Основы информационной безопасности
Основы информационной безопасности
Основа защиты информационных процессов в компьютерных системах
Средства защиты вычислительных систем и сетей
Оглавление
1 Основные термины и определения 4
2 Нормативные документы Российской Федерации по вопросам информационной безопасности 5
2.1 Основные стандарты информационной безопасности 6
2.2 Основные руководящие документы 8
2.3 Нормативные документы 9
2.4 Методические документы 9
3 Классификации средств защиты вычислительных систем и сетей 10
3.1 Физические средства защиты информации 11
3.2 Аппаратные (технические) средства защиты информации 13
3.3 Программные средства защиты информации 15
3.4 Криптографические средства защиты 17
4 Программно-аппаратные средства защиты 18
4.1 Встроенные средства защиты ОС 18
4.2 Идентификация и аутентификация 25
4.3 Управление доступом 29
4.4 Протоколирование и аудит 30
4.5 Антивирусная защита 30
4.5.1 Организационные мероприятия 32
4.5.2 Методы антивирусной защиты 32
4.5.2.1 Сигнатурный анализ 32
4.5.2.2 Эвристический анализ 35
4.5.2.3 Поиск вредоносных программ, выполняющих подозрительные действия 36
4.5.3 Дополнительные средства 37
4.5.3.1 Модуль обновления 37
4.5.3.2 Модуль планирования 38
4.5.3.3 Модуль управления 39
4.5.3.4 Карантин 41
4.5.4 Виды антивирусных программ 42
4.5.4.1 Программы-детекторы 42
4.5.4.2 Программы-доктора 43
4.5.4.3 Программы-ревизоры 43
4.5.4.4 Программы-фильтры 44
4.5.4.5 Вакцины 44
4.5.5 Режимы проверки и обновление 45
4.5.5.1 Проверка в режиме реального времени 45
4.5.5.2 Проверка по требованию 46
4.5.5.3 Обновление антивирусных баз 47
4.6 Межсетевые экраны 48
4.6.1 Основные компоненты и технологии МЭ 48
4.6.1.1 Сетевая политика безопасности 48
4.6.1.2 Усиленная аутентификация 49
4.6.1.3 Централизованное управление 51
4.6.1.4 Подсистема сбора статистики и предупреждения об атаке 52
4.6.1.5 Простой фильтр пакетов 52
4.6.1.6 Посредник уровня соединения 58
4.6.1.7 Посредник прикладного уровня 61
4.6.1.8 Пакетный фильтр инспекционного типа 64
4.6.2 Недостатки, связанные с применением МЭ 66
4.7 VPN 67
4.7.1 Классификация VPN сетей 69
4.7.2 Построение VPN 70
4.7.2.1 VPN на базе брандмауэров 71
4.7.2.2 VPN на базе маршрутизаторов 71
4.7.3 VPN на базе программного обеспечения 72
4.7.3.1 VPN на базе аппаратных средств 73
4.7.4 Протоколы VPN сетей 73
4.7.5 Методы реализации VPN сетей 73
4.7.5.1 Туннелирование 74
4.7.5.2 Аутентификация 75
4.7.5.3 Шифрование 77
4.8 Прокси-сервер 78
4.8.1 Цели 78
4.8.2 Виды прокси-серверов 79
4.8.3 Технические подробности 80
5 Комбинированные средства защиты 82
5.1 Система обнаружения вторжений 82
5.1.1 Классификация IDS 83
5.1.2 Архитектура IDS 87
5.1.3 Скорость реакции 90
5.1.4 Network-Based IDS 91
5.1.4.1 Преимущества Network-based IDS 91
5.1.4.2 Недостатки Network-based IDS 91
5.1.5 Host-Based IDS 93
5.1.5.1 Преимущества Host-based IDS 94
5.1.5.2 Недостатки Host-based IDS 94
5.1.6 Application-Based IDS 95
5.1.6.1 Преимущества Application-based IDS 95
5.1.6.2 Недостатки application-based IDS 96
5.1.7 Анализ, выполняемый IDS 96
5.1.7.1 Определение злоупотреблений 97
5.1.7.2 Определение аномалий 98
5.1.8 Проверка целостности файлов 101
5.1.8.1 Система предотвращения вторжений 101
6 Криптографические средства защиты информации 106
6.1 Требования к криптосистемам 107
6.2 Симметричные криптосистемы 109
6.3 Системы с открытым ключом 110
6.4 Электронная подпись 112
6.5 Управление ключами 113
6.5.1 Генерация ключей 114
6.5.2 Накопление ключей 114
6.5.3 Распределение ключей 115
6.6 Реализация криптографических методов 116
1 Основные термины и определения
Средства защиты информации - совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
Согласно ГОСТ Р 50922-2006:
средство защиты информации - это техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Согласно ГОСТ Р 50.1.056-2005:
средство защиты информации от утечки по техническим каналам: техническое средство, вещество или материал, предназначенные и (или) используемые для защиты информации от утечки по техническим каналам;
средство защиты информации от несанкционированного доступа: техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации или ресурсам информационной системы;
средство защиты информации от несанкционированного воздействия: техническое, программное или программно-техническое средство, предназначенное для предотвращения несанкционированного воздействия на информацию или ресурсы информационной системы;
межсетевой экран: локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы;
средство обеспечения технической защиты информации: техническое, программное, программно-техническое средство, используемое и (или) создаваемое для обеспечения технической защиты информации на всех стадиях жизненного цикла защищаемого объекта.
Согласно ГОСТ Р 53114-2008:
техническое средство обеспечения информационной безопасности: оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами;
средство обнаружения вторжений, средство обнаружения атак: программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности;
средство защиты от несанкционированного доступа: программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
2 Нормативные документы Российской Федерации по вопросам информационной безопасности
В Российской Федерации вопросы информационной безопасности и защиты информации обеспечиваются соблюдением следующих указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов:
· Указ Президента РФ от 6 марта 1997 г. № 188. Об утверждении перечня сведений конфиденциального характера;
· Постановление Правительства Российской Федерации от 21.10.1. Об организации лицензирования отдельных видов деятельности;
· Закон Российской Федерации от 21 июля 1993 г. О государственной тайне;
· Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
2.1 Основные стандарты информационной безопасности
· ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
· Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
· ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
· ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
· ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
· ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
· ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности -благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
· ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением -ISO/IEC 17799:2005.
· ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта -ISO/IEC 27001:2005.
· ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.
2.2 Основные руководящие документы
· Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности.
· Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты.
· Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты.
· Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности.
· Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий.
· Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
· Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации.
· Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования.
· Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
· Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
· Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.
· Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
· Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.
2.3 Нормативные документы
· Стандарт Банка России СТО БР ИББС-1.0-2014 - Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
· PCI DSS (Payment Card Industry Data Security Standard) - Стандарт безопасности данных индустрии платёжных карт.
2.4 Методические документы
· Профили защиты средств контроля съемных машинных носителей информации.
· Меры защиты информации в государственных информационных системах.
· Профили защиты средств доверенной загрузки.
· Профили защиты средств антивирусной защиты.
· Профили защиты систем обнаружения вторжений.
3 Классификации средств защиты вычислительных систем и сетей
Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некой системы классификаций.
Многообразие классификационных характеристик позволяет рассматривать средства ИТЗ по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны служб безопасности.
Инженерно-техническая защита (ИТЗ) - это совокупность специальных органов, технических и программных средств и мероприятий по их использованию в интересах защиты конфиденциальной информации (см. Рис.1).
Рис. 1. Основная классификация
Очевидно, что такое деление средств защиты информации условно, т.к. они часто взаимодействуют и реализуются в комплексе в виде аппаратно-программных модулей с широким использованием алгоритмов закрытия информации (см. Рис.2).
Рис. 2. Классификация ИТЗ по используемым средствам
3.1 Физические средства защиты информации
Физические средства защиты информации - это разнообразные устройства, приспособления, конструкции, аппараты, изделия, сооружения и организационные меры, предназначенные для создания препятствий на пути движения злоумышленников (см. Рис.3).
Рис. 3. Классификация физических систем защиты
К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.
Системы ограждения и физической изоляции обеспечивают:
· защиту объектов по периметру;
· защиту элементов зданий и помещений;
· защиту объемов зданий и помещений.
Системы контроля доступа реализуют:
· контроль доступа на охраняемые объекты;
· защиту документов, данных, фильм. Запирающие устройства и хранилища включают:
· различные системы запирающих устройств (механические, электромеханические, электронные);
· различные системы шкафов и хранилищ;
Эти средства применяются для решения следующих задач:
· охрана территории предприятия и наблюдение за ней;
· охрана зданий, внутренних помещений и контроль за ними;
· охрана оборудования, продукции, финансов и информации;
· осуществление контролируемого доступа в здания и помещение.
Все физические средства защиты объектов можно разделить на три категории:
1. средства предупреждения;
2. средства обнаружения;
3. системы ликвидации угроз.
Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.
В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:
· охранные и охранно-пожарные системы;
· охранное телевидение;
· охранное освещение;
· средства физической защиты.
К средствам физической защиты относятся:
· ограждение и физическая изоляция,
· запирающие устройства,
· системы контроля доступа.
К системам контроля доступа относятся:
· системы, использующие различные карты и карточки, на которых помещается кодированная или открытая информация о владельце,
· системы опознавания по отпечаткам пальцев,
· системы опознавания по голосу,
· системы опознавания по почерку,
· система опознавания по геометрии рук.
Все устройства идентификации могут работать как отдельно, так и в комплексе.
3.2 Аппаратные (технические) средства защиты информации
Аппаратные (технические) средства защиты информации – это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объём и масса, высокая стоимость. К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Аппаратные средства защиты информации применяются для решения следующих задач:
· проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;
· выявление каналов утечки информации на разных объектах и в помещениях;
· локализация каналов утечки информации;
· поиск и обнаружение средств промышленного шпионажа;
· противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.
По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения всех характеристик средств промышленного шпионажа.
Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа. Аппаратура второго типа предназначается для выявления каналов утечки информации.
Программные средства защиты информации включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств -универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
3.3 Программные средства защиты информации
Основные направления использования программной защиты информации:
· защита информации от НСД,
· защита программ от копирования,
· защита информации от разрушения,
· защита информации от вредоносных программ,
· защита программ от вредоносных программ,
· программная защита каналов связи.
Программные средства защиты информации можно разделить на следующие:
· встроенные средства защиты информации;
· антивирусная программа - программа для обнаружения компьютерных вредоносных программ и лечения инфицированных файлов, а также для профилактики - предотвращения заражения файлов или операционной системы вредоносным кодом;
· межсетевые экраны (также называемые брандмауэрами или файрволами). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;
· Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вредоносные программы, код Java и JavaScript);
· VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec;
· системы защиты от НСД:
· средства собственной защиты, предусмотренные общим программным обеспечением;
· средства защиты в составе вычислительной системы;
· средства защиты с запросом информации;
· средства пассивной защиты и т.д.
3.4 Криптографические средства защиты
Криптографические средства защиты позволяют защитить информацию даже после ее перехвата.
Современная криптография является областью знаний, связанной с решением таких проблем безопасности информации, как конфиденциальность, целостность, аутентификация и невозможность отказа сторон от авторства. Достижение этих требований безопасности информационного взаимодействия и составляет основные цели криптографии.
Сертифицированные шифровальные средства, предназначенные для защиты информации, не содержащей сведения, составляющие государственную тайну, по функциональному назначению обеспечивают защиту от прочтения и от НСД к документальной информации при ее передачи по каналу связи, обработке и хранении, а также защиту информации от непосредственного прослушивания в телефонном канале связи. Основная категория программно-аппаратных и программных средств защиты документальной информации, как правило, совмещают в себе функцию шифрования с процедурами выработки и проверки электронной цифровой подписи (ЭЦП).
4 Программно-аппаратные средства защиты
4.1 Встроенные средства защиты ОС
Внутренняя защита Windows 7 и 8 строится по модульному принципу. Встроенные средства защиты ОС - это не один продукт с единой консолью, а взаимодействующие компоненты (представлены в Таблице 1). Условно их можно разделить на три зоны действия:
· первая часть модулей работает во время загрузки системы;
· вторая - во время её работы;
· третья же активируется вручную и помогает дополнительно защитить операционную систему.
Таблица 1. Сводная информация о встроенной защите Windows 7 и Windows 8
Компонент | Windows 7 | Windows 8 | |
Загрузка системы | UEFI | + | |
ASLR | + | +* | |
ELAM | + | ||
Управление автозагрузкой | + | +* | |
Вход в систему с помощью альтернативных паролей | + | ||
Во время работы | Защитник | + | +* |
Брандмауэр | + | + | |
SmartScreen | + | +* | |
Запуск приложений в песочнице | + | ||
UAC | + | + | |
Подсчёт сетевого трафика | |||
Дополнительно | Родительский контроль | + | +* |
Резервное копирование | + | + | |
Шифрование | + | + | |
Установка на накопитель | + | ||
Виртуализация | + |
* - функция реализована лучшим образом.
Защита Windows на этапе загрузки UEFI (Unified Extensible Firmware Interface) - унифицированный расширяемый интерфейс прошивки. По сути, это самостоятельная легкая операционная система, представляющая собой интерфейс между основной ОС и микропрограммами, главной задачей которого является корректная инициализация оборудования и передача управления загрузчику основной («большой») ОС, установленной на компьютере.
Одними из наиболее востребованных особенностей UEFI, которые можно реализовать на работающем под ней компьютере являются: «безопасная загрузка», низкоуровневая криптография, сетевая аутентификация, универсальные графические драйверы и еще многое другое. В свою очередь, функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы смогут выполняться в процессе загрузки ОС. Неподписанный код и код без надлежащих сертификатов безопасности блокируется. В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы. Справедливости ради стоит отметить, что эту систему можно обойти, например, подписав вредоносную программу фальшивым сертификатом Microsoft (что уже было пару раз проделано злоумышленниками).
ASLR (Address Space Layout Randomization) - технология рандомизации адресного пространства. Она отвечает за защиту системы от эксплуатации багов в памяти. Технология случайным образом смещает данные и программный код в памяти для более сложной реализации эксплойтов. Разработчики реализовали её и в Windows 7, и в Windows 8, однако в последней она применяется для большего количества компонент.
ELAM (Early-Launch Anti-Malware) - функция раннего запуска защиты от руткитов, эксплойтов и вредоносных программ. За счёт этого антивирусные программы в Windows 8 могут запускаться в процессе загрузки ОС раньше, что позволяет им проверять драйверы, библиотеки и другие компоненты еще до их загрузки. Встроенный «Защитник Windows» по умолчанию использует данную функцию.
Управление автозагрузкой - такая возможность существовала и в Windows 7, однако для её использование требовались знания, отличные от базовых. В новой ОС управление приобрело интуитивно понятный и наглядный интерфейс, став одной из вкладок «Диспетчера задач». Если ранее для правки списка самостоятельно стартующих исполняемых файлов приходилось обращаться к редактору реестра или брать на вооружение утилиту msconfig, то в Windows 8 достаточно открыть соответствующую вкладку менеджера задач. Возможности последнего позволяют отслеживать влияние тех или иных приложений на скорость загрузки ОС и обеспечивают оперативный поиск в Интернете информации о запускаемых без разрешения программах. Все описанные модули работают на старте системы, то есть ещё до того, как пользователь начинает работать на ПК.
Вход в систему с помощью альтернативных паролей - функция, перекочевавшая из мобильных ОС.
Компоненты, использующиеся во время работы системы по своему функциональному наполнению больше всего похожи на антивирусные программы класса Internet Security.
Первым из них является Защитник, который появился, начиная с Windows 7, и является встроенным антивирусом. Его возможности изначально не претендовали на обеспечение высокого уровня защиты пользователя и были ориентированы на то, чтобы хватило для защиты до момента покупки реального программного обеспечения от соответствующих производителей. Помимо этого без подобного рода защиты его машина представляет собой угрозу окружающим (будучи заражённой, она может стать частью ботнета, участвовать в рассылке спама и т.д.). Поэтому и нужна как минимум антивирусная программа хотя бы минимального базового уровня, чтобы снизить угрозу от компьютера такого пользователя для окружающих. Таковы были мотивы корпорации, разработавшей Защитника Windows и Microsoft Essentials в дополнение к нему.
Таблица 2. Сравнение функциональности Защитника Windows 7 и Windows 8
Защитник Windows 7 | Защитник Windows 8 | |
Файловая защита в реальном | + | + |
времени | ||
Проверка архивов | + | + |
Проверка съёмных носителей | + | + |
Проверка корреспонденции по популярным почтовым протоколам (POP3, SMTP и др.) | + | |
Проверка по расписанию | + | |
Сигнатурный анализ | +* | + |
Эвристический анализ | + | + |
Поведенческий анализ | ||
Карантин | + | + |
Облачные технологии | Microsoft SpyNet | MAPS |
* - функция реализована лучшим образом.
Брандмауэр - встроенный в Windows межсетевой экран.
Репутационный фильтр SmartScreen. SmartScreen автоматически сканирует все исполняемые exe-файлы, которые пользователь загружает из сети Интернет. Также выступает в роли веб-экрана, синхронизируясь с серверами Microsoft для обновления баз неблагонадёжных сайтов, т.е. позволяет выполнять репутационную проверку сайтов. В Windows 7 существовал только как надстройка безопасности Internet Explorer. В Windows 8 работа модуля была перенесена на уровень операционной системы, тем самым отвязав компонент от конкретного браузера. При запуске загруженного файла, SmartScreen сканирует его и отправляет его цифровую подпись на серверы Microsoft. В случае если цифровая подпись соответствует хорошо известному приложению, система запускает его. Если о приложении мало что известно, или оно состоит в списке неблагонадежных, Windows 8 сообщит об этом, а в случае угрозы безопасности не станет запускать приложение без принудительных действий со стороны пользователя.
Запуск приложений из песочницы. Приложения для нового интерфейса Windows 8 Metro выполняются в «песочнице», т.е. не могут выполнять никаких действий, кроме прямо им разрешенных. Для сравнения, приложения для рабочего стола имеют полный доступ к системе. Например, если Вы скачали и запустили игру, она может установить дополнительные драйверы в операционной системе, прочесть любые файлы с жесткого диска, и проделать другие изменения. Особенно это касается процесса установки, который обычно запускается с привилегиями администратора. Приложения Windows 8 работают несколько иным способом. Данные программы не могут скрытно работать в операционной системе, записывая все Ваши действия, пароли, также они не обладают доступом к любому файлу на Вашем компьютере. Также нужно отметить, что приложения Windows 8 могут быть установлены только из магазина приложений Windows.
UAC (User Account Control) - известный компонент, который запрашивает подтверждение действий, если программе для выполнения требуются права администратора.
Подсчёт сетевого трафика - этот инструмент по умолчанию встроен в Windows 8 (в настройках сетевого соединения в контекстном меню выбрать пункт «Отображать сведения о предполагаемом использовании данных»). Для решения аналогичной задачи в Windows 7 приходится прибегать к сторонним программам или виджетам. Его связь с безопасностью косвенна. К примеру, если вы не работаете за компьютером (и никаких обновлений не запущено), а активность трафика присутствует, возможно, это действия какой-нибудь вредоносной программы.
Следующие функции активируются пользователями довольно редко.
Родительский контроль. В представлении Microsoft должен включать в себя контроль проведённого времени за компьютером, контроль запуска приложений и игр, контроль посещаемых сайтов, а также ведение отчётности по каждому из направлений. В Windows 7 родительский контроль был тесно интегрирован с Windows Live, требовал дополнительной регистрации в этой службе. По сути, был полностью «завязан» на ней. В Windows 8 модуль стал «отвязанным», то есть не требующим дополнительной регистрации в Windows Live. Всё можно настраивать прямо в системе. Тем не менее, компонент по прежнему связывается с серверами Microsoft для обновления своих баз (возрастные ограничения в играх, сайты с «взрослым» контентом и т.п.).
Резервное копирование и восстановление данных. Основные компоненты системы:
История файлов (File History) - создание локальных копий пользовательских данных
Компонент «История файлов» в Windows 8 позволяет организовывать непрерывные дополнительные резервные копии отобранных пользователем файлов в режиме реального времени. Созданные резервные копии хранятся на сетевом диске или переносном USB-накопителе. Если оригинальный файл был поврежден или случайно удален, его можно очень просто восстановить с помощью копии, созданной данным компонентом.
OneDrive - удаленное резервное копирование пользовательских данных
Локальные копии критически необходимы, но в то же время они имеют очень важный недостаток: событие, которое может повредить компьютер или переносной накопитель, содержащие рабочие копии файлов может также привести к потере резервных копий. Решением данной проблемы может стать облачное резервное копирование, которое подразумевает хранение важных файлов на полностью защищенных файловых серверах, физически удаленных от вашего компьютера.
Основы информационной безопасности