- •Угрозы программно-математического воздействия
- •Защиты от несанкционированного доступа
- •Принципы защиты информации
- •Принцип обоснованности доступа.
- •Принцип достаточной глубины контроля доступа.
- •Принцип разграничения потоков информации.
- •Принцип чистоты повторно используемых ресурсов.
- •Принцип персональной ответственности.
- •Принцип целостности средств защиты.
- •Программно-технические методы обнаружения вирусов
- •Сканирование
- •Эвристический анализ
- •Антивирусные мониторы
- •Обнаружение изменений
- •Защита, встроенная в bios компьютера
- •Особенности защиты корпоративной интрасети
- •Защита файловых серверов
- •Защита почтовых серверов
- •Защита серверов систем документооборота
- •Защита нестандартных информационных систем
- •Сетевой центр управления антивирусами
- •Многоуровневые системы с Web-интерфейсом
- •Административно-технологические методы защиты
- •Проблема домашних компьютеров
- •Установка персональных брандмауэров
- •1.2. Классификация и характеристика технических каналов утечки информации, обрабатываемой тспи
- •1.2.1. Электромагнитные каналы утечки информации
- •1.2.2. Электрические каналы утечки информации
- •1.2.3. Параметрический канал утечки информации
Билет 1
Информационные угрозы. Основные понятия и определения.
Информационная угроза – это способ получения конфиденциальной информации в конкретной физической форме её проявления. Таким образом, речь идёт при этом не об информации вообще, а только той её части, которая представляет собой коммерческую или государственную тайну в определённой физической форме проявления. Конкретную реализацию информационной угрозы с указанием необходимых специальных технических средств (СТС) часто называют сценарием.
Так, например, акустический (речевой) контроль помещений может осуществляться путём использования вносимых радиомикрофонов, специальных проводных систем с выносным микрофоном, стетоскопов, вносимых диктофонов и т.п.
Всё это – различные сценарии акустической (речевой) угрозы. Информационная угроза, как уже отмечалось, имеет векторный характер, она направлена на определённые места и цели. Как правило, это объекты концентрации конфиденциальной информации, т.е. помещения, где ведутся важные разговоры; архивы хранения информации; линии внешней и внутриобъектовой кабельной и беспроводной связи; места обработки (в т.ч. компьютерной) информации; служащие с высоким должностным положением и т.п.
Угрозы безопасности
Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения. Придерживаясь принятой классификации будем разделять все источники угроз на внешние и внутренние. Источниками внутренних угроз являются:
Сотрудники организации;
Программное обеспечение;
Аппаратные средства.
Внутренние угрозы могут проявляться в следующих формах:
ошибки пользователей и системных администраторов;
нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
ошибки в работе программного обеспечения;
отказы и сбои в работе компьютерного оборудования.
К внешним источникам угроз относятся:
Компьютерные вирусы и вредоносные программы;
Организации и отдельные лица;
Стихийные бедствия.
Формами проявления внешних угроз являются:
заражение компьютеров вирусами или вредоносными программами;
несанкционированный доступ (НСД) к корпоративной информации;
информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
аварии, пожары, техногенные катастрофы.
Все перечисленные нами виды угроз (формы проявления) можно разделить на умышленные и неумышленные. По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые. К информационным угрозам относятся:
несанкционированный доступ к информационным ресурсам;
незаконное копирование данных в информационных системах;
хищение информации из библиотек, архивов, банков и баз данных;
нарушение технологии обработки информации;
противозаконный сбор и использование информации;
использование информационного оружия.
Билет 2
Угрозы программно-математического воздействия
__________ ИТКС - информационно-телекоммуникационная система НСД - несанкционированный доступ __________ Программно-математическое воздействие (ПМВ) - это воздействие на компьютерные системы с помощью вредоносных программ. Очевидно, что ПМВ является несанкционированным воздействием на информацию в ИТКС. Угрозы ПМВ относятся к угрозам, связанным с непосредственным или удаленным НСД с применением программно-аппаратных средств. ***** Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций: - скрывать признаки своего присутствия в программной среде ПЭВМ; - обладать способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти; - разрушать (искажать произвольным образом) код программ в оперативной памяти; - сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных); - искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных. **** Самодублирование вредоносной программы - процесс воспроизведения своего собственного кода в оперативной или внешней памяти ПЭВМ. Ассоциирование с другой программой - внедрение своего кода, либо его части в код другой программы таким образом, чтобы при некоторых условиях управление пере-давалось на код вредоносной программы. В настоящее время имеется множество классификационных схем для классификации вредоносных программ. В данном пособии не дается полной классификации, однако для упорядочения представлений все вредоносные программы условно разделяются на группы и классы : ***** Основными группами вредоносных программ являются: - классические программы - вирусы (термин применен в 1984 году Ф. Коэном)- специально созданная программа, которая наряду с выполнением какой-либо функции (возможно вредящей) обладает способностью к скрытому размножению в компьютерной среде путем включения в выполняемые или хранящиеся программы своей, возможно модифицированной копии, которая в свою очередь сохранять способность к дальнейшему размножению; - программные закладки специально создаваемые разработчиками программного обеспечения фрагмента программного продукта, реализующие недекларированные функции (программы типа "троянский конь", "логическая бомба", "логический или программный люк"); - программы типа программный червь – специально созданные программы, которые наряду с выполнением функций захвата и удержания ресурсов вычислительной системы обладает способностью к скрытому перемещению своего кода (тела программы) путем включения в исполняемые или хранящиеся программы копий и удаления старых. ***** По методу и месту внедрения (по способу доставки в систему вредоносные программы разделяются на следующие классы: - программы, ассоциированные с программно-аппаратной средой (BIOS); - программы, ассоциированные с программами первичной загрузки (находящиеся в MASTER BOOT RECORD или ВООТ-секторах активных разделов); - программы, ассоциированные с загрузкой драйверов операционной системы, командного интерпретатора, сетевых драйверов, т. е. с загрузкой операционной среды; - программы, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки типа NORTON), - исполняемые модули, содержащие только код программы (как правило, внедряемые в пакетные файлы типа .ВАТ); - модули-имитаторы, совпадающие по внешнему виду с некоторыми программами, требующими ввода конфиденциальной информации; - программы, маскируемые под программные средства оптимизационного назначения (архиваторы, ускори-тели и т. д.); - программы, маскируемые под программные средства игрового и развлекательного назначения. Кроме того, вредоносные программы, например многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дисассемблерами. В результате применения вредоносной программы могут быть реализованы самые разнообразные деструктивные действия, такие как: - копировании пользовательской или технологической информации, в том числе копирование парольной информации; - уничтожение файлов, директорий, любой пользовательской и технологической информации в хостах сети компьютеров; - модификация информации; - перемещение информации (копирование в иные области памяти и на другие хосты со стиранием на преж-нем месте); - блокирование прикладных программ (прежде все-го за счет изменения технологической информации); - засорение экранов мониторов, программных модулей ненужной информацией, что приводит к "зависанию" в работе программ и компьютеров, к невозможности работы операторов и др.
Билет 3
Физические и организационные угрозы. Основные понятия и определения.
Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
Билет 4