет однозначно определить владельца передаваемой информации. Это необходимо в электронных и цифровых платежных системах и применяется в электронной коммерции.

Для создания цифровой подписи применяется алгоритм хеширования – специальный математический алгоритм, используя который, формируют из какого-либо файла другой небольшой хеш-файл.

После этого осуществляются следующие действия:

  • полученный хеш-файл шифруется с помощью закрытого ключа и полученное зашифрованное сообщение является цифровой подписью;
  • исходный незашифрованный файл вместе с цифровой подписью отсылается другой стороне.

Теперь принимающая сторона может проверить подлинность принимаемого сообщения и передающую сторону. Это можно сделать следующим образом:

  • с помощью открытого ключа получатель расшифровывает цифровую подпись, восстанавливает хеш-файл;
  • используя алгоритм хеширования, получатель создает свой хеш-файл из исходного полученного файла;
  • получатель сравнивает две копии хеш-файлов. Совпадение этих файлов означает подлинность передающей стороны и полученной информации.

Слепая подпись (blind signature). Этот важный алгоритм применяется в системах электронных платежей и является разновидностью цифровой подписи.

Данный алгоритм подразумевает обмен сообщениями таким образом, что принимающая сторона не может расшифровать полученное сообщение, но может быть вполне уверена, с кем имеет дело. Например, клиенту электронного магазина нежелательно передавать свой номер кредитной карты, а продавцу необходимо точно знать, с кем он имеет дело. Посредником в коммерческих операциях выступает банк, который проверяет подлинность и продавца, и покупателя и затем производит перевод денег со счета клиента па счет продавца.

Соответствующие протоколы шифрования и интерфейсы прикладного программирования входят в состав системного программного обеспечения компьютерных сетей.

Защита от компьютерных вирусов

Компьютерные вирусы и черви – это небольшие программы, которые разработаны для распространения от одного компьютера к другому и вмешательства в работу компьютера. Компьютерные вирусы часто распространяются во вложенных файлах в сообщениях электронной почты или мгновенных сообщениях. Поэтому никогда не стоит открывать вложения в электронных письмах, если вы не знаете, от кого оно, и не ожидаете его. Вирусы могут прилагаться в виде забавных изображений, поздравительных открыток. Компьютерные вирусы также распространяются путем загрузки из Интернета. Они могут скрываться в незаконном программном обеспечении или других файлах или программах, которые вы можете загрузить.

Проблема возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети "вируса Морриса" фактически началось более-менее целенаправленное развитие антивирусных средств.

Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово "вирус" латинского происхождения и означает "яд". Компьютерный вирус – это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование.

Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкционированные пользователем действия.

Способ функционирования большинства вирусов – это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один момент, когда происходит некоторое "событие вызова".

При разработке современных компьютерных вирусов используется много технических новшеств, однако бо́льшая часть вирусов является имитацией и модификацией нескольких классических схем.

Вирусы можно классифицировать по типу поведения следующим образом .

Загрузочные вирусы проникают в загрузочные сектора устройств хранения данных (жесткие диски, дискеты, переносные запоминающие устройства). При загрузке операционной системы с зараженного диска происходит активация вируса. Его действия могут состоять в нарушении работы загрузчика операционной системы, что приводит к невозможности ее работы, либо изменении файловой таблицы, что делает недоступным определенные файлы.

Файловые вирусы чаще всего внедряются в исполнительные модули программ (файлы, с помощью которых производится запуск той или иной программы), что позволяет им активироваться в момент запуска программы, влияя на ее функциональность. Реже файловые вирусы могут внедряться в библиотеки операционной системы или прикладного ПО, исполнительные пакетные файлы, файлы реестра Windows, файлы сценариев, файлы драйверов. Внедрение может проводиться либо изменением кода атакуемого файла, либо созданием его модифицированной копии. Таким образом, вирус, находясь в файле, активируется при доступе к этому файлу, инициируемому пользователем или самой ОС. Файловые вирусы – наиболее распространенный вид компьютерных вирусов.

Файлово-загрузочные вирусы объединяют в себе возможности двух предыдущих групп, что позволяет им представлять серьезную угрозу работе компьютера.

Сетевые вирусы распространяются посредством сетевых служб и протоколов, таких как рассылка почты, доступ к файлам по FTP, доступ к файлам через службы локальных сетей. Это делает их очень опасными, так как заражение не остается в пределах одного компьютера или даже одной локальной сети, а начинает распространяться по разнообразным каналам связи.

Документные вирусы (их часто называют макровирусами) заражают файлы современных офисных систем (Microsoft Office, Open Office,...) через возможность использования в этих системах макросов. Макрос – это заранее определенный набор действий, микропрограмма, встроенная в документ и вызываемая непосредственно из него для модификации этого документа или других функций. Именно макрос и является целью макровирусов.

Наилучший способ защитить свою систему от вирусов – регулярно использовать антивирусные программы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сигнатура – это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов.

При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.

В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатурами в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован.

Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет.

Имеется три основных метода поиска вирусов с помощью антивирусных программ.

В первом методе поиск вируса производится при начальной загрузке. При этом команду запуска антивирусной программы включают в файл AUTOEXEC.BAT.

Бесспорно, этот метод эффективен, но при его использовании увеличивается время начальной загрузки компьютера, и многим пользователям он может показаться слишком обременительным. Преимущество же его в том, что просмотр при загрузке происходит автоматически.

Второй метод заключается в том, что пользователь вручную выполняет сканирование системы с помощью антивирусной программы. Этот метод может быть столь же эффективным, как и первый, если он выполняется добросовестно, как и резервное копирование. Недостатком этого метода является то, что могут пройти недели, а то и месяцы, пока небрежный пользователь удосужится провести проверку.

Третий метод поиска вирусной инфекции заключается в просмотре каждого загружаемого файла, при этом не придется слишком часто проверять всю систему.

Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их активизацией (у вирусов имеется некоторый инкубационный период, и они некоторое время скрываются, прежде чем активизироваться и распространиться на другие диски и системы).

Поэтому следует обращать внимание на следующее.

  • 1. Изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМ или EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой.
  • 2. Необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен находиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выполнения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обнаружили ее уменьшение, необходимо также запустить антивирусную программу.
  • 3. Необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением времени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу.

Если вы обнаружили в компьютере какой-либо из указанных выше симптомов, а антивирусная программа не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу – она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу.

  • URL: avdesk.kiev.ua/virus/83-virus.html.

Программные средства защиты информации — это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе.

Программные средства включают программы для идентификации пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и другие. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.

Недостатки - использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

К программным средствам защиты программного обеспечения относятся:

· встроенные средства защиты информации - это средства, реализующие авторизацию и аутентификацию пользователей (вход в систему с использованием пароля), разграничение прав доступа, защиту ПО от копирования, корректность ввода данных в соответствии с заданным форматом и так далее.

Кроме того, к данной группе средств относятся встроенные средства операционной системы по защите от влияния работы одной программы на работу другой программы при работе компьютера в мультипрограммном режиме, когда в его памяти может одновременно находиться в стадии выполнения несколько программ, попеременно получающих управление в результате возникающих прерываний. В каждой из таких программ вероятны отказы (ошибки), которые могут повлиять на выполнение функций другими программами. Операционная система занимается обработкой прерываний и управлением мультипрограммным режимом. Поэтому операционная система должна обеспечить защиту себя и других программ от такого влияния, используя, например, механизм защиты памяти и распределение выполнения программ в привилегированном или пользовательском режиме;

· управление системой защиты.

Для того чтобы сформировать оптимальный комплекс программно-технических средств защиты информации, необходимо пройти следующие этапы:

· определение информационных и технических ресурсов, подлежащих защите;

· выявление полного множества потенциально возможных угроз и каналов утечки информации;

· проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

· определение требований к системе защиты;

· осуществление выбора средств защиты информации и их характеристик;

· внедрение и организация использования выбранных мер, способов и средств защиты;

· осуществление контроля целостности и управление системой защиты.

Информация сегодня стоит дорого и её необходимо охранять. Информацией владеют и используют все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим. Для предотвращения потери информации и разрабатываются различные способы ее технической защиты, которые используются на всех этапах работы с ней, защищая от повреждений и внешних воздействий.

7.1 Защита информации в электронных платёжных системах

Электронная платёжная система (ЭПС) – это система проведения расчётов между финансовыми и бизнес-организациями (с одной стороны), и Интернет-пользователями (с другой стороны) в процессе покупки-продажи товаров и услуг через Интернет. Именно ЭПС позволяет превратить службу по обработке заказов или электронную витрину в полноценный магазин со всеми стандартными атрибутами: выбрав товар или услугу на сайте продавца, покупатель может осуществить платёж, не отходя от компьютера. ЭПС представляет собой электронную версию традиционных платёжных систем.

В системе электронной коммерции платежи осуществляются при соблюдении следующих условий:

А. Соблюдение конфиденциальности . При проведения расчётов через Интернет покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право.

Б . Сохранение целостности информации . Информация о покупке никем не может быть изменена.

В. Аутентификация . См п. 7.2.

Г. Средства оплаты . Возможность оплаты любыми доступными покупателю платёжными средствами.

Е. Гарантии рисков продавца . Осуществляя торговлю в Интернете, продавец подвержен множеству рисков, связанных с отказами от товара и недобросовестностью покупателя. Величина рисков должна быть связана с провайдером платёжной системы и другими организациями, включённым в торговые цепочки посредством специальных соглашений.

Ж . Минимизация платы за транзакцию. Плата за обработку транзакций заказа т оплаты товара входит, естественно, в их стоимость. Поэтому снижение цены транзакции снижает себестоимость и увеличивает себестоимость товара. Важно отметить, что цена транзакции должна быть оплачена в любом случае, даже при отказе покупателя от заказа.

7.2.1 Идентификация (от позднелат. identifico - отождествляю), признание тождественности, отождествление объектов, опознание. Идентификация широко применяется в математике, технике и других науках (право и т.д.), например в алгоритмических языках используют символы-идентификаторы операций, в кассовых автоматах осуществляется Идентификация монет по их массе и форме и др. К основным задачам Идентификация относятся: распознавание образов, образование аналогий, обобщений и их классификация, анализ знаковых систем и др. Идентификация устанавливает соответствие распознаваемого предмета своему образу - предмету, называемому идентификатором. Идентификаторы, как правило, являются знаками взаимосоответствующих предметов; идентичные предметы считают равнозначными, то есть имеющими одинаковый смысл и значение.

7.2.2 Аутентификация – – процедура установления соответствия параметров, характеризующих пользователя, процесс или данные, заданным критериям. Аутентификация, как правило, применяется для проверки права доступа пользователя к тем или иным ресурсам, программам, данным. В качестве критерия соответствия обычно используется совпадение заранее введенной в систему и поступающей в процессе аутентификации информации, например, о пароле пользователя, его отпечатке пальца или структуре сетчатки глаза. В электронных платёжных системах аутентификация – это процедура, позволяющая продавцу и покупателю быть уверенными, что все стороны, участвующие в сделке, являются теми, за кого они себя выдают.

7.2.3 Авторизация – это процедура, в процессе которой вы вводите свое имя, например, при регистрации на сайте «одноклассники»(никнейм) и пароль, который вы также указываете при регистрации. После авторизации сервис сайта «узнаёт вас» именно под этим именем, предоставляя вам доступ на те страницы и к тем функциям, которые доступны для введенного имени. Авторизация в локальной сети выполняет те же функции.

7.3 Обеспечение безопасности банкоматов

Что такое банкомат и каковы его функции – общеизвестно. Средства обеспечения безопасности банкоматов обеспечивают многоуровневую защиту операций – организационную, механическую, оптическую, электронную, программную – вплоть до установки системы сигнализации с видеокамерой (оптическая защита). Возможна установка видеокамеры с видеомагнитофоном, которые фиксируют все действия пользователей с банкоматом.

Программная защита банкомата обеспечивается пин-кодом карточки и программным обеспечением для его распознавания. Организационная защита заключается в размещении части банкомата, где хранятся кассеты с банкнотами, в видном месте операционного зала или другого хорошо просматриваемого места либо в изолированном помещении. Заправка кассет проводится инкассаторами либо в конце рабочего дня, когда нет клиентов, либо при удалении клиентов из операционного зала. Для защиты от вандализма применяются специальные кабины, например, фирмы DIEBOLD. Кабина, в которой устанавливается один или несколько банкоматов, запираются с помощью электронных замков. Замки пропускают в кабину только владельцев карточек и защищаются системой сигнализации.

Механическая защита обеспечивается хранением кассет с банкнотами в сейфах различных конструкций (UL 291, RAL-RG 626/3, C1/C2). Они различаются габаритами, толщиной стенок, весом. Запираются сейфы различными замками с ключами, с одинарным или двойным цифровым ключом, с электронным ключом (электронная защита).

Для предотвращения взлома банкомата применяются датчики различного назначения с системой сигнализации. Тепловые датчики, например, выявляют попытки плазменной резки металла. Сейсмические датчики выявляют попытки увоза банкомата (электронная защита).

7.4 Обеспечение безопасности электронных платежей через сеть Интернет

ЭПС делятся на дебетовые и кредитные. Дебетовые ЭПС работают с электронными чеками и цифровой наличностью. Чеки (электронные деньги, например, деньги на счетах в банке), выпускает эмитент, управляющий ЭПС-мой. Используя выпущенные чеки, пользователи производят и принимают платежи в Интернет. Чек (аналог бумажного чека) – это электронное предписание клиента своему банку о перечислении денег. Внизу электронного чека – электронная цифровая подпись (ЭЦП). Защита информации в дебетовых ЭПС осуществляется именно с помощью ЭЦП, в которой используется система шифрования с открытым ключом.

Кредитные ЭПС используют кредитные карты, работа с которыми аналогична работе с картами в других системах. Отличие – все транзакции в кредитных ЭПС проводятся через Интернет. Поэтому в кредитных ЭПС также есть возможность перехвата в сети реквизитов карты злоумышленником. Защиту информации в кредитных ЭПС проводят защищёнными протоколами транзакций (например, протокол SSL (Secure Sockets Layer)), а также стандартом SET (Secure Electronic Transaction), призванным со временем заменить SSL при обработке транзакций, связанных с расчётами за покупки по кредитным картам через Интернет.

7.5 Программное обеспечение для защиты информации, хранящейся на персональных компьютерах

Большинство компьютеров в настоящее время подключено к Интернету. Кроме полезной информации в компьютер из Интернета может проникать и вредная информация. И если спам только засоряет компьютер, то Интернет может быть источником вирусов, хакерских атак на компьютер и другого вредоносного ПО. Для защиты информации, хранящейся на персональных компьютерах, от вредоносного ПО, служат различные антивирусные программы (АП), файрволлы, антихакеры, антитрояны. Основными из них являются АП и файрволлы. АП подробно рассмотрены в подразделе 7.8.

Файрволл (firewall), он же брандмауэр или сетевой экран - это программа, которая обеспечивает фильтрацию сетевых пакетов на различных уровнях, в соответствии с заданными правилами. Основная задача файрволла - это защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевой экран не пропускает пакеты, которые не подходят по критериям, определённым в конфигурации, т.е. задерживает вредоносное ПО от проникновения в компьютер. В Минске находится филиал, насчитывающий примерно 70 программистов (20% общей численности) известного разработчика брандмауэров – фирмы Check Point.

7.6 Методы организации разграничения доступа

Основными функциями системы разграничения доступа (СРД) являются:

Реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;

Реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

Изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

Управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;

Реализация правил обмена данными между субъектами для автоматизированных систем (АС) и средств вычислительной техники, построенных по сетевым принципам.

Функционирование СРД опирается на выбранный способ разграничения доступа. Наиболее прямой способ гарантировать защиту данных - это предоставить каждому пользователю вычислительную систему как его собственную. В многопользовательской системе похожих результатов можно добиться использованием модели виртуальной ЭВМ.

При этом каждый пользователь имеет собственную копию операционной системы. Монитор виртуального персонального компьютера для каждой копии операционной системы будет создавать иллюзию, что никаких других копий нет и что объекты, к которым пользователь имеет доступ, являются только его объектами. Однако при разделении пользователей неэффективно используются ресурсы автоматизированной системы (АС).

В АС, допускающих совместное использование объектов доступа, существует проблема распределения полномочий субъектов по отношению к объектам. Наиболее полной моделью распределения полномочий является матрица доступа. Матрица доступа является абстрактной моделью для описания системы предоставления полномочий.

Строки матрицы соответствуют субъектам, а столбцы - объектам; элементы матрицы характеризуют право доступа (читать, добавлять информацию, изменять информацию, выполнять программу и т.д.). Чтобы изменять права доступа, модель может, например, содержать специальные права владения и управления. Если субъект владеет объектом, он имеет право изменять права доступа других субъектов к этому объекту. Если некоторый субъект управляет другим субъектом, он может удалить права доступа этого субъекта или передать свои права доступа этому субъекту. Для того чтобы реализовать функцию управления, субъекты в матрице доступа должны быть также определены в качестве объектов.

Элементы матрицы установления полномочий (матрицы доступа) могут содержать указатели на специальные процедуры, которые должны выполняться при каждой попытке доступа данного субъекта к объекту и принимать решение о возможности доступа. Основами таких процедур могут служить следующие правила:

Решение о доступе основывается на истории доступов других объектов;

Решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав других субъектов);

Решение о доступе основывается на значении определенных внутрисистемных переменных, например значений времени и т.п.

В наиболее важных АС целесообразно использование процедур, в которых решение принимается на основе значений внутрисистемных переменных (время доступа, номера терминалов и т.д.), так как эти процедуры сужают права доступа.

Матрицы доступа реализуются обычно двумя основными методами - либо в виде списков доступа, либо мандатных списков. Список доступа приписывается каждому объекту, и он идентичен столбцу матрицы доступа, соответствующей этому объекту. Списки доступа часто размещаются в словарях файлов. Мандатный список приписывается каждому субъекту, и он равносилен строке матрицы доступа, соответствующей этому субъекту. Когда субъект имеет права доступа по отношению к объекту, то пара (объект - права доступа) называется мандатом объекта.

На практике списки доступа используются при создании новых объектов и определении порядка их использования или изменении прав доступа к объектам. С другой стороны, мандатные списки объединяют все права доступа субъекта. Когда, например, выполняется программа, операционная система должна быть способна эффективно выявлять полномочия программы. В этом случае списки возможностей более удобны для реализации механизма предоставления полномочий.

Некоторые операционные системы поддерживают как списки доступа, так и мандатные списки. В начале работы, когда пользователь входит в сеть или начинает выполнение программы, используются только списки доступа. Когда субъект пытается получить доступ к объекту в первый раз, список доступа анализируется и проверяются права субъекта на доступ к объекту. Если права есть, то они приписываются в мандатный список субъекта и права доступа проверяются в дальнейшем проверкой этого списка.

При использовании обоих видов списков список доступа часто размещается в словаре файлов, а мандатный список - в оперативной памяти, когда субъект активен. С целью повышения эффективности в техническом обеспечении может использоваться регистр мандатов.

Третий метод реализации матрицы доступа - так называемый механизм замков и ключей. Каждому субъекту приписывается пара (А, К), где А- определенный тип доступа, а К- достаточно длинная последовательность символов, называемая замком. Каждому субъекту также предписывается последовательность символов, называемая ключом. Если субъект захочет получить доступ типа А к некоторому объекту, то необходимо проверить, что субъект владеет ключом к паре (А, К), приписываемой конкретному объекту.

К недостаткам применения матриц доступа со всеми субъектами и объектами доступа можно отнести большую размерность матриц. Для уменьшения размерности матриц установления полномочий применяют различные методы сжатия:

Установление групп пользователей, каждая из которых представляет собой группу пользователей с идентичными полномочиями;

Распределение терминалов по классам полномочий;

Группировка элементов защищаемых данных в некоторое число категорий с точки зрения безопасности информации (например, по уровням конфиденциальности).

По характеру управления доступом системы разграничения разделяют на дискреционные и мандатные.

Дискреционное управление доступом дает возможность контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам и т.п.). Например, владельцам объектов предоставляется право ограничивать доступ к этому объекту других пользователей. При таком управлении доступом для каждой пары (субъект-объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта к данному объекту. Однако имеются и другие задачи управления доступом, которые не могут быть решены только дискреционным управлением. Одна из таких задач - позволить администратору АС контролировать формирование владельцами объектов списков управления доступом.

Мандатное управление доступом позволяет разделить информацию на некоторые классы и управлять потоками информации при пересечениях границ этих классов.

Во многих системах реализуется как мандатное, так и дискреционное управление доступом. При этом дискреционные правила разграничения доступа являются дополнением мандатных. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должны контролироваться не только единичный акт доступа, но и потоки информации.

Обеспечивающие средства для системы разграничения доступа выполняют следующие функции:

Идентификацию и опознавание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

Регистрацию действий субъекта и его процесса;

Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

Реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление системы защиты после НСД;

Тестирование всех функций защиты информации специальными программными средствами;

Очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными путем двукратной произвольной записи;

Учет выходных печатных и графических форм и твердых копий в АС;

Контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Для каждого события должна регистрироваться следующая информация, дата и время; субъект, осуществляющий регистрируемое действие; тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа); успешно ли осуществилось событие (обслужен запрос на доступ или нет).

Выдача печатных документов должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе общего количества листов (страниц). Вместе с выдачей документа может автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа.

Автоматическому учету подлежат создаваемые защищаемые файлы, каталоги, тома, области оперативной памяти персонального компьютера, выделяемые для обработки защищаемых файлов, внешних устройств и каналов связи.

Такие средства, как защищаемые носители информации, должны учитываться документально, с использованием журналов или картотек, с регистрацией выдачи носителей. Кроме того, может проводиться несколько дублирующих видов учета.

Реакция на попытки несанкционированного доступа (НСД) может иметь несколько вариантов действий:

Исключение субъекта НСД из работы АС при первой попытке нарушения ПРД или после превышения определенного числа разрешенных ошибок;

Работа субъекта НСД прекращается, а информация о несанкционированном действии поступает администратору АС и подключает к работе специальную программу работы с нарушителем, которая имитирует работу АС и позволяет администрации сети локализовать место попытки НСД.

Реализация системы разграничения доступа может осуществляться как программными, так и аппаратными методами или их сочетанием. В последнее время аппаратные методы защиты информации от НСД интенсивно развиваются благодаря тому, что: во-первых, интенсивно развивается элементная база, во-вторых, стоимость аппаратных средств постоянно снижается и, наконец, в-третьих, аппаратная реализация защиты эффективнее по быстродействию, чем программная.

7.7 Контроль целостности информации

Целостность информации – это отсутствие признаков её уничтожения или искажения. Целостность информации означает, что данные полны. Целостность – это условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление К задаче контроля целостности необходимо подходить с двух позиций. Во-первых, необходимо дать ответ на вопрос, с какой целью реализуется контроль целостности. Дело в том, что при корректном реализации разграничительной политики доступа к ресурсам их целостность не может быть несанкционированно нарушена. Отсюда напрашивается вывод, что целостность ресурсов следует контролировать в том случае, когда невозможно осуществить корректное разграничение доступа (например, запуск приложения с внешнего накопителя – для внешних накопителей замкнутость программной среды уже не реализовать), либо в предположении, что разграничительная политика может быть преодолена злоумышленником. Это вполне резонное предположение, т.к. СЗИ от НСД, обеспечивающую 100% защиту, построить невозможно даже теоретически. Во-вторых, необходимо понимать, что контроль целостности – это весьма ресурсоемкий механизм, поэтому на практике допустим контроль (а тем более с высокой интенсивностью, в противном случае, данный контроль не имеет смысла) лишь весьма ограниченных по объему объектов .

Принципиальная особенность защиты информации на прикладном уровне состоит в том, что реализация какой-либо разграничительной политики доступа к ресурсам (основная задача СЗИ от НСД) на этом уровне не допустима (потенциально легко преодолевается злоумышленником). На этом уровне могут решаться только задачи контроля, основанные на реализации функций сравнения с эталоном. При этом априори предполагается, что с эталоном могут сравниваться уже произошедшие события. Т.е. задача защиты на прикладном уровне состоит не в предотвращении несанкционированного события, а в выявлении и в фиксировании факта того, что несанкционированное событие произошло.

Рассмотрим достоинства и недостатки защиты на прикладном уровне, по сравнению с защитой на системном уровне. Основной недостаток состоит в том, что на прикладном уровне в общем случае невозможно предотвратить несанкционированное событие, т.к. контролируется сам факт того, что событие произошло, поэтому на подобное событие лишь можно отреагировать (максимально оперативно), с целью минимизаций его последствий.

Основное достоинство состоит в том, что факт того, что произошло несанкционированное событие, может быть зарегистрирован практически всегда, вне зависимости от того, с какими причинами связано его возникновение (так как регистрируется сам факт подобного события). Проиллюстрируем сказанное простым примером. Один из основных механизмов защиты в составе СЗИ от НСД является механизм обеспечения замкнутости программной среды (суть – не дать запускать любые сторонние процессы и приложения, вне зависимости от способа их внедрения на компьютер). Данная задача должна решаться на системном уровне. При решении задачи на системном уровне, драйвер средства защиты перехватывает все запросы на запуск исполняемого файла и анализирует их, обеспечивая возможность запуска лишь разрешенных процессов и приложений. При решении же аналогичной задачи на прикладном уровне осуществляется анализ того, какие процессы и приложения запущены, и если выявляется, что запущен несанкционированный процесс (приложение), он завершается средством защиты (реакция СЗИ от НСД на несанкционированное событие). Как видим, преимуществом реализации на системном уровне является то, что при этом должен в принципе предотвращаться запуск несанкционированных процессов (приложений), при реализации же на прикладном уровне, событие фиксируется по факту совершения, т.е. в данном случае – уже после того, как процесс запущен, как следствие, до момента его завершения средством защиты (если установлена такая реакция на такое событие), данным процессом может быть выполнено какое-либо несанкционированное действие (по крайней мере, его часть, почему важнейшим условием здесь и становится оперативное реагирование на обнаруженное событие). С другой стороны, а кто может гарантировать, что системный драйвер, решает данную задачу защиты корректно и в полном объеме, а потенциальная опасность, связанная с ошибками и закладками в системном и прикладном ПО и т.д.? Другими словами, никогда нельзя гарантировать, что системный драйвер не может быть обойден злоумышленником при определенных условиях. Что мы получим в первом случае – администратор даже не узнает о том, что совершен факт НСД. При реализации же решения задачи на прикладном уровне, уже не важна причина, приведшая к возникновению несанкционированного события, так как фиксируется сам факт проявления данного события (даже, если оно вызвано использованием ошибок и закладок ПО). В этом случае, мы зарегистрируем, что событие произошло, однако, не сумеем его предотвратить в полном объеме, лишь можем попытаться минимизировать последствия.

С учетом сказанного можем сделать следующий важный вывод. Механизмы защиты, призванные решать одну и ту же задачу на системном и на прикладном уровнях, ни в коем случае нельзя рассматривать в качестве альтернативных решений. Эти решения дополняют друг друга, так как предоставляют совершенно различные свойства защиты. Следовательно, при реализации эффективной защиты (в первую очередь, речь идет о корпоративных приложениях) наиболее критичные задачи должны решаться одновременно обоими способами: и на системном, и на прикладном уровнях.

7.8 Методы защиты от компьютерных вирусов

Точного термина, определяющего вирусную (вредоносную) программу (ВП, «компьютерный вирус») в науке до сих пор не существует. Впервые этот термин употребил сотрудник Лехайского университета (США) доктор Fred Cohen (Фрэд Коэн) в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. Определение, которое дал вирусу доктор Фрэд Коэн, звучало так – «Компьютерный вирус – это последовательность символов на ленте машины Тьюринга: «программа, которая способна инфицировать другие программы, изменяя их, чтобы внедрить в них максимально идентичную копию себя». Термин «компьютерный вирус» в западной литературе звучит как: «Самокопирующаяся программа, которая может «инфицировать» другие программы, изменяя их или их окружение так, что запрос к «инфицированной» программе подразумевает запрос к максимально идентичной, а в большинстве случаев - функционально подобной, копии «вируса».

Информация о первой ВП также отсутствует. Известно только, что в конце 60х - начале 70х годов 20-го столетия на машине Univac 1108 была создана очень популярная игра «ANIMAL», которая создавала свои копии в системных библиотеках. Об угрозах компьютерной безопасности за счёт вирусов мы уже беседовали на первом практическом занятии. Для парирования этих угроз существуют специальные антивирусные программы (АВ). Разработан специальный стандарт – СТБ П 34.101.8 «Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Общие требования». Согласно СТБ П 34.101.8 ВП – это программный код (исполняемый или интерпретируемый), обладающий свойством несанкционированного воздействия на «объект информационной технологии».

Виды вирусов. А. Троянская программа (trojan) – ВП, которая не способна создавать свои копии и не способна распространять свое тело в «объектах информационной технологии». Б. Дроппер (dropper) – ВП, которая не способна создавать свои копии, но внедряет в «объект информационной технологии» другую «вредоносную программу», бестелесые черви и др. (см. в презентации). Классификацию компьютерных вирусов по среде обитания см. в презентации.

Наиболее широко в Минске распространены следующие антивирусные программы (АВ) – Антивирус Касперского,например, Kaspersky Internet Security до версии 11, антивирус Bit Defender Internet Security, Panda Internet Security, Avast! Free Antivirus 5.0 Final, Avira AntiVir Personal Edition 10.0.0, антивирус Dr Web 6.0, АП ООО «Вирус БлокАда». Однако современные АП имеют целый ряд проблем, которые делятся на идеологические и технические.

Идеологические проблемы связаны, во-первых, с увеличением объема работ по анализу кода вируса из-за расширения понятия ВП, а во-вторых, со сложностью классификации ПО, которая зависит либо от конфигурации ПО либо от способа установки ПО. Принятие решения по устранению проблем с вирусами перекладывается в этом случае на пользователя.

Технические проблемы заключаются в постоянном появлении новых сложных ВП, а также в задержке детектирования ВП. Появление сложных ВП вызывает усложнение алгоритмов обнаружения и обезвреживания вирусов. Это, в свою очередь, приводит к перераспределению ресурсов компьютера: увеличение на АВ защиту, уменьшение на прикладные задачи. Разрулирование этой проблемы проводится обновлением парка компьютеров, а также оптимизацией алгоритмов АВ. Для реализации последнего мероприятия необходима реализация эмулятора процессора на языке ассемблера, а также использование динамического транслятора.

Для устранения задержки детектирования ВП изобретена технология MalwareScope, позволяющая детектировать неизвестных представителей известных семейств ВП без обновления антивирусных баз. Можно использовать также эвристический анализ, выявляющий наличие ошибок “false positive” и “false negative”. Метод этот, однако, характеризуется высокой трудоемкостью выявления типовых для семейства ВП фрагментов кода вируса. Для снижения трудоемкости разработан программный робот, автоматизирующий процесс корректировки эвристических записей. Кроме эвристического анализа ошибок можно использовать также поведенческие анализаторы/блокираторы, которые применимы однако только для защиты объекта, на котором установлены.

Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

  • - средства собственной защиты, предусмотренные общим программным обеспечением;
  • - средства защиты в составе вычислительной системы;
  • - средства защиты с запросом информации;
  • - средства активной защиты;
  • - средства пассивной защиты и др.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности, такие:

  • - защита информации от несанкционированного доступа;
  • - защита информации от копирования;
  • - защита программ от копирования;
  • - защита программ от вирусов;
  • - защита информации от вирусов;
  • - программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

идентификации технических средств, файлов и аутентификации пользователей;

регистрации и контроля работы технических средств и пользователей;

обслуживания режимов обработки информации ограниченного пользования;

защиты операционных средств ПК и прикладных программ пользователей;

уничтожения информации в ЗУ после использования;

сигнализирующих нарушения использования ресурсов;

вспомогательных программ защиты различного назначения

Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.

Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим.

Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты.

Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные

особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти и др.

Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети.

Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и др.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его ’ вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).

Похожие статьи
dll и как исправить ошибку, вызванную отсутствием этого файлаdll и как исправить ошибку, вызванную отсутствием этого файла Включение и настройка вай фая на компьютере Гарант подключение роутераВключение и настройка вай фая на компьютере Гарант подключение роутера Dirty Bomb системные требования на ПКDirty Bomb системные требования на ПК Neverwinter системные требования на ПКNeverwinter системные требования на ПК