Практическая работа по "Обеспечение информационной безопасности"

Виды резервного копирования:

• Полное резервное копирование (Full backup)
• Дифференциальное резервное копирование (Differential backup)

При разностном (дифференциальном) резервном копировании каждый файл, который был изменен с момента  последнего полного резервного копирования, копируется каждый раз заново.

• Инкрементное резервное копирование (Incremental backup) 

При добавочном («инкрементном») резервном копировании происходит копирование только тех файлов, которые  были изменены с тех пор, как в  последний раз выполнялось полное или добавочное резервное копирование. Последующее инкрементное резервное  копирование добавляет только файлы, которые были изменены с момента  предыдущего. Клонирование

• Клонирование позволяет скопировать целый раздел или носитель (устройство) со всеми файлами и директориями в другой раздел или на другой носитель. Если раздел является загрузочным, то клонированный раздел тоже будет загрузочным.
• Резервное копирование в виде образа

Образ — точная копия всего раздела или носителя (устройства), хранящаяся в одном файле.

• Резервное копирование в режиме реального времени

Резервное копирование в  режиме реального времени позволяет  создавать копии файлов, директорий и томов, не прерывая работу, без  перезагрузки компьютера.

В моем ПК резервное копирование  реализовано с помощью сторонних  и встроенных средств ОС Windows 8.1. А именно программами облачного хранения данных(т.е. файлы доступны как на сервере , так и на ПК и на мобильных устройствах). Данный алгоритм резервного копирования реализуется с помощью Google Диск(15 Гб памяти)(рис.6) и Yandex.Disc (210 Гб. памяти)(рис.7).

 

                                                             Рис.6

                                                        Рис.7

В Windows 8.1 реализовано встроенное резервное копирование данных, которое называется "Хранение истории файлов", реализуемым на основании облачных хранилищ данных Sky Drive(рис.8). 

Рис.8

 Защита процессов переработки информации в редакторах и программах

Необходимость защиты процессов, процедур и программ обработки данных от несанкционированного доступа и  использования определяется следующими факторами:

• возможностью случайного или преднамеренного нарушения целостности и истинности вводимой или хранящейся информации на этапе ее ввода в ИС;
• возможностью нарушения целостности, истинности и сохранности информации при ее хранении;
• возможностью утечки, нарушения целостности, истинности и сохранности информации при ее обработке.
• возможностью утечки информации при ее выводе для пользователя, который не должен иметь доступа к данной информации;
• возможностью утечки, нарушения целостности, истинности и сохранности информации при ее передаче между отдельными, территориально удаленными ИС на жестких носителях или по линиям связи.

Механизмы защиты процессов, процедур и программ обработки  данных

• Защита программ от несанкционированного копирования и распространения может быть обеспечена механизмами защиты, используемыми для обеспечения контроля доступа.
• Защита программ от несанкционированного копирования и распространения может быть обеспечена механизмами защиты, используемыми для обеспечения контроля доступа.
• Защита от загрузки программного обеспечения несанкционированным пользователем предусматривает исключение возможности свободного доступа со стороны несанкционированного пользователя к ресурсам ИС, к программному обеспечению и информации на ПК. Защита, как правило, обеспечивается аппаратным модулем, устанавливаемым на системную шину ПК, использованием физического ключа для разрешения процесса загрузки и шифрованием служебной информации операционной системы, размещаемой на жестком диске ПК.
• Защита от программных закладок предназначена для исключения возможности загрузки в ПК модифицированного программного обеспечения, имеющего в своем теле программные “жучки” для получения повышенного уровня доступа к секретной информации, а также для предотвращения проникновения компьютерных вирусов в информационную систему. Защита обеспечивается аппаратным модулем, устанавливаемым на системную шину ПК, и разрешением загрузки только с системного жесткого диска, установленного в данном ПК.

Средства защиты процедур и программ, могут быть описаны следующим образом:

1. Защита содержания процедур  и программ объединяет функции,  процедуры и средства защиты, предупреждающие несанкционированное  раскрытие конфиденциальных процедур, программ и информации из БД.

2. Средства контроля доступа  разрешают доступ к данным  только полномочных объектов  в соответствии со строго определенными  правилами и условиями.

3. Управление потоком  защищенных процедур и программ  при передаче из одного сегмента  БД в другой обеспечивает перемещение  процедур и программ вместе  с механизмами защиты, присущими  исходным данным.

4. Предотвращение возможности  выявления конфиденциальных значений  из процедур

и программ в результате выявления статистически достоверной  информации.

5. Контроль согласованности  при использовании БД предполагает  процедуры, обеспечивающие защиту  и целостность отдельных элементов  процедур и программ, в частности  их значений (зависимость от значений). Успешная реализация таких процедур  в ИС означает, что данные в  БД всегда логически связаны  и значения критических

процедур и программ передаются от узла к узлу только при наличии  специальных полномочий.

6. Контекстная защита  данных, характерная для схем  защиты динамических БД, также  должна быть включена в состав  процедур защиты БД.

7. Предотвращение создания  несанкционированной информации  предполагает наличие средств,  предупреждающих о том, что  объект получает (генерирует) информацию, превышающую уровень прав доступа,  и осуществляет это, используя  логическую связь между данными  в БД.

Защита файлов Windows (англ. Windows File Protection, WFP) — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы операционных систем семейства Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.

 

4. Основные положения  обеспечения ИБ в операционных системах.

Операционная система  есть специально организованная совокупность программ, которая управляет ресурсами  системы

(ЭВМ, вычислительной системы,  других компонентов ИВС) с целью  наиболее эффективного их использования  и обеспечивает интерфейс пользователя  с ресурсами.

Операционные системы, подобно  аппаратуре ЭВМ, на пути своего развития прошли несколько поколений.

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

− управление всеми ресурсами системы;

− наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС;

− обеспечение интерфейса пользователя с ресурсами системы;

− размеры и сложность ОС.

Большинство ОС обладают дефектами  с точки зрения обеспечения безопасности данных в системе, что обусловлено  выполнением задачи обеспечения  максимальной доступности системы  для пользователя.

Основной проблемой обеспечения  безопасности ОС является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа  заключается в проверке соответствия запроса субъекта предоставленным  ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные  средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы  контроля доступа и вспомогательные  средства защиты образуют механизмы  управления доступом. Средства профилактического  контроля необходимы для отстранения  пользователя от непосредственного  выполнения критичных с точки  зрения безопасности данных операций и передачи этих операций под контроль ОС. Для обеспечения безопасности данных работа с ресурсами системы  осуществляется с помощью специальных  программ ОС, доступ к которым ограничен.

Средства мониторинга  осуществляют постоянное ведение регистрационного журнала, в который заносятся  записи о всех событиях в системе. В ОС могут использоваться средства сигнализации о НСД, которые используются при обнаружении нарушения безопасности данных или попыток нарушения. В моем ПК с ОС Windows 8.1 любое подтверждение любых изменений в настройках компьютера реализуется с помощью двух подтверждающих личность пользователя средств - это проверка личного пароля или снятие отпечатка пальцев(Рис.16).

Рис .16

 
5. Обеспечение  ИБ операционной системы Windows 
Брандмауэр Windows как и любой другой программный или аппаратный межсетевой экран, может предотвращать базовые атаки по умолчанию, и его можно настраивать для контроля над обменом информацией между ПК и сетями. В Windows 7 можно создавать несколько политик брандмауэра одновременно. 
В моем ПК Брандмауэр в Windows 8.1 (Рис.10) реализуется при помощи Антивирусной программы Norton Internet Security(Рис 9).

Рис.9

 

Рис.10

 
Центр обновлений Windows служит для управления обновлением Windows и ее компонентов. В ОС Windows как и в любом программном продукте есть ошибки и уязвимости. Некоторые из них могут представлять угрозу для безопасности. Своевременная установка обновлений предотвращает атаки с использованием уязвимостей, которые Microsoft исправила уже после выпуска Windows.  
В ОС Windows 8.1 данная функция выполняется автоматически.(рис.11)  
                                                                         Рис.11 
 
Защитник Windows предотвращает запуск шпионского ПО. Шпионские программы – программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя. 
Центр поддержки производит контроль наличия антивирусного ПО, обновлений и функционирования Защитника Windows.

 
В ОС Windows 8.1 (рис.12) данная программа реализована следующим образом, главным отличием ее от предшествующих версий ОС Windows является блокировка данной программы, при установленной сторонней антивирусной программы.

 

Рис.12

BitLocker – утилита для шифрования логических разделов диска (томов). Входит в состав редакций Professional, Enterprise, Ultimate. Использует алгоритмы AES 128 и AES 256. 
С появлением семейства Windows NT, Windows стала многопользовательской ОС. Это значит, что один компьютер может использоваться сразу несколькими пользователями таким образом, что ни один пользователь не может повлиять на работу другого (удалить/просмотреть его данные, нарушить работу ОС, установив некачественное ПО и т.д.). 
Учетная запись пользователя представляет собой набор данных, сообщающих Windows к каким папкам и файлам пользователь имеет доступ, какие он может делать изменения в работе компьютера, а также персональные настройки пользователя, такие как фон рабочего стола и цветовое оформление. Учетные записи пользователей позволяют осуществлять работу нескольких пользователей на компьютере, каждый из которых будет иметь свои собственные файлы и настройки. Каждый пользователь получает доступ к своей учетной записи с помощью имени пользователя и пароля. 
Учетная запись администратора представляет собой учетную запись пользователя, с помощью которой можно делать изменения, затрагивающие других пользователей компьютера. Администраторы могут менять параметры безопасности, устанавливать программное обеспечение и оборудование, а также они имеют доступ ко всем файлам на компьютере. Кроме того, администраторы могут изменять любые учетные записи пользователей. 
При установке Windows требуется создать учетную запись пользователя. Она будет являться учетной записью администратора, позволяющей настраивать компьютер и устанавливать любые программы. После окончания настройки компьютера для повседневного использования рекомендуется использовать стандартную учетную запись, т.к. это безопаснее. 
Несмотря на появление разделения прав в Windows NT, пользователи по привычке и для удобства использовали для работы учётную запись с правами администратора, нарушая принцип «запускать любую программу с минимально возможными правами». К тому же многие программы, написанные для Windows 9x или протестированные только с правами суперпользователя, не работали с урезанными правами — например, хранили конфигурационные файлы в каталоге с программой или в общей для всех пользователей ветке реестра. 
Для того чтобы склонить разработчиков писать более «безопасные» программы, был разработан Контроль учётных записей пользователей (UAC). 
В случае если программа запрашивает действие, требующее прав администратора, выполнение программы приостанавливается и система выдает запрос пользователю. Окно с запросом размещается на защищённом рабочем столе, чтобы предотвратить «нажатие» программой кнопки разрешения. 
Каждый пользователь может входить в одну или несколько групп. Группы создаются для настройки доступа сразу нескольких пользователей. При этом чтобы разрешить доступ к объектам, к которым имеет доступ группа, достаточно добавить пользователя в эту группу. Двумя наиболее распространенными группами пользователей являются группа стандартных пользователей и группа администраторов.  
Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows.  
Редактирование групп, пользователей и политик производится с помощью специальных оснасток консоли управления Windows: lusrmgr.msc (Local Users and Groups), gpedit.msc (Local Group Policy Editor), secpol.msc (Local Security Policy). К сожалению, они доступны только для Windows 7 Professional, Windows 7 Enterprise и Windows 7 Ultimate. 
В Windows 7 каждый объект файловой системы (папка или файл) имеет правила доступа для определенных пользователей или групп пользователей. Эти правила включают в себя разрешения на выполнение, чтение и изменение данных. Разрешения по умолчанию наследуются, то есть каждая вложенная папка и файл имеет как минимум те же правила доступа, что и содержащая их папка. Наследуемые правила доступа можно дополнять своими.  
В общем, защита системных файлов и данных пользователя в Windows 7, стала проще с одной стороны и мощнее с другой. Были добавлены новые функции и сохранились предшествующие. При грамотной настройке ОС Windows 7 можно считать достаточно безопасной для работы в многопользовательской среде, незащищенных локальных сетях и глобальной сети Интернет.

6.Обеспечение  ИБ в операционных системах  Linux и Unix

Как известно, Linux - это клон UNIX, семейства ОС, объединенных общей идеологией. Первые UNIX-системы создавались исключительно как средство совместного ведения проектов научными коллективами университетов и ее разработчики не придавали особого значения вопросам безопасности и защиты информации. Во всяком случае, эти вопросы точно стояли не на первом месте. Это привело к тому, что ни одну из классических UNIX-систем нельзя сегодня назвать по-настоящему безопасной. На протяжении всей истории существования ОС ее постоянно взламывают, портят, увечат, крадут и искажают. Создается иллюзия, что это самая незащищенная (и поэтому самая любимая хакерами) из всех операционных систем. Однако стоит вспомнить, что этой ОС уже более 30 лет, в то время как другие системы еще пребывают в младенческом возрасте, особенно операционные системы для ПК. Немаловажно и то, что UNIX с самого рождения обладает сетевыми функциями и является сегодня самой распространенной системой в Internet.

Относительно защищенный вариант UNIX-системы можно построить  на базе ее штатных средств и для  большинства применений это будет  вполне адекватный уровень безопасности. Этот процесс достаточно подробно описан во многих документах: начиная от классического "UNIX Configuration Guidelines" от Computer Emergency Response Team [1] и заканчивая циклом публикаций Lance Spitzner, посвященных "усилению" различных ОС: Windows NT, Solaris, Linux [2]. В Cети можно найти также и русский перевод документа Linux Security HOWTO [3]. Однако, в самой идеологии построения UNIX имеется ряд фундаментальных изъянов, которые невозможно преодолеть только грамотным администрированием.

Ниже рассмотрены основные средства ИБ в данных ОС:

POSIX ACL 
Описание: Разграничение прав доступа к файлам на основе их атрибутов (Discretionary Access Control, DAC). 
Механизм работы: Система (в частности, менеджер файловой системы) считывает атрибуты файла, к которому обращается пользователь (или программа, работающая от имени какого-либо пользователя), и решает предоставлять ли доступ на основе этих атрибутов. При ошибке доступа приложению возвращается соответствующий код ошибки. 
sudo 
Описание: Выполнение программ от своего и/или чужого имени. 
Механизм работы: При вызове команды sudo/sudoedit система считывает файл /etc/sudoers, и на его основе определяет какие команды может вызывать пользователь.

chroot 
Описание: Операция, ограничивающая доступ процесса к файловой системе, изменяя ее корень в контексте процесса. 
Механизм работы: Запускает программу (по умолчанию /bin/sh) с контекстом, в котором переопределен корневой каталог файловой системы. Теперь все обращения вызванной программы не могут выйти за пределы корневого каталога (т.е. программа работает в весьма условной «песочнице»). Обойти данный механизм не составляет труда, особенно из под рута, так что это средство не рекомендуется для обеспечения безопасности. Настоящую песочницу сможет обеспечить только виртуализация.