Разграничение доступа

Разграничение доступа является одним из  основных способов сохранения конфиденциальности информации и является дополнением таких процедур как идентификация и аутентификация.

Но разграничение доступа не только позволяет сохранять конфиденциальность информации, но и защищает ее от угроз доступности и целостности. Правильное распределение ролей в системе может уберечь объекты безопасности от случайных или некомпетентных действий, которые могут вызвать потерю или искажение информации.

В общем случае постановка задачи следующая.  Имеется множество субъектов безопасности (пользователи или процессы), доступ которых к информации предполагается регулировать. С другой стороны имеется множество объектов данных, доступ к которым субъектов безопасности может регулироваться. В качестве объектов могут выступать самые разные элементы. Например, для реляционных баз данных (см. Глава 2)  это могут базы данных, таблицы,  столбцы, строки и т.д. Для каждой пары «субъект – объект» должно быть определено множество операций, которые субъект может выполнять над объектом. Операции могут быть простыми, такими как добавление данных, удаление  данных, обновление данных, а могут представлять собой хранимые процедуры, содержащие множество различных действия.

Кроме ограничений на действия с данными для субъектов  безопасности, субъекту могут даваться разрешения на операции выдачи прав или введение ограничений на действия с данными других субъектов.  Это особо тонкая работа, требующая вдумчивого подхода. Достаточно случайно дать дополнительные права какому-либо пользователю, и он сам сможет расширить свои права для работы с данными или создать нового пользователя с расширенными правами. 

Для упрощения работы с большим количеством пользователей используется понятие роли (или группы пользователей).  На пользователя являющегося членом данной роли распространяются все разрешения или запреты, присвоенные данной роли. Таким образом, для того, чтобы дать разрешение на выполнения каких-либо операций над данными для большого количества пользователей достаточно объединить их в одной роли, а затем разрешить эти действия для роли. Обычно роли создают для выполнения каких-либо сходных действий. Например, можно создать роль «бухгалтер» и присоединить к ней всех бухгалтеров предприятия.  После этого можно легко управлять целой группой пользователей.

Использование ролей не только помогает управлять доступом целой группы пользователей, но и вносит дополнительные сложности для администратора. Дело в том, что

            Пользователь может быть членом нескольких ролей.

            Сами роли также могут быть членами других ролей.

Таким образом, перед тем как разрешить, или запретить какие либо действия над данными необходимо проанализировать все роли, в которые данный пользователь прямо или косвенно (через вложенные роли) входит. При этом может оказаться, что в одной роли данное действие разрешено, а в другой запрещено. Обычно придерживаются следующего правила: запрет всегда сильнее разрешения. Поэтому, если пользователь является членом множества ролей и только в одной роли указан запрет на определенное действие, то для пользователя это действие будет запрещено. В некоторых системах (например, в MS SQL Server)  объекты безопасности также могут объединяться в группы (в MS SQL Server они называются схемами).  В этом случае, можно разрешить или запретить какие либо действия для целой группы объектов.

22. Управление рисками (понятие, этапы управления рисками) при создании информационных систем

С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба

Таким образом, суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

• (пере)оценку (измерение) рисков;

• выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

• ликвидация риска (например, за счет устранения причины);

• уменьшение риска (например, за счет использования дополнительных защитных средств);

• принятие риска (и выработка плана действия в соответствующих условиях);

• переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно подразделить на следующие этапы:

(1) выбор анализируемых объектов и уровня детализации их рассмотрения;

(2) выбор методологии оценки рисков;

(3) идентификация активов;

(4) анализ угроз и их последствий, определение уязвимостей в защите;

(5) оценка рисков;

(6) выбор защитных мер;

(7) реализация и проверка выбранных мер;

(8) оценка остаточного риска.

23. Вредоносное программное обеспечение 1

Компьютерный вирус - это небольшая программа, написанная программистом высокой квалификации, способная к саморазмножению и выполнению разных деструктивных действий. На сегодняшний день известно свыше 50 тыс. компьютерных вирусов.

Существует очень много разных вирусов. Условно их можно классифицировать следующим образом:

1) загрузочные вирусы или BOOT-вирусы заражают boot-секторы дисков. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске;

2) файловые вирусы заражают файлы. Делятся на:

• вирусы, заражающие программы (файлы с расширением .EXE и .COM);

• макровирусы вирусы, заражающие файлы данных, например, документы Word или рабочие книги Excel;

• вирусы-спутники используют имена других файлов;

• вирусы семейства DIR искажают системную информацию о файловых структурах;

3) загрузочно-файловые вирусы способные поражать как код boot-секторов, так и код файлов;

4) вирусы-невидимки или STEALTH-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах;

5) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;

6) вирусы-черви снабжают небольшие сообщения электронной почты, так называемым заголовком, который по своей сути есть Web-адресом местонахождения самого вируса. При попытке прочитать такое сообщение вирус начинает считывать через глобальную сеть Internet свое 'тело' и после загрузки начинает деструктивное действие. Очень опасные, так как обнаружить их очень тяжело, в связи с тем, что зараженный файл фактически не содержит кода вируса.

24. Компьютерные вирусы: понятие, особенности, этапы заражения, деструктивные действия 1

Способы заражения

резидентные	находятся в памяти, активны до выключения компьютера
нерезидентные	не заражают память, являются активными ограниченное время

• метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента;

• метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.

• метод вытеснения. Из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «:убитыми насмерть» и не могут быть восстановлены никаким антивирусом.

• прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.

• Выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор и т.д.);

• Создают звуковые эффекты (гимн, гамма, популярная мелодия);

• Создают видео эффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте, выводят картинки и т.д.);

• Замедляют работу ЭВМ, постепенно уменьшают объем свободной оперативной памяти;

• Увеличивают износ оборудования (например, головок дисководов);

• Вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

• Уничтожают FAT, форматируют жесткий диск, стирают BIOS, уничтожают или изменяют данные, стирают антивирусные программы;

• Осуществляют научный, технический, промышленный и финансовый шпионаж;

• Выводят из строя системы защиты информации и т.д.

25. Классификация компьютерных вирусов (по среде обитания и по деструктивным возможностям)1

	&	безвредные	практически не влияют на работу; уменьшают свободную память на диске в результате своего раз­множения
Деструктивные	Л	неопасные	уменьшают свободную память, создают звуковые, графические и прочие эффекты
возможности:		опасные	могут привести к серьезным сбо­ям в работе
		очень опасные	могут привести к потере про­грамм или системных данных

сетевые	распространяются по компью­терной сети
файловые	внедряются в выполняемые файлы
загрузочные	внедряются в загрузочный сектор диска (Boot-ceKTop)

26. Классификация компьютерных вирусов (по способу заражения и по алгоритму функционирования)1

Способы заражения

резидентные	находятся в памяти, активны до выключения компьютера
нерезидентные	не заражают память, являются активными ограниченное время

• метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента;

• метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.

• метод вытеснения. Из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «:убитыми насмерть» и не могут быть восстановлены никаким антивирусом.

• прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.

вирусы-«спутники»	вирусы, не изменяющие файлы, создают Для ЕХЕ-файлов файлы- спутники с расширением ,СОМ
вирусы-ячерви»	распространяются по сети, рас­сылают свои копии, вычисляя сетевые адреса
«паразитические»	изменяют содержимое дисковых секторов или файлов
«студенческие»	примитив, содержат большое количество ошибок
«стелс»-вирусы (невидимки)	перехватывают обращения DOS к пораженным файлам или сек­торам и подставляют вместо се­бя незараженные участки
вирусы-призраки	■не имеют ни одного постоянного участка кода, труднообнаружи- ваемы, основное тело вируса зашифровано
макровирусы	пишутся не в машинных кодах, а на WordBasic, живут в докумен­тах Word, переписывают себя в Normal.dot ,

27. Файловые вирусы 2

К этой группе относятся вирусы, которые во время своего размножения используют любым способом файловую систему операционной системы.

Внедрение такого плана файлового вируса реально практически в любые исполняемые файлы (но есть небольшие исключения) всех популярных на сегодняшний день ОС. К большому сожалению, сегодня известны вирусы, которые поражающие абсолютно все типы исполняемых объектов традиционной DOS: загружаемые драйверы, командные файлы (BAT), и выполняемые двоичные файлы (расширения .EXE и .COM).

 

Разработаны уже вирусы , заражающие файлы, в которых находятся исходные коды программ, объектные или библиотечные модули. Кроме того, возможна запись файлового вируса и в различные файлы данных, но это происходит либо в результате системной ошибки самого вируса, либо при проявлении вирусом каких-то агрессивных свойств.

 

По способу заражения файлов этот вид вирусов подразделяют на паразитические («parasitic»), «overwriting», «link»-вирусы, компаньон-вирусы («companion»), вирусы-черви и вирусы, которые заражают библиотеки компиляторов (LIB), объектные модули (OBJ) и исходные тексты программ.

 

Во время заражения по методу оverwriting, вирус записывает свой программный код взамен кода заражаемого файла, при этом полностью уничтожая все его содержимое. Понятно, что при этом файл становится неработоспособным и восстановить его нереально. Такие вирусы можно очень быстро найти, так как при их действии приложения и вся операционная система в целом очень быстро перестают работать.

 

Во время заражения по методу Parasitic, файловый вирус во время распространения своих копий по компьютеру обязательно изменяют все содержимое зараженных файлов, при этом сами файлы остаются либо полностью, либо частично работоспособными. Но даже если файл работоспособен, то часть информации может быть все равно утеряна.

 

Отдельно необходимо рассмотреть незначительную группу вирусов, которые характеризуются тем, что не имеют «точки входа». К ним относятся вирусы, которые во время заражения не записывают команд передачи управления приложению в заголовок COM-файлов (JMP) и абсолютно не меняющих стандартный адрес точки старта в исходном заголовке EXE-файлов. Получают контроль такие вирусы во время запуска зараженного файла, при этом они записывают команду перехода на вирусный программный код в середину файла, чем делают намного сложнее их поиск. Как результат таких действий – вирус может долгие годы не проявлять своей активности и проявить себя только при определенных ограниченных условиях.

 

28. Загрузочные вирусы 2

Загрузочный вирус (англ. Boot viruses) — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.

При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.

Простейшие загрузочные вирусы, находясь в памяти зараженного компьютера, обнаруживают в компьютере незараженный диск и производят следующие действия:

• выделяют некоторую область диска и делают её недоступной операционной системе;

• замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;

• организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем — программа начальной загрузки.

Загрузочные вирусы очень редко «уживаются» вместе на одном диске из-за того, что используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает, либо зацикливается при загрузке.

29. Макровирусы 2

Макровирус — это разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакетыПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Это стало возможным, пос­кольку в Word для Windows встроен мощный язык макрокоманд WordBasic. При этом макрокоманды не видны в редактируемом документе - для их просмотра и редактирования надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню... Возможности WordBasic позволяют писать на нем вирусы. Запуск вируса происходит при открытии на редактирование зара­женных документов. При этом макрокоманды вируса записываются в гло­бальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи документов или записи документов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказы­вается зараженным.

В принципе, возможно заражение и других объектов, содержащих программы в какой либо форме - текстов программ, электронных таблиц и т.д. Электронные таблицы содержат макрокоманды, в том числе и макроко­манды, автоматически выполняющиеся при открытии таблицы. Поэтому они могут содержать вирусы. Подобные вирусы обнаружены в табличном процес­соре Excel.

30. Сетевые вирусы 2

Сетевые вирусы – это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.

Многие думают, что сетевым является абсолютно любой вирус, который распространяется в компьютерной сети. Но если следовать такому утверждению, то практически все современные вирусы были бы сетевыми. Ведь самый обычный нерезидентный вирус во время заражения файлов абсолютно не разбирается – локальный это диск или сетевой (удаленный). Как результат, этот вирус будет заражать файлы в пределах сети, но при этом он не будет являться сетевым вирусом.

 

Многие пользователи встречались с названиями сетевой червь. Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение.

 

В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).

 

После громадных затрат, вызванных несколькими сетевыми вирусами, всевозможные ошибки в программном обеспечении и сетевых протоколах были исправлены, а так называемые «задние двери» надежно закрыты. Как результат таких действий – за последние несколько лет их активность спала. Так же за этот период не было зафиксировано ни единого случая успешной атаки сетевым вирусом. Так же нужно отметить, что за этот период не появилось ни одного нового сетевого вируса.

Вновь актуальной проблемой атак сетевых вирусов стала в начале 1997-го года. Именно тогда появился «Win.Homer» и «Macro.Word.ShareFun». Последний из них использует все современные возможности электронной почты под названием Microsoft Mail. Этот вирус создает новое письмо, в состав которого входит сам код вируса, а результатом является файл-документ. После этого он выбирает из доступного списка адресов программы MS-Mail три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо. Сегодня очень много пользователей устанавливают параметры MS-Mail таким образом, что запуск MS Word происходит в автоматическом режиме, при получении письма. Таким образом, вирус в автоматическом режиме внедряется в компьютер. После чего он выполняет то, что заложено у него в исходном коде.

 

Этот вирус ярко демонстрирует первый тип сетевого вируса нашего времени, который объединяет в себе все возможности встроенного в редакторы Excel и Word языка Basic, все особенности и главные протоколы электронной почты и специальные функции авто-запуска, которые крайне необходимы для последующего распространения самого вируса.

 

В отличии от первого, вирус «Homer» для своего распространения использует протокол под названием FTP  и передает свою зараженную копию в каталог Incoming на удаленный ftp-сервер. Так как сетевой протокол FTP полностью исключает возможность автоматического запуска файла на удаленном сервере, то Homer  можно назвать как «полу-сетевой».

31. Программные закладки (понятие, виды, механизмы проникновения, вредоносные действия) 2

 настоящий момент информация является одной из важнейших ценностей человеческого общества. Стоимость информации значительно превосходит стоимость информационных систем ее обработки и хранения. В связи с этим возникает проблема защищенности компьютерных систем от утечки информации по каналам несанкционированного доступа.

Наиболее удобным, с точки зрения нарушителя, способом осуществления несанкционированного доступа к информации в компьютерных системах является метод алгоритмических и программных закладок.

Алгоритмическая закладка – это преднамеренное скрытое искажение части алгоритма программы, в результате чего возможно появление у программного компонента функций, не предусмотренных спецификацией и выполняющихся при определенных условиях протекания вычислительного процесса.

Программная закладка – это внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (ГОСТ Р 51275-99).

Присутствие программных закладок в информационных системах представляет собой серьезную потенциальную опасность. Типичный пример программной закладки – разрушающее программное обеспечение «Троянский конь».

Внедрение и функционирование программной закладки в компьютере носит латентный характер. Ее работа может быть очень разноплановой, все зависит от фантазии программиста, писавшего программный «жучок». Программная закладка часто выполняет роль перехватчикапаролей или трафика, служит проводником некоторым вирусам. Закладки часто существенно модифицируют данные в информационной системе, вплоть до ее уничтожения.

Программные закладки не обнаруживаются стандартными средствами антивирусного контроля. Выявить программную закладку можно с помощью специальных тестовых программ, доступных в специализированных компаниях, занимающихся сертификацией и стандартизацией программного обеспечения.

Существуют качественные методы выявления программных закладок. Они основываются на наблюдении за процессами, происходящими в системе. Присутствие программной закладки в информационной системе обязательно отражается на параметрах программной среды.

Изменения в функционировании, которые могут наблюдаться при работе программной закладки в системе могут быть следующие:

1) снижение быстродействия вычислительной системы; 2) частичное или полное блокирование работы системы;  3) имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;  4) переадресация сообщений;  5) обход программно-аппаратных средств криптографического преобразования информации;  6) обеспечение доступа в систему с несанкционированных устройств.

Можно ли «застраховать» свой компьютер от проникновения программных закладок? Стопроцентной защиты информационной системы от воздействия программных закладок не существует.

Внедрение программной закладки в программную среду может произойти случайно: через сеть, со съемного носителя и другими способами. Программная закладка может быть внедрена в среду изначально, еще на стадии проектирования программного обеспечения. Закладки, внедренные на стадии разработки программного обеспечения, не обнаруживаются вообще.

Однако возможно снизить риск проникновения программных закладок в систему. Для этого следует устанавливать только сертифицированное программное обеспечение, запретить автоматическое обновление и установку файлов .dll неизвестного происхождения.

Базовым способом защиты от проникновения программных закладок в компьютер является установка средств мониторинга процессов, происходящих в системе, сканеров, в основе которых вместо сигнатурного анализа применяются механизмы семантики и эвристики

32. Методы и средства защиты от программных закладок 3

Методы противодействия программным закладкам полжно разделить на следующие категории:

Универсальные:

• принцип минимизации программного обеспечения;

• принцип минимизации полномочий.

Специализированные:

• сигнатурное и эвристическое сканирование;

• контроль целостности;

• антивирусный мониторинг;

• изолированная программная среда;

• программные ловушки.

При этом следует помнить, что чем меньше в системе программ, тем меньше в ней уязвимостей. Принцип минимизации полномочий заключпется в следующем:

• Как можно меньше времени работать в системе с административными полномочиями, для повседневной работы использовать учетную запись с полномочиями обычного пользователя

• Не отключать встроенные средства ограничения полномочий администратора (UAC в Windows)

• Явно запрещать администраторам доступ к вирусоопасным компонентам системы (съемные носители информации, электронная почта и т.п.)

При эвристическиом сканировании  в программах, установленных в проверяемой системе, ищутся признаки наличия вредоносного кода.

+ обнаруживаются новые вирусы

+ не требуется регулярное обновление баз

- очень много ложных тревог

- не обнаруживаются профессионально написанные вирусы, реализующие специальные функции защиты от эвристического сканирования

При сигнатурном сканировании: в  проверяемой системе ищутся сигнатуры вирусов – четкие и недвусмысленные признаки присутствия в системе конкретных вирусов.

+ известные вирусы надежно обнаруживаются

+ нет ложных тревог

- не обнаруживаются новые вирусы

- требуется регулярное обновление баз сигнатур

Следующим шагом при защите от программных закладок является использование контрля целостности. При использовании данного метода защиты сохраняется эталонный образ «чистой» системы, текущее состояние системы регулярно сравнивается с этим образом. Достоинства и недостатки данного метода заключаются в следующем:

+ гарантированно обнаруживаются любые вирусы, не реализующие стелс-технологий

- очень много ложных тревог

- очень сильно замедляется работа компьютеров

Отслеживаются в динамике информационные потоки, протекающие в системе. Потоки, сигнализирующие о вирусной активности, блокируются.

+ гарантированно обнаруживаются любые вирусы, не реализующие стелс-технологий

- очень много ложных тревог

- возможны конфликты с другими программным обеспечением, фильтрующим информационные потоки

При использовании изолированной программной среды разрешается запуск только программ из особого списка, утвержденного администратором безопасности. Права доступа пользователей к объектам зависят от того, какая программа используется. + внедрение и функционирование программных закладок практически невозможно– очень сильно затрудняются установка и обновление программного обеспечения

Суть программных ловушек заключается в следующем: в системе создаются объекты, привлекательные для вирусов и хакеров, в отношении этих объектов применяются более мощные средства антивирусной защиты. Плюсы и минусы данного метода:

+ вирусные атаки быстро обнаруживаются и пресекаются, при этом негативные эффекты вышеперечисленных методов антивирусной защиты сводятся к минимуму

- установка и обновление программных ловушек требует больших усилий от администраторов, автоматизировать эти процедуры практически невозможно

33. Характеристика методов защиты информации от компьютерных вирусов (метод сканирования, метод вакцинации, метод обнаружения наличия изменений) 1

Метод сканирования заключается в том, что специальная антивирусная программа, называемая сканером, последовательно просматривает проверяемые файлы в поиске так называемых "сигнатур" известных КВ. При этом под сигнатурой понимают уникальную последовательность байтов, принадлежащую конкретному известному KB и не встречающуюся в других программах. 

Вакцинирование устанавливает способ защиты любой конкретной программы от KB, при котором к этой программе присоединяется специальный модуль контроля, следящий за ее целостностью.  При этом проверяются контрольная сумма программы или какие-либо другие ее характеристики. Если KB заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю. 

Метод обнаружения изменений заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению KB, а затем периодически проверяет их. Если изменение этих характеристик будет обнаружено, то такая программа сообщит пользователю, что, возможно, в компьютер попал КВ. 

Вакцинирование устанавливает способ защиты любой конкретной программы от KB, при котором к этой программе присоединяется специальный модуль контроля, следящий за ее целостностью.  При этом проверяются контрольная сумма программы или какие-либо другие ее характеристики. Если KB заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю. 

34. Характеристика методов защиты информации от компьютерных вирусов (метод использования резидентных сторожей, эвристический анализ, аппаратно-программная защита) 1

В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл. 

Аппаратно-программные методы защиты ПС от KB реализуются с помощью специализированного устройства - контроллера, вставляемого в один из разъемов расширения компьютера, и специального программного обеспечения, управляющего работой этого контроллера и реализующего один или несколько из программных методов, указанных выше. 

Метод эвристического анализа реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для КВ. Так, например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти. 

35. Характеристика антивирусных программ (программы-детекторы, программы-ревизоры, программы-вакцины) 1

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, “лечащие” этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Программы-детекторы — осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-ревизоры

относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широ­ко распространенная в России программа Adinf .

36. Характеристика антивирусных программ (программы-доктора, программы-фильтры, программы-полифаги) 1

Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появи­лись первыми и до сих пор удерживают несомненное лидерство в этой области.

В основе работы полифагов состоит простой принцип – поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура – это такая запись о вирусе, которая позволяет однозначно идентифицоровать присутствие вирусного кода в программе или документе. Чаще всего сигнатура – это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и “лечат” их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к “лечению” файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Программы-фильтры или “сторожа” представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:  попытки коррекции файлов с расширениями COM, EXE; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия “сторож” посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не “лечат” файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.

37. Организация защиты информации в базах данных 3

Большинство современных компаний используют для обеспечения своей жизнедеятельности различные базы данных. Базы данных используются в бухгалтерских системах, системах документооборота, порталах и сайтах, системах анализа информации. Практически нет ни одного бизнес-процесса для обеспечения которого не использовались бы базы данных. Все это приводит к тому, что в базах данных скапливается гигантский объем данных, которые необходимо защищать от самых различных угроз:

потери хранящейся информации, например, в случае непредумышленных действий пользователей или порчи носителей;

кражи либо утери информации - попадание носителей баз данных либо самих баз данных в руки злоумышленников создает наиболее серьезную угрозу информационной безопасности компании и может привести к самым тяжелым последствиям;

утечки информации в процессе обработки данных сотрудниками либо клиентами компании.

Вот только некоторые возможные варианты действий, допускающие в ходе своей реализации возможность утечки конфиденциальной информации, хранящейся в базе банных:

размещение серверов в стороннем дата центре (collocation), не обладающей квалифицированной службой безопасности;

отправка серверов или жестких дисков в ремонт;

перевозка компьютеров из одного офиса в другой, например, при переезде;

утилизация компьютеров, серверов, жестких дисков и лент;

перевозка резервных копий, например, в депозитарий(off-site storage);

кража или потеря жестких дисков или резервных копий;

получение неавторизованного доступа к базе данных;

передача данных по сети и обработка их пользователями.

Для устранения существующих угроз необходимо:

организовать резервное копирование баз данных, что позволяет предотвратить потерю информацию и сократить время простоя компании в случае восстановления работы сервера

защитить сервер баз данных системой антивирусной защиты, что позволит избежать рисков заражения сервера, порчи либо утечки информации;

установить файрвол (межсетевой экран), что позволит избежать риска проникновения на сервер хакеров с целью его заражения либо кражи информации;

обеспечить сервер системой бесперебойного питания, что позволит избежать риска уничтожения либо порчи информации в случае сбоев в электропитании;

обеспечить шифрование хранящейся в базах данных информации либо самой базы данных, что позволит избежать рисков утечки информации при попадании баз данных в руки злоумышленников;

внедрить систему аутентификации пользователей, действующую на основе положений о политике использования паролей в компании.

Необходимо отметить, что описанные выше меры позволяют защитить информацию только в момент ее хранения на сервере. Для обеспечения защиты информации при ее передаче по сети и при обработке пользователями необходимо предпринимать дополнительные меры защиты, включая организацию VPN или шифрование трафика.

Описание решения

Предлагаемое решение по защите сервера баз данных обеспечивает:

защиту от компьютерных вирусов и другого вредоносного программного обеспечения;

целостность ресурсов портала и сохранение предыдущих версий хранящихся ресурсов;

защиту от несанкционированного проникновения, включающей файрвол и систему обнаружения атак, направленных на внедрение вредоносного кода либо на кражу информации;

защиту от Интернет-червей, распространяющихся через уязвимости в программном обеспечении;

защиту разделов жестких дисков от несанкционированного доступа;

защиту конфиденциальной информации на сервере от обнаружения;

безопасность информации при передаче и транспортировке носителей;

контроль и разграничение доступа к защищаемой информации.

Надежная работа предлагаемой системы защиты обеспечивается только при:

наличии подсистемы регистрации событий, обеспечивающей возможности расследования инцидентов безопасности;

наличии введенной в действие процедуры выявления уязвимостей;

наличии действующей политики информационной безопасности компании;

постоянно действующей системе обновлений установленных приложений.

Компоненты решения

Предлагаемое решение использует в своем составе:

программно-аппаратного комплекса для защиты конфиденциальной информации на рабочих станциях и серверах посредством шифрования на основе SecurIT Zserver Suite

подсистему защиты от вредоносных программ на базе решений от Лаборатории Касперского, Dr.Web, Eset, Symantec или Trend Micro;

подсистему контроля целостности на основе программного продукта Shield ICS или Adinf;

систему межсетевого экранирования и обнаружения атак на базе Kerio Firewall;

систему резервного копирования на основе Symantec Backup Exec;

систему обновлений на основе Microsoft WSUS.

Дополнительная защита может быть обеспечена с помощью:

Системы защиты от копирования хранящейся на сервере информации на основе SecurIT Zlock;

Системы аутентификации пользователей на основе SecurIT Zlogin либо SecurIT Zshell.

Анализ защищённости портала осуществляется с помощью XSpider.

Преимущества решения

надежное решение, обеспечивающее защиту от большинства угроз, связанных с рисками утраты либо утечки корпоративной информации;

гибкость настроек предлагаемых продуктов позволяет обеспечить надежную защиту с учетом потребностей любого клиента.

Необходимо отметить, что полноценная система защита может функционировать только, если в компании действуют политика информационной безопасности и ряд других документов. В связи с этим компания Azone IT предлагает услуги не только по внедрению программных продуктов, но и по разработке нормативных документов и проведению аудита.

38. Защита информации в компьютерных сетях (топологии компьютерных сетей, достоинства, недостатки с точки зрения безопасности) 2

ТОПОЛОГИЯ «ЗВЕЗДА» Как следует из названия, компьютеры в подобной сети соединены в виде звез­ды. Один сетевой центральный компьютер, называемый концентратором (hub) является сердцем сети, а все остальные компьютеры, которые часто называют клиентами (client) или узлами (node) связаны с концентратором (или серве­ром). Узлы не имеют непосредственной связи друг с другом. Все движение данных по сети происходит через центральный компьютер. по­казано, как соединяются компьютеры в топологии «звезда». узел 1 узел 4 узел При использовании топологии «звезда» все компьютеры соединены с центральным компьютером. Основным преимуществом этой топологии является то, что сеть продолжает функционировать даже в том случае, если один или даже несколько узлов пере­стают действовать. Поскольку все узлы связаны только с концентратором, он продолжает обеспечивать движение данных между узлами, продолжающими фун­кционировать. Главным недостатком соединения в виде звезды является то, что вместе с концентратором перестает работать и вся сеть. Поскольку все обслужи­вание сети производится центральным компьютером, его неисправная работа стопорит все функционирование сети. Так как движение данных в сети происхо­дит через концентратор, обеспечение его безопасности является очень важной задачей при использовании этой топологии. ТОПОЛОГИЯ «КОЛЬЦО» Как видно из названия, «кольцо» — это соединение компьютеров, в котором нет центра. При применении этой топологии один узел соединяется со следую­щим, затем со следующим и т.д., пока, наконец, цепь компьютеров не замк­нется на первом узле, образуя кольцо. Как показано 15 и как сле­дует из самой топологии, данные движутся только в одном направлении. Основным недостатком этой топологии является то, что если произойдет разрыв в каком-либо соединении между соседними компьютерами или аппаратное обес­печение одного из них выйдет из строя, то это остановит работу всей сети. Если даже один узел прекратит функционировать, вся сеть не будет работать, несмот­ря на то что остальные компьютеры будут функционировать по отдельности. Важно заметить, что сеть «кольцо» передает данные через каждый компьютер сети, находящийся между компьютером-отправителем и компьютером-получа­телем. Поскольку каждое сообщение проходит через множество компьютеров, вопросы безопасности играют большую роль в этой сетевой топологии. сервер При соединении «кольцо» компьютеры передают данные в одном направлении. ТОПОЛОГИЯ «ШИНА» В топологии «шина» используется одна передающая среда — обычно коаксиаль­ный кабель, — называемая шиной. Все компьютеры в такой сети подключены непосредственно к шине.  Я: Сеть, использующая соединение «шина». В сети, использующей соединение «шина», данные движутся в обоих направле­ниях по сети (другими словами, по шине). Как и при использовании топологии «кольцо», физическое повреждение шины вызывает общий сбой работы в сети. Однако, в отличие от «кольца», «шина» требует специальных концевых элемен­тов (терминаторов), которые проектировщики сети должны размещать на обоих концах шины. Как и в топологии «кольцо», при движении по сети данные про­ходят через каждый компьютер сети. Поэтому при использовании топологии «шина» риск нарушения безопасности значительно увеличивается.

39. Эталонная модель взаимодействия открытых систем OSI (организация защиты на уровнях) 3

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI), каковыми среди прочего являются и сетевые компьютеры. Расскажем о нём.

Современные сети построены по многоуровневому принципу. Чтобы организовать связь двух компьютеров, требуется сначала создать свод правил их взаимодействия, определить язык их общения, т.е. определить, что означают посылаемые ими сигналы и т.д. Эти правила и определения называются протоколами. Для работы сетей необходимо запастись множеством различных протоколов: например, управляющих физической связью, установлением связи по сети, доступом к различным ресурсам и т.д. Многоуровневая структура используется с целью упростить и упорядочить это великое множество протоколов и отношений. Она также позволяет составлять сетевые системы из продуктов -- модулей программного обеспечения, -- выпущенных разными производителями.

Стандарт, выработанный ISO, называется Взаимодействие Открытых Систем -- Open System Interconnection -- OSI. Он описывает структуру самих открытых систем, требования к ним, их взаимодействие. Модель взаимодействия сетевых систем, представленная в этом стандарте, известна под названием ``эталонная модель ISO/OSI''. Она вертикально структурирована и имеет семь уровней.

Модель OSI
Тип данных	Уровень (layer)	Функции
Данные	7. Прикладной (application)	Доступ к сетевым службам
	6. Представительский (presentation)	Представление и кодирование данных
	5. Сеансовый (session)	Управление сеансом связи
Сегменты	4. Транспортный (transport)	Прямая связь между конечными пунктами и надежность
Пакеты	3. Сетевой (network)	Определение маршрута и логическая адресация
Кадры	2. Канальный (data link)	Физическая адресация
Биты	1. Физический (physical)	Работа со средой передачи, сигналами и двоичными данными

40. Межсетевые экраны 2

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетейили отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Типичные возможности

• фильтрация доступа к заведомо незащищенным службам;

• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

• контроль доступа к узлам сети;

• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

• регламентирование порядка доступа к сети;

• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

41. Характеристика угроз информации обрабатываемой в персональных компьютерах 3

При обработке ПДн на автоматизированном рабочем месте, не имеющем подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн:

угроз утечки информации по техническим каналам;

угроз НСД к ПДн, обрабатываемым в автоматизированном рабочем месте.

Угрозы утечки информации по техническим каналам включают в себя:

угрозы утечки акустической (речевой) информации;

утечки видовой информации;

угрозы утечки информации по каналу побочные электромагнитные излучения и наводки

42. Характеристика средств защиты в персональных компьютерах