Скачать .docx |
Реферат: Анализ антивирусных средств защиты
ОГЛАВЛЕНИЕ
1 АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ.. 5
1.1 Анализ нормативной законодательной базы.. 5
1.2 Методы защиты информации. 7
1.2.1 Классификация угроз информационной безопасности. 9
1.2.2 Классификация злоумышленников. 14
2 анализ антивирусных средств защиты.. 4
2.1Классификация компьютерных вирусов. 4
2.2Програмные средства борьбы с вирусами. 4
2.3Обобщенная структура сети ЭВМ.. 20
3 Оценка рисков информационных угроз безопасности.. 4
4 Совершенствование системы информационной безопасности организации.. 4
4.1Организационно-технические меры защиты от угроз безопасности сети. 4
4.2Профилактика заражения вирусами компьютерных систем. 4
4.3Политика руководства организации в области защиты информации. 4
4.4 Оценка рисков разработанной системы безопасности. 4
Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность для информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей КС и чрезмерное преувеличение опасности вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
Термин «компьютерный вирус» был введен сравнительно недавно - в середине 80-х годов. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативнее воздействие на систему - все эти признаки биологических вирусов присуши и вредительским программам, получившим по этой причине название «компьютерные вирусы» Вместе с термином «вирус» при работе с компьютерными вирусами используются и другие медицинские термины: «заражение», «среда обитания», «профилактика» и др.
«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных , хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.
В рамках данного курсового проекта будетрассмотрен анализ антивирусных средств защиты.
1 АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ
1.1 Анализ нормативной законодательной базы
Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.
Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить их по единым принципам, вьвделяя как общие положения и принадлежности для информационной политики.
В Доктрине информационной безопасности Российской Федерации раскрыто содержание следующих принципов, закрепленных в Федеральном законе «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ:
1. законность (соблюдение Конституции РФ, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности);
2. соблюдение баланса жизненно важных интересов личности, общества игосударства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации);
3. недопустимость ограничения прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека);
4. взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности;
5. приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления.
К основным задачам в сфере обеспечения ИБ РФ относятся:
1. формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз винформационной сфере, реализации конституционных прав свобод граждан на информационную деятельность;
2. совершенствование законодательства Российской Федерация в сфере обеспечения ИБ;
3. определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органош местного самоуправления в сфере обеспечения ИБ;
4. координация деятельности органов государственной власти па обеспечению ИБ;
5. создание условий для успешного развития негосударственного компонента в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов Государственной власти;
6. совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новый информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
7. развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;
8. развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
9. защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;
В Российской Федерации действуют девять государственных стандартов по защите информации: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ ,50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96.
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.
Организационные методы защиты информациивключают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности информации
Организационные методы зашиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:
1) организация работ по разработке системы защиты инфор
мации;
2) ограничение доступа на объект и к ресурсам КС;
3) разграничение доступа к ресурсам КС;
4) планирование мероприятий;
5) разработка документации;
6) воспитание и обучение обслуживающего персонала и
пользователей;
7) сертификация средств защиты информации;
8) лицензирование деятельности по защите информации;
9) аттестация объектов защиты;
10)совершенствование системы защиты информации;
11)оценка эффективности функционирования системы защиты информации;
12)контроль выполнения установленных правил работы в КС.
Организационные методы являются стержнем комплексной
системы защиты иноформции в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты информации.
1.2.1 Классификация угроз информационной безопасности
С позиции обеспечения безопасности информации в КС такие системы целесообразно рассматривать в виде единства трех компонент, оказывающих взаимное влияние друг на друга:
♦ информация;
♦ технические и программные средства;
♦ обслуживающий персонал и пользователи.
В отношении приведенных компонент иногда используют и термин «информационные ресурсы», который в этом случае трактуется значительно шире, чем в Федеральном законе РФ «Об информации, информатизации и защите информации». Целью создания любой КС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» в КС и выступает в виде центральной компоненты системы. Безопасность информации на уровне КС обеспечивают две другие компоненты системы. Причем эта задача должна решаться путем защиты от внешних и внутренних неразрешенных (несанкционированных) воздействий. Особенности взаимодействия компонент заключаются в следующем. Внешние воздействия чаще всего оказывают несанкционированное влияние на информацию путем воздействия на другие компоненты системы. Следующей особенностью является возможность несанкционированных действий, вызываемых внутренними причинами, в отношении информации со стороны технических, программных средств, обслуживающего персонала и пользователей. В этом заключается основное противоречие взаимодействия этих компонент с информацией. Причем, обслуживающий персонал и пользователи могут сознательно осуществлять попытки несанкционированного воздействия на информацию. Таким образом, обеспечение безопасности информации в КС должно предусматривать защиту всех компонент от внешних и внутренних воздействий (угроз).
Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса, которые представлены на рис. 1
Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.
Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. Этот вопрос актуален для любых КС, а тем более для сервера, на котором расположена информация, предназначенная для других конечных пользователей.
Рисунок 1 Угрозы безопасности в компьютерных системах
Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.
Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации.
Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС.
Второй класс угроз безопасности информации в КС составляют преднамеренно создаваемые угрозы.
В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий, которые использовались и используются для добывания или уничтожения информации на объектах. Чаще всего они используются для получения сведений о системе защиты с целью проникновения в КС, а также для хищения и уничтожения информационных ресурсов. К методам шпионажа и диверсий относятся: подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов системы защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации, поджоги и т. д.
Термин «несанкционированный доступ к информации» (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.
Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа).
Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Процессы инициируются в КС в интересах определенных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.
Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Они получили названия побочных электромагнитных излучений и наводок (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах. Электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения. Электромагнитные импульсы способны уничтожить информацию на магнитных носителях.
Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле КС. Несанкционированное изменение структуры КС на этапах разработки и модернизации получило название «закладка».
Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы».
В зависимости от механизма действия вредительские программы делятся на четыре класса:
♦ «логические бомбы»;
♦ «черви»;
♦ «троянские кони»;
♦ «компьютерные вирусы».
«Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий.
«Червями» называются программы, которые выполняются каждый раз при загрузке системы. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.
«Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.
«Компьютерные вирусы» - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.
1.2.2 Классификация злоумышленников
Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к КС, web-сайту. Злоумышленником может быть:
♦ разработчик КС;
♦ сотрудник из числа обслуживающего персонала;
♦ пользователь;
♦ постороннее лицо.
Разработчик владеет наиболее полной информацией о программных и аппаратных средствах КС и имеет возможность внедрения "закладок" на этапах создания и модернизации систем. Пользователь имеет общее представление о структурах КС, о работе механизмов защиты информации. Он может осуществлять сбор данных о системе защиты информации методами традиционного шпионажа, а также предпринимать попытки несанкционированного доступа к информации. Постороннее лицо, не имеющее отношения к КС, находится в наименее выгодном положении по отношению к другим злоумышленникам. Если предположить, что он не имеет доступ на объект КС, то в его распоряжении имеются дистанционные методы традиционного шпионажа и возможность диверсионной деятельности. Он может осуществлять вредительские воздействия с использованием электромагнитных излучений и наводок, а также каналов связи, если КС является распределенной.
Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающиеэти системы. Причем, специалисты разных подразделений обладают различными потенциальными возможностями злоумышленных действий. Наибольший вред могут нанести* работники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.
На практике опасность злоумышленника зависит также от финансовых, материально-технических возможностей и квалификации злоумышленника.
2 анализ антивирусных средств защиты.
2.1 Классификация компьютерных вирусов
В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы последующим признакам :
1) по среде обитания;
2) по способу заражения;
3) по степени опасности деструктивных (вредительских)
воздействий;
4) по алгоритму функционирования
По среде обитаниякомпьютерные вирусы делятся на:
1) сетевые;
2) файловые;
3) загрузочные;
4) комбинированные.
По способу заражения среды обитаниякомпьютерные вирусы делятся на:
1) резидентные;
2) нерезидентные.
По степени опасности для информационных ресурсовпользователя компьютерные вирусы можно разделить на:
1) безвредные вирусы;
2) опасные вирусы;
3) очень опасные вирусы
В соответствии с особенностями алгоритма функционированиявирусы можно разделить на два класса:
1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;
2) вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
1) вирусы-«спутники» (companion);
2) вирусы-«черви» (worm).
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
1) студенческие;
2) «стелес» - вирусы (вирусы-невидимки);
3) полиморфные.
2.2 Программные средства борьбы с вирусами
К настоящему Бремени разработана довольно широкая и полная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).
Самыми популярными и эффективными антивирусными программами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC сканеры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.
Программы-фаги. Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вируеов используются маски или, как их еще называют, сищатуры-— некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Например, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморфных вирусов.
Во многих полифагах используются алгоритмы эвристического сканирования, т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.
К достоинствам сканеров относится их универсальность, к недостаткам — низкая скорость сканирования, а также необходимость постоянного обновления антивирусных баз.
Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операционная система гарантированно свободна от вируса, программа проверяет дерево каталогов диска, логическое имя которого указывается в виде параметра при запуске. При нахождении *.ехе или *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшается на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.
Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т.п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.
Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их появления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры распознают наличие вируса в системе уже после его распространения. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах данных отсутствует информация об этих файлах. Периодически появляются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остаются невидимыми.
Программы-мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться резидентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.
К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том числе встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.
Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнаружения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.
Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске зараженной программы, вирус распознает вакцину как свою резидентскую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммунизировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.
Антивирусные программные комплексы. Всовременных условиях лишь они могут обеспечить надежную защиту от вирусных программ, отличающихся большим разнообразием принципов построения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, сканер, ревизор и планировщик.
Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирусных мероприятий в вычислительной системе.
Вакцина вследствие своей естественной ограниченности использования низкой универсальности в настоящее время практически не применяется.
2. 3 Обобщенная структура сети ЭВМ
Рассматривая использующиеся в настоящее время сети ЭВМ, можно выделить их обобщенную структуру (рис.2).
Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются между собой. Таким образом, через линии связи объединяются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значительные удаления.
Серверы локальной сети могут быть подключены к концентратору сообщений, объединяющему потоки информации с нескольких локальных сетей и (или) изолированных абонентских пунктов. Объединенный концентратором сообщений информационный поток поступает на коммутационную машину (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в другие локальные сети, их объединения, концентраторы сообщений или изолированные абонентские пункты.
Абонентский Сервер Абонентский Абонентский Абонентский
пункт локальной пункт пункт пункт
сети
Коммутатор
Концентратор
сообщений
Абонентскийпункт
Сервер
Абонентский Сервер Абонентский Абонентский локальной
пункт локальной пункт пункт сети
сети Абонентски
пункт
Рисунок 2- Обобщенная структурк сети ЭВМ
Можно выделить следующие функционально законченные элементы сети:
локальные сегменты сети (с различной архитектурой). Их особенностью является возможность использования удаленных ресурсов файловых серверов или других рабочих станций, абонентских пунктов;
коммуникационные сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.
Как правило, рабочие станции не могут использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соединений.
Для различных сегментов сети можно выделить следующие угрозы безопасности информации:
перехват, искажение, навязывание информации со стороны фрагментов сети;
имитация посылки ложных сообщений на локальные фрагменты сети;
имитация логического канала (удаленный доступ) к ресурсам локальных сегментов сети;
внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное воздействие на программное обеспечение и информацию;
перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;
внедрение программных закладок в программное обеспечение рабочих станций или в общедоступные ресурсы (во внешней памяти файл-серверов) локальных сегментов сети.
По принципу действий программной закладки на компьютерную сеть можно выделить две основные группы.
1.Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программного обеспечения. Закладки такого типа особенно опасны для абонентских пунктов сети и рабочих станций локальных вычислительных сетей. Они могут распространяться от одного абонентского пункта к другому с потоком передаваемых файлов или инфицировать программное обеспечение рабочей станции при использовании удаленных ресурсов (при запуске инфицированных программ в оперативной памяти рабочей станции даже без экспорта
выполняемого,модуля с файл-сервера).
2.В сетях могут функционировать специально написанные зак
ладки типа «троянркий конь» и «компьютерный червь». «Троянский конь» включается, и проявляет себя в определенных усло
виях (по времени, ключевым сообщениям и т.п.). «Троянские
кони» могут разрушать и (или) искажать информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жестко функциональны и учитывают различные особенности и свой
ства программно-аппаратной среды, в которой работают. Информация для их работы доставляется закладками следующего типа — «компьютерный червь».
«Компьютерные черви» нацелены на проникновение в системы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц установления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.
Возможно создание закладок, объединяющих в себе черты и свойства как «троянских коней», так и «компьютерных червей».
Программные закладки представляют опасность как для абонентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.
Возможны следующие пути проникновения (внедрения) программных закладок в сеть:
заражение программного обеспечения абонентских пунктов вирусами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных действий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);
умышленное внедрение в программное обеспечение абонентских пунктов закладок типа «компьютерных червей» путем их ассоциирования с выполняемыми модулями или программами начальной загрузки;
передача деструктивных программ и вирусов с пересылаемыми файлами на другой абонентский пункт и заражение его в результате пользования зараженными программами;
распространение вирусов внутри совокупности абонентских пунктов, объединенных в локальную сеть общего доступа;
внедрение в программное обеспечение абонентских пунктов вирусов при запуске программ с удаленного терминала;
внедрение вирусов и закладок в пересылаемые файлы на коммутационной машине и (или) на сервере локальной сети.
Телекоммуникационные сети, как правило, имеют неоднородную операционную среду, поэтому передача вирусов по направлению абонентский пункт — коммутатор чрезвычайно затруднена: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информация на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины. В этом случае заражение вирусами может наступать только при пользовании коммутационной машиной как обычной ЭВМ (для игр или выполнения нерегламентированных работ). При этом возможны заражение коммуникационного программного обеспечения и негативное влияние на целостность и достоверность передаваемых пакетов.
Исходя из перечисленных путей проникновения вирусов и возникновения угроз в сети можно детализировать вирусные угрозы.
Для абонентских пунктов:
искажение (разрушение) файлов и системных областей DOS;
уменьшение скорости работы, неадекватная реакция на команды оператора и т.д.;
вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений;
блокирование принимаемых или передаваемых сообщений, их искажение;
имитация физических сбоев (потери линии) и т.д.;
имитация пользовательского интерфейса или приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);
накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;
копирование содержания оперативной памяти для выявления ключевых таблиц или фрагментов ценной информации;
искажение программ и данных в оперативной памяти абонентских пунктов.
Для серверов локальных сетей:
искажение проходящей через сервер информации (при обмене между абонентскими пунктами);
сохранение проходящей информации в скрытых областях внешней памяти;
искажение или уничтожение собственной информации сервера (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;
внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.
Для коммутатора:
разрушение собственного программного обеспечения и вывод из строя коммутационного узла вместе со всеми присоединенными абонентскими терминалами;
засылка пакетов не по адресу, потеря пакетов, неверная сборка пакетов, подмена пакетов;
внедрение вирусов в (Коммутируемые пакеты; : контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются абоненты.
3 Оценка рисков информационных угроз безопасности
Целью анализа является оценка рисков информационных угроз безопасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 2002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности нанесения ущерба и тяжести этого ущерба".
Вообще говоря, уязвимым является каждый компонент информационной системы – от сетевого кабеля, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки.
При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Эти особенности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера ущерба. Вероятность осуществления также оценивается по трехбалльной системе. Данный метод называется экспертной оценкой событий[4]. Риск для каждой угрозы оценивается путем умножения вероятности на ущерб.
В таблице 1 представлены возможные угрозы Web-серверу, данным подлежащим защите и организации в целом, а также вероятность их наступления и оценка причиненного ущерба в случае успешного осуществления атаки, несанкционированного доступа и т. д.
Таблица 1 Оценка рисков
№ | Наименование угрозы | Вероятность наступления | Ущерб от реализации | Риск |
1 | Стихийные бедствия, аварии, пожары и пр. | 1 | 3 | 3 |
2 | Непреднамеренные ошибки пользователей | 3 | 3 | 9 |
3 | Перебои электропитания | 3 | 2 | 6 |
4 | НСД бывших и нынешних сотрудников | 3 | 2 | 6 |
5 | Кража оборудования | 2 | 3 | 6 |
6 | Отказ программ и аппаратного обеспечения | 2 | 2 | 4 |
7 | Вредоносное программное обеспечение | 3 | 2 | 6 |
8 | НСД сторонних лиц: хакеры, злоумышленники. | 2 | 2 | 4 |
9 | Фальсификация данных | 2 | 3 | 6 |
10 | Хищение информации и ее использование | 2 | 3 | 6 |
11 | Халатность пользователей | 2 | 2 | 4 |
12 | Нарушение авторского права | 2 | 1 | 2 |
Сумма рисков: | 62 |
На основе полученных данных можно выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.
Рисунок 4 Количество рисков по категориям
Как видно из диаграммы, организация остро нуждается в разработке и применении новой политики безопасности, которая позволит сократить риски.
4 Совершенствование системы информационной безопасности
сети
4.1 Организационно-технические меры защиты от угроз безопасности сети
Проанализировав возможные вирусные угрозы в сети и их последствия, можно предложить комплекс защитных мер, снижающих вероятность проникновения и распространения деструктивных программ в сети, а также облегчающих локализацию и устранение негативных последствий их воздействия
Меры защиты нужно предусматривать как на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации.
Прежде всего на этапе разработки необходимо выявить в исходных текстах программ те фрагменты или подпрограммы, которые могут обеспечить доступ к данным по фиксированным паролям, беспарольный доступ понажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксированными именами и реализацию тому подобных угроз. Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности сети, поскольку доступ через них возможен как человеком, так и программойи вирусом(закладкой).
Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения. Для выявления подобных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методикам; тестирование готового программного обеспечения в критических режимах эксплуатации (в период испытаний сети) с фиксацией и устранением выявленных слабостей^и отклонений отнормальной работы.
Необходимо также обратить внимание на возможные конфликты прикладного программного обеспечения и средств защиты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиатуры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.
Также на этапе разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке целостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.
На этапе штатной эксплуатации должны на регулярной основе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период повышения опасности информационного нападения, локализационно-восстано-вительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.
Сеть должна иметь общие средства и методы защиты. К ним относятся:
1.Ограничение физического доступа к абонентским терминалам, серверам локальных сетей и коммутационному оборудованию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программные средства ограничения доступа к ЭВМ.
2. При активизации коммуникационного программного обеспечения контролируется его целостность и целостность областейDOS, BIOS и CMOS. Для такого контроля подсчитываются контрольные суммы и вычисляются хеш-функции, которые потом сравниваются с эталонными значениями для каждой ЭВМ.
3.Максимальное ограничение и контроль за передачей но сети
исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и
*.bin. При этом снижается вероятность распространения по сети
файловых вирусов, вирусов типа Driver и загрузочно-файловых
вирусов.
4.Организация выборочного и внезапного контроля работы операторов для выявления фактов использования нерегламентиро-ванного программного обеспечения.
5.Сохранение архивных копий применяемого программного
обеспечения на защищенных от записи магнитных носителях (дис
кетах), учет и надежное хранение архивных копий.
6.Немедленное уничтожение ценной и ограниченной для распространения информации сразу по истечении потребности в ней
(при снижении ее актуальности).
7.Периодическая оптимизация и дефрагментирование внешних
носителей (винчестеров) для выявления сбойных или псевдосбойных кластеров и затирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.
Проблема защиты от воздействий закладок имеет много общего с проблемой выявления и дезактивации компьютерных вирусов. Она разрабйтана и изучена достаточно подробно . Методы борьбы с закладками сводятся к следующим.
4.2 Профилактика заражения вирусами компьютерных систем
Чтобы обезопасить ЭВМ от воздействия вирусов, пользователь, прежде всего, должен иметь представление о механизме действия вирусов, чтобы адекватно оценивать возможность и последствия заражения КС. Главным же условием безопасной работы в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.
Правило первое. Использование программных продуктов, полученных законным официальным путем.
Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
Правило второе. Дублирование информации.
Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других ВЗУ или ЭВМ. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
Правило третье. Регулярно использовать антивирусные средства. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (Aidstest и Adinf). Антивирусные средства должны регулярно обновляться.
Правило четвертое. Особую осторожность следует проявлять при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы — на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
Правило пятое. При работе в распределенных системах или в системах коллективного пользования целесообразно новые сменные носители информации и вводимые в систему файлы проверять на специально выделенных для этой цели ЭВМ. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только пооле всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
Правило шестое. Если не предполагается осуществлять запись информации на носитель, то необходимо заблокировать выполнение этой операции. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.
Постоянное следование всем приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.
В особо ответственных системах для борьбы с вирусами необходимо использовать аппаратно-программные средства (например, Sheriff).
4.3 Политика руководства организации в области защиты информации
Под политикой руководства организации понимается комплекс административных мер, направленных на снижение риска информационных угроз: разработка нормативно-правовых документов, проведение специализированных мероприятий, обучение персонала.
В качестве нормативно-правовых документов выступают: договор между руководством организации и сотрудником о сохранении конфиденциальной информации, инструкция по обеспечению безопасности, документы, регламентирующие порядок допуска к сведениям, составляющим конфиденциальную информацию, обязанности сотрудников по обеспечению сохранности конфиденциальной информации.
Введение в делопроизводство данных документов, а также регулярное проведение специализированных мероприятий, направленных на сохранность информации позволит значительно снизить или даже предотвратить возможные угрозы.
4.4 Оценка рисков разработанной системы безопасности
После внедрения мер организующих комплексную защиту, конфиденциальной информации и всей информационной системы в целом, необходимо провести повторную оценку рисков. Известно, что перечень угроз останется тем же, а вот вероятность свершения некоторых из них снизится за счет применения тех или иных методов. Стоит отметить, что ущерб по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеописанные сведения для информационной среды предприятия после принятия мер по ее защите.
Таблица 2 Повторная оценка рисков
№ | Наименование угрозы | Вероятность наступления | Ущерб от реализации | Риск |
1 | Стихийные бедствия, аварии, пожары и пр. | 1 | 2 | 2 |
2 | Непреднамеренные ошибки пользователей | 1 | 3 | 3 |
3 | Перебои электропитания | 1 | 2 | 2 |
4 | НСД бывших и нынешних сотрудников | 1 | 2 | 2 |
5 | Кража оборудования | 1 | 2 | 2 |
6 | Отказ программ и аппаратного обеспечения | 1 | 2 | 2 |
7 | Вредоносное программное обеспечение | 2 | 2 | 4 |
8 | НСД сторонних лиц: хакеры, злоумышленники. | 1 | 2 | 2 |
9 | Фальсификация данных | 1 | 3 | 3 |
10 | Хищение информации и ее использование | 1 | 3 | 3 |
11 | Халатность пользователей | 1 | 2 | 2 |
12 | Нарушение авторского права | 1 | 1 | 1 |
Сумма рисков: | 28 |
Известно, что принятие мер в ряде случаев все равно не даст стопроцентной гарантии защищенности, поэтому вероятность некоторых событий сведена к минимуму, а не исключена полностью. Уменьшение ущерба от реализации угрозы в рассматриваемом случае в большей части зависит от принятых мер по резервированию информации. Однако данный факт не имеет свое отражение в таблице, это связано с тем, что по данной методологии оценки рисков принята слишком узкая трехбалльная система, по которой на отдельный показатель существенным образом может повлиять только совокупность мер минимизации ущерба. На рисунке 6 представлена диаграмма количества рисков после принятия разработанной политики безопасности.
Рисунок 6 Количество рисков по категориям с разработанной политикой безопасности
Как видно из рисунка, риски с высокой вероятностью наступления в большей части переведены в категорию угроз с низкой вероятностью, что является приемлемым результатом. Минимизация ущерба от угроз с любой вероятностью риска может быть достигнута при использовании резервного сервера, на данном этапе деятельности предприятия это пока ненужно.
В результате анализа ранее существовавшей на предприятии информационной системы, с включенным в нее Web-сервером, были выявлены значительные недостатки ее защищенности. На основании этих данных было принято решение о разработке комплексной системы безопасности, направленной на снижение вероятности наиболее значимых и распространенных угроз.
В итоге была предложена качественно новая система безопасности, позволяющая защитить Web-ресурсы предприятия, локальную сеть, весь электронный документооборот, циркулирующий как во внешней, так и во внутренней сети. Стоит отметить, что произведенная работа позволила сократить риски на 45% от ранее существовавших. На рисунке 7 приведена диаграмма, показывающая уменьшение рисков.
н% от ранее существовавших.работа позволила сократить риски на й документооборот, циркулирующий как во внешней, так и собственн
Рисунок 7 Сокращение рисков информационной системы
1. А.И. Куприянов, А.В. Сахаров, В.А.Шевцов Основы защиты информации.- М. : Издательский центр «Академия»,2007.-256с.
2. Ю.Н Сычев. Защита информации - М. Московский международный институт эконометрики, информатики, финансов и права. 2002. – 221 с.
3. В. И. Завгородний Комплексная защита информации в компьютерных системах: Учебное пособие – М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.- 264с.
4. В.П. Мельников, С.А. Клейменов, А.М. Петраков Информационная безопасность.- М.: Издательский центр «Академия», 2007.- 336с.
5. О.Ю. Гаценко. Защита информации. СПб.: Издательский дом «Сентябрь», 2001.-228с.