Основы защиты информации в вычислительных системах
При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец либо уполномоченное им лицо накладывает набор правил по работе с ним. Умышленное их нарушение классифицируется как атака на информацию.
Каковы возможные последствия атак на информацию? Прежде всего – это экономические потери:
- раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке;
- известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций;
- фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки;
- подмена информации, как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам;
- многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.
Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма, кроме адресата, получали еще 5—10 человек или, например, весь текст, набираемый на клавиатуре компьютера, копировался в буфер, а затем при подключении к Интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев.
И наконец, что же именно предпринимают злоумышленники, добравшись до информации:
– непосредственную кражу денег с электронных счетов;
– вывод из строя программного обеспечения;
– кражу информации с различными негативными последствиями;
– фальсификацию информации;
– несанкционированное получение услуг.
Информация с точки зрения информационной безопасности обладает следующими категориями:
конфиденциальность — гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена (нарушение этой категории называется хищением либо раскрытием информации);
целостность — гарантия того, что информация сейчас существует в ее исходном виде, т. е. при ее хранении или передаче не было произведено несанкционированных изменений (нарушение этой категории называется фальсификацией сообщения);
аутентичность — гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор (нарушение этой категории также называется фальсификацией, но уже автора сообщения).
В отношении информационных систем применяются иные категории:
надежность — гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;
точность — гарантия точного и полного выполнения всех команд;
контроль доступа — гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;
контролируемость — гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;
контроль идентификации — гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает;
устойчивость к умышленным сбоям — гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Поставщик аппаратного и программного обеспечения — обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктах.
Разработчик системы и (или) программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.
Руководитель подразделения является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача — своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Руководители подразделений должны быть осведомлены обо всей политике безопасности организации, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.
Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов в организации. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
– определение того, какие данные и насколько серьезно необходимо защищать;
– определение того, кто и какой ущерб может нанести организации в информационном аспекте;
– вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности в организации. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».
Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы — злоумышленник. Ваши действия?» То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.
Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать.
Организация обеспечения безопасности информации в ГАС «Правосудие»
В ГАС «Правосудие» предусмотрено три информационных контура документооборота (защищенный, ведомственный и публичный), что позволяет обеспечить баланс требований открытости информации и ее защиты.
В контурах обработки информации ГАС «Правосудие», при соблюдении всех ограничительных мер защиты, может обрабатываться и циркулировать информация следующих категорий:
· публичный контур – только открытая информация;
· ведомственный контур – открытая и конфиденциальная информация;
· защищенный контур - открытая и конфиденциальная информация, а также сведения, составляющие государственную тайну.
Информационная связность публичных контуров комплексов средств автоматизации (КСА) в рамках ГАС "Правосудие" обеспечивается сетью международного информационного обмена Интернет посредством электронной почты и web-сервисов. Защита публичного контура от НСД и разграничение доступа к информационным ресурсам объекта организовано средствами межсетевого экранирования, которые реализованы в сертифицированном продукте - коммуникационном центре, МЭ «ИВК Кольчуга».
Средства разграничения и контроля доступа к информационным ресурсам ведомственного контура реализованы программным комплексом «ИВК Юпитер» 5.0 и обеспечивают функцию сквозной аутентификации пользователей, разграничение доступа пользователей к ресурсам как на уровне конкретного КСА, так и на уровне ГАС «Правосудие» в целом.
Защищенный информационный контур ГАС «Правосудие» предназначен для обеспечения документооборота с обработкой, передачей и предоставлением информации, имеющей гриф «Секретно» и «Совершенно секретно».
Комплекс мер по антивирусной защите КСА ГАС «Правосудие» осуществляется посредством пакета Dr.Web («Doctor Web»). Антивирусное программное обеспечение Dr.Web позволяет обеспечить защиту от компьютерных вирусов, как отдельных автоматизированных рабочих мест, так и локальных вычислительных сетей объектов автоматизации, в том числе, подключенных к информационным сетям общего пользования (Интернет). Программный комплекс Dr.Web обеспечивает контроль вирусной активности и своевременно нейтрализует ее проявления.
Антивирусная безопасность
Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способностью к самостоятельному внедрению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных компьютерах.
Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы и т.д.), в которые встроены так называемые «логические бомбы», срабатывающие по наступлении некоторого события. Следует отметить, что троянские программы не являются саморазмножающимися.
Принципиальное отличие вируса от троянской программы состоит в том, что вирус после его активизации существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называются вирусоносителями.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
«Первичное» заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (дискеты, оптические диски, флэш-память и т. п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, — сегментированными.
По режиму функционирования:
- резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
- транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).
Наиболее распространенным средством нейтрализации компьютерных вирусов являются антивирусные программы (антивирусы).