Основы и методы дошиты информации

8.1. Обшие понятий инфорллоиионной безопасности

Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Среди них можно выделить такие сферы применения, как военная, коммерческая, банковская, посредническая, научные исследования по высоким технологиям и др. Очевидно, широко используя компь­ютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней по­сторонних лиц, ее утраты или искажения. Согласно статистическим данным, более 80 % компаний несут финансовые убытки из-за на­рушения целостности и конфиденциальности используемых данных.

Кроме информации, составляющей государственную или ком­мерческую тайну, существует информация, представляющая собой интеллектуальную собственность. К ней можно отнести результаты научных исследований, программы, обеспечивающие функциониро­вание компьютера, игровые программы, оригинальные аудио- и ви­деоклипы, которые находятся под защитой законов, принятых в большинстве стран мирового сообщества. Стоимость такой инфор­мации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование снижает доходы компаний и ав­торов, занятых ее разработкой.

Усложнение методов и средств организации машинной обработ­ки, повсеместное использование глобальной сети Интернет приво­дит к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограни­ченных местах, постоянное расширение круга пользователей, имею­щих доступ к ресурсам, программам и данным, недостаточный уро­вень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

8,1.1. ОсноВные понятия информоиионной безопасности

Введем ряд определений, используемых при описании средств и методов защиты информации в системах автоматизированной обра­ботки, построенных на основе средств вычислительной техники.

Компьютерная система (КС) — организационно-техническая си­стема, представляющую совокупность следующих взаимосвязанных компонентов:

технические средства обработки и передачи данных;

методы и алгоритмы обработки в виде соответствующего про­граммного обеспечения;

данные — информация на различных носителях и находящаяся в процессе обработки;

конечные пользователи — персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей;

объект доступа, или объект, — любой элемент КС, доступ к ко­торому может быть произвольно ограничен (файлы, устройства, ка­налы);

субъект доступа, или субъект, — любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы).

Информационная безопасность — состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды.

Конфиденциальность информации — свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию.

Целостность информации — свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи.

Достоверность информации — свойство, выражаемое в строгой

принадлежности информации субъекту, который является ее источ­ником.

Доступ к информации — возможность субъекта осуществлять оп­ределенные действия с информацией.

Санкционированный доступ к информации — доступ с выполнени­ем правил разграничения доступа к информации.

Несанкционированный доступ (НСД) — доступ с нарушением пра­вил разграничения доступа субъекта к информации, с использовани­ем штатных средств (программного или аппаратного обеспечения), предоставляемых КС.

Правила разграничения доступа — регламентация прав доступа субъекта к определенному компоненту системы.

Идентификация — получение от субъекта доступа к сведениям (имя, учетный номер и т.д.), позволяющим выделить его из множе­ства субъектов.

Аутентификация — получение от субъекта сведений (пароль, биометрические параметры и т.д.), подтверждающих, что идентифи­цируемый субъект является тем, за кого себя выдает.

Угроза информационной безопасности КС — возможность воздей­ствия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функцио­нирования.

Уязвимость КС — любая характеристика, которая может привес­ти к реализации угрозы.

Атака КС — действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционирован­ного доступа к информации.

Безопасная, или защищенная, КС — КС, снабженная средствами защиты для противодействия угрозам безопасности.

Комплекс средств защиты — совокупность аппаратных и про­граммных средств, обеспечивающих информационную безопасность.

Политика безопасности — совокупность норм и правил, регла­ментирующих работу средств защиты от заданного множества угроз.

Дискреционная модель разграничения доступа — способ разграни­чения доступа субъектов к объектам, при котором права доступа за­даются некоторым перечнем прав доступа субъекта к объекту. При реализации представляет собой матрицу, строками которой являют -

ся субъекты, а столбцами — объекты; элементы матрицы характери­зуют набор прав доступа.

Полномочная (мандатная) модель разграничения доступа — спо­соб разграничения доступа субъектов к объектам, при котором каж­дому объекту ставится в соответствие уровень секретности, а каждо­му субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.

8,1,2, Янализ У^ГР°3 информационной безопасности

Для успешного противодействия угрозам и атакам КС, а также выбора способов и средств защиты, политики безопасности и ана­лиза рисков от возможного НСД необходимо классифицировать су­ществующие угрозы информационной безопасности. Каждый при­знак классификации должен отражать одно из обобщенных требований к системе защиты, а сами угрозы позволяют детализи­ровать эти требования. Современные КС и сети являются сложны­ми системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как след­ствие, для защищенной КС определяется не полный перечень угроз, а перечень классов угроз, которым должен противодействовать ком­плекс средств защиты.

Классификация угроз может быть проведена по ряду базовых признаков:

1. По природе возникновения: объективные природные явления, не
зависящие от человека; субъективные действия, вызванные дея­
тельностью человека.

2. По степени преднамеренности: ошибки конечного пользователя
или персонала; преднамеренного действия, для получения НСД
к информации.

3. По степени зависимости от активности КС: проявляющиеся не­
зависимо от активности КС (вскрытие шифров, хищение носи­
телей информации); проявляющиеся в процессе обработки дан­
ных (внедрение вирусов, сбор «мусора» в памяти, сохранение и
анализ работы клавиатуры и устройств отображения).

4. По степени воздействия на КС: пассивные угрозы (сбор данных
путем выведывания или подсматривания за работой пользовате­
лей); активные угрозы (внедрение программных или аппаратных
закладок и вирусов для модификации информации или дезорга­
низации работы КС).

5. По способу доступа к ресурсам КС: получение паролей и прав
доступа, используя халатность владельцев и персонала, несанк­
ционированное использование терминалов пользователей, физи­
ческого сетевого адреса, аппаратного блока кодирования и др.;
обход средств защиты, путем загрузки посторонней операцион­
ной защиты со сменного носителя; использование недокументи­
рованных возможностей операционной системы.

6. По текущему месту расположения информации в КС: внешние
запоминающие устройства; оперативная память; сети связи; мо­
нитор или иное отображающее устройство (возможность скры­
той съемки работы принтеров, графопостроителей, световых па­
нелей и т.д.).

Необходимо отметить, что абсолютно надежных систем защиты не существует. Кроме того, любая система защиты увеличивает вре­мя доступа к информации, поэтому построение защищенных КС не ставит целью надежно защититься от всех классов угроз. Уровень системы защиты — это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания КС и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

8,1,3, Юридические основы информационной безопасности

Широкое распространение КС и сетей, внедрение их в государ­ственных учреждениях и важность задачи сохранения конфиденци­альности государственной и частной информации заставили многие страны принять соответствующие законы, регламентирующие защиту КС и сетей.

Наиболее общим законом Российской Федерации является Кон­ституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают вопросы информационной безопасности. Статья 23 Конституции,

например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 — право свободно искать, получать, передавать, производить и распространять информацию любым законным спо­собом. Главы 41 и 42 гарантируют право на знание фактов и обстоя­тельств, создающих угрозу жизни и здоровью людей, право на зна­ние достоверной информации о состоянии окружающей среды.

Действующий Уголовный кодекс Российской Федерации предус­матривает наказания за преступления, связанные с нарушением кон­фиденциальности информации. Глава 28 «Преступления в сфере ком­пьютерной информации» содержит статьи 272—274, посвященные преступлениям, связанным, соответственно, с неправомерным дос­тупом к компьютерной информации, созданием, использованием и распространением вредоносных программ, нарушением правил экс­плуатации ЭВМ, систем и сетей на их основе.

Интересы государства в плане обеспечения конфиденциальнос­ти информации наиболее полно представлены в Законе «О госу­дарственной тайне». В нем гостайна определена как защищаемые государством сведения в области военной, внешнеполитической, эко­номической, разведывательной, контрразведывательной и оператив­но-розыскной деятельности, распространение которых может нане­сти ущерб безопасности Российской Федерации. Здесь же дается описание средств защиты информации, к которым, согласно данно­му Закону, относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, состав­ляющих государственную тайну. Наряду с общими законами, во мно­гих странах приняты законы о защите информации в компьютерных системах и сетях. Описание основных положений этих законов, при­нятых в США и РФ, приведены ниже.

8,1,4. Критерии зошишенности среЭстВ компьютерным систем

Министерством обороны США в 1983 г. были разработаны оп­ределения требований к аппаратному, программному и специально­му программному обеспечению под названием «Критерии оценки

безопасности компьютерных систем», получившие неофициальное, но прочно утвердившееся название «Оранжевая книга».

В «Оранжевой книге» предложены три категории требований безопасности: политика безопасности, аудит (мониторинг произво­димых действий), корректность, в рамках которых сформулированы шесть базовых критериев безопасности.

Критерий 1. Политика безопасности. КС должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их иден­тификации и набора правил управления доступом. Там, где это воз­можно, должно использоваться мандатное управление доступом, по­зволяющее эффективно разграничивать доступ к информации разной степени конфиденциальности.

Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку безопасности, используемую в качестве исходной информации для исполнения процедур контроля доступа.

Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Доступ субъекта к ре­сурсам КС должен осуществляться на основании результатов иден­тификации и подтверждения подлинности их идентификаторов (аутентификация). Идентификаторы и аутентификационные данные должны быть защищены от НСД, модификации и уничтожения.

Критерий 4. Регистрация и учет. Для определения степени от­ветственности пользователей за действия в системе, все происходя­щие в ней события, имеющие значение для поддержания конфиден­циальности и целостности информации, должны отслеживаться и регистрироваться в защищенном объекте (файле-журнале). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность КС. Доступ к объекту аудита для просмотра должен быть разрешен только специальной группе пользователей — аудито­ров. Запись должна быть разрешна только субъекту, олицетворяюще­му систему.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты, обеспечивающие политику безопас­ности, должны находиться под контролем средств, проверяющих корректность их функционирования и быть независимыми от них.

Критерий 6. Непрерывность защиты. Все средства защиты дол-

жны быть защищены от несанкционированного воздействия или от­ключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы, защиты и КС. Это требование должно распространяться на весь жизненный цикл КС.

Гостехкомиссией при Президенте Российской Федерации были приняты руководящие документы, посвященные вопросам защиты информации в автоматизированных системах. Основой этих докумен­тов является концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации и основные принципы защиты КС.

Для определения принципов защиты информации вводится по­нятие несанкционированного доступа к информации. Это понятие является чрезвычайно важным, так как определяет, от чего сертифи­цированные по руководящим документам средства вычислительной техники и КС должны защищать информацию. В соответствии с при­нятой в руководящих документах классификацией, основными спо­собами НСД являются:

непосредственное обращение к объектам доступа (получение процессом, управляемым пользователем доступа к файлу);

создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

модификация средств защиты, позволяющая осуществить НСД (программные и аппаратные закладки);

внедрение в технические средства аппаратных или программных механизмов, нарушающих структуру и функции КС и позволяющие осуществить НСД (загрузка нестандартной операционной системы без функций защиты).

Руководящие материалы представляют семь критериев защиты КС:

1. Защита КС основывается на положениях существующих законов,
стандартов и нормативно-методических документов по защите
информации.

2. Защита средств вычислительной техники обеспечивается комп­
лексом программно-технических средств.

3. Защита КС обеспечивается комплексом программно-технических
средств и поддерживающих их организационных мер.

4. Защита КС должна обеспечиваться на всех технологических эта­
пах обработки информации и во всех режимах функциейирова-

ния, в том числе при проведении ремонтных и регламентных работ.

5. Программно-технические средства не должны существенно ухуд­
шать основные функциональные характеристики КС (надеж­
ность, производительность, возможность изменения конфигура­
ции).

6. Оценка эффективности средств защиты, учитывающей всю со­
вокупность технических характеристик, включая технические ре­
шения и практическую реализацию средств защиты.

7. Защита КС должна предусматривать контроль эффективности
средств защиты от НСД, который может быть периодическим
или включаться по мере необходимости пользователем или кон­
тролирующими органами.

8,1,5, Политике безопасности В компьютерным системой

Защищенная КС обязательно должна иметь средства разграни­чения доступа пользователей к ресурсам КС, проверки подлинности пользователя и противодействия выводу КС из строя.

Интегральной характеристикой защищенности КС является по­литика безопасности — качественное выражение свойств защищен­ности в терминах, представляющих систему. Политика безопасности для конкретной КС не должна быть чрезмерной — ужесточение за­щиты приводит к усложнению доступа пользователей к КС и увели­чению времени доступа. Политика безопасности должна быть адек­ватна предполагаемым угрозам, и обеспечивать заданный уровень защиты.

Политика безопасности включает:

• множество субъектов;

• множество объектов;

• множество возможных операций над объектами;

• множество разрешенных операций для каждой пары субъект-
объект, являющееся подмножеством множества возможных со­
стояний.

Элементы множества операций над объектами выбираются в за-

висимости от назначения КС, решаемых задач и конфиденциально­сти информации. Например, операции «создание объекта», «удале­ние объекта», «чтение данных», «запись данных» и т.д.

В защищенной КС всегда присутствует субъект, выполняющий контроль операций субъектов над объектами, например, в операци­онной системе ^тйо^з таким субъектом является псевдопользова­тель 8У5ТЕМ. Этот компонент фактически отвечает за реализацию политики безопасности, которая реализуется путем описания досту­па субъектов к объектам.

Существуют два типа политики безопасности: дискретная (дис­креционная) и мандатная (полномочная). Основой дискретной по­литики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:

• все субъекты и объекты должны быть идентифицированы;

• права доступа субъекта к объекту определяются на основе неко­
торого задаваемого набора правил.

К достоинствам дискретной политики безопасности можно от­нести относительно простую реализацию соответствующих механиз­мов защиты. Этим обусловлен тот факт, что большинство использу­емых в настоящее время КС обеспечивают именно дискретную политику безопасности. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы — объектам; элементы матрицы представляют фиксированный набор или список прав доступа. К ее недостаткам относится статичность модели, не учитывающая динамику изменений состояния КС. Например, при подозрении на НСД к информации, необходимо оперативно изме­нить права доступа к ней, но сделать это с помощью матрицы дос­тупа, которая формируется вручную, не просто.

Мандатная модель политики безопасности основывается на том, что:

• все субъекты и объекты должны быть идентифицированы;

• задан линейно упорядоченный набор меток секретности;

• каждому объекту присвоена метка секретности, определяющая
ценность содержащейся в ней информации — его уровень сек­
ретности;

• каждому субъекту системы присвоена метка секретности, опре­
деляющая уровень доверия к нему — его уровень доступа.

В отличие от дискретной политики, которая требует определе­ния прав доступа для каждой пары субъект—объект, мандатная по­литика, назначением метки секретности объекту, однозначно опре­деляет круг субъектов, имеющих права доступа к нему. И, наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа.

8,1,6, Меры по поЭЭержонию работоспособности компьютерным систем

Наряду с мерами поддержания политики безопасности инфор­мации, предоставляемыми стандартным аппаратным и программным обеспечением, любой пользователь, особенно начинающий, должен соблюдать ряд простых правил, которые избавят его от потери важ­ной для него информации при случайных сбоях или авариях аппа­ратуры, разрушения программ и данных из-за ошибок в работе самого пользователя или администратора. Недооценка фактора бе­зопасности в повседневной работе приводит к тяжелым последстви­ям, связанным с потерей или нарушением конфиденциальности ин­формации. Правила проведения повседневных мероприятий администратором системы и пользователем для предотвращения слу­чайных сбоев или утраты информации можно сформулировать так:

• администратор должен организовать поддержку пользователей
при решении возникающих у них проблем, выявляя при этом
общие вопросы, связанные с безопасностью и указывая пользо­
вателям способы их решения;

• администратор должен следить за целостностью программного
обеспечения, установленного на компьютерной системе, и огра­
ничивать возможности самостоятельной установки пользовате­
лями дополнительных программ, которые могут содержать вре­
доносные коды, следить за изменением файлов программ, для
чего периодически запускать утилиты, проверяющие целостность
файлов программных кодов;

• пользователь должен иметь возможность проводить резервное
копирование своих данных, которые могут понадобиться для
восстановления данных после аварии; резервные копии необхо­
димо сохранять на съемных носителях или других внешних но­
сителях с ограниченным правом доступа;

каждая компьютерная система должна быть в обязательном по­рядке снабжена источником бесперебойного питания, предотв­ращающего потерю информации при кратковременных перебо­ях с энергоснабжением.

8.2. Способы и среЭслпВа нарушения конфиЭеншальности инсрормаиии

8,2,1, ОсноВные метобы реализоиии угроз инсрормаиионной безопасности

К основным направлениям реализации злоумышленником ин­формационных угроз на локальной, изолированной или включенной в сеть КС можно отнести следующие:

1. Непосредственное обращение к объектам доступа. Злоумыш­
ленник пытается войти в систему, используя подсмотренный полно­
стью или частично пароль легального пользователя; пытается полу­
чить доступ к объектам (файлам, сетевым портам и др.), надеясь на
ошибки в политике безопасности.

2. Создание программных и технических средств, выполняющих
обращение к объектам доступа. Злоумышленник, получив в свое рас­
поряжение файл паролей с помощью программ, осуществляющих
перебор паролей, пытается его расшифровать; использует програм­
мы, просматривающие содержимое жестких дисков, с целью полу­
чения информации о незащищенных каталогах и файлах, имена та­
ких файлов программа фиксирует; использует в сети со связью по
модему программы, выполняющие автодозвон и фиксирующие но­
мера ответивших узлов, а затем программы, прослушивающие сете­
вые порты для определения открытого порта; в локальной сети при­
меняет программы перехвата и сохранения всего трафика сети.

3. Модификация средств защиты, позволяющая реализовать уг­
розы информационной безопасности. Злоумышленник, получив пра­
ва доступа к подсистеме защиты, подменяет некоторые ее файлы с
целью изменения реакции подсистемы на права доступа к объектам,

расширяя права легальных пользователей или предоставляя права нелегальным пользователям.

4. Внедрение в технические средства программных или техничес­ких механизмов, нарушающих структуру и функции КС. Злоумыш­ленник, на этапе разработки или модернизации технических средств КС, внедряет аппаратуру или изменяет программы, содержащиеся в постоянном запоминающем устройстве КС, которые, наряду с полез­ными функциями, выполняют некоторые функции НСД к информа­ции, например, сбор сведений о паролях или считывание, сохране­ние и передача данных, оставшихся в оперативной памяти после завершения работы приложения; использует недостатки охраны КС и подключает дополнительные устройства, например, клавиатурные шпионы, которые позволяют перехватывать пароли и конфиденци­альную информацию и, в зависимости от сложности устройства, по­зволяет их сохранять в собственной памяти или передавать по радио­каналу.

Получение доступа к информации обычно осуществляется зло­умышленником в несколько этапов. На первом этапе решаются за­дачи получения тем или иным способом доступа к аппаратным и программным средствам КС. На втором этапе решаются задачи вне­дрения аппаратных или программных средств с целью хищения про­грамм и данных.

Основные методы, применяемые злоумышленником для получе­ния НСД к информации, состоят в определении:

• типов и параметров носителей информации;

• архитектуры, типов и параметров технических средств КС, вер­
сии операционной системы, состава прикладного программно­
го обеспечения;

• основных функций, выполняемых КС;

• средств и способов защиты;

• способов представления и кодирования информации.

После решения задач определения параметров системы зло­умышленник переходит к этапу получения сведений о режимах дос­тупа, паролях и сведений о пользователях системы. Для этого он пытается получить доступ к использованным расходным материалам и сменным носителям:

• съемные носители информации, содержащие секретную инфор­
мацию;

• визуальное наблюдение или съемка экранов терминалов, анализ
распечаток и отходов работы графопостроителей и т.д.;

• перехват побочных электромагнитных и звуковых излучений и
наводок по цепям питания.

Получив доступ к КС или возможность входа в систему, зло­умышленник, в зависимости от преследуемых целей, среди которых можно выделить получение секретной информации, искажение сек­ретных данных, нарушение работы системы, предпринимает следу­ющие действия:

• несанкционированный доступ к информации;

• перехват данных по каналам связи;

• изменение архитектуры КС, путем установки дополнительных
перехватывающих устройств или замены отдельных узлов на спе­
циальные, содержащие возможность проводить несанкциониро­
ванные действия в КС, например, установка клавиатурных шпи­
онов, перепрограммирование ПЗУ, установка сетевых карт,
способных фиксировать и сохранять или искажать проходящие
через них пакеты;

• уничтожение машинных носителей информации;

• внесение искажений в программные компоненты КС;

• внедрение дезинформации;

• раскрытие способов представления информации и ключей шиф­
рования;

• изменение доступа к информации.

8.2.2. Типичные приемы атак на локальные и удаленные компьютерные системы

1. Сканирование файловой системы. Злоумышленник пытается
просматривать файловую систему и прочесть, скопировать или уда­
лить файлы. Если доступ к файлу закрыт, сканирование продолжа­
ется. Если объем файловой системы велик, то рано или поздно об­
наружится хотя бы одна ошибка администратора. Такая атака
проводится с помощью специальной программы, которая выполня­
ет эти действия в автоматическом режиме.

2. Кража ключевой информации. Пароль может быть подсмотрен
по движению рук на клавиатуре или снят видеокамерой. Некоторые

программы входа в КС удаленного сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы для упрощения входа в ОС. Кража такого файла компрометирует пароль. Известны случаи, ког­да для кражи пароля использовался съем отпечатков пальцев пользо­вателя с клавиатуры. Кража внешнего носителя с ключевой инфор­мацией: диски или ТоисЬ Метогу.

3. Сборка мусора. Информация, удаляемая пользователем, не уда­
ляется физически, а только помечается к удалению и помещается в
сборщик мусора. Если получить доступ к этой программе, можно
получить и доступ к удаляемым файлам. Сборка мусора может осу­
ществляться и из памяти. В этом случае программа, запускаемая зло­
умышленником, выделяет себе всю допустимо возможную память и
читает из нее информацию, выделяя заранее определенные ключе­
вые слова.

4. Превышение полномочий. Используя ошибки в системном про­
граммном обеспечении и/или политики безопасности, пользователь
пытается получить полномочия, превышающие те, которые были ему
выделены. Это воздействие может быть также результатом входа в
систему под именем другого пользователя или заменой динамичес­
кой библиотекой, которая отвечает за выполнение функций иденти­
фикации пользователя.

5. Программные закладки. Программы, выполняющие хотя бы
одно из следующих действий:

—внесение произвольных искажений в коды программ, находя­
щихся в оперативной памяти (программная закладка первого типа);

—перенос фрагментов информации из одних областей оператив­
ной или внешней памяти в другие (программная закладка второго
типа);

—искажение информации, выводимой другими программами на
внешние устройства или каналы связи (программная закладка тре­
тьего типа).

6. Жадные программы. Программы, преднамеренно захватываю­
щие значительную часть ресурсов КС, в результате чего другие про­
граммы работают значительно медленнее или не работают вовсе.
Часто запуск такой программы приводит к краху ОС.

7. Атаки на отказ в обслуживании (с!епу-о/-8ешсе — Оо8). Атаки
Оо5 являются наиболее распространенными в компьютерных сетях

и сводятся к выведению из строя объекта, а не к получению несанк­ционированного доступа. Они классифицируются по объекту воздей­ствия:

• перегрузка пропускной способности сети — автоматическая ге­
нерация, возможно, из нескольких узлов, большого сетевого трафи­
ка, которое полностью занимает возможности данного узла;

• перегрузка процессора — посылка вычислительных заданий или
запросов, обработка которых превосходит вычислительные возмож­
ности процессора узла;

• занятие возможных портов — соединяясь с портами сервисов
узла, занимает все допустимое число соединений на данный порт.

Такие атаки могут быть обнаружены и устранены администра­тором путем выдачи запрета на прием пакетов от данного источни­ка. Чтобы лишить администратора узла этой возможности, атака идет с множества узлов, на которые предварительно внедряется вирус. Ви­рус активизируется в определенное время, производя Оо5-атаку Этот тип атаки получил название ОВо5 (В181пЬи1ес1 Оо5).

8. Атаки маскировкой. Маскировка — общее название большого класса сетевых атак, в которых атакующий выдает себя за другого пользователя. Если существенные права получают процессы, иници­ируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.

9. Атаки на маршрутизацию. Для достижения узла — жертвы в
таких атаках применяется изменение маршрута доставки пакета.
Каждый путь может иметь свои права доступа, узел может по-раз­
ному реагировать на пакеты, поступившие различными путями. По­
этому интерес злоумышленника распространяется не только на сам
атакуемый узел, но и на промежуточные пункты — маршрутизаторы.

10. Прослушивание сети (зшШпё). Различают межсегментный и
внутрисегментный сниффинг. В первом случае устройство подслуши­
вания должно быть размещено у входа или выхода взаимодействую­
щих узлов или у одного из транзитных узлов. Для защиты от про­
слушивания, в основном, используются средства шифрования. При
внутрисегментном прослушивании в равноранговой сети с общей
шиной (ЕШегпеО, в качестве прослушивающего устройства может
использоваться одна из КС сети. Для организации прослушивания

необходимо, с помощью программы-сниффера, перевести режим ЕШегпе1>карты в «неразборчивый режим», когда карта принимает не только пакеты со своим сетевым адресом, но и все, проходящие по сети пакеты. Для борьбы со снифферами используются сниффер-де-тектор. Принцип его работы заключается в формировании пакета с некорректным сетевым адресом, который должен быть проигнори­рован всеми узлами сети. Та КС, которая примет такой пакет, долж­на быть проверена на наличие сниффера.

8.3. Основы протиВоЗейстВия нарушению конфиЭенииальности инсрормаиии

Требования безопасности определяют набор средств защиты КС на всех этапах ее существования: от разработки спецификации на проектирование аппаратных и программных средств до их списания. Рассмотрим комплекс средств защиты КС на этапе ее эксплуатации.

На этапе эксплуатации основной задачей защиты информации в КС является предотвращение НСД к аппаратным и программным средствам, а также контроль целостности этих средств. НСД может быть предотвращен или существенно затруднен при организации следующего комплекса мероприятий:

• идентификация и аутентификация пользователей;

• мониторинг несанкционированных действий — аудит;

• разграничение доступа к КС;

• криптографические методы сокрытия информации;

• защита КС при работе в сети.

При создании защищенных КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последо­вательное включение в состав КС пакетов защиты от отдельных клас­сов угроз. Например, незащищенная КС снабжается антивирусным пакетом, затем системой шифрования файлов, системой регистрации действий пользователей и т.д. Недостаток этого подхода в том, что внедряемые пакеты, произведенные, как правило, различными пользователями, плохо взаимодействуют между собой и могут всту­пать в конфликты друг с другом. При отключении злоумышленни­ком отдельных компонентов защиты остальные продолжают работать, что значительно снижает ее надежность.

Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системно­го программного обеспечения и является их неотъемлемой частью. Однако, учитывая вероятность появления новых классов угроз, мо­дули КС, отвечающие за безопасность, должны иметь возможность заменены их другими, поддерживающими общую концепцию за­щиты.

Организация надежной защиты КС невозможна с помощью только программно-аппаратных средств. Очень важным является ад­министративный контроль работы КС. Основные задачи админист­ратора по поддержанию средств защиты заключаются в следующем:

• постоянный контроль корректности функционирования КС и ее
защиты;

• регулярный просмотр журналов регистрации событий;

• организация и поддержание адекватной политики безопасности;

• инструктирование пользователей ОС об изменениях в системе
защиты, правильного выбора паролей и т.д.;

• регулярное создание и обновление резервных копий программ и
данных;

• постоянный контроль изменений конфигурационных данных и
политики безопасности отдельных пользователей, чтобы вовре­
мя выявить взлом защиты КС.

Рассмотрим подробнее наиболее часто используемые методы за­щиты и принципы их действия.

8,3,1, МелпоЭы разграничения Зоступа

При организации доступа субъектов к объектам выполняются следующие действия:

• идентификация и аутентификация субъекта доступа;

• проверка прав доступа субъекта к объекту;

• ведение журнала учета действий субъекта.

иЭенлписрикоиия и оутентисрикаииа пользователей

При входе в КС, при получении доступа к программам и кон­фиденциальным данным субъект должен быть идентифицирован и

аутентифицирован. Эти две операции обычно выполняются вместе, т.е., пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает сек­ретные сведения, подтверждающие, что он тот, за кого себя выдает.

Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются иденти­фикация и аутентификация.

Обычно данные, идентифицирующие пользователя, не засекре­чены, но для усложнения проведения атак по НСД желательно хра­нить эти данные в файле, доступ к которому возможен только адми­нистратору системы.

Для аутентификации субъекта чаще всего используются атрибу­тивные идентификаторы, которые делятся на следующие категории:

• пароли;

• съемные носители информации;

• электронные жетоны;

• пластиковые карты;

• механические ключи.

Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры пос­ле включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации:

1. Пароль необходимо запоминать, а не записывать.

2. Длина пароля должна быть не менее девяти символов.

3. Пароли должны периодически меняться.

4. В КС должны фиксироваться моменты времени успешного по­
лучения доступа и неудачного ввода пароля. Информация о по­
пытках неверного ввода пароля должны подвергаться статисти­
ческой обработке и сообщаться администратору.

5. Пароли должны храниться в КС так, чтобы доступ к ним был
затруднен. Это достигается двумя способами:

• пароли хранятся в специальном ЗУ, запись в которое осуще­
ствляется в специальном режиме;

• пароли подвергаются криптографическому преобразованию
(шифрованию).

6. При вводе пароля не выдавать никаких сведений на экран, что­
бы затруднить подсчет введенных символов.

7. Не использовать в качестве паролей имена и фамилии, дни рож­
дения и географические или иные названия. Желательно менять
при вводе пароля регистры, использовать специальные симво­
лы, набирать русский текст на латинском регистре, использовать
парадоксальные сочетания слов.

В настоящее время аппаратура КС поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки любых программных средств. Этот пароль считается эффек­тивным средством, если злоумышленник не имеет доступа к аппа­ратуре КС, так как отключение внутреннего питания сбрасывает этот пароль.

Другие способы идентификации (съемные носители, карты и др.) предполагают наличие технических средств, хранящих идентифика­ционную информацию. Съемный носитель, содержащий идентифи­кационную информацию — имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.

Для идентификации и аутентификации часто используется стан­дартный гибкий диск или флэш-память. Достоинства такого иден­тификатора заключаются в том, что не требуется использования до­полнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.

Иногда, для повышения уровня защищенности, используются специальные переносные электронные устройства, подключаемые, например, к стандартным входам КС. К ним относится электронный жетон-генератор — прибор, вырабатывающий псевдослучайную сим­вольную последовательность, которая меняется примерно раз в ми­нуту синхронно со сменой такого же слова в КС. Жетон использует­ся для однократного входа в систему. Существует другой тип жетона, имеющего клавиатуру и монитор. В процессе идентификации КС вы­дает случайную символьную последовательность, которая набирает­ся на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль.

К недостатку способа идентификации и аутентификации с по-

мощью дополнительного съемного устройства можно отнести воз­можность его потери или хищения.

Одним из надежных способов аутентификации является биомет­рический принцип, использующий некоторые стабильные биометри­ческие показатели пользователя, например, отпечатки пальцев, ри­сунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, которые устанавливаются на КС высших уровней защи­ты. Ритм работы при вводе информации проверяется на штатной клавиатуре КС и, как показывают эксперименты, является вполне стабильным и надежным. Даже подглядывание за работой пользова­теля при наборе ключевой фразы не дает гарантии идентификации злоумышленника при его попытке повторить все действия при на­боре фразы.

МелпоЭы ограничения Эоступо к инсрормаиии

В модель информационной безопасности введены определения объекта и субъекта доступа. Каждый объект имеет некоторые опера­ции, которые над ним может производить субъект доступа, и кото­рые могут быть разрешены или запрещены данному субъекту или множеству субъектов. Возможность доступа обычно выясняется на уровне операционной системы КС и определяется архитектурой опе­рационной системы и текущей политикой безопасности. Для удоб­ства описания методов и средств разграничения доступа субъектов к объектам введем некоторые понятия.

Метод доступа к объекту — операция, определенная для данно­го объекта. Ограничение доступа к объекту связано именно с огра­ничением возможных методов доступа.

Владелец объекта — субъект, которому принадлежит (создан им) объект и который несет ответственность за конфиденциальность со­держащейся в объекте информации, а также за доступ к объекту.

Право доступа к объекту — право на доступ к объекту по одно­му или группе методов доступа.

Разграничение доступа — совокупность правил, определяющая для каждой тройки субъект—объект—метод наличие или отсутствие пра­ва доступа по указанному методу.

Существует несколько моделей разграничения доступа. Наибо­лее распространенными являются:

14. Информатика

• дискреционная модель разграничения доступа;

• полномочная (мандатная) модель разграничения доступа.
Дискреционная модель, или избирательное разграничение досту­
пу, характеризуется следующим набором правил:

• для любого объекта существует владелец;

• владелец может произвольно ограничивать доступ субъектов к
данному объекту;

• для каждой тройки субъект—объект—метод возможность доступа
определена однозначно;

• существует хотя бы один привилегированный пользователь (ад­
министратор), имеющий возможность обратиться к любому
объекту по любому методу доступа.

В этой модели для определения прав доступа используется мат­рица доступа, строки которой — субъекты, а столбцы — объекты. В каждой ячейке хранится набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для современ­ной операционной системы составляет десятки мегабайт.

Полномочная (мандатная) модель характеризуется следующим набором правил:

• каждый объект имеет гриф секретности. Чем выше его числовое
значение, тем секретнее объект;

• каждый субъект доступа имеет уровень допуска.

Допуск субъекта к объекту в этой модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта. Достоинством этой модели яв­ляется отсутствие необходимости хранить большие объемы инфор­мации о разграничении доступа. Каждый субъект хранит только зна­чение своего уровня доступа, а каждый объект — значение своего грифа секретности.

Отметим, что политика безопасности такой популярной опера­ционной системы, как ХУтйодуз ХР, поддерживает обе модели разгра­ничения прав доступа.

МетоЭы мониторинга несанкиионироВаннык ЭейстВий

Политика безопасности предполагает контроль за работой КС и ее компонентов, который заключается в фиксировании и последую­щим анализе событий в специальных журналах — журналах аудита.

Периодически журнал просматривается администратором операци­онной системы или специальным пользователем — аудитором, кото­рые анализируют сведения, накопленные в нем.

Если обнаружится успешная атака, то очень важно выяснить, когда и как она была проведена, не исключено, что это можно будет сделать по журналу аудита.

К подсистеме аудита предъявляются следующие требования:

1. Только сама КС может добавлять записи в журнал аудита. Это
исключит возможность компрометации аудитором других
пользователей.

2. Ни один субъект доступа, в том числе и сама КС, не может ре­
дактировать или удалять записи в журнале.

3. Журнал могут просматривать только аудиторы, имеющие соот­
ветствующую привилегию.

4. Только аудиторы могут очищать журнал. После очистки в него
обязательно вносится запись о времени и имени пользователя,
очистившего журнал. Должна поддерживаться страховая копия
журнала, создаваемая перед очисткой. При переполнении жур­
нала операционная система прекращает работу и дальнейшая
работа может осуществляться до очистки журнала только ауди­
тором.

5. Для ограничения доступа должны применяться специальные
средства защиты, которые предотвращают доступ администрато­
ра и его привилегии по изменению содержимого любого файла.
Желательно страховую копию журнала сохранять на \УОКМ-СО,

исключающих изменение данных.

Для обеспечения надежной защиты операционной системы в журнале должны регистрироваться следующие события:

• попытки входа/выхода пользователей из системы;

• попытки изменения списка пользователей;

• попытки изменения политики безопасности, в том числе и по­
литики аудита.

Окончательный выбор набора событий, фиксируемых в журна­ле, возлагается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий не повышает безопасность, а уменьшает, так как среди мно­жества записей можно просмотреть записи, представляющие угрозы безопасности.

8,3,2, Криптографические метобы зашить! Эаннын

ОсноВные принципы криптографии

Криптографические методы являются наиболее эффективными средствами защиты информации в КС, при передаче же по протя­женным линиям связи они являются единственным реальным сред­ством предотвращения несанкционированного доступа к ней. Метод шифрования характеризуется показателями надежности и трудоем­кости.

Важнейшим показателем надежности криптографического зак­рытия информации является его стойкость — тот минимальный объем зашифрованного текста, который можно вскрыть статистичес­ким анализом. Таким образом, стойкость шифра определяет допус­тимый объем информации, зашифровываемый при использовании одного ключа.

Трудоемкость метода шифрования определяется числом элемен­тарных операций, необходимых для шифрования одного символа исходного текста.

Основные требования к криптографическому закрытию инфор­мации:

1. Сложность и стойкость криптографического закрытия данных
должны выбираться в зависимости от объема и степени секрет­
ности данных.

2. Надежность закрытия должна быть такой, чтобы секретность не
нарушалась даже в том случае, когда злоумышленнику становит­
ся известен метод шифрования.

3. Метод закрытия, набор используемых ключей и механизм их рас­
пределения не должны быть слишком сложными.

4. Выполнение процедур прямого и обратного преобразований дол­
жно быть формальным. Эти процедуры не должны зависеть от
длины сообщений.

5. Ошибки, возникающие в процессе преобразования, не должны
распространяться по всему тексту.

6. Вносимая процедурами защиты избыточность должна быть ми­
нимальной.

На рис. 8.1 показана схема основных методов криптографичес-

Криптографическое закрытие информации

Простая (одноалфавитная)

Шифрование

Многоалфавитная одноконтурная обыкновенная

Замена (подстановка)

Многоалфавитиая

одноконтурная

монофоническая

Многоалфавитная

одноконтурная

монофоническая

Простая

Перестановка

Усложненная по таблице

Усложненная по маршрутам

Матричные преобразования

Аналитические преобразования

По особым зависимостям

С бесконечной гаммой

Гаммирование

С конечной длинной гаммой

С конечной короткой гаммой

Замена + перестановка

Комбинированные

Замена + гаммирование

Кодирование

Перестановка + гаммирование

Смысловое

По специальным таблицам

Символьное

По кодовому алфавиту

Рис. 8.1. Классификация основных методов криптографического закрытия

кого закрытия информации. Некоторые из этих методов рассмотре­ны ниже.

Шифрование з°^мен°й (подстановка)

Наиболее простой метод шифрования. Символы шифруемого текста заменяются другими символами, взятыми из одного (моноал­фавитная подстановка) или нескольких (полиалфавитная подстанов­ка) алфавитов.

Наиболее простой метод — прямая замена символов шифруемо­го сообщения другими буквами того же самого или другого алфави­та. Таблица замены может иметь вид:

Однако такой шифр имеет низкую стойкость. Зашифрованный текст имеет те же самые статистические характеристики, что и ис­ходный, поэтому, используя частотный словарь появления символов в том языке, на котором написано сообщение, и подбирая по часто­там появления символы в зашифрованном сообщении, можно вос­становить таблицу замены. Для этого требуется лишь достаточно длинный зашифрованный текст, для того, чтобы получить достовер­ные оценки частот появления символов. Поэтому простую замену используют лишь в том случае, когда шифруемое сообщение доста­точно коротко.

Использование полиалфавитных подстановок повышает стой­кость шифра. Для замены символов используются несколько алфа­витов, причем смена алфавитов проводится последовательно и цик­лически: первый символ заменяется соответствующим символом первого алфавита, второй — из второго алфавита и т.д., пока не бу­дут исчерпаны все алфавиты. После этого использование алфавитов повторяется.

Шифрование ллетоЭолл перестановки

Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого бло­ка символов. Этот алгоритм можно представить так:

1. Выбирается размер блока шифрования: т строк и п столбцов.

2. Выбирается ключ шифра — последовательность, которая форми­
руется из натурального ряда 1, 2,..., п случайной перестановкой.

3. Шифруемый текст записывается последовательными строками
под числами ключевой последовательности, образуя блок шиф­
рования размером п х т.

4. Зашифрованный текст выписывается колонками в последова­
тельности возрастания номеров колонок, задаваемых номерами
ключевой последовательности.

5. Заполняется новый блок и т.д.
Дешифрование выполняется в следующем порядке.

1. Выделяем блок символов размером п х т.

2. Разбиваем его на п групп по т символов и записываем их в те
столбцы таблицы перестановки, номера которых совпадают с
номерами групп в блоке.

3. Расшифрованный текст читается по строкам таблицы переста­
новки.

4. Выделяем новый блок символов и т.д.

Например, необходимо зашифровать текст «Абсолютно надеж­ной защиты нет».

Выберем блок размером 4 х 8 и ключ 5-8-1-3-7-4-6-2. Блок имеет вид:

Зашифрованный текст выглядит так: «сн нннтоазеюёщ Аооытжи лдатб и».

МегтюЭы шифрования, используюшие ключи

Эти методы предполагают знание ключа при шифровании и де­шифровании. При этом важной задачей является безопасная пере­дача ключа, который при этом обычно тоже шифруется. Учитывая короткую длину фразы, содержащей ключ, стойкость шифра ключа значительно выше, чем у основного текста.

Системы с открытым ключом. Наиболее перспективными сис­темами криптографической защиты данных в настоящее время яв­ляются системы с открытым ключом. В таких системах для шифро­вания данных используется один ключ, а для дешифрования — другой. Первый ключ не является секретным и может быть опубли­кован для использования всеми пользователями системы, которые шифруют данные. Для дешифрования данных получатель использу­ет второй ключ, который является секретным. Ключ дешифрования не может быть определен из ключа шифрования. В настоящее время наиболее развитым методом криптографической защиты информа­ции с открытым ключом является алгоритм К5А.

Методы, которые используют для шифрования и дешифрования один и тот же ключ, называются симметричными. В отличие от них методы с открытым ключом называются асимметричными методами криптозащиты.

использование кэш-срункиий

Функции хэширования широко используются для шифрования паролей пользователей КС и при создании электронной подписи. Они отображают сообщение любой длины в строку фиксированного размера. Особенностью ее применения является тот факт, что не су­ществует функции, которая могла бы по сжатому отображению вос­становить исходное сообщение, — это односторонняя хэш-функция.

Получив в свое распоряжение файл, хранящий пароли пользо­вателей, преобразованные хэш-функцией, злоумышленник не имеет возможности получить по ним сами пароли, а должен перебирать парольные комбинации символов, применять к ним хэш-функцию и проверять на соответствие полученной строки и строки из файла хэшированных паролей. Эта работа затрудняется тем, что ему неиз-

вестна и длина пароля, по которому хэш-функцией получено отобра­жение.

Электронная иисрроВая поЭпись

При обмене электронными документами очень важным являет­ся установление авторства, подлинности и целостности информации в полученном документе. Решение этих задач возлагается на цифро­вую подпись, сопровождающую электронный документ. Функцио­нально она аналогична обычной рукописной подписи и обладает ее основными достоинствами:

• удостоверяет, что подписанный текст исходит от лица, поставив­
шего подпись;

• не дает лицу, подписавшему текст, отказаться от обязательств,
связанных с подписанным текстом;

• гарантирует целостность подписанного текста.
Электронная цифровая подпись представляет собой относитель­
но небольшое количество дополнительной информации, передавае­
мой вместе с документом. Обычно цифровая подпись шифруется с
применением методов открытого ключа и связывает содержимое до­
кумента, самой подписи и пары ключей. Изменение хотя бы одного
из этих элементов делает невозможным подтверждение подлинно­
сти цифровой подписи.

На этапе формирования цифровой подписи генерируются два ключа: секретный и открытый. Открытый ключ рассылается всем абонентам, которым будет направлен электронный документ. Под­пись, добавляемая к документу, содержит такие параметры отправи­теля, как дату подписи, информацию об отправителе письма и имя открытого ключа. С помощью хэш-функции, примененной ко всему документу, вычисляется небольшое число, характеризующее весь текст в целом. Это число, которое затем шифруется закрытым клю­чом, и является электронной цифровой подписью. Получателю пе­ресылается сам документ в открытом виде и электронная подпись. При проверке цифровая подпись расшифровывается открытым клю­чом, известным получателю. К полученному открытому документу применяется преобразование хэш-функцией. Результат ее работы сравнивается с присланной электронной подписью. Если оба числа совпадают, то полученный документ — подлинный. Очевидно, что

любое несанкционированное действие по внесению изменений в документ приведет к изменению значения, вычисляемого хэш-фун-кцией по открытому документу, но подменить зашифрованную сек­ретным ключом электронную подпись злоумышленнику будет очень трудно.

8,4, Зашита инсрормаиии от компьютерный Вирусов

8,4,1, ОпреЗеление и классисрикаиия Вирусов

Компьютерным вирусом называется программа, способная само­стоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи. Целью создания и применения программ-вирусов является нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользова­телей.

Компьютерным вирусам характерны определенные стадии суще­ствования: пассивная стадия, в которой вирус никаких действий не предпринимает; стадия размножения, когда вирус старается создать как можно больше своих копий; активная стадия, в которой вирус переходит к выполнению деструктивных действий в локальной ком­пьютерной системе или компьютерной сети.

В настоящее время существует тысячи различных вирусов, клас­сификация которых приведена на рис. 8.2.

По среЭе обитания Вирусов

Сетевые вирусы используют для своего распространения коман­ды и протоколы телекоммуникационных сетей.

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение.ехе и сот, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств,

Классификация вирусов

Сетевые

Файловые

По среде обитания

Загрузочные

Документные

По способу заражения

Резидентные

Нерезидентные

Паразитирующие

По алгоритмам функционирования

Троянские кони

Вирусы-невидимки

Мутирующие

Рис. 8.2. Классификация компьютерных вирусов

объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструк­тивные действия и внедрение в другие файлы программ.

Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Такой вирус изменя­ет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой же цели, системные файлы, в основном это относится к файлам, обеспечивающим доступ пользователей в систему.

Документные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые со­провождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение.

По способу з°Р°жения среЭы обитания

Резидентные вирусы после завершения инфицированной про­граммы остаются в оперативной памяти и продолжают свои деструк­тивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

Нерезидентные вирусы запускаются вместе с зараженной програм­мой и удаляются из памяти вместе с ней.

По алгоритмом срункиионироВаниа

Паразитирующие — вирусы, изменяющие содержимое заражен­ных файлов. Эти вирусы легко обнаруживаются и удаляются из фай­ла, так как имеют всегда один и тот же внедряемый программный код.

Троянские кони — вирусы, маскируемые под полезные програм­мы, которые очень хочется иметь на своем компьютере. Наряду с полезными функциями, соответствующими устанавливаемой про­грамме, вирус может выполнять функции, нарушающие работу сис­темы, или собирать информацию, обрабатываемую в ней.

Вирусы-невидимки способны прятаться при попытках их обнару­жения. Они перехватывают запрос антивирусной программы и либо временно удаляются из зараженного файла, либо подставляют вмес­то себя незараженные участки программы.

Мутирующие вирусы периодически изменяют свой программный код, что делает задачу обнаружения вируса очень сложной.

Для своевременного обнаружения и удаления вирусов необходи­мо знать основные признаки появления вирусов в компьютере. К таким признакам относятся:

• отказ в работе компьютера или отдельных компонентов;

• отказ в загрузке операционной системы;

• замедление работы компьютера;

• нарушение работы отдельных программ;

• искажение, увеличение размера или исчезновение файлов;

• уменьшение доступной программой оперативной памяти.

8.4.2. Способы зашить! от Вирусов

Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компь­ютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации.

Для исключения проникновения вирусов через коммуникацион­ную сеть необходимо осуществлять автоматический входной контроль всех данных, поступающих по сети, который выполняется сетевым экраном (брандмауэром), принимающим пакеты из сети только от надежных источников, рекомендуется проверять всю электронную почту на наличие вирусов, а почту, полученную от неизвестных ис­точников, удалять не читая.

Для исключения проникновения вирусов через съемные носите­ли необходимо ограничить число пользователей, которые могут за­писывать на жесткий диск файлы и запускать программы со съем­ных носителей. Обычно это право дается только администратору системы. В обязательном порядке при подключении съемного носи­теля следует проверять его специальной антивирусной программой.

Клоссисрикоииа антивирусным среЭстВ

Для обнаружения и удаления компьютерных вирусов разработа­но много различных программ, которые можно разделить на детек­торы, ревизоры, фильтры, доктора и вакцины. Детекторы осуществ­ляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю. Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запомина­ют исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При измене­нии контролируемых параметров ревизоры сообщают об этом пользо­вателю. Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузоч­ных записей диска, изменение атрибутов или размеров файлов и др.

Поиск по сайту: