Общая характеристика информационных технологий

Вторая задача решается путем анализа  технических характеристик системы  с целью установления, удовлетворяет  ли система защиты информации комплексу требований. Такая задача в настоящее время решается экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Рассмотрим основное содержание методов защиты информации.

Создание препятствий — методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т. д.).

Управление доступом — метод  защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).

Защита от несанкционированного доступа  к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов:

♦ присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);

♦ выполнение процедур установления подлинности при обращениях к информационной системе, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует;

♦ проверка полномочий, то есть проверка права пользователя на доступ к системе  или запрашиваемым данным;

♦ автоматическая регистрация в  специальном журнале всех как  удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение аудита.

Маскировка — метод защиты информации путем ее криптографического закрытия.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение — метод защиты, при  котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные методы обеспечения  безопасности реализуются на практике за счет применения различных средств  защиты, таких как технические, программные, организационные, законодательные.

8.2. Криптографическое  закрытие информации

Криптографическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием процедур шифрования, в результате чего невозможно определить содержание данных, не зная ключа.

С помощью криптографических протоколов можно обеспечить безопасную передачу информации по сети, в том числе и регистрационных имен, паролей, необходимых для идентификации программ и пользователей. На практике используется два типа шифрования: симметричное и асимметричное.

При симметричном шифровании для шифрования и дешифрования данных используется один и тот же секретный ключ. При этом сам ключ должен быть передан безопасным способом участникам взаимодействия до начала передачи зашифрованных данных.

Если ключ стал известен третьему лицу, то последнее, используя этот ключ, имеет возможность перехватить  сообщение и подменить его 1 своим  собственным, а затем, получив доступ ко всей информации, передаваемой между абонентами, использовать ее в корыстных целях. Для защиты от подобных событий можно использовать систему цифровых сертификатов, то есть документов, выдаваемых сертификационной службой и содержащих информацию о владельце сертификата, зашифрованную с помощью закрытого ключа этой организации. Запросив такой сертификат, абонент, получающий информацию, может удостовериться в подлинности сообщения.

Асимметричное шифрование основано на том, что для шифрования и дешифрования используются разные ключи, которые связаны между собой. Знание одного ключа не позволяет определить другой. Один ключ свободно распространяется и является открытым (public key), второй ключ известен только его владельцу и является закрытым (private key). Если шифрование выполняется открытым ключом, то сообщение может быть расшифровано только владельцем закрытого ключа — такой метод шифрования используется для передачи конфиденциальной информации. Если сообщение шифруется закрытым ключом, то оно может быть расшифровано любым пользователем, знающим открытый ключ, но изменить или подменить зашифрованное сообщение так, чтобы это осталось незамеченным, владелец открытого ключа не может. Этот метод шифрования предназначен для пересылки открытых документов, текст которых не может быть изменен.

Криптостойкость асимметричного шифрования обеспечивается сложной комбинаторной задачей, решить которую методом полного перебора не представляется возможным.

Электронная цифровая подпись —  это последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство путем применения открытого ключа.

8.3. Защита информации  от компьютерных вирусов

Компьютерный вирус — это, как  правило, небольшая по объему компьютерная программа, обладающая следующими свойствами:

♦ возможностью создавать свои копии  и внедрять их в другие программы;

♦ скрытость (латентность) существования  до определенного момента;

♦ несанкционированность (со стороны  пользователя) производимых ею действий;

♦ наличие отрицательных последствий  от ее функционирования. Следует отметить, что не все программы, обычно называемые вирусами, обладают всеми из перечисленных свойств.

Компьютерным вирусам, как и  биологическим, характерны определенные стадии существования:

♦ латентная стадия, в которой  вирусом никаких действий не предпринимается;

♦ инкубационная стадия, в которой  основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;

♦ активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

По среде обитания вирусы можно разделить на:

♦ файловые;

♦ загрузочные;

♦ файлово-загрузочные;

♦ сетевые;

♦ макровирусы.

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие  расширения .ехе и .com, но могут внедряться и в объектные файлы, библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования. Файловые вирусы могут создавать файлы-двойники.

Загрузочные вирусы внедряются в загрузочный  сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке ОС с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицирует таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.

Файлово-загрузочные вирусы интегрируют  возможности двух предыдущих групп.

Макровирусы заражают и искажают текстовые  файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус «I love you»).

Сетевые черви используют для своего распространения команды и протоколы  телекоммуникационных систем (электронной почты, компьютерных сетей). Они подразделяются на Internet-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (Internet Relay Chat) — распространяются через чаты. Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.

В отдельную группу выделяются троянские  программы, которые не размножаются и не рассылаются сами.

Троянские программы подразделяют на несколько видов, которые маскируются под полезные программы и выполняют деструктивные функции. Они могут обеспечить злоумышленнику скрытый несанкционированный доступ к информации на компьютере пользователя и ее похищение (отсюда их название). Такие программы иногда называют утилитами несанкционированного удаленного управления.

Эмуляторы DDoS-атак (Distributed Denial of Service) приводят к -атакам на веб-серверы, при которых на веб-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы.

Дроппер (от англ. drop — бросать) — программа, которая «сбрасывает» в систему вирус или другие вредоносные программы, при этом сама больше ничего не делает.

Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др.

По способу заражения среды  обитания вирусы делятся на:

♦ резидентные;

♦ нерезидентные.

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.

По алгоритмам функционирования вирусы делятся на следующие группы:

♦ паразитические вирусы, изменяющие содержимое файлов или секторов диска. Они достаточно просто могут быть обнаружены и уничтожены;

♦ вирусы-репликаторы («черви»), саморазмножающиеся и распространяющиеся по компьютерным сетям. Сами деструктивных действий не выполняют;

♦ вирусы-невидимки способны прятаться  при попытках их обнаружения. Они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;

♦ самошифрующиеся вирусы (в режиме простоя зашифрованы и расшифровываются только в момент начала работы вируса);

♦ мутирующие вирусы (периодически автоматически видоизменяются: копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные базы для обезвреживания этих вирусов;

♦ «отдыхающие» вирусы (основное время  проводят в латентном состоянии  и активизируются только при определенных условиях, например, вирус «Чернобыль» функционирует только в день годовщины чернобыльской трагедии).

Для своевременного обнаружения и  удаления вирусов важно знать  основные признаки появления вируса в компьютере:

♦ неожиданная неработоспособность компьютера или его компонентов;

♦ невозможность загрузки операционной системы;

♦ медленная работа компьютера;

♦ частые зависания и сбои в  компьютере;

♦ прекращение работы ранее успешно  исполнявшихся программ;

♦ искажение или исчезновение файлов и каталогов;

♦ непредусмотренное форматирование диска;

♦ необоснованное увеличение количества файлов на диске;

♦ необоснованное изменение размера  файлов;

♦ искажение данных в CMOS-памяти;

♦ существенное уменьшение объема свободной  оперативной памяти;

♦ вывод на экран непредусмотренных  сообщений и изображений;

♦ появление непредусмотренных  звуковых сигналов.

Источниками непреднамеренного вирусного  заражения могут явиться съемные носители информации и системы телекоммуникаций. Съемные носители информации - чаще всего это дискеты, съемные жесткие диски, контрафактные компакт-диски.

Для обнаружения и удаления компьютерных вирусов разработано много различных  программ.

Антивирусные программы можно разделить на:

♦ программы-детекторы;

♦ программы-ревизоры,

♦ программы-фильтры;

♦ программы-доктора, или дезинфекторы, фаги;

♦ программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск компьютерных вирусов в памяти машины и при их обнаружении сообщают об этом. Детекторы могут искать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов - сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла).

Программы-ревизоры являются развитием  детекторов, но выполняют более сложную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры. Ревизоры эффективнее детекторов.

Программы-фильтры обеспечивают выявление  подозрительных, характерных для  вирусов действий (коррекция исполняемых .ехе и .com файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т. д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.