Саак А.Э., Пахомов Е.В., др. Информационные технологии управления

Подождите немного. Документ загружается.

Глава

Защита

информации

автомат

»ц«>п

шмых системах

289

шается экспертным путем с помощью ( rpi мфпкации средств защиты

информации

аттестации

сие

[смiii .шщп

i.i

1ик|)ормациив

процессе

ее

внедрения.

Рассмотрим основное содержание методой защиты информации [22].

Создание препятствий — методы физического преграждения зло-

умышленнику пути к защищаемой информации (аппаратуре, носите-

лям информации и т. д.).

Управление доступом — метод защн гы информации регулировани-

ем использования всех ресурсов компьютерной информационной си-

стемы (элементов баз данных, программных и технических средств).

Защита от несанкционированного доступа к ресурсам компьюте-

ра — это комплексная проблема, подразумевающая решение следу-

ющих вопросов [22]:

» присвоение пользователю, терминалам, программам, файлам

и каналам связи уникальных имен и кодов (идентификаторов);

* выполнение процедур установления подлинности при обращени-

ях к информационной системе, то есть проверка того, что лицо

или устройство, сообщившее идентификатор, в действительно-

сти ему соответствует;

» проверка полномочий, то есть проверка права пользователя на

доступ к системе или запрашиваемым данным;

» автоматическая регистрация в специальном журнале всех как

удовлетворенных, так и отвергнутых запросов к информацион-

ным ресурсам с указанием идентификатора пользователя, терми-

нала, времени и сущности запроса, то есть ведение аудита.

Маскировка — метод защиты информации путем ее криптографи-

ческого закрытия.

Регламентация — метод защиты информации, создающий такие

условия автоматизированной обработки, хранения и передачи защи-

щаемой информации, при которых возможности несанкционирован-

ного доступа к ней сводились бы к минимуму.

Принуждение — метод защиты, при котором пользователи и персо-

нал системы вынуждены соблюдать правила обработки, передачи и

использования защищаемой информации под угрозой материальной,

административной или уголовной ответственности.

Рассмотренные методы обеспечения безопасности реализуются на

практике за счет применения различных средств защиты, таких как

Технические, программные, организационные, законодательные.

10-1297

290 Информационные технологии управления

13.2. Криптографическое закрытие информации

Криптографическое закрытие информации выполняется путем пре-

образования информации по специальному алгоритму с использова-

нием процедур шифрования, в результате чего невозможно опреде-

лить содержание данных, не зная ключа.

С помощью криптографических протоколов можно обеспечить

безопасную передачу информации по сети, в том числе и регистра-

ционных имен, паролей, необходимых для идентификации программ

и пользователей. На практике используется два типа шифрования:

симметричное и асимметричное [22].

При симметричном шифровании для шифрования и дешифрования

данных используется один и тот же секретный ключ. При этом сам

ключ должен быть передан безопасным способом участникам взаимо-

действия до начала передачи зашифрованных данных.

Если ключ стал известен третьему лицу, то последнее, используя

этот ключ, имеет возможность перехватить сообщение и подменить его

своим собственным, а затем, получив доступ ко всей информации, пе-

редаваемой между абонентами, использовать ее в корыстных целях.

Для защиты от подобных событий можно использовать систему циф-

ровых сертификатов, то есть документов, выдаваемых сертификаци-

онной службой и содержащих информацию о владельце сертификата,

зашифрованную с помощью закрытого ключа этой организации. За-

просив такой сертификат, абонент, получающий информацию, может

удостовериться в подлинности сообщения [22].

Асимметричное шифрование основано на том, что для шифрования

и дешифрования используются разные ключи, которые связаны меж-

ду собой. Знание одного ключа не позволяет определить другой. Один

ключ свободно распространяется и является открытым (public key),

второй ключ известен только его владельцу и является закрытым

(private key). Если шифрование выполняется открытым ключом, то

сообщение может быть расшифровано только владельцем закрытого

ключа — такой метод шифрования используется для передачи конфи-

денциальной информации. Если сообщение шифруется закрытым

ключом, то оно может быть расшифровано любым пользователем, зна-

ющим открытый ключ, но изменить или подменить зашифрованное

сообщение так, чтобы это осталось незамеченным, владелец открыто-

го ключа не может. Этот метод шифрования предназначен для пе-

ресылки открытых документов, текст которых не может быть изме-

нен

[22].

Глава 13 Защита информации в автоматизированных системах 291

Криптостойкость асимметрично! о шнфроилния обеспечивается слож-

ной комбинаторной задачей, решпп» KOI ору ю методом полного пере-

бора не представляется возможным.

Электронная цифровая подпись— :т> последовательность симво-

лов, полученная в результате крип roi (химического преобразования

исходной информации с использованием закрытого ключа и позволя-

ющая подтверждать целостность и неизменность этой информации,

а также ее авторство путем применения m крытого ключа [22].

13.3. Защита информации от компьютерных вирусов

Компьютерный вирус — это, как правило, небольшая по объему

компьютерная программа, обладающая следующими свойствами [52]:

* возможностью создавать свои копии и внедрять их в другие про-

граммы;

» скрытость (латентность) существования до определенного мо-

мента;

* несанкционированное^ (со стороны пользователя) производи-

мых ею действий;

* наличие отрицательных последствий от ее функционирования.

Следует отметить, что не все программы, обычно называемые виру-

сами, обладают всеми из перечисленных свойств.

Компьютерным вирусам, как и биологическим, характерны опреде-

ленные стадии существования:

« латентная стадия, в которой вирусом никаких действий не пред-

принимается;

» инкубационная стадия, в которой основная задача вируса — со-

здать как можно больше своих копий и внедрить их в среду оби-

тания;

Ф активная стадия, в которой вирус, продолжая размножаться, про-

является и выполняет свои деструктивные действия.

Классификация вредоносных программ приведена на рис. 13.1.

По среде обитания вирусы можно разделить на [52]:

* файловые;

* загрузочные;

» файлово-загрузочные;

» сетевые;

» макровирусы.

ю*

Рис. 13.1. Классификация вредоносных программ

Файловые вирусы чаще всего внедряются в исполняемые файлы,

имеющие расширения .ехе и .com, но могут внедряться и в объектные

файлы, библиотеки, в командные пакетные файлы, программные файлы

на языках процедурного программирования. Файловые вирусы могут

создавать файлы-двойники.

Загрузочные вирусы внедряются в загрузочный сектор дискеты

(boot-sector) или в сектор, содержащий программу загрузки систем-

ного диска (master boot record). При загрузке ОС с зараженного диска

такой вирус изменяет программу начальной загрузки либо модифи-

цирует таблицу размещения файлов на диске, создавая трудности в

работе компьютера или даже делая невозможным запуск операцион-

ной системы.

Файлово-загрузочные вирусы интегрируют возможности двух пре-

дыдущих групп.

Макровирусы заражают и искажают текстовые файлы (.doc) и фай-

лы электронных таблиц некоторых популярных редакторов. Комби-

нированные сетевые макровирусы не только заражают создаваемые

Глава 13. Защита информации вавтоматизирои.п и n.ix системах 293

документы, но и рассылают копии .тгих документов по электронной

почте (печально известный вирус «1 love you»).

Сетевые черви используют для с

нос

го распространения команды

и протоколы телекоммуникационных систем (электронной почты,

компьютерных сетей). Они подразделяются па Internet-черви (рас-

пространяются по Интернету), LAN-черви (распространяются по ло-

кальной сети), IRC-черви (Internet Relay Chat) — распространяются

через чаты. Существуют также смешанные типы, которые совмещают

в себе сразу несколько технологий.

В отдельную группу выделяются троянские программы, которые не

размножаются и не рассылаются сами.

Троянские программы подразделяют па несколько видов (см. рис. 13.1),

которые маскируются под полезные программы и выполняют деструк-

тивные функции. Они могут обеспечить злоумышленнику скрытый

несанкционированный доступ к информации на компьютере пользова-

теля и ее похищение (отсюда их название). Такие программы иногда

называют утилитами несанкционированного удаленного управления.

Эмуляторы DDoS-атак (Distributed Denial of Service) приводят к -

атакам на веб-серверы, при которых на веб-сервер из разных мест

поступает большое количество пакетов, что и приводит к отказам ра-

боты системы.

Дроппер (от англ, drop — бросать) — программа, которая «сбрасы-

вает» в систему вирус или другие вредоносные программы, при этом

сама больше ничего не делает.

Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких

как Visual Basic Script, Java Script и др.

По способу заражения среды обитания вирусы делятся на:

» резидентные;

* нерезидентные.

Резидентные вирусы после завершения инфицированной програм-

мы остаются в оперативной памяти и продолжают свои деструктив-

ные действия, заражая следующие исполняемые программы и проце-

дуры вплоть до момента выключения компьютера. Нерезидентные

вирусы запускаются вместе с зараженной программой и после ее за-

вершения из оперативной памяти удаляются.

По алгоритмам функционирования вирусы делятся на следующие

группы [21, 52]:

» паразитические вирусы, изменяющие содержимое файлов или

секторов диска. Они достаточно просто могут быть обнаружены

и уничтожены;

294 Информационные технологии управла ни

» вирусы-репликаторы («черви»), саморазмножающиеся и распри

страняющиеся по компьютерным сетям. Сами деструктивны

действий не выполняют;

* вирусы-невидимки способны прятаться при попытках их обп.1

ружения. Они перехватывают запрос антивирусной программы

и мгновенно либо удаляют временно свое тело из зараженном i

файла, либо подставляют вместо своего тела незараженные учас i

ки файлов;

» самошифрующиеся вирусы (в режиме простоя зашифрованы

и расшифровываются только в момент начала работы вируса),

•» мутирующие вирусы (периодически автоматически видоизмс! i я

ются: копии вируса не имеют ни одной повторяющейся цепочки

байт), необходимо каждый раз создавать новые антивирусные

базы для обезвреживания этих вирусов;

* «отдыхающие» вирусы (основное время проводят в латентном

состоянии и активизируются только при определенных услони

ях, например, вирус «Чернобыль» функционирует только в д< m

годовщины чернобыльской трагедии).

Для своевременного обнаружения и удаления вирусов важно зна

основные признаки появления вируса в компьютере [12, 52]:

неожиданная неработоспособность компьютера

или его

комн<>

нентов;

* невозможность загрузки операционной системы; ,

* медленная работа компьютера;

* частые зависания и сбои в компьютере;

» прекращение работы ранее успешно исполнявшихся программ;

* искажение или исчезновение файлов и каталогов;

» непредусмотренное форматирование диска;

* необоснованное увеличение количества файлов на диске;

* необоснованное изменение размера файлов;

» искажение данных в CMOS-памяти;

* существенное уменьшение объема свободной оперативной памя 111

» вывод на экран непредусмотренных сообщений и изображении

» появление непредусмотренных звуковых сигналов.

Источниками непреднамеренного вирусного заражения могут яви'11.

ся съемные носители информации и системы телекоммуникации

Съемные носители информации — чаще всего это дискеты, съемш.н

жесткие диски, контрафактные компакт-диски.

Глава 13 Защита информации в автоматширова! и n.ix системах 295

Для обнаружения и удаления компьютерных вирусов разработано

много различных программ.

Антивирусные программы можно ри.щглп 11> на [52]:

* программы-детекторы;

* программы-ревизоры,

» программы-фильтры;

» программы-доктора, или дезин())сктор1>1, фаги;

Ф программы-вакцины, или иммупизаторы.

Приведем краткие характеристики антивирусных программ [52].

Программы-детекторы осуществляют поиск компьютерных виру-

сов в памяти машины и при их обнаружении сообщают об этом. Де-

текторы могут искать как уже известные вирусы (ищут характерную

для конкретного уже известного вируса последовательность байтов —

сигнатуру вируса), так и произвольные вирусы (путем подсчета кон-

трольных сумм для массива файла).

Программы-ревизоры являются развитием детекторов, но выпол-

няют более сложную работу. Они запоминают исходное состояние

программ, каталогов, системных областей и периодически или по ука-

занию пользователя сравнивают его с текущим. При сравнении прове-

ряется длина файлов, дата их создания и модификации, контрольные

суммы и байты циклического контроля и другие параметры. Ревизо-

ры эффективнее детекторов.

Программы-фильтры обеспечивают выявление подозрительных,

характерных для вирусов действий (коррекция исполняемых .ехе и

.com файлов, запись в загрузочные секторы дисков, изменение атри-

бутов файлов, прямая запись на диск по прямому адресу и т. д.). При

обнаружении таких действий фильтры посылают пользователю за-

прос о подтверждении правомерности таких процедур.

Программы-доктора — самые распространенные и популярные (на-

пример, Kaspersky Antivirus, Doctor Web, Norton Antivirus и т. д.), кото-

рые не только обнаруживают, но и лечат зараженные вирусами файлы и

загрузочные секторы дисков. Они сначала ищут вирусы в оператив-

ной памяти и уничтожают их там (удаляют тело резидентного файла),

а затем лечат файлы и диски. Многие программы-доктора являются

полифагами и обновляются достаточно часто.

Программы-вакцины применяются для предотвращения заражения

файлов и дисков известными вирусами. Вакцины модифицируют

файл или диск таким образом, что он воспринимается программой-

вирусом уже зараженным, и поэтому вирус не внедряется.

296 Информационные технологии управления

Для защиты компьютера от вирусов необходимо [12]:

» не использовать нелицензионные или непроверенные программ-

ные продукты;

* иметь на компьютере один или несколько наборов антивирусных

программ и обновлять их еженедельно;

» не пользоваться дискетами с чужих компьютеров, а при необхо-

димости такого использования сразу же проверять их антивирус-

ными программами;

* не запускать программ, назначение которых неизвестно или не-

понятно;

* использовать антивирусные программы для входного контроля

информации, поступающей по сети;

Ф не раскрывать вложения в электронные письма от неизвестных

отправителей;

» при переносе на компьютер архивированных файлов сразу же

после разархивирования проверять их антивирусными програм-

, мами;

» перед открытием текстовых, табличных и иных файлов, содержа-

щих макросы, проверять их на наличие вирусов;

» периодически проверять винчестер на наличие вирусов;

* не оставлять дискеты в дисководе при включении и выключении

компьютера во избежание заражения их загрузочными вирусами.

Контрольные вопросы

1. Перечислите группы угроз информационным системам.

2. Перечислите непреднамеренные действия, которые могут быть

осуществлены пользователем ИС, представляющие угрозу без-

опасности информационной системы.

3. Перечислите преднамеренные действия, которые могут быть осу-

ществлены пользователем ИС, представляющие угрозу безопас-

ности информационной системы.

4. В чем заключается сущность модели нарушителя?

5. Дайте понятие системы защиты информации.

6. Перечислите меры по защите информации в информационных

системах.

7. В чем состоит сущность криптографического закрытия инфор-

мации?

Глава 13. Защита информации в автоматизированных системах 297

8. Дайте понятие компьютерного вируса. Какими свойствами долж-

на обладать программа, чтобы называться компьютерным ви-

русом?

9. Дайте классификацию компьютерных вирусов, охарактеризуйте

виды вирусов.

10. Перечислите признаки инфицирования компьютера вирусом.

И. Какие программы используются для борьбы с компьютерными

вирусами?

12. Перечислите основные меры по защите компьютеров от вирусов.

Глава 14

Экономическая эффективность

территориальных информационных

систем управления

14.1. Показатели эффективности

Понятие эффективности неразрывно связано с понятием качества

автоматизирований И С.

Качество информационной системы — это совокупность свойств

системы, обусловливающих возможность ее использования для удо-

влетворения определенных потребностей пользователей в соответствии

с ее назначением [12].

Основными показателями качества информационных систем явля-

ются надежность, достоверность, безопасность.

Надежность — свойство системы сохранять во времени в установ-

ленных пределах значения всех параметров, характеризующих способ-

ность выполнять требуемые функции в заданных условиях примене-

ния

[12].

Надежность информационных систем является средством обеспе-

чения актуальной и достоверной информации на выходе системы.

Достоверность функционирования — свойство системы, обусловли-

вающее безошибочность производимых ею преобразований информа-

ции. Достоверность функционирования информационной системы

полностью определяется и измеряется достоверностью ее результат-

ной информации [12].

Безопасность информационной системы — свойство, заключающе-

еся в способности системы обеспечить конфиденциальность и целост-

ность информации, то есть защиту информации от несанкционирован-

ного доступа.

Эффективность — это свойство системы выполнять поставленную

цель в заданных условиях использования и с определенным каче-