Тема 1.4 Защита информации в ИПС 1. Безопасность ИПС Безопасность информационной системы – свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации. Угрозы ИС можно объединить в следующие группы: угроза раскрытия информации; угроза нарушения целостности – умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в системе или передаваемых из одной системы в другую; угроза отказа в обслуживании – блокировка доступа к некоторому ресурсу системы. По природе возникновения угрозы можно разделить на: естественные – это угрозы, связанные с воздействием на ИС объективных физических процессов или природных явлений; искусственные – это угрозы информационной системе, связанные с деятельностью человека. Пользователем ИС могут быть осуществлены следующие непреднамеренные действия, представляющие угрозу безопасности ИС: o доведение до состояния частичного или полного отказа системы, разрушения аппаратных, программных информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов с важной информацией или программ, в т.ч. системных и т.д.); o неправомерное включение оборудование или изменение режимов работы устройств и программ; o запуск сервисных программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или необратимые изменения в системе; o нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти внешних носителей); o заражение компьютера вирусами; o разглашение конфиденциальной информации; o разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.д.); o игнорирование организационных ограничений; o некомпетентное использование, настройка и неправомерное отключение средств защиты информации; o пересылка данных по ошибочному адресу абонента (устройства); o ввод ошибочных данных; o повреждение каналов связи. Система защиты – это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности. Для построения эффективной системы защиты необходимо провести следующие работы: определить угрозы безопасности информации; выявить возможные каналы утечки информации и несанкционированного доступа к данным; построить модель потенциального нарушителя; выбрать соответствующие меры, методы, механизмы и средства защиты. Основными методами защиты информации являются: 1) Создание препятствий – методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т.д.) 2) Управление доступом – метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементы баз данных, программных и технических средств) 3) Защита от несанкционированного доступа к ресурсам компьютера – это комплексная проблема, подразумевающая решение следующих вопросов: присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов); выполнение процедур установления подлинности при обращении к ИС, т.е. проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует; проверка полномочий, т.е. проверка права пользователя на доступ к системе или запрашиваемым данным; автоматическая регистрация в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, т.е. ведение аудита. 4) Маскировка – метод защиты информации путем ее криптографического закрытия. Криптографическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием процедур шифрования, в результате чего невозможно определить содержание данных, не зная ключа. Используется два типа шифрования: симметричное (для шифрования и дешифрования используется один и тот же секретный ключ) и ассиметричное (для шифрования и дешифрования используются разные ключи, которые связаны между собой – открытый (public key) и закрытый (private key)). 5) Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. 6) Принуждение – метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и ли уголовной ответственности. 2. Защита информации от компьютерных вирусов Компьютерный вирус – это, как правило, небольшая по объему компьютерная программа, обладающая следующими свойствами: возможностью создавать свои копии и внедрять их в другие программы; скрытость (латентность) существования до определенного момента; несанкционированность (со стороны пользователя) производимых ее действий; наличие отрицательных последствий от ее функционирования. Компьютерным вирусам, как и биологическим, характерны определенные стадии существования: o латентная стадия, в которой вирусом никаких действий не предпринимается; o инкубационная стадия, в которой основная задача вируса – создать как можно больше своих копий и внедрить их в среду обитания; o активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия. Классификация вредоносных программ приведена на следующей схеме: Вредоносные программы Компьютерные вирусы Сетевые черви (размножаются и внедряют копии в другие файлы) Файловые вирусы (размножаются, но не внедряют копии в другие файлы) Троянские программы (не размножаются и не рассылаются сами) Internet - черви Макровирусы LAN - черви IRS - черви Загрузочные Скрипт- вирусы Смешанные Эмуляторы DDoS - атак Деструктивные троянские программы Дропперы Похитители секретной информации Утилиты несанкционированного удаленного доступа Рис. 5.2 Классификация вредоносных программ Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение .exe и .com, но могут внедряться и в объектные файлы, библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования. Файловые вирусы могут создавать файлы-двойники. Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузки ОС с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицирует таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы. Макровирусы заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте (вирус “I love you”). Скрипт- вирусы – это вирусы, написанные на скрипт- языках, таких как Visual Basic Script, Java Script и др. Сетевые черви используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных систем). Они подразделяются на Internet – черви (распространяются по Интернету), LAN – черви (распространяются по локальной сети), IRC – черви (Internet Relay Chat) - распространяются через чаты, смешанные типы совмещают в себе сразу несколько технологий. Троянские программы подразделяют на несколько видов, которые маскируются под полезные программы и выполняют деструктивные функции. Они могут обеспечить злоумышленнику скрытый несанкционированный доступ к информации на компьютере пользователя и ее похищение. Эмуляторы DDoS – атак (Distributed Denial of Service) приводят к атакам на веб-серверы, при которых на веб-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы. Дроппер – программа, которая «сбрасывает» в систему вирус или другие вредоносные программы, при этом сама больше ничего не делает. По среде обитания вирусы можно разделить на: файловые; загрузочные; файлово-загрузочные; сетевые; макровирусы. По способу заражения среды обитания вирусы делятся на: резидентные – вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера; нерезидентные – вирусы запускаются вместе с зараженной программой, и после ее завершения из оперативной памяти удаляются. По алгоритмам функционирования вирусы делятся на следующие группы: паразитические вирусы, изменяющие содержимое файлов или секторов диска; вирусы-репликаторы («черви»), саморазмножающиеся и распространяющиеся по компьютерным сетям; вирусы-невидимки способны прятаться при попытках их обнаружения. Они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов; самошифрующиеся вирусы – в режиме простоя зашифрованы и расшифровываются только в момент начала работы вируса; мутирующие вирусы – периодически автоматически видоизменяются; «отдыхающие» вирусы – активизируются только при определенных условиях (вирус «Чернобыль» функционирует только в день годовщины чернобыльской трагедии). Для своевременного обнаружения и удаления вирусов важно знать основные признаки появления вируса в компьютере: o неожиданная неработоспособность компьютера или его отдельных компонентов; o невозможность загрузки операционной системы; o медленная работа компьютера; o частые зависания и сбои в компьютере; o прекращение работы ранее успешно исполняющихся программ; o искажение или исчезновение файлов и каталогов; o непредусмотренное форматирование диска; o необоснованное увеличение количества файлов на диске; o необоснованное изменение размера файлов; o искажение данных в CMOS – памяти; o существенное уменьшение объема свободной оперативной памяти; o вывод на экран непредусмотренных сообщений и изображений; o появление непредусмотренных звуковых сигналов. Для обнаружения и удаления компьютерных вирусов разработано много антивирусных программ, которые можно разделить на: Программы–детекторы – осуществляют поиск компьютерных вирусов в памяти машины и при их обнаружении сообщают об этом. Программы-ревизоры – (являются развитием детекторов). Они запоминают исходное состояние программ, каталогов, системных областей и сравнивают его с текущим, проверяя длину файлов, дату их создания и модификации, контрольные суммы и байты циклического контроля, и другие параметры. Программы-фильтры – обеспечивают выявление подозрительных, характерных для вирусов действий, и при обнаружении таких действий посылают пользователю запрос о подтверждении правомерности таких процедур. Программы-доктора – не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Программы-вакцины – применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом уже зараженным, и поэтому вирус не внедряется.