Средства обеспечения информационной безопасности

В любом обществе циркулируют потоки информации разной степени секретности: ведомственная, служебная, коммерческая, личная и информация, предназначенная для общего пользования. Все виды этой информации в той или иной степени обрабатываются на ПЭВМ. Следовательно, ПЭВМ может стать источником утечки или разрушения информации в комнате, организации, фирме, предприятии, семье. Каналами утечки или разрушения информации являются:

Простейшие каналы:

• несанкционированный просмотр (фотографирование) и хищение результатов регистрации информации на дисплее, принтере, графопостроителе;

• несанкционированный доступ к машинным носителям информации с целью их просмотра, копирования или хищения;

Изощрённые каналы:

• чтение остаточной информации в памяти компьютера после выполнения санкционированных запросов;

• преодоление защиты файлов и программ, в том числе: маскировка под зарегистрированного пользователя, применение программных ловушек, использование недостатков ОС;

• использование радиозакладок, устанавливаемых для получения обрабатываемой на ПЭВМ информации и настраиваемых на определенные излучения;

• наводки в сети питания, контуре заземления, каналах связи, системе охранной и пожарной сигнализации, в системах тепло-, водо- и газоснабжения;

• внедрение и использование компьютерных вирусов.

Многообразие каналов утечки и разрушения информации требует очень внимательного подхода к решению задачи по обеспечению информационной безопасности.

Информационная безопасность – защищённость информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Различают два аспекта информационной безопасности:

- целостность – защищённость от разрушения и несанкционированного изменения;

- конфиденциальность – защищённость от несанкционированного прочтения.

Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят 6 уровней мер защиты:

1. Морально-этический

2. Законодательный

3. Финансовый

4. Административный

5. Организационно-технический

6. Программно-технический

Морально-этические меры защиты – нерегламентированные меры: неписаные нормы честности, порядочности, патриотизма, несоблюдение которых ведет к потере авторитета сотрудника, отдела или всей фирмы.

Законодательные меры защиты используют пять общепринятых юридических понятий защиты информации: патент, авторское право, товарный знак, знак обслуживания и коммерческая тайна. Основная проблема – заметное отставание темпов совершенствования законодательных норм от стремительного развития противозаконных способов нарушения информационной безопасности. Основная причина в том, что законодательство – вообще медленно развивающаяся система в силу обязательного для неё соблюдения принципа разумного консерватизма. В силу чрезвычайно быстрого развития компьютерных технологий преступные методы развиваются также быстро. Так что подобное отставание вполне объективно.

К финансовым методамзащиты относятся:

• благоприятная финансовая политика государства в сфере защиты информации;

• льготное налогообложение фирм, разрабатывающих и поставляющих средства защиты информации;

• страховая защита информации.

Административные меры защиты включают действия организационного характера, предпринимаемые руководством учреждения. Они включают организацию службы безопасности фирмы, пропускного режима, обеспечения определённого регламента работы с документами сотрудниками фирмы. При организации обработки закрытой информации на ПЭВМ целесообразно выполнение следующих мероприятий:

• сокращение до минимума числа ПЭВМ, обрабатывающих закрытую информацию;

• выделение специальных ПЭВМ для выхода в компьютерные сети;

• размещение ПЭВМ на расстоянии не менее трех метров от средств и линий связи, радио- и телевизионной аппаратуры, охранной и пожарной сигнализации, водопроводных, отопительных и газовых труб;

• ограничение доступа в помещения, в которых происходит подготовка и обработка информации;

• доступ к подготовке, обработке и передаче информации только проверенных и специально подготовленных должностных лиц;

• обеспечение специального режима хранения магнитных, бумажных и иных носителей информации;

• уничтожение бумаги и иных отслуживших срок материалов, содержащих фрагменты ценной информации.

Организационно-технический уровень – технические системы охраны территорий и помещений, а также оборудование рабочих мест специальными средствами информационной защиты. Например:

• организация электропитания оборудования от независимых источников;

• применение жидкокристаллических и газоплазменных дисплеев, имеющих низкий уровень электромагнитных излучений, и безударных принтеров (поскольку другие технические средства порождают электромагнитные или акустические излучения, которые могут приниматься с помощью специальных технических средств на больших расстояниях);

• использование строительных конструкций и механических устройств, препятствующих проникновению нежелательных лиц в закрытые зоны фирмы и хищению документов и устройств; применение средства против подслушивания и подсматривания; экранирование машинных залов от электромагнитного излучения металлическими листами;

• использование систем наблюдения, охранной и пожарной сигнализации, систем обнаружения средств разведки конкурентов, средств защиты документов и изделий при их транспортировке

• уничтожение информации в ПЗУ и на ЖД при списании ЭВМ или отправлении в ремонт.

Программно-технический уровень – защита с помощью программных средств и аппаратуры вычислительных машин. Средства защиты встраиваются в блоки ПЭВМ или выполняются в виде отдельных устройств, сопрягаемых с ПЭВМ. Программно-аппаратные средства могут решать следующие задачи:

• запрет несанкционированного доступа к ресурсам ПЭВМ;

• защиту от компьютерных вирусов;

• защиту информации при аварийном отключении электропитания.

Защита от несанкционированного доступа к ресурсампредусматривает защиту доступа к дисковым накопителям информации, к клавиатуре и дисплею ПЭВМ, включая:

• защиту от любого несанкционированного доступа к дискам и файлам;

• разграничение доступа пользователей к файлам дисков;

• контроль обращения к диску и проверку целостности защиты информации диска;

• стирание в файлах остатков закрытой информации.

Защитадисков и файлов от несанкционированного доступа к ним осуществляется с помощью паролей. Пароль – это набор символов, который соответствует определенному объекту идентификации. Пароли для защиты дисков делятся:

• по типу объектов идентификации: пароли пользователей, ресурсов и файлов;

• по типу символов: цифровые, буквенные, смешанные;

• по способу ввода в ПЭВМ: с клавиатуры, с помощью мыши, со специальной ключевой дискеты;

• по срокам применения: с неограниченным сроком, периодически сменяемые, разовые;

• по длительности: фиксированной и переменной длины.

Чем больше длина пароля и меньше срок его использования, тем больше защищённость диска.

Парольная защита дисков осуществляется, например, программами HARDLOCK и PASSAW, а также утилитой Пароли в Панели управления Windows.

Разработан ряд специальных программ, которые фиксируют даты и время обращения к диску, а также случаи «взлома» защиты диска.

Необходимость стирания в файлах остатков закрытой информации вызвана тем, что

- во-первых, при удалении файла командами многих ОС стирается только имя файла, а не сама информация на диске;

- во-вторых, объем данных в файле меньше, чем отведенное для файла пространство на диске, поэтому в конце ("хвосте") файла могут сохраниться остатки закрытой информации от предыдущего файла.

Операцию стирания "хвостов" файлов осуществляют специальные утилиты.

Защита клавиатуры и дисплея применяется, когда пользователь отлучается с рабочего места на короткое время. Существуют утилиты, блокирующие клавиатуру и гасящие экран. Ограничения снимаются введением пароля.

Большое внимание уделяется защитедисков от копирования. Основное направление действий по защите относится к дискетам, т. к. дискету легче похитить и скопировать. Применяются такие способы защиты дискет от копирования:

• парольная защита дискеты, при которой без ввода пароля дискета не копируется;

• привязка информации к определенной дискете: фирме и типу дискеты, нестандартному способу форматирования дискеты, нанесению уникальных признаков на дискету, связанных с введением заранее помеченных "сбойных" участков;

• привязка информации к определенной ПЭВМ: её тактовой частоте, параметрам накопителей, дисплея, принтера и др.

В соответствии с задачами защиты от копирования имеется много программ защиты.

Резервное копирование информации предназначено для защиты ее от уничтожения и искажения на НЖМД и осуществляется на дискеты, сменные жесткие диски, стримеры, магнитооптические диски. Резервное копирование обычно производится со сжатием (компрессией) информации.

Компьютерные вирусы

Компьютерный вирус – это специально написанная короткая программа для того, чтобы затруднить, исказить или исключить обработку информации на ПЭВМ одним или многим пользователями.

О влиянии вирусов на компьютерную обработку информации свидетельствует следующий факт. В 1989 г. аспирант университета США Р. Морис создал первую программу-вирус, которая была запущена в компьютерную сеть Министерства обороны и вывела из строя программное обеспечение более 6000 ЭВМ.

8.2.1. Классификация вирусов. Вирусы можно разделить на классы по следующим основным признакам:

- среда обитания;

- операционная система (ОС);

- особенности алгоритма работы;

- деструктивные возможности.

В зависимости от среды обитания вирусы можно разделить на: файловые; загрузочные; макровирусы; сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя или в загрузочный сектор диска (boot-сектор), или в сектор, содержащий системный загрузчик винчестера (Master Boot Record), или меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Имеется большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют "стелc-" и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Среди особенностей алгоритма работы вирусов выделяются следующие: резидентность; использование "стелс"-алгоритмов; самошифрование и полиморфичность; применение нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьюте­ра и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Использование "стелc"-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным "стелс"-алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем "стелс"-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых "стелс"-вирусов — вирус Frodo, первый загрузочный "стелс"-вирус — Brain.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) достаточно трудно поддаются обнаружению; они не имеют сигнатур, т. е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса.

По деструктивным возможностям (наносимый вред) вирусы разделены на:

·безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

·неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

·опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

·очень опасные – в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Возможные воздействия вирусов:

• появление на экране надписей и рисунков, мешающих работе пользователя и повышающих его нервное напряжение;

• случайное или целенаправленное изменение данных и программ;

• уничтожение данных и программ;

• разрушение технических средств ПЭВМ.

Только перечень общих воздействий вирусов на ПЭВМ свидетельствует о необходимости больших затрат (интеллектуальных, административных и материальных) на борьбу с компьютерными вирусами.

Если в ПЭВМ побывает зараженная дискета, то это еще не означает, что ПЭВМ будет обязательно заражена вирусом. Заражение, как правило, происходит в случаях, когда:

• была установлена зараженная операционная система или драйвер периферийного устройства;

• выполнялся зараженный файл типа соm или ехе;

• выполнялся оверлейный файл (файл, загруженный при выполнении другой программы).

Наиболее типичными признаками заражения ПЭВМ вирусом являются:

• изменение длины и атрибутов файлов;

• пропажа файлов или появление новых;

• загрузка известной программы, которая идет медленнее, чем обычно или она не загружается вовсе;

• существенное замедление выполнения программы;

• слишком частые обращения к НГМД;

• частое "зависание" ПЭВМ;

• появление на экране различных пятен, осыпающихся символов и др.

Любой случай непонятного диалога с ПЭВМ нельзя оставлять без внимания.

8.3.2. Средства защиты от вирусов. Антивирусные программы делятся на несколько видов:

1. Программы-детекторы обнаруживают файлы, зараженные вирусами. К числу таких программ относятся:

• Aids Test Д. Лозинского, программы которого обновляются 2–3 раза в месяц, номер версии программы соответствует числу обнаруживаемых вирусов;

• АVSР А. Борисова, обновляется один раз в полгода, имеет способность обучаться распознаванию новых вирусов;

• АVР Е. Касперского, обновляется ежемесячно;

• Vir Scan (IВМ) и Scan (фирма McAfee Associates).

Если детектор вирус не обнаруживает, это еще не значит, что его в ПЭВМ нет.

2. Программы-ревизоры запоминают первичное состояние файлов (длину, контрольную сумму и др.), а затем при работе сравнивают рабочие характеристики файлов с исходными и делают вывод о возможном заражении файлов.

Примеры ревизоров:

• А Dinf Д. Мостового;

• А Dinf Cure Module Д. Мостового, В. Ладыгина, Д. Зуева;

• LOOKCMD;

• FSP.

3. Программы-доктора, "лечащие" зараженные файлы, то есть приводящие файлы в состояние, которое было до заражения вирусом. Такими являются совмещающие несколько функций программы Аids Тest, АVSР, АVР, А Dinf, А Dinf Сure Моdule, а также программа Doctor Web И. Данилова, которая эффективно обнаруживает и "лечит" не только известные, но и новые вирусы, обновляется раз в месяц.

4. Программы-фильтры располагаются резидент­но в оперативной памяти и перехватывают обращения к операционной системе, которые вирусы используют для размножения и нанесения вреда. К таким программам относятся Disk Monitor, FSP, Vacine, Antivirus.

Перечислим действия пользователей при обнаружении заражённых файлов. Если имеются резервные копии в виде архивных файлов, то можно уничтожить все зараженные или подозреваемые в заражении файлы. При невозможности применить эти меры целесообразно выполнить следующие действия:

• выключить ПЭВМ и отключить все коммуникации;

• установить защиту от записи на все носители информации ПЭВМ;

• перезагрузить операционную систему с эталонной и защищенной от записи дискеты;

• запустить антивирусную программу-фильтр;

• скопировать зараженные файлы или весь носитель на новый;

• использовать новый носитель для обнаружения и уничтожения вируса с помощью программ-детекторов и докторов;

• использовать необходимые антивирусные программы для уничтожения вируса на рабочем носителе, если тип вируса распознан на новом носителе;

• обратиться к специалистам, если вирус не найден.

Чтобы избежать или, во всяком случае, снизить вероятность заражения вирусом, следует применить такие меры:

• использовать при работе программы-фильтры всегда, когда это возможно;

• установить защиту от записи на дискеты с файлами, которые не нужно изменять;

• проверять чужие дискеты с помощью программ-детекторов;

• архивировать файлы, которые изменялись, перед архивацией использовать программы-детекторы;

• обновлять периодически и применять систематически применять свои антивирусные программы.

Хотя предотвратить заражение вирусами ПЭВМ, включенную в локальную и глобальную компьютерную сеть, достаточно трудно, однако, применяя различные способы защиты информации, можно значительно снизить вероятность заражения вирусом и эффективно "вылечить" свою ПЭВМ.