Власова Л.А. Защита информации

Подождите немного. Документ загружается.

руководства фирмы и детальным документированием. За этим должна следовать

активная реализация всех указанных в плане компонентов. Перерасчёт таблицы

рисков и, как следствие, модификация политики безопасности фирмы, как

правило, производятся раз в два года.

4. ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ

4.1. Компьютерные вирусы

Компьютерным вирусом называется специально написанная программа,

способная создавать свои копии и внедрять их в файлы, системные области

компьютера, вычислительные сети и т. п. При этом копии сохраняют

способность дальнейшего распространения. Назначением компьютерного вируса

является выполнение несанкционированных действий на несущем компьютере.

Появились компьютерные вирусы в начале 80-х годов, их количество

постоянно растёт: в 1990 году было известно около 500 вирусов; в 1992 году –

3000 вирусов; в 1996 году – более 9000 вирусов, причём ежедневно появляется

от 6 до 9 новых. Россия – лидер по производству компьютерных вирусов.

По среде обитания выделяют следующие основные типы компьютерных

вирусов: программные (файловые); загрузочные; макровирусы.

Особым видом компьютерных вирусов являются троянские программы

(троянские кони, троянцы) – они маскируются под полезное программное

обеспечение, часто с помощью имён, сходных с названиями известных

программ. Обманутый таким образом пользователь сам запускает троянца

на своём

компьютере.

Программные вирусы – это блоки программного кода, целенаправленно

внедрённые внутрь других прикладных программ и других исполняемых

файлов. Компьютерные вирусы этого типа поражают файлы с расширениями

СОМ, ЕХЕ, SYS, ВАТ, DLL. При запуске программы, содержащей вирус,

происходит запуск внедрённого в неё программного кода вируса. Работа этого

кода вызывает скрытые от пользователя изменения в файловой системе жёстких

дисков и (или) в содержании других программ. Вирус может размножаться

(воспроизводить себя в теле других программ) и производить разрушающие

действия (нарушать работу программ и операционной системы, удалять

информацию, хранящуюся на жёстком диске, форматировать диск и даже

уничтожать данные BIOS), т.е. производить вирусную атаку.

Программные вирусы поступают на компьютер при запуске непроверенных

программ, полученных на внешнем носителе (гибкий диск, компакт-диск) или

принятых из Интернета.

Загрузочные вирусы в отличие от программных поражают определённые

системные области магнитных носителей (дискет, жёсткого диска). Кроме того,

на включённом компьютере они могут временно располагаться в оперативной

памяти.

Обычно заражение происходит при попытке загрузить компьютер с

магнитного носителя (системной дискеты), системная область которого

содержит загрузочный вирус.

Существуют и файлово-загрузочные вирусы, которые могут поражать как

файлы, так и загрузочные сектора.

Макровирусы. Эта особая разновидность вирусов поражает документы,

выполненные в некоторых прикладных программах, имеющих средства для

исполнения так называемых макрокоманд (документы текстового процессора

MS Word, табличного процессора MS Ехсе1). Заражение происходит при

открытии документа в окне приложения, если не отключена возможность

исполнения

макрокоманд.

Возможно подразделение компьютерных вирусов и по другим характерным

признакам: способу заражения, деструктивным возможностям, особенностям

алгоритма.

Классификация вирусов по способу заражения:

а) резидентные – при заражении компьютера оставляют в оперативной

памяти свою резидентную часть, которая потом перехватывает обращение

операционной системы к объектам заражения и внедряется в них. Эти вирусы

находятся в памяти и являются активными до выключения компьютера;

б) нерезидентные – не заражают память компьютера и активны только

ограниченное время.

Классификация по деструктивным возможностям:

а) безвредные – никак не влияют на работу компьютерной системы, кроме

уменьшения свободной памяти на диске в результате своего распространения;

б) неопасные – вирусы, влияние которых ограничивается уменьшением

свободной памяти на диске и графическими, звуковыми и прочими эффектами;

в) опасные – могут привести к серьёзным сбоям в работе;

г) очень опасные – приводят к потере программ, уничтожению данных.

Классификация по особенностям алгоритма:

а) компаньон-вирусы создают для ЕХЕ-файлов файлы-спутники, имеющие то

же самое имя, но с расширением *.com. ОС МS DOS первым выполнит com-

файл (вирус), а затем запустит и exe-файл;

б) вирусы «черви» – вариант компаньон-вирусов. «Черви» не связывают свои

копии с какими-то файлами. Они создают свои копии на дисках, никаким

образом не изменяя других файлов;

в) паразитические – все вирусы, которые при распространении своих копий

обязательно изменяют содержимое дисковых секторов или файлов;

г) «студенческие» – примитивные вирусы, часто нерезидентные и

содержащие большое число ошибок;

д) стелс-вирусы – весьма совершенные программы, перехватывают

обращение ОС к поражённым файлам или секторам дисков и подставляют

вместо себя незаражённые участки информации, что затрудняет их

обнаружение;

е) полиморфик-вирусы (призраки) – трудно обнаруживаемые, так как не

содержат ни одного постоянного участка кода. Достигается этот эффект

шифрованием основного тела вируса и модификациями программы-

расшифровщика;

ж) макровирусы – используют возможности макроязыка VВА (Visual Basic

for Application);

з) сетевые вирусы (сетевые «черви»} – распространяются в компьютерной

сети, но не изменяют файлы и сектора на дисках. Для распространения

используют сетевые протоколы и «дыры» в сетевом программном обеспечении.

Часто выполняют шпионские действия – кражу паролей, установление

удалённого несанкционированного управления заражённым компьютером.

Обычные программные и макровирусы также могут распространяться через

компьютерные сети, заражая файлы, размещённые на «общих» дисках, на

серверах и в сети Интернет.

О заражении компьютерным вирусом могут свидетельствовать следующие

признаки:

- частые беспричинные «зависания» компьютера;

- замедленная, по сравнению с обычной, загрузка программ;

- изменение размеров файлов;

- уменьшение объёма доступной оперативной памяти.

4.2. Средства и методы антивирусной защиты

Существует три рубежа защиты от компьютерных вирусов:

o предотвращение поступления вирусов;

o предотвращение вирусной атаки, если вирус всё-таки поступил на

компьютер;

o предотвращение разрушительных последствий, если атака всё-таки

произошла.

Существует три типа реализации защиты:

 программные методы защиты;

 аппаратные методы защиты;

 организационные методы защиты.

К средствам антивирусной защиты относятся:

o резервное копирование данных;

o использование средств аппаратной защиты;

o использование антивирусных программ.

Основным средством защиты информации является резервное копирование

наиболее ценных данных. В случае утраты информации по причине заражения

вирусом жёсткие диски переформатируют и подготавливают к новой

эксплуатации. На «чистый» отформатированный диск устанавливают

операционную систему с дистрибутивного компакт-диска, затем под её

управлением устанавливают все необходимое программное обеспечение с

дистрибутивных носителей. Восстановление компьютера завершается

восстановлением данных, которые берут с резервных носителей.

Резервные копии должны храниться отдельно от компьютера. Так, например,

резервирование информации на отдельном жёстком диске того же компьютера

только создаёт иллюзию безопасности. Относительно новым и достаточно

надёжным приёмом хранения ценных, но неконфиденциальных данных,

является их хранение в web-папках на удалённых серверах в сети Интернет. Есть

службы, бесплатно представляющие пространство (до нескольких мегабайт) для

хранения данных пользователя.

Резервные копии конфиденциальных данных сохраняют на внешних

носителях, которые хранят в сейфах, желательно в отдельных помещениях. При

разработке организационного плана резервного копирования учитывают

необходимость создания не менее двух резервных копий, сохраняемых в разных

местах. Между копиями осуществляют ротацию.

К другим организационным мерам защиты от вирусов относится соблюдение

следующих правил:

• использование только лицензионного программного обеспечения,

полученного из надёжных источников;

• ограничение круга лиц, имеющих доступ к компьютеру;

• соблюдение правил безопасности при работе в сети Интернет;

• обязательная проверка дискет с помощью антивирусной программы перед

использованием;

• периодическое сканирование жесткого диска с помощью антивирусной

программы;

• своевременное регулярное обновление антивирусных баз.

Вспомогательными средствами защиты информации являются

антивирусные программы и средства аппаратной защиты. Так, например,

отключение перемычки на материнской плате не позволит осуществить стирание

перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто

это будет пытаться сделать: компьютерный вирус, злоумышленник или

неаккуратный

пользователь.

Существует достаточно много программ антивирусной защиты. Наиболее

известные: Norton Antivirus фирмы «Symantec» и АVP (AntiViral Toolkit Pro)

лаборатории Касперского. Они представляют следующие возможности.

1. Создание образа жёсткого диска на внешних носителях (например, на

гибких дисках). В случае выхода из строя данных в системных областях

жёсткого диска сохранённый образ диска может позволить восстановить

большую часть данных. Это же средство может защитить от утраты данных при

аппаратных сбоях и при неаккуратном форматировании жёсткого диска.

2. Регулярное сканирование жёстких дисков в поисках компьютерных

вирусов. Сканирование обычно выполняется автоматически при каждом

включении компьютера и при размещении внешнего диска в считывающем

устройстве.

При сканировании следует иметь в виду, что антивирусная программа ищет

вирус путём сравнения кода программ с кодами известных ей вирусов,

хранящимися в базе данных. Если база устарела, а вирус является новым,

сканирующая программа его не обнаружит. Для надёжной работы антивирусной

программы следует регулярно обновлять антивирусные базы. Например,

разрушительные последствия атаки вируса W95.CIH.1075 («Чернобыль»),

вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля

1999г., были связаны не с отсутствием средств защиты от него, а с длительной

задержкой (более года) в обновлении этих средств. Разработчики антивирусного

пакета АVP рекомендуют обновлять базы один раз в две недели и считают

допустимой периодичность обновления один раз в три месяца. Базы Norton

Antivirus обновляются один раз в месяц.

3. Контроль изменения размеров и других атрибутов файлов. Поскольку

некоторые компьютерные вирусы на этапе размножения изменяют параметры

заражённых файлов, контролирующая программа может обнаружить их

деятельность и предупредить пользователя.

4. Контроль обращений к жёсткому диску. Поскольку наиболее опасные

операции, связанные с работой компьютерных вирусов, так или иначе обращены

на модификацию данных, записанных на жёстком диске, антивирусные

программы могут контролировать обращения к нему и предупреждать

пользователя о подозрительной активности.

4.3. Типы антивирусных программ

По назначению выделяют следующие виды антивирусных программ:

сканеры, ревизоры, резидентные мониторы, иммунизаторы.

Принцип работы сканеров основан на проверке файлов, секторов и

системной памяти и поиске в них известных и новых вирусов. Для поиска

известных вирусов используются маски вируса (маска – некоторая постоянная

последовательность кода, специфичная для конкретного вируса).

Существуют две категории сканеров: универсальные (на все виды вирусов) и

специализированные (на определённый тип вирусов, например, макровирусов).

Достоинством сканеров является их универсальность, недостатком – большие

размеры антивирусных баз и небольшая скорость поиска вирусов.

Работа ревизоров диска базируется на подсчёте контрольных сумм для

имеющихся файлов и системных секторов. Эти суммы (длины файлов, даты

последней модификации и т. д.) сохраняются в базе данных антивируса. При

последующем запуске антивирусная программа сверяет данные, содержащиеся в

базе, с реальными и сигнализирует об изменении файлов или заражении их

вирусом.

Недостатками являются: а) неспособность поймать вирус в момент его

появления в системе; б) невозможность определить вирус в новых файлах (в

электронной почте, на дискете).

Часто ревизоры и сканеры объединяют в одну антивирусную программу.

Резидентные мониторы – программы, постоянно находящиеся в

оперативной памяти и контролирующие операции, которые производятся с

диском и оперативной памятью. Позволяют обнаруживать вирус до момента

реального заражения системы.

Недостатком является уменьшение размера свободной оперативной памяти,

а также замедление работы, поскольку мониторы работают в интерактивном

режиме, сообщая пользователю о заражённых объектах.

Иммунизаторы делятся на два типа:

1) иммунизаторы, сообщающие о заражении;

2) иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые из них обычно записываются в конец файлов (по принципу

файлового вируса) и при запуске файла каждый раз проверяют его на изменение.

Недостаток – невозможность сообщить о заражении стелс-вирусом.

Иммунизаторы второго типа защищают систему от заражения каким-либо

определённым типом вируса. Файлы на дисках модифицируются таким образом,

что вирус принимает их за уже заражённые. Для защиты от резидентного вируса

в память компьютера заносится программа, имитирующая копию вируса. При

запуске вирус натыкается на неё и считает, что система уже заражена. Такой тип

иммунизации не универсален, однако может служить дополнительной мерой

защиты от новых неизвестных вирусов.

Современные антивирусные программы, как правило, снабжены мощными

эвристическими механизмами для борьбы с ещё неизвестными вирусами. Работа

таких механизмов основана на том, что по характерным для вирусов участков

кода можно с определённой степенью вероятности утверждать о наличии

неизвестного программе вируса в объекте. Этот механизм может давать ложные

срабатывания (детектирование вируса в незараженном объекте), однако для

качественной эвристики их процент минимален.

5. ПАРОЛЬНЫЕ СИСТЕМЫ

5.1. Общие подходы к построению парольных систем

Наиболее распространённые методы аутентификации основаны на

применении многоразовых и одноразовых паролей.

Эти методы включают следующие разновидности способов аутентификации:

o по хранимой копии пароля или его свертке;

o по некоторому проверочному значению;

o без непосредственной передачи информации о пароле проверяющей

стороне;

o с использованием пароля, для получения криптографического ключа.

В первую разновидность способов входят системы аутентификации,

предполагающие наличие у обеих сторон копии пароля или его свёртки. Для

организации таких систем требуется создать и поддерживать базу данных,

содержащую пароли или свертки паролей всех пользователей. Их слабой

стороной является то, что получение злоумышленником этой базы данных

позволяет ему проходить аутентификацию от имени любого пользователя.

Способы, составляющие вторую разновидность, обеспечивают более

высокую степень безопасности парольной системы, так как проверочные

значения, хотя и зависят от паролей, не могут быть непосредственно

использованы злоумышленником для аутентификации.

Аутентификация, без предоставления проверяющей стороне какой бы то ни

было информации о пароле, обеспечивает наибольшую степень защиты. Этот

способ гарантирует безопасность, даже если нарушена работа проверяющей

стороны.

Особым подходом в технологии проверки подлинности являются

криптографические протоколы аутентификации. Такие протоколы описывают

последовательность действий, которую должны совершить стороны для

взаимной аутентификации, кроме того, эти действия, как правило, сочетаются с

генерацией и распределением криптографических ключей для шифрования

последующего информационного обмена. Корректность протоколов

аутентификации вытекает из свойств задействованных в них математических и

криптографических преобразований и может быть строго доказана.

Обычные парольные системы проще и дешевле для реализации, но менее

безопасны, чем системы с криптографическими протоколами. Последние

обеспечивают более надёжную защиту и дополнительно решают задачу

распределения ключей. Однако используемые в них технологии могут быть

объектом законодательных ограничений.

Основные определения, используемые в парольных системах.

Идентификатор пользователя – некоторое уникальное количество

информации, позволяющее различать индивидуальных пользователей парольной

системы (проводить их идентификацию). Часто идентификатор также называют

именем пользователя или именем учётной записи пользователя.

Пароль пользователя – некоторое секретное количество информации,

известное только пользователю и парольной системе, которое может быть

запомнено пользователем и предъявлено для прохождения процедуры

аутентификации. Одноразовый пароль дает возможность пользователю

однократно пройти аутентификацию. Многоразовый пароль может быть

использован для проверки подлинности повторно.

Учётная запись пользователя – совокупность его идентификатора и его

пароля.

База данных пользователей (БД) содержит учётные записи всех

пользователей данной парольной системы.

Под парольной системой понимается программно-аппаратный комплекс,

реализующий системы идентификации и аутентификации пользователей АС на

основе одноразовых и многоразовых паролей. Как правило, такой комплекс

функционирует совместно с подсистемами разграничения доступа и

регистрации событий. В отдельных случаях парольная система может

выполнять ряд дополнительных функций, в частности, генерацию и

распределение кратковременных (сеансовых) криптографических ключей.

Основными компонентами парольной системы являются:

 интерфейс пользователя;

 интерфейс администратора;

 модуль сопряжения с другими подсистемами безопасности;

 база данных учётных записей.

Парольная система представляет собой «передний край обороны» всей

системы безопасности. Некоторые её элементы (в частности, реализующие

интерфейс пользователя) могут быть расположены в местах, открытых для

доступа потенциальному злоумышленнику. Поэтому парольная система

становится одним из первых объектов атаки при вторжении злоумышленника в

защищённую систему.

К типам угроз безопасности парольных систем относятся: