Информатика_Ч1
.pdfОсобую разновидность ПЗ составляют троянские программы. Троянской программой называется:
–программа, которая, являясь частью другой программы с известными пользователю функциями, способна тайно выполнять некоторые дополнительные действия с целью причинения ущерба компьютерной системе;
–программа с известными ее пользователю функциями, в которые внесены изменения с тем, чтобы помимо этих функций она могла выполнять некоторые другие действия.
Большинство программных средств, предназначенных для защиты от троянских программ, используют согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента их последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. В качестве характеристик такие атрибуты файлов, как время последней модификации и размер. Поскольку эти атрибуты могут быть подделаны троянской программой, то более надежной характеристикой является контрольная сумма файла, для вычисления которой используется специальный алгоритм, называемый односторонним хэшированием.
В семействе ОС Windows средства борьбы с троянцами традиционно являются частью их антивирусного обеспечения, например
Norton AntiVirus.
Защита от клавиатурных шпионов
Клавиатурные шпионы – это тоже разновидность ПЗ. Такие программные закладки нацелены на перехват паролей пользователей компьютерной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам. Клавиатурные шпионы представляют реальную угрозу безопасности компьютерных систем. Чтобы отвести эту угрозу, требуется создавать целый комплекс административных мер и программно-аппаратных средств защиты.
Защита от парольных взломщиков
Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных операционных системах, в по-
141
давляющем большинстве случаев являются слишком стойкими, чтобы можно было надеяться отыскать методы дешифрования, более эффективные, чем перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют всем пароли с использованием того же самого криптографического алгоритма, который применяется для засекречивания в атакуемой ОС, а затем сравнивает результаты шифрования с тем, что записано в системном файле, хранящем шифрованные пароли пользователей. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Максимальное время, которое требуется для взлома пароля, можно вычислить по следующей формуле:
L |
|
T = S1 ∑N i , |
(7.9) |
i =1
где N – число символов в наборе; L – предельная длина пароля; S – количество проверок в секунду.
Из приведенной выше формулы видно, что за счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличением числа символов в исходном наборе, такие атаки парольной защиты ОС могут занимать слишком большое время. Однако большинство пользователей не используют стойкие пароли. Поэтому для более эффективного подбора паролей парольные взломщики используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто применяемых на практике в качестве паролей.
Защита от компьютерных вирусов
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако следует отметить, что не существует антивирусов, обеспечивающих 100%-ную защиту, – это доказано математически.
Качество антивирусной программы определяется следующими критериями.
Надежность и удобность работы – отсутствие зависаний антивируса и прочих технических проблем.
Качество обнаружения всех распространенных типов, сканирование внутри файлов-документов и файлов-таблиц, упакованных и архивированных файлов. Отсутствие ложных срабатываний. Возмож-
142
ность лечения зараженных объектов. Для сканеров (см. далее), как следствие, важным моментом является также периодичность появления новых версий.
Существование версий антивируса под все популярные платформы, присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.
Скорость работы и различные полезные особенности и функции.
Типы антивирусов
Самыми популярными и эффективными программами являются антивирусные сканеры, называемые также фагами или полифагами. Следом за ними по популярности и эффективности следуют CRCсканеры, или ревизоры. Часто оба приведенных метода объединяются в одну универсальную программу, что значительно повышает ее мощность. Применяются также различного рода мониторы (блокировщики) и иммунизаторы.
Принцип работы антивирусных сканеров основывается на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (не известных сканеру) вирусов. Для поиска вирусов используются так называемые «маски». Маской вируса называется некоторая постоянная последовательность кода, специфичная для данного конкретного вируса. Во многих сканерах используются также алгоритмы «эвристического сканирования», т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения о зараженности.
Сканеры можно также разделить на две категории: универсальные и специализированные. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.
Сканеры делятся также на резидентные, производящие сканирование на лету, и нерезидентные, обеспечивающие проверку системы только по запросу.
К достоинствам сканеров относится их универсальность, к недостаткам – небольшая скорость работы и большие размеры антивирусных баз.
Принцип работы CRC-сканеров основан на подсчете CRC-сумм для присутствующих на диске компьютера файлов и системных сек-
143
торов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация (длина файла, дата последней модификации и т.д.). При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных с реально подсчитанными значениями. Если эта информация не совпадает, то сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Недостатком СRС-сканеров является то, что они не способны поймать вирус в момент его появления в системе. CRC-сканеры не могут определить вирусы в новых файлах, поскольку в их базах данных отсутствует информация об этих файлах.
Антивирусные мониторы – это резидентные программы, обнаруживающие «вирусно-опасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или в MBR винчестера, попытки программ остаться резидентными и т.д.
К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения. К недостаткам относятся большое количество ложных срабатываний, существование путей обхода защиты монитора.
Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файла и при запуске файла каждый раз проверяют его на изменение. Второй тип иммунизации защищает систему от поражения вирусом какого-либо определенного вида. Защищаемые файлы модифицируются так, что вирус принимает их за уже зараженные.
7.7. Технические средства защиты информации в ЭВМ
Технические меры защиты информации направлены против следующих потенциальных угроз.
Потери информации из-за сбоев оборудования:
–перебои электропитания;
–сбои дисковых систем;
–сбои работы серверов, рабочих станций, сетевых карт и т.д. 2. Потери информации из-за некорректной работы программ:
–потеря или изменение данных при ошибках программного обеспечения (ПО);
144
–потери при заражении системы компьютерными вирусами. 3. Потери, связанные с несанкционированным доступом:
–несанкционированное копирование, уничтожение или подделка информации;
–ознакомление с конфиденциальной информацией.
4. Ошибки обслуживающего персонала и пользователей:
–случайное уничтожение или изменение данных;
–некорректное использование ПО или аппаратного обеспечения, ведущее к уничтожению или изменению данных.
Сами технические меры защиты можно разделить на следующие категории:
–средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания и т.д.;
–программные средства защиты, в том числе криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и т.д.;
–административные меры защиты, включающие подготовку
иобучение персонала, организацию тестирования и приема в эксплуатацию программ, контроль доступа в помещения и т. д.
Аппаратные средства защиты
Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения (ТО) информационной системы и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами, например с программными. Можно выделить следующие наиболее важные элементы аппаратной защиты:
–защита от сбоев электропитания;
–защита от сбоев серверов, рабочих станций и локальных компьютеров;
–защита от сбоев устройств для хранения информации;
–защита от утечек информации посредством побочных электромагнитных излучений.
Защита от сбоев электропитания
Наиболее надежными средствами предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания
145
(ИБП). Различные по своим техническим и потребительским характеристикам подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или сохранения информации на внешние носители. В противном случае используется следующая функция подобных устройств: компьютер получает сигнал, что ИБП перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается. Большинство ИБП одновременно выполняет функции и стабилизатора напряжения, являясь дополнительной защитой от скачков напряжения в электросети.
Крупные организации имеют собственные аварийные электрогенераторы или резервные линии электропитания. Эти линии подключены к разным подстанциям, и при выходе из строя основной линии электроснабжение осуществляется с резервной подстанции.
Защита от сбоев процессоров
Один из таких методов – это резервирование особо важных компьютерных подсистем, например симметричное мультипроцессирование. В системе используется несколько процессоров, и в случае сбоя одного из них другой продолжает работу.
Защита от сбоев устройств для хранения информации
Организация надежной и эффективной системы резервного копирования и дублирования данных является одной из важнейших задач. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы резервного копирования. Это могут быть устройства записи на магнитную ленту (стримеры) или на диски. В крупных корпоративных сетях предпочтительнее организовать выделенный специализированный сервер.
В некоторых случаях, когда подобные сбои и потеря информации могут привести к неприемлемой остановке работы, применяется система зеркальных винчестеров. Резервная копия информации формируется в реальном времени. Таким образом, в любой момент времени при выходе из строя одного винчестера система сразу же начинает работать с другими.
146
Защита от утечек информации за счет побочных электромагнитных излучений
Прохождение электрических сигналов по цепям компьютеров и соединительным кабелям сопровождается возникновением побочных электромагнитных излучений за пределы контролируемой территории и создает предпосылки для утечки информации, так как возможен ее перехват с помощью технических средств НСД к информации. Для уменьшения уровня побочных электромагнитных излучений применяют специальные методы и средства защиты: экранирование, фильтрацию, заземление, электромагнитное зашумление, а также средства ослабления уровней нежелательных электромагнитных излучений и наводок при помощи различных резистивных и поглощающих согласованных нагрузок.
7.8. Защита вычислительных сетей
Внастоящее время все более стирается грань между локальными
иглобальными компьютерными сетями. Современные сетевые ОС позволяют поддерживать функционирование ЛВС с выходом на региональный уровень. Наличие в сетях серверов удаленного доступа приближает их по характеристикам к глобальным сетям.
Постоянно растущие технические возможности ЛВС требуют совершенствования методов защиты информации в них. Трудности, возникающие при организации защиты информации в сетях ЭВМ, обусловлены большими размерами и сложностью систем. Основные факторы, оказывающие существенное влияние на безопасность распределенных систем, таковы:
– большое количество субъектов, имеющих доступ к системе;
– значительный объем ресурсов, сосредоточенных в сети;
– большое количество и разнообразие технических средств, наличие оборудования разных производителей;
– большой объем ПО, его сложность и многоуровневость, высокая степень разнообразия, наличие в сети ПО разных производителей;
– большое разнообразие вариантов доступа;
– значительная территориальная разнесенность элементов сети;
– интенсивный обмен информацией между компонентами сети;
– совместное использование ресурсов;
– распределенная обработка данных;
– расширенный объем контроля;
147
–практически бесконечное множество комбинаций различных программно-аппаратных средств и режимов их работы (повышение риска за счет соединения разнородных систем и объектов);
–неизвестный периметр;
–множество точек атаки;
–сложность управления и контроля доступа к системе. Защищать сеть необходимо от таких угроз, как:
–считывание данных в массивах других пользователей;
–чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
–копирование носителей информации с преодолением мер защиты;
–маскировка под зарегистрированного пользователя;
–мистификация;
–использование программных ловушек;
–использование недостатков языков программирования и ОС;
–включение в библиотеки программ специальных блоков типа «троянского коня»;
–злоумышленный вывод из строя механизмов защиты;
–внедрение и использование компьютерных вирусов.
Всистеме защиты сети каждый ее узел должен иметь индивидуальную защиту в зависимости от выполняемых функций и возможностей сети. На каждом отдельном узле необходимо организовать:
– администрирование системы защиты;
– идентификацию и аутентификацию пользователей, получающих доступ к данному узлу из сети;
– контроль доступа ко всем файлам и другим наборам данных, доступных из локальной сети и других сетей:
– контроль сетевого трафика;
– контроль доступа к ресурсам локального узла, доступным для применения пользователями сети;
– контроль за распространением информации в пределах локальной сети и связанных с нею других сетей.
Вструктурно-функциональном составе сети принято выделять следующие компоненты:
– рабочие станции;
– серверы (хост-машины);
– межсетевые шлюзы;
– каналы связи.
148
Первые три компонента могут строиться на базе ПК с использованием специального ПО. Для защиты данных этих компонентов от побочных электромагнитных излучений и наводок применимы требования и рекомендации для ПК, обрабатывающих конфиденциальную информацию.
Важным требованием, предъявляемым к средствам защиты ПО, может служить их функциональная полнота.
Можно выделить следующие основные функции защиты ПО, характерные для вычислительной сети:
–администрирование сети;
–обеспечение идентификации и аутентификации пользователей;
–разграничение доступа к ресурсам сети;
–очистка «мусора»;
–обеспечение защиты данных, передаваемых между элементами сети;
–регистрация действий, требующих доступа к защищаемым ресурсам, выявление факта нарушений;
–контроль целостности наиболее важных компонентов ПО и информационного обеспечения (ИО) вычислительной сети.
Администрирование – один из важнейших и первых встроенных
всистему компонентов, который обеспечивает основу системы безопасности сети. Администратор сети создает новых пользователей, назначает им права, возможное время и возможные рабочие станции для доступа, устанавливает лимиты ресурсов сети.
Средства администрирования сети должны обеспечивать возможность включения в БД системы защиты данных о пользователе (идентификатор, пароль и другие параметры, применяемые для аутентификации пользователей, данные о правах).
Целью аутентификации является идентификация пользователя перед предоставлением ему доступа к информации в сети. Для работы с информационными объектами в сети пользователь должен получить разрешение от ОС. Если это необходимо, пароли могут быть зашифрованы перед передачей по каналу связи и перед записью на диск. Могут быть установлены минимальная длина пароля, требования периодической смены пароля и его уникальности.
Набор средств, образующий уровень проверки полномочий и применяющий идентификатор и пароль пользователя, является базовым средством защиты в любой сети. Первое, на что следует обратить внимание при защите в сети, – это аутентификация. Без нее нельзя управлять полномочиями, доступом или поддерживать контрольный журнал.
149
Обеспечение контроля доступа в сетях ЭВМ заключается в управлении доступом к ресурсам сети. Эта функция должна быть реализована путем проверки подлинности пользователей при начале работы с сетью (идентификация и аутентификация пользователя), проверки подлинности при соединениях (контроль соединений) и собственно организацией контроля (разграничения) доступа (контроль передаваемой информации, управление файлами, контроль прикладных программ).
Для обеспечения защиты данных, передаваемых между элементами сети, необходимо осуществлять следующие меры:
–по предотвращению раскрытия содержимого передаваемых сообщений;
–по предотвращению анализа потоков сообщений, потоков информационного обмена (трафика);
–по предотвращению и выявлению попыток модификации потока сообщений;
–по предотвращению и обнаружению прерываний передачи сообщений;
–по обнаружению инициирования ложного сообщения.
Для решения задачи по защите данных, защите целостности ПО и сообщений используются криптографические методы.
Средства регистрации для сетей ЭВМ должны обеспечивать возможность автоматического протоколирования обращений к системе разграничения доступа как легальных, так и попыток НСД к ресурсам сети. Средства регистрации должны обеспечивать возможность сбора информации о нарушениях в масштабах всей сети. Доступ к регистрационным журналам должен быть ограничен средствами разграничения. Для поддержания средств регистрации и анализа собранной в них информации должны быть разработаны процедуры, построенные на сочетании программных средств обработки и организационных мер безопасности.
Применение метода контроля целостности в условиях сети значительно расширяется и усложняется, так как помимо контроля информации, важной с точки зрения защиты на отдельных компьютерах, необходимо контролировать сетевое ПО.
Достижения новых информационных технологий позволили сегодня создать целый ряд необходимых инструментальных средств реализации механизмов защиты. Современный рынок предлагает достаточно широкий спектр технических средств контроля безопасности сетей. На следующей схеме (рис. 38) представлена классификация таких средств.
150