- •1. Предмет и задачи программно-аппаратной защиты информации. Компьютерная система (кс). Структура и компоненты кс. Классы и типы кс. Сети эвм.
- •2. Актуальность проблемы защиты информации. Основные понятия и термины.
- •3. Уязвимость компьютерных систем. Понятие доступа, субъект и объект доступа. Понятие несанкционированного доступа (нсд). Классы и виды нсд. Механизмы защиты информации от нсд.
- •4. Несанкционированное копирование программ как особый вид нсд. Понятие злоумышленника; злоумышленник в криптографии и при решении проблем компьютерной безопасности (кб).
- •5. Политики безопасности в компьютерных системах. Оценка защищенности
- •17. Преимущества и недостатки программных и аппаратных средств защиты. Проблемы использования расширений bios: эмуляция файловой системы до загрузки ос.
- •21.Структура данных на cd. Способы создания некопируемых меток. Точное измерение характеристик форматирования дорожки. Физические метки и технология работы с ними.
- •23. Пароли и ключи. Секретная информация, используемая для контроля доступа: ключи и пароли. Злоумышленник и ключи. Классификация средств хранения ключей и идентифицирующей информации.
- •24. Организация хранения ключей (с примерами реализации). Магнитные диски прямого доступа. Магнитные и интеллектуальные карты. Средство TouchMemory.
- •25. Типовые решения в организации ключевых систем. Открытое распределение ключей.
- •Цифровые сертификаты
- •Динамический метод
- •27. Задачи защиты от изучения и способы их решения. Защита от отладки. Динамическое преобразование кода. Принцип ловушек и избыточного кода.
- •28. Защита от дизассемблирования. Принцип внешней загрузки файлов. Динамическая модификация программы. Защита от трассировки по прерываниям.
- •29. Аспекты проблемы защиты от исследования. Способы ассоциирования защиты и программного обеспечения. Оценка надежности защиты от отладки.
- •30. Перечень и краткая характеристика сертифицированных программно-аппаратных сзи для пэвм.
- •31. Построение и принципы функционирования системы защиты от нсд «Secret Net ».
- •32. Задачи, решаемые администратором сзи от нсд «Secret Net».
- •33. Построение и принципы функционирования системы защиты от нсд «Аккорд ».
- •34. Построение и принципы функционирования системы защиты от нсд «Соболь».
- •35. Вирусы. Классификация компьютерных вирусов. Защита от разрушающих программных воздействий.
- •Общие принципы защиты от вирусов
- •36. Вирусы как особый класс разрушающих программных воздействий. Механизм заражения программ вирусами.
Общие принципы защиты от вирусов
Современная корпоративная сеть — это многофункциональная, многокомпонентная система, причем все компоненты — принципиально разного назначения с информационной точки зрения и с точки зрения среды.
Получается многокомпонентная среда, и когда речь заходит о защите, имеет смысл говорить только о комплексной защите всей этой среды. Защита одного компонента уже не обеспечивает безопасности информационной структуры компании.
Под комплексной защитой понимается следующие несколько направлений.
Защита каналов связи с внешним миром. Это firewall, proxy-серверы и другие устройства и ПО, стоящие на границе корпоративной сети. И естественно, необходимо добавлять туда модуль антивирусной защиты.
Методика «защитной стены» позволяет отфильтровать в одной точке очень большой объем информации и значительно снизить вероятность распространения вирусов во внутренней сети.
Защита серверов электронной почты. Специфика почтовых серверов такова, что в файлах, присоединенных к письмам, вирус может храниться бесконечно долго. И всегда есть вероятность, что кто-то прочтет это письмо и вирус вырвется на свободу.
Защита Web-серверов. Сам Web-сервер по своей природе таков, что «глядит» наружу. Соответственно он в первую очередь подвергается атакам хакеров, и поэтому именно он с наибольшей вероятностью будет подвержен внешнему воздействию.
Зашита файловых серверов и рабочих станций сотрудников.
Файловые серверы необходимо защищать, потому что это хранилища файлов. Вирус, попав туда, может существовать очень долго в каком-нибудь файле, который никому не нужен.
Не следует забывать и о различных ноутбуках, которые постоянно находятся во внешней среде и при подключении в локальную сеть клиента могут стать источниками заражения.
36. Вирусы как особый класс разрушающих программных воздействий. Механизм заражения программ вирусами.
Компьютерный вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.
Механизм заражения программ вирусами.
Загрузочные вирусы
Загрузочные вирусы заражают загрузочный сектор диска, подменяя находящиеся в нем программы начальной загрузки своим кодом. Исходное содержимое этих секторов при этом сохраняется в одном из свободных секторов диска или непосредственно в теле вируса.
Получив управление, загрузочный вирус выполняет следующие действия:
копирование своего кода в конец ОП компьютера, уменьшая тем самым размер ее свободной части;
переопределение «на себя» нескольких прерываний BIOS, в основном связанных с обращением к дискам;
загрузка в ОП компьютера истинной программы начальной загрузки;
передача управления истинной программе начальной загрузки.
Файловые вирусы
Файловые вирусы заражают файлы различных типов:
программные файлы (*.ехе или *.com);
файлы документов Microsoft Office (*.doc, *.xls *.mdb, *.ppt, *.pps);
файлы шаблонов отображения объектов в папке (*.htt);
файлы драйверов реального режима (*.sys);
пакетные командные файлы (*.bat);
файлы оверлеев приложений операционной системы MS-DOS (*.ovr или *.ovl) и др.
При заражении файла вирус записывает свой код в начало, середину или конец файла. Исходный файл изменяется таким образом, что после открытия файла управление немедленно передается коду вируса.
После получения управления код вируса выполняет следующую последовательность действий:
заражение других файлов и системных областей дисковой памяти;
установка в оперативной памяти собственных резидентных модулей;
выполнение других действий, зависящих от реализуемого вирусом алгоритма;
продолжение обычной процедуры открытия файла.
При заражении файлов драйверов реального режима код вируса дописывается к коду драйвера, изменяются адреса процедур стратегии и (или) прерывания. После этого при инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает его коду драйвера, дожидается ответа драйвера и корректирует его, чтобы остаться в оперативной памяти вместе с основной частью драйвера в одном с ней блоке.
Макровирусы
Вирусы в файлах документов, созданных программами пакета Microsoft Office, распространяются с помощью включенных в них макросов. Поэтому такие вирусы иногда называют вирусами в макросах, или макровирусами.
Языки программирования макросов, особенно VBA, имеют большую библиотеку стандартных макрокоманд и позволяют создавать достаточно сложные процедуры. Кроме того, поддерживаются автоматически выполняемые макросы, связанные с определенными событиями.
Документ Microsoft Office может также содержать макросы, автоматически получающие управление при нажатии пользователем определенной комбинации клавиш на клавиатуре или достижении некоторого момента времени (даты, времени суток).
Любой макрос из отдельного документа может быть записан в файл шаблонов normal.dot и, тем самым, стать доступным при редактировании любого документа Microsoft Word.
Для манипулирования файлами, размещенными во внешней памяти компьютера, в макросах могут использоваться стандартные макрокоманды Open (открытие), SetAttr (изменение атрибутов), Name (переименование), Get (чтение данных), Put (запись данных), Close (закрытие), Kill (удаление), RmDir (удаление папки), MkDir (создание новой папки), ChDir (изменение текущей папки) и др.
Стандартная макрокоманда Shell позволяет выполнить любую из установленных на компьютере программ или системных команд. Таким образом, язык программирования VBA вполне может быть использован авторами макровирусов для создания весьма опасного кода.
Антивирусное средство (АВС) - комплекс программно-технических и организационных мер и средств, предназначенных для выявления и предотвращения вирусного воздействия. АВС могут также только выявлять или только предотвращать вирусное воздействие.
При испытаниях ПС на наличие KB используют две основные группы методов обнаружения KB и защиты программ от них: программные и аппаратно-программные. К программным методам относятся:
• сканирование;
• обнаружение изменений;
• эвристический анализ;
• резидентные «сторожа»;
• вакцинирование ПС.
Метод сканирования заключается в том, что специальная антивирусная программа, называемая сканером, последовательно просматривает проверяемые файлы в поиске так называемых «сигнатур» известных КВ. При этом под сигнатурой понимают уникальную последовательность байтов, принадлежащую конкретному известному KB и не встречающуюся в других программах.
Существует два алгоритма построения таких программ.
Первый связан с поиском сигнатур или регулярных выражений, но он эффективен только для вирусов, обладающих сигнатурой.
Второй алгоритм - это проверка кода программ. Проверяется область программы, получающая управление, на предмет совпадения с командами вируса, настроенного на данный файл.
Программы-фаги отличаются от детекторов только тем, что кроме обнаружения вирусов они восстанавливают, если возможно, диски и программы, удаляя из них тело вируса. Для процесса восстановления необходимо тщательно изучить алгоритм заражения, чтобы совершить обратные действия.
Метод обнаружения изменений заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению KB, а затем периодически проверяет их. Если изменение этих характеристик будет обнаружено, то такая программа сообщит пользователю, что, возможно, в компьютер попал КВ.
Антивирусные программы, основанные на обнаружении изменений программной среды, называются ревизорами. Неудобство таких программ заключается в необходимости периодического сканирования дисков и большом числе ложных тревог. Кроме того, процесс сканирования необходимо производить после загрузки с "чистой" дискеты
Метод эвристического анализа реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для КВ.
В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
37. Необходимые и достаточные условия недопущения разрушающего воздействия. Понятие изолированной программной среды.
38. Модели разграничения доступа. Дискреционная модель. Реализация в ОС и СЗИ.
39. Модели разграничения доступа. Мандатная модель. Реализация в ОС и СЗИ.
40. Построение и принципы функционирования ПСКЗИ «Шипка».