Угроза безопасности компьютерной системы
реклама
ЛЕКЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ....................................................................................................... 2 2. УГРОЗЫ БЕЗОПАСНОСТИ ............................................................................... 3 3. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, МОДЕЛИ И ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ ....................................... 5 4. ПРОБЛЕМА ВИРУСНОГО ЗАРАЖЕНИЯ ПРОГРАММ, СТРУКТУРА СОВРЕМЕННЫХ ВИРУСНЫХ ПРОГРАММ, ОСНОВНЫЕ КЛАССЫ АНТИВИРУСНЫХ ПРОГРАММ, ПЕРСПЕКТИВНЫЕ МЕТОДЫ АНТИВИРУСНОЙ ЗАЩИТ ...................................................................................... 9 5. ЗАЩИТА ОТ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. ............................................................................................................... 21 6. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ........................................................... 26 1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информация - это результат отражения и обработки в человеческом сознании многообразия внутреннего и окружающего мира, это сведения об окружающих человека предметах, явлениях природы, деятельности других людей и т.д., а также сведения о его внутреннем состоянии. Сведения, которыми человек обменивается через машину с другим человеком или с машиной, и являются предметом защиты в автоматизированной системе. Однако защите подлежит не всякая информация, а только та, которая имеет цену. Информационная безопасность включает меры по защите процессов создания данных, их ввода, обработки и вывода. Главная цель состоит в том, чтобы защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, когда информация создается, модифицируется, когда к ней обеспечивается доступ и когда она распространяется. Информационная безопасность гарантирует достижение следующих целей: конфиденциальность критической информации; целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода); доступность информации в случае необходимости; учет всех процессов, связанных с информацией. Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события. Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них. Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка" . Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие. Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Аутентификация - процедура проверки является ли человек тем, за кого он себя выдал при идентификации. Идентификация - процедура опознавания человека объектом информатизации. Объект информатизации - комплекс, состоящий из программноаппаратных частей компьютера или других видов техники, который хранит, обрабатывает и выдает информацию. Права доступа - определенный вид характеристики учетной записи и файлов, которая определяет нормативы доступа (право на чтение, изменение, удаление и т.п.) к информации при объекте информатизации. Учетная запись (аккаунт) - совокупность имени и пароля конкретного человека для определенного объекта информатизации в целях обеспечения идентификации и аутентификации этого человека. 2. УГРОЗЫ БЕЗОПАСНОСТИ Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения. Придерживаясь принятой классификации будем разделять все источники угроз на внешние и внутренние. Источниками внутренних угроз являются: Сотрудники организации; Программное обеспечение; Аппаратные средства. Внутренние угрозы могут проявляться в следующих формах: ошибки пользователей и системных администраторов; нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации; ошибки в работе программного обеспечения; отказы и сбои в работе компьютерного оборудования. К внешним источникам угроз относятся: Компьютерные вирусы и вредоносные программы; Организации и отдельные лица; Стихийные бедствия. Формами проявления внешних угроз являются: заражение компьютеров вирусами или вредоносными программами; несанкционированный доступ (НСД) к корпоративной информации; информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб; действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации; аварии, пожары, техногенные катастрофы. Все перечисленные нами виды угроз (формы проявления) можно разделить на умышленные и неумышленные. По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые. К информационным угрозам относятся: несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации; противозаконный сбор и использование информации; использование информационного оружия. К программным угрозам относятся: использование ошибок и "дыр" в ПО; компьютерные вирусы и вредоносные программы; установка "закладных" устройств; К физическим угрозам относятся: уничтожение или разрушение средств обработки информации и связи; хищение носителей информации; хищение программных или аппаратных ключей и средств криптографической защиты данных; воздействие на персонал; К радиоэлектронным угрозам относятся: внедрение электронных устройств перехвата информации в технические средства и помещения; перехват, расшифровка, подмена и уничтожение информации в каналах связи. К организационно-правовым угрозам относятся: закупки несовершенных или устаревших информационных технологий и средств информатизации; нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере. 3. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, МОДЕЛИ И ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ Защита информации от несанкционированного доступа К данной подсистеме относятся задачи общей идентификации и аутентификации пользователя, а также задачи разграничение доступа к различным участкам информации в зависимости от прав (или потребностей) пользователя. Общая задача идентификации пользователя сводится к выяснению, имеет ли пользователь право доступа к вашей информации (или вашей сети) в целом. как правило, для решения данной задачи используются средства операционной системы, которая функционирует на вашем предприятии. Пользователь имеет имя, пароль или другие признаки, определяющие, имеет ли он доступ к какому-либо разделу предоставляемой вами информации. Эти признаки проверяются средствами операционной системы непосредственно при первой попытке подключения пользователя к вашей сети. Например, при использовании Windows NT вы можете предоставлять пользователю имя и пароль, контролируемые операционной системой. Под аутентификацией пользователя понимают идентификацию пользователя по дополнительным (косвенным) признакам, например по IP адресу подсети пользователя или по электронной подписи. Данные признаки, как правило, отслеживаются специальными средствами, такими как брандмауэры (о них мы поговорим позже) или специальные компоненты WEB-серверов. Разграничение доступа к различным участкам информации, как правило, обеспечивается непосредственно WEB-серверами, которые имеют независимые от ОС или интегрированные с ОС системы идентификации пользователей и внутренние системы каталогизации информации, напоминающие структуры размещения информации самих ОС или незначительно отличающиеся от них. Надо заметить, что если вы предполагаете использовать WEB-сервер для предоставления статической информации (заранее подготовленных и хранящихся в файлах документов), то решение всех задач по обеспечению разграничения доступа и идентификации пользователей ложится на средства операционной системы и WEB-сервера. Если же основной объем предоставляемой информации основывается на технологии динамической генерации HTML-страниц и использовании WEB-приложений, то проблема разграничения доступа к информации ложится непосредственно на WEBприложения. В последнем случае умелое комбинирование средств операционной системы, WEB-серверов и WEB-приложений приводит к минимальным затратам на обеспечение описываемой в данном разделе подсистемы защиты и открывает широкое поле деятельности для самостоятельного совершенствования и доработки (в случае специфичных особенностей вашей информации) данной подсистемы. Подсистема защиты внутренней сети от несанкционированного доступа К данным подсистемам относятся так называемые "брандмауэры" или системы FireWall. Они являются надстройкой над TCP/IP и обеспечивают разрешение или запрещение прохождения IP-пакетов в сети. Пропуская все IPпакеты, проходящие в сети, через себя, брандмауэры определяют адресата и владельца пакета, точку обращения, исходный порт, конечный порт, а также тип пакета, проверяют по внутренним журналам или базам пользователей права обоих участников данной транзакции и выносят решение о прохождении пакета от отправителя к адресату или о запрещении такового. Брандмауэры могут представлять собой как чисто программные, так и программно-аппаратные комплексы. В последнем случае снижается риск ошибок системы и повышается защищенность, но, с другой стороны, происходит удорожание данной подсистемы защиты и уменьшается ее гибкость. Системы типа FireWall обычно реализованы в виде отдельных задач, установленных на выделенные машины. Внешний интерфейс этих задач позволяет быстро настраивать их, задавая наборы правил, поддерживать защищенные формы доступа к администрированию, просматривать журналы событий и т.д. Защита информации на стадии ее передачи от источника к пользователю и в обратную сторону К данной подсистеме относятся задачи обеспечивающие кодирование информации в источнике и раскодирование ее в приемнике, а также некоторые дополнительные функции по проверке прав на посылку информации из источника и получение ее адресатом. Существует ряд стандартизированных протоколов обмена данными, таких как SSL (Secure Socket Layer) или SHTTP (Secure HTTP), обеспечивающих различные способы шифрования сообщений. В случае использования того или иного программного обеспечения WEB могут быть использованы различные протоколы обмена. Реализация защищенных протоколов зависит исключительно от фирмы-производителя ПО для WEB. Однако большинство современных WEB-средств поддерживают тот или иной защищенный протокол, а некоторые фирмы выпускают целые линии своих продуктов, поддерживающих различные уровни безопасности передачи данных. Основные принципы защиты информации Защита информации – это обеспечение её безопасности. Под безопасностью информации понимаются условия, при которых она не подвергается опасности. Опасность – угрозы чего-либо. Следовательно, под безопасностью информации следует понимать условия хранении, обработки и передачи информации, при которых обеспечивается её защита от угроз уничтожения, изменения и хищения. Нарушение целостности информации – частный случай её изменения. Копирование, изменение и передача информации стала очень простой. С одной стороны, это очень удобно. Но с другой стороны, вместе с удобством мы получили и опасность того, что информация по пути из точки «А» в точку «Б» будет скопирована или изменена. Сделать копию с информации, которая находится (передаётся, хранится) в электронном виде стало настолько просто, что всерьёз задумались над защитой информации. Как известно, универсальной защиты не существует. Обычно выполняется соотношение – чем более защищённая система, тем сложнее и неудобнее с ней работать. Неудобство использования порождает желание пользователя от защиты избавиться. Если желание достаточно велико, то защиту обходит сам же пользователь. Это сводит на нет все старания специалистов по защите информации. Серьёзная проблема лежит в области обнаружения вторжений. Требуется автоматическое, но при этом очень быстрое, формирование ответа, который предоставлял бы возможность реагировать на распространяющуюся атаку более оперативно и с большей точностью, нежели бы это делал человек. Однако у такого подхода есть ряд недостатков, которые могут привести к потере ресурсов, и что, в свою очередь, может спровоцировать атаку типа «отказ в обслуживании» (denial of service – DOS). В частности, для администрирования таких систем требуются высококвалифицированные кадры, глубоко разбирающиеся в защите информации и теории вероятностей. Подобные недостатки сужают область применения таких систем. Поэтому для решения указанной задачи необходим структурированный подход, учитывающий упомянутые недостатки. Таким образом, защита должна быть сбалансирована. На практике защита должна соответствовать запросам конкретной системы. Ведь в одной системе нужно зашифровать данные (далее «открытый текст» или просто «текст», зашифрованные данные – «закрытый текст») так, чтобы никто не мог за разумное время на современных технических средствах дешифровать (здесь и далее подразумевается различие между терминами «расшифровать» и «дешифровать» – первый означает получение открытого текста при помощи легальной системы защиты, второй означает получение открытого текста при помощи обхода системы защиты). В другой системе и этого мало – нужно скрыть сам факт передачи закрытого текста (стеганография – набор методов, позволяющих скрыть сам факт передачи информации). А в третьей нужно передать информацию в открытом для всех виде, но быть уверенным, что по пути информация не была изменена (использование электронной цифровой подписи). При этом, четвёртой системе может быть вообще не важно как пошла эта информация – в защите нуждаются другие части системы. Модели защиты информации Существует множество моделей защиты информации. Но все они являются модификациями трёх основных: дискреционной, мандатной и ролевой. Дискреционная модель обеспечивает произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей – субъектов, которые осуществляют доступ к информации, пассивных сущностей – объектов, содержащих защищаемую информацию и конечного множества прав доступа, означающих полномочия на выполнение соответствующих действий. Принято считать, что все субъекты одновременно являются и объектами (обратное неверно!). Поведение системы характеризуется текущим состоянием, текущее состояние характеризуется тройкой множеств: субъектов, объектов и матрицы прав доступа, описывающей текущие права доступа субъектов к объектам. Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, назначается специальная метка, получившая название уровень безопасности. Все уровни безопасности упорядочиваются по доминированию. Контроль доступа основывается на двух правилах: 1. Субъект имеет право читать только те документы, уровень безопасности которых ниже или равен уровню субъекта. 2. Субъект имеет право заносить информацию только в документы, уровень которых выше или равен уровню субъекта. Ролевая модель представляет собой существенно усовершенствованную дискреционную модель, однако её нельзя отнести ни к дискреционным, ни к мандатным моделям, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. В ролевой модели классическое понятие субъект замещается понятиями пользователь и роль Абстрактные модели защиты информации Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения: 1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа; 2) субъект не может модифицировать объекты с более высоким уровнем доступа. Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий. Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы – домены, и переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано какие операции может выполнять субъект, скажем, из домена C над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы. Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, делает акцент на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое. Важную роль в теории защиты информации играет модель защиты Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. Но в данной модели впервые исследована защищенность третьей стороны в данной проблеме – стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программасупервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем. 4. ПРОБЛЕМА ВИРУСНОГО ЗАРАЖЕНИЯ ПРОГРАММ, СТРУКТУРА СОВРЕМЕННЫХ ВИРУСНЫХ ПРОГРАММ, ОСНОВНЫЕ КЛАССЫ АНТИВИРУСНЫХ ПРОГРАММ, ПЕРСПЕКТИВНЫЕ МЕТОДЫ АНТИВИРУСНОЙ ЗАЩИТ Компьютерный вирус — это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере. Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам: по среде обитания вируса; по способу заражения среды обитания; по деструктивным возможностям; по особенностям алгоритма вируса. Классификация вирусов. Среда обитания: Способы заражения: Деструктивные возможности: Особенности алгоритма вируса: Сетевые Распространяются компьютерной сети. по Файловые Внедряются файлы в исполняемые Загрузочные Внедряются в сектор диска загрузочный Резидентные Находятся в памяти, активны до выключения ПК Нерезидентные Не заражают память, являются активными ограниченное время Безвредные Практически Ге влияют на работу, уменьшают свободную память на диске в результате своего размножения Неопасные Уменьшают свободную память, создают звуковые, графические и прочие эффекты Опасные Могут привести к серьёзным сбоям в работе Очень опасные Могут привести программ или данных Вирусы«спутники» Вирусы, не изменяющие файлы, создают для EXEфайлов файлы-спутники с расширением COM Вирусы-«черви» Распространяются по сети, рассылают свои копии, вычисляя сетевые адреса «Паразитические» Изменяют содержимое дисковых секторов или файлов к потере системных «Студенческие» Примитив, содержат большое количество ошибок «Стелс»-вирусы (невидимки) Перехватывают обращения DOS к пораженным файлам или сектора и подставляют вместо себя незараженные участки Вирусы-призраки Не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано Макровирусы Пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot Виды вирусов. Загрузочные вирусы. Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А: Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector). В секторе начальной загрузки хранится информация о дискете количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление. Таким образом, нормальная схема начальной загрузки следующая: ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и т.н. хвост. Хвост может быть пустым. Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad) копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой организует цепочку передачи управления согласно схеме. Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) - ПНЗ (диск) – СИСТЕМА появляется новое звено: ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска. Файловые вирусы Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину» Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения: он не обязан менять длину файла неиспользуемые участки кода не обязан менять начало файла Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Таким образом, при запуске любого файла вирус получает управление, (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу. Загрузочно-файловые вирусы Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Полиморфные вирусы Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое. Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика. Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса. Стелс-вирусы В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет. Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой. При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелсмеханизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус. Троянские кони, программные закладки и сетевые черви Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какиенибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы – вносить в них разрушающие функции. «Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку. Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать. Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности. В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды. Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь. Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети. Признаки проявления вируса. При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие: прекращение работы или неправильная работа ранее успешно функционировавших программ медленная работа компьютера невозможность загрузки операционной системы исчезновение файлов и каталогов или искажение их содержимого изменение даты и времени модификации файлов изменение размеров файлов неожиданное значительное увеличение количества файлов на диске существенное уменьшение размера свободной оперативной памяти вывод на экран непредусмотренных сообщений или изображений подача непредусмотренных звуковых сигналов частые зависания и сбои в работе компьютера Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Методы антивирусной защиты Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных. Требования к антивирусным программам. Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам. Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными. Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск). Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле). Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов. Методы защиты от компьютерных вирусов Каким бы не был вирус, пользователю необходимо знать методы защиты от компьютерных вирусов. основные Для защиты от вирусов можно использовать: общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; профилактические меры, позволяющие уменьшить вероятность заражения вирусом; специализированные программы для защиты от вирусов. Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств: копирование информации - создание копий файлов и системных областей дисков; разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей. Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктораревизоры, фильтры и вакцины (иммунизаторы). Характеристика антивирусных программ. Антивирусные программы делятся на: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программывакцины. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программыдетекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файлов; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска. загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Вакцины (иммунизаторы) это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов. Перспективные методы антивирусной защиты. В результате постоянной разработки все более совершенных подходов к осуществлению антивирусной защиты появляются новые и более надежные продукты. В следующем разделе мы остановимся на двух наиболее важных направлениях развития данной области защиты систем. Полное декодирование. Технология полного декодирования (GD — general decryption) позволяет антивирусной программе легко обнаруживать даже самые сложные полиморфные вирусы, сохраняя при этом высокую скорость сканирования [NACH97]. Напомним, что при выполнении содержащего полиморфный вирус файла перед активизацией вирус должен быть расшифрован. Для выявления подобных структур выполняемый файл проходит через GD-сканер, состоящий из следующих элементов. Эмулятор процессора. Представляет собой программную реализацию виртуального компьютера. Команды, имеющиеся в выполняемом файле, интерпретируются эмулятором вместо того, чтобы выполняться реальным процессором. Эмулятор содержит программные версии всех регистров и других аппаратных средств процессора, так что сам процессор оказывается вне зоны действия программ, интерпретируемых эмулятором. Сканер сигнатур вирусов. Модуль, выполняющий сканирование проверяемого кода на предмет выявления в нем сигнатур известных вирусов. Модуль управления эмуляцией. Управляет выполнением проверяемого кода. Загрузив программу, эмулятор начинает интерпретировать одну за одной команды проверяемого кода. Если в программе содержится процедура дешифрования тела вируса, ее код тоже будет интерпретирован. В результате вирус сам откроет себя антивирусной программе. Периодически модуль управления прерывает ход эмуляции, чтобы выполнить сканирование полученного кода на предмет наличия в нем сигнатур вирусов. Во время интерпретации код вируса не может нанести реального вреда компьютеру, так как код выполняется в изолированной и контролируемой виртуальной среде Самым сложным вопросом реализации GD-сканеров является определение того, как долго нужно выполнять интерпретацию проверяемой программы. Обычно вирус активизируется вскоре после запуска программы, но это правило не является догмой. Чем дольше эмулятор проверяет программу, тем выше вероятность обнаружения скрытых вирусов. Однако неоправданно большое время проверки и высокие требования к потребляемым ресурсам, очевидно, не очень удовлетворяют пользователей. Цифровая иммунная система. Цифровая иммунная система представляет собой сложную технологию антивирусной защиты, разработанную компанией IBM [КЕРНЭТа, КЕРН97Ъ]. Причиной разработки послужила возрастающая угроза распространения вирусов через Internet. Сначала мы скажем несколько слов о самой угрозе, а затем перейдем в описанию подхода, предложенного IBM. В настоящее время угроза вирусной инфекции характеризуется относительно низкой частотой появления новых вирусов и новых мутаций старых вирусов. Антивирусное программное обеспечение обновляется, как правило, ежемесячно, и этого оказывается достаточным для того, чтобы держать проблему под контролем. Кроме того, сегодня Internet играет относительно второстепенную роль в распространении вирусов. Однако, как отмечается в [CHES97], в ближайшие годы скорость распространения вирусов может существенно возрасти под влиянием следующих тенденций развития технологий Internet. Интегрированные почтовые системы. Системы типа Lotus Notes и Microsoft Outlook допускают пересылку чего угодно кому угодно, и работа с полученными по почте объектами представляется очень простым делом. Мобильные программы. Технологии, подобные Java и ActiveX, позволяют программам самостоятельно перемещаться из одной системы в другую. В ответ на угрозу распространения вирусов, которую потенциально несут эти возможности Internet, IBM разработала прототип цифровой иммунной системы. Эта система развивает технологию эмуляции, о которой говорилось в предыдущем разделе, предлагая комплекс эмулятора общего назначения и системы обнаружения вирусов. Целью цифровой иммунной системы является создание схемы быстрого реагирования, позволяющей регистрировать вирусы практически в момент их появления. Когда новый вирус появляется в вычислительной сети организации, иммунная система находит его, анализирует, добавляет необходимые средства обнаружения этого вируса и защиты от него, удаляет вирус и передает информацию о попытке проникновения вируса системам AntiVirus компании IBM, чтобы вирус и в других местах мог быть выявлен до того, как он начнет выполняться. Схема основных действий цифровой иммунной системы. 1. Специальная программа, работающая на каждом персональном компьютере, выполняет мониторинг, используя различные методы эвристического анализа поведения системы и подозрительных изменений в программах, а также информацию о сигнатурах известных вирусов. Обнаружив подозрительные действия, программа мониторинга отправляет копию подозрительной на предмет заражения программы машине-администратору сети организации. 2. Машина-администратор шифрует полученный образец и отправляет его центральной машине-анализатору, выполняющей анализ вирусов. 3. Машина анализатор создает виртуальную среду, в которой можно выполнить безопасный запуск инфицированной программы для анализа. Для этого может применяться технология программной эмуляции или создание какой-то иной защищенной среды, в которой подозреваемая программа может быть выполнена и изучена. Обнаружив вирус, машина-анализатор генерирует рекомендации, касающиеся вопросов идентификации и удаления вируса 4. Созданные рекомендации передаются обратно машинеадминистратору. 5. Машина-администратор пересылает рекомендации инфицированной машине-клиенту. 6. Рекомендации рассылаются также всем другим машинам-клиентам организации. Все другие подписчики системы также получают регулярные обновления антивирусных пакетов, что позволяет защититься от новых вирусов. 5. ЗАЩИТА ОТ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (TCP), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью TCP разведывательной информация об объекте. Причем под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления. Сигналы являются материальными носителями информации. По своей физической природе сигналы могут быть электрическими, электромагнитными, акустическими, и т. д. То есть сигналами, как правило, являются электромагнитные, механические и другие виды колебаний (волн), причем информация содержится в их изменяющихся параметрах. В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т. п. Под техническими средствами приема, обработки, хранения и передачи информации (ТСПИ) понимают технические средства, непосредственно обрабатывающие конфиденциальную информацию. К таким средствам относятся: электронно-вычислительная техника, режимные АТС, системы оперативно-командной и громко - говорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т. д. При выявлении технических каналов утечки информации ТСПИ необходимо рассматривать как систему, включающую основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами), распределительные и коммутационные устройства, системы электропитания, системы заземления. Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий. Наряду с ТСПИ в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т. д. В качестве канала утечки информации наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т. е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков. Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками. В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрический. Схема представлена в приложении 1.1. К электромагнитным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений (ЭМИ) ТСПИ: 1) излучений элементов ТСПИ; 2) излучений на частотах работы высокочастотных (ВЧ) генераторов ТСПИ; 3) излучений на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ. Электромагнитные излучения элементов ТСПИ. В ТСПИ носителем информации является электрический ток, параметры которого (сила тока, напряжение, частота и фаза) изменяются по закону информационного сигнала. При прохождении электрического тока по токоведущим элементам ТСПИ вокруг них (в окружающем пространстве) возникает электрическое и магнитное поле. В силу этого элементы ТСПИ можно рассматривать как излучатели электромагнитного поля, модулированного по закону изменения информационного сигнала. Электромагнитные излучения на частотах работы ВЧ- генераторов ТСПИ и ВТСС. В состав ТСПИ и ВТСС могут входить различного рода высокочастотные генераторы. К таким устройствам можно отнести: задающие генераторы, генераторы тактовой частоты, генераторы стирания и подмагничивания магнитофонов, гетеродины радиоприемных и телевизионных устройств, генераторы измерительных приборов и т. д. В результате внешних воздействий информационного сигнала (например, электромагнитных колебаний) на элементах ВЧ- генераторов наводятся электрические сигналы. Приемником магнитного поля могут быть катушки индуктивности колебательных контуров, дроссели в цепях электропитания и т.д. Приемником электрического поля являются провода высокочастотных цепей и другие элементы. Наведенные электрические сигналы могут вызвать непреднамеренную модуляцию собственных ВЧ- колебаний генераторов. Эти промодулированные ВЧ - колебания излучаются в окружающее пространство. Электромагнитные излучения на частотах самовозбуждения УНЧ ТСПИ. Самовозбуждение УНЧ ТСПИ (например, усилителей систем звукоусиления и звукового сопровождения, магнитофонов, систем громкоговорящей связи т.п.) возможно за счет случайных преобразований отрицательных обратных связей (индуктивных или емкостных) в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов. Частота самовозбуждения лежит в пределах рабочих частот нелинейных элементов УНЧ (например, полупроводниковых приборов, электровакуумных ламп и т.п.). Сигнал на частотах самовозбуждения, как правило, оказывается модулированным информационным сигналом. Самовозбуждение наблюдается, в основном, при переводе УНЧ в нелинейный режим работы, т.е. в режим перегрузки. Перехват побочных электромагнитных излучений ТСПИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны. Зона, в которой возможны перехват (с помощью разведывательного приемника) побочных электромагнитных излучений и последующая расшифровка содержащейся в них информации (т.е. зона, в пределах которой отношение «информационный сигнал/помеха» превышает допустимое нормированное значение), называется «опасной» зоной 2. Причинами возникновения электрических каналов утечки информации могут быть: 1) наводки электромагнитных излучений ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы контролируемой зоны; 2) просачивание информационных сигналов в цепи электропитания ТСПИ; 3) просачивание информационных сигналов в цепи заземления ТСПИ. Наводки электромагнитных излучений ТСПИ возникают при излучении элементами ТСПИ (в том числе и их соединительными линиями) информационных сигналов, а также при наличии гальванической связи соединительных линий ТСПИ и посторонних проводников или линий ВТСС. Уровень наводимых сигналов в значительной степени зависит от мощности излучаемых сигналов, расстояния до проводников, а также длины совместного пробега соединительных линий ТСПИ и посторонних проводников. Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1. Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения. Случайные антенны могут быть сосредоточенными и распределенными. Сосредоточенная случайная антенна представляет собой компактное техническое средство, например телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации. Просачивание информационных сигналов в цепи электропитания возможно при наличии магнитной связи между выходным трансформатором усилителя (например, УНЧ) и трансформатором выпрямительного устройства. Кроме того, токи усиливаемых информационных сигналов замыкаются через источник электропитания, создавая на его внутреннем сопротивлении падение напряжения, которое при недостаточном затухании в фильтре выпрямительного устройства может быть обнаружено в линии электропитания. Информационный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информационного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информационного сигнала. Просачивание информационных сигналов в цепи заземления. Кроме заземляющих проводников, служащих для непосредственного соединения ТСПИ с контуром заземления, гальваническую связь с землей могут иметь различные проводники, выходящие за пределы контролируемой зоны. К ним относятся нулевой провод сети электропитания, экраны подключения к соединительным линиям ВТСС и посторонним проводникам, проходящим через помещения, где установлены ТСПИ, а также к их системам электропитания и заземления. Для этих целей используются специальные средства радио- и радиотехнической разведки, а также специальная измерительная аппаратура. Съем информации с использованием аппаратных закладок. В последние годы участились случаи съема информации, обрабатываемой в ТСПИ, путем установки в них электронных устройств перехвата информации - закладных устройств. Электронные устройства перехвата информации, устанавливаемые в ТСПИ, иногда называют аппаратными закладками. Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Наиболее часто закладки устанавливаются в ТСПИ иностранного производства, однако возможна их установка и в отечественных средствах. Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект. Перехват обрабатываемой в технических средствах информации возможен также путем их «высокочастотного облучения». При взаимодействии облучающего электромагнитного поля с элементами ТСПИ происходит переизлучение электромагнитного поля. В ряде случаев это вторичное излучение модулируется информационным сигналом. При съеме информации для исключения взаимного влияния, облучающего и переизлученного сигналов может использоваться их временная или частотная развязка. Например, для облучения ТСПИ могут использовать импульсные сигналы. При переизлучении параметры сигналов изменяются. Поэтому данный канал утечки информации часто называют параметрическим. Для перехвата информации по данному каналу необходимы специальные высокочастотные генераторы с антеннами, имеющими узкие диаграммы направленности и специальные радиоприемные устройства. Информация после обработки в ТСПИ может передаваться по каналам связи, где также возможен ее перехват. В настоящее время для передачи информации используют в основном KB, УКВ, радиорелейные, тропосферные и космические каналы связи, а также кабельные и волоконно-оптические линии связи. В зависимости от вида каналов связи технические каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные. Высокочастотные электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться портативными средствами радиоразведки и при необходимости передаваться в центр обработки для их раскодирования. Данный канал перехвата информации наиболее широко используется для прослушивания телефонных разговоров, ведущихся по радиотелефонам, сотовым телефонам или по радиорелейным и спутниковым линиям связи. Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение аппаратуры разведки к кабельным линиям связи. Самый простой способ - это непосредственное параллельное подключение к линии связи. Но данный факт легко обнаруживается, так как приводит к изменению характеристик линии связи за счет падения напряжения. Поэтому средства разведки к линии связи подключаются или через согласующее устройство, несколько снижающее падение напряжения, или через специальные устройства компенсации падения напряжения. В последнем случае аппаратура разведки и устройство компенсации падения напряжения включаются в линию связи последовательно, что существенно затрудняет обнаружение факта несанкционированного подключения к ней. Контактный способ используется в основном для снятия информации с коаксиальных и низкочастотных кабелей связи. Для кабелей, внутри которых поддерживается повышенное давление воздуха, применяются устройства, исключающие его снижение, в результате чего предотвращается срабатывание специальной сигнализации. Электрический канал наиболее часто используется для перехвата телефонных разговоров. При этом перехватываемая информация может непосредственно записываться на диктофон или передаваться по радиоканалу в пункт приема для ее записи и анализа. Устройства, подключаемые к телефонным линиям связи и комплексированные с устройствами передачи информации по радиоканалу, часто называют телефонными закладками. В случае использования сигнальных устройств контроля целостности линии связи, ее активного и реактивного сопротивления факт контактного подключения к ней аппаратуры разведки будет обнаружен. Поэтому спецслужбы наиболее часто используют индуктивный канал перехвата информации, не требующий контактного подключения к каналам связи. В данном канале используется эффект возникновения вокруг кабеля связи электромагнитного поля при прохождении по нему информационных электрических сигналов, которые перехватываются специальными индукционными датчиками. Индукционные датчики используются в основном для съема информации с симметричных высокочастотных кабелей. Сигналы с датчиков усиливаются, осуществляется частотное разделение каналов, и информация, передаваемая по отдельным каналам, записывается на магнитофон или высокочастотный сигнал записывается на специальный магнитофон. Современные индукционные датчики способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель. Для бесконтактного съема информации с незащищенных телефонных линий связи могут использоваться специальные низкочастотные усилители, снабженные магнитными антеннами. Некоторые средства бесконтактного съема информации, передаваемой по каналам связи, могут комплексироваться с радиопередатчиками для ретрансляции в центр ее обработки. 6. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Организационно-правовое обеспечение информационной безопасности представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать основные функции: 1) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации; 2) определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области; 3) создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте; 4) определение мер ответственности за нарушение правил защиты; 5) определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации. Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативноправовых актов, с помощью которых достигались бы следующие цели: все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации; узакониваются меры ответственности за нарушения правил защиты информации; узакониваются (приобретают юридическую силу) техникоматематические решения вопросов организационно-правового обеспечения защиты информации; узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты. Разработка законодательной базы информационной безопасности любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития этого государства В уголовном кодексе РФ (Редакция от 14марта 2002 года) преступления в сфере компьютерной информации» - содержит 3 статьи: статья 272. Неправомерный доступ к компьютерной информации статья 273 Создание использование и распространение вредоносных программ для ЭВМ статья 274 нарушение правил эксплуатации ЭВМ, системы ЭВМ ил их сети. Первая имеет дело с посягательством на конфиденциальность. Вторая с вредоносным ПО. Третья с нарушением доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роля для банковской и коммерческой тайны играет статья 183 УК РФ. Основополагающим среди российских законов, посвященным вопросам информационной безопасности, следует считать закон» Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24Ф3(принят Государственной Думой 25 января 1995года). В нем даются основные определения и намечаются направления развития законодательства в данной области. Закон выделяет следующие цели защиты информации: предотвращение утечки, хищения, утраты, искажения, подделки информации предотвращение угроз безопасности личности, общества, государства предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах сохранение государственной тайны конфиденциальности документированной информации в соответствии с законодательством обеспечение прав субъектов в информационных процессах и при разработке производстве информационных систем, технологий и средств их обеспечения. Здесь нужно отметить, что закон на первое место ставит конфиденциальность информации. «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу пользователю и иному лицу». Это положение констатирует, что защита информации направлена на обеспечение субъектов информационных отношений. Режим защиты информации устанавливается: в отношении сведений отнесенных к государственной тайне – уполномоченными органами на основании закона «о Государственной тайне » в отношении конфиденциальной документированной информации – собственником информационных ресурсов или уполномоченными лицами на основании настоящего федерального закона в отношении персональных данных – федеральным законом Статья 17 закона устанавливает перечень видов деятельности, на осуществление которых требуется лицензия. Важнейшие из них следующие: Распространение шифровальных (криптографических средств) техническое обслуживание шифровальных (криптографических средств) представление услуг в области шифрования информации разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждение их подлинности. выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая ,если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя. разработка и производство средств защиты конфиденциальной информации. техническая защита конфиденциальной информации разработка, производство реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность. Согласно Закону электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: Сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания. подтверждена подлинность электронной цифровой подписи в электронном документе. электронная цифровая подпись используется в соответствии со сведениями указанными в сертификате ключа подписи. Закон определяет сведения, который должен содержать сертификат ключа подлинности уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра фамилия имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в сертификат ключа подписи открытый ключ электронной цифровой подписи наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение
