Тема 1.4

Тема 1.4 Защита информации в ИПС
1. Безопасность ИПС
Безопасность информационной системы – свойство, заключающееся в способности
системы обеспечить конфиденциальность и целостность информации.
Угрозы ИС можно объединить в следующие группы:

угроза раскрытия информации;

угроза нарушения целостности – умышленное несанкционированное или
неумышленное изменение (удаление) данных, хранящихся в системе или
передаваемых из одной системы в другую;

угроза отказа в обслуживании – блокировка доступа к некоторому ресурсу
системы.
По природе возникновения угрозы можно разделить на:

естественные – это угрозы, связанные с воздействием на ИС объективных
физических процессов или природных явлений;

искусственные – это угрозы информационной системе, связанные с деятельностью
человека.
Пользователем ИС могут быть осуществлены следующие непреднамеренные действия,
представляющие угрозу безопасности ИС:
o
доведение до состояния частичного или полного отказа системы, разрушения
аппаратных, программных информационных ресурсов системы (порча оборудования,
носителей информации, удаление, искажение файлов с важной информацией или
программ, в т.ч. системных и т.д.);
o
неправомерное включение оборудование или изменение режимов работы устройств и
программ;
o
запуск сервисных программ, способных при некомпетентном использовании вызывать
потерю работоспособности системы или необратимые изменения в системе;
o
нелегальное внедрение и использование неучтенных программ, не являющихся
необходимыми для выполнения служебных обязанностей, с последующим
необоснованным расходованием ресурсов (загрузка процессора, захват оперативной
памяти и памяти внешних носителей);
o
заражение компьютера вирусами;
o
разглашение конфиденциальной информации;
o
разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей
шифрования, идентификационных карточек, пропусков и т.д.);
o
игнорирование организационных ограничений;
o
некомпетентное использование, настройка и неправомерное отключение средств защиты
информации;
o
пересылка данных по ошибочному адресу абонента (устройства);
o
ввод ошибочных данных;
o
повреждение каналов связи.
Система защиты – это совокупность специальных мер правового и административного
характера, организационных мероприятий, программно-аппаратных средств защиты, а также
специального персонала, предназначенных для обеспечения информационной безопасности.
Для построения эффективной системы защиты необходимо провести следующие работы:

определить угрозы безопасности информации;

выявить возможные каналы утечки информации и несанкционированного доступа к
данным;

построить модель потенциального нарушителя;

выбрать соответствующие меры, методы, механизмы и средства защиты.
Основными методами защиты информации являются:
1) Создание препятствий – методы физического преграждения злоумышленнику пути к
защищаемой информации (аппаратуре, носителям информации и т.д.)
2) Управление доступом – метод защиты информации регулированием использования всех
ресурсов компьютерной информационной системы (элементы баз данных, программных и
технических средств)
3) Защита от несанкционированного доступа к ресурсам компьютера – это комплексная
проблема, подразумевающая решение следующих вопросов:
 присвоение пользователю, терминалам, программам, файлам и каналам связи
уникальных имен и кодов (идентификаторов);
 выполнение процедур установления подлинности при обращении к ИС, т.е. проверка
того, что лицо или устройство, сообщившее идентификатор, в действительности ему
соответствует;
 проверка полномочий, т.е. проверка права пользователя на доступ к системе или
запрашиваемым данным;
 автоматическая регистрация в специальном журнале всех как удовлетворенных, так и
отвергнутых запросов к информационным ресурсам с указанием идентификатора
пользователя, терминала, времени и сущности запроса, т.е. ведение аудита.
4) Маскировка – метод защиты информации путем ее криптографического закрытия.
Криптографическое закрытие информации выполняется путем преобразования информации по
специальному алгоритму с использованием процедур шифрования, в результате чего
невозможно определить содержание данных, не зная ключа. Используется два типа
шифрования: симметричное (для шифрования и дешифрования используется один и тот же
секретный ключ) и ассиметричное (для шифрования и дешифрования используются разные
ключи, которые связаны между собой – открытый (public key) и закрытый (private key)).
5) Регламентация – метод защиты информации, создающий такие условия
автоматизированной обработки, хранения и передачи защищаемой информации, при которых
возможности несанкционированного доступа к ней сводились бы к минимуму.
6) Принуждение – метод защиты, при котором пользователи и персонал системы
вынуждены соблюдать правила обработки, передачи и использования защищаемой информации
под угрозой материальной, административной и ли уголовной ответственности.
2. Защита информации от компьютерных вирусов
Компьютерный вирус – это, как правило, небольшая по объему компьютерная программа,
обладающая следующими свойствами:
 возможностью создавать свои копии и внедрять их в другие программы;
 скрытость (латентность) существования до определенного момента;
 несанкционированность (со стороны пользователя) производимых ее действий;
 наличие отрицательных последствий от ее функционирования.
Компьютерным вирусам, как и биологическим, характерны определенные стадии
существования:
o
латентная стадия, в которой вирусом никаких действий не предпринимается;
o
инкубационная стадия, в которой основная задача вируса – создать как можно больше
своих копий и внедрить их в среду обитания;
o
активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет
свои деструктивные действия.
Классификация вредоносных программ приведена на следующей схеме:
Вредоносные программы
Компьютерные
вирусы
Сетевые черви
(размножаются и
внедряют копии в
другие файлы)
Файловые
вирусы
(размножаются, но
не внедряют копии в
другие файлы)
Троянские
программы
(не размножаются и
не рассылаются
сами)
Internet - черви
Макровирусы
LAN - черви
IRS - черви
Загрузочные
Скрипт- вирусы
Смешанные
Эмуляторы
DDoS - атак
Деструктивные
троянские
программы
Дропперы
Похитители
секретной
информации
Утилиты
несанкционированного удаленного доступа
Рис. 5.2 Классификация вредоносных программ
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение .exe
и .com, но могут внедряться и в объектные файлы, библиотеки, в командные пакетные файлы,
программные файлы на языках процедурного программирования. Файловые вирусы могут
создавать файлы-двойники.
Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор,
содержащий программу загрузки системного диска (master boot record). При загрузки ОС с
зараженного диска такой вирус изменяет программу начальной загрузки либо модифицирует
таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая
невозможным запуск операционной системы.
Макровирусы заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц
некоторых популярных редакторов. Комбинированные сетевые макровирусы не только
заражают создаваемые документы, но и рассылают копии этих документов по электронной
почте (вирус “I love you”).
Скрипт- вирусы – это вирусы, написанные на скрипт- языках, таких как Visual Basic Script,
Java Script и др.
Сетевые черви используют для своего распространения команды и протоколы
телекоммуникационных систем (электронной почты, компьютерных систем). Они
подразделяются на Internet – черви (распространяются по Интернету), LAN – черви
(распространяются по локальной сети), IRC – черви (Internet Relay Chat) - распространяются
через чаты, смешанные типы совмещают в себе сразу несколько технологий.
Троянские программы подразделяют на несколько видов, которые маскируются под
полезные программы и выполняют деструктивные функции. Они могут обеспечить
злоумышленнику скрытый несанкционированный доступ к информации на компьютере
пользователя и ее похищение.
Эмуляторы DDoS – атак (Distributed Denial of Service) приводят к атакам на веб-серверы,
при которых на веб-сервер из разных мест поступает большое количество пакетов, что и
приводит к отказам работы системы.
Дроппер – программа, которая «сбрасывает» в систему вирус или другие вредоносные
программы, при этом сама больше ничего не делает.
По среде обитания вирусы можно разделить на:

файловые;

загрузочные;

файлово-загрузочные;

сетевые;

макровирусы.
По способу заражения среды обитания вирусы делятся на:

резидентные – вирусы после завершения инфицированной программы остаются в
оперативной памяти и продолжают свои деструктивные действия, заражая следующие
исполняемые программы и процедуры вплоть до момента выключения компьютера;

нерезидентные – вирусы запускаются вместе с зараженной программой, и после ее
завершения из оперативной памяти удаляются.
По алгоритмам функционирования вирусы делятся на следующие группы:

паразитические вирусы, изменяющие содержимое файлов или секторов диска;

вирусы-репликаторы («черви»), саморазмножающиеся и распространяющиеся по
компьютерным сетям;

вирусы-невидимки способны прятаться при попытках их обнаружения. Они
перехватывают запрос антивирусной программы и мгновенно либо удаляют временно
свое тело из зараженного файла, либо подставляют вместо своего тела незараженные
участки файлов;

самошифрующиеся вирусы – в режиме простоя зашифрованы и расшифровываются
только в момент начала работы вируса;

мутирующие вирусы – периодически автоматически видоизменяются;

«отдыхающие» вирусы – активизируются только при определенных условиях (вирус
«Чернобыль» функционирует только в день годовщины чернобыльской трагедии).
Для своевременного обнаружения и удаления вирусов важно знать основные признаки
появления вируса в компьютере:
o
неожиданная неработоспособность компьютера или его отдельных компонентов;
o
невозможность загрузки операционной системы;
o
медленная работа компьютера;
o
частые зависания и сбои в компьютере;
o
прекращение работы ранее успешно исполняющихся программ;
o
искажение или исчезновение файлов и каталогов;
o
непредусмотренное форматирование диска;
o
необоснованное увеличение количества файлов на диске;
o
необоснованное изменение размера файлов;
o
искажение данных в CMOS – памяти;
o
существенное уменьшение объема свободной оперативной памяти;
o
вывод на экран непредусмотренных сообщений и изображений;
o
появление непредусмотренных звуковых сигналов.
Для обнаружения и удаления компьютерных вирусов разработано много антивирусных
программ, которые можно разделить на:

Программы–детекторы – осуществляют поиск компьютерных вирусов в памяти
машины и при их обнаружении сообщают об этом.

Программы-ревизоры – (являются развитием детекторов). Они запоминают исходное
состояние программ, каталогов, системных областей и сравнивают его с текущим,
проверяя длину файлов, дату их создания и модификации, контрольные суммы и байты
циклического контроля, и другие параметры.

Программы-фильтры – обеспечивают выявление подозрительных, характерных для
вирусов действий, и при обнаружении таких действий посылают пользователю запрос о
подтверждении правомерности таких процедур.

Программы-доктора – не только обнаруживают, но и лечат зараженные вирусами файлы
и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и
уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски.

Программы-вакцины – применяются для предотвращения заражения файлов и дисков
известными вирусами. Вакцины модифицируют файл или диск таким образом, что он
воспринимается программой-вирусом уже зараженным, и поэтому вирус не внедряется.