Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Конспект_Методы обработки информации.doc
Скачиваний:
4
Добавлен:
01.07.2025
Размер:
971.26 Кб
Скачать

28.Защита информации

Объем циркулирующей в обществе информации возрастает примерно вдвое каждые пять лет. Человечество создало информа­ционную цивилизацию, в которой от успешной работы средств об­работки информации зависит благополучие и даже выживание че­ловечества в его нынешнем качестве. С проникновением компью­теров в различные сферы жизни возникла принципиально новая отрасль — информационная индустрия.

В последние годы большое внимание уделяется вопросам защи­ты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и в вычислительных системах. Ос­новными факторами, способствующими повышению уязвимости хранимой информации, являются:

  • сосредоточение в единых базах данных информации различ­ного назначения и различной принадлежности;

  • резкое расширение круга пользователей, имеющих непосред­ственный доступ к ресурсам вычислительной системы и находя­щимся в ней данным;

  • расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объе­мы информации государственного, военного, коммерческого и ча­стного характера.

Под защитой информации понимается создание организован­ной совокупности средств, методов и мероприятий, предназначен­ных для предупреждения искажения, уничтожения или несанкцио­нированного использования защищаемой информации.

Компьютерные вирусы

Безопасность информации — это один из основных показателей качества информационной системы. На вирусные а гаки приходит­ся около 57% инцидентов, связанных с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и по­павших в статистические обзоры.

Поэтому одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Что такое компьютерные вирусы?

Компьютерный вирус — это программа, скрывающаяся внутри других программ или на специальных участках диска и способная воспроизводиться («размножаться»), приписывая себя к другим программам («заражать» их), или переноситься на другие диски без ведома и согласия пользователя. Большинство компьютерных вирусов выполняют разрушительную работу, повреждая информацию, хранимую на магнитных дисках. Последствия от действий компьютерных вирусов могут быть разнообразными.

Термин «вирус» заимствован из биологии. Особенности поведения компьютерных вирусов сходны с поведением обычных вирусов: они представляют опасность для той системы, в которой паразитируют, быстро размножаются, легко распространяются, разрушают информацию, содержащуюся в коде программы, и повреждают системные области дисков. Внешним проявлением «болезни» компьютера являются различные нарушения его работоспособности. Но в отличие от биологических систем, обладающих огромными возможностями самозащиты, компьютерные системы беззащитны, поэтому достаточно одного вируса, чтобы вывести их из строя.

Зараженные программы или дискеты сами становятся носителями вируса и поражают другие объекты. В начальной стадии действие вируса может быть практически незаметно для пользователя.

Авторами вирусов могут быть профессиональные программисты, студенты и даже школьники с высоким уровнем подготовки в области программирования. Некоторые авторы создают программы-вирусы из озорства, и их творения не наносят вреда, хотя и нарушают технологию работы на компьютере, некоторые — из стремления «отомстить» или по другой причине. Однако, кто бы ни писал вирусы, их «произведения» приносят вред пользователям, так как могут вызвать сбои в работе программ или даже полную потерю данных.

Классификация компьютерных вирусов

Специалисты делят вирусы в соответствии с особыми характеристиками их алгоритмов на следующие группы.

Вирусы-«спутники» (companion) - они не изменяют файлы. Особенность их алгоритма состоит в том, что они создают для файлов

с расширением .ехе файлы-спутники, имеющие такое же имя, но с расширением .com. Вирус записывается в corn-файл, не меняя ехе-файл. При запуске такого файла операционная система первым обнаружит и выполнит corn-файл (т. е. вирус), который затем запустит ехе-файл.

Вирусы-«черви» (worm) — они распространяются по компьютерной сети, не изменяя файлы и сектора. Эти программы забирают ресурсы компьютера для собственных нужд и делают их недоступными, никаких разрушительных действий они не производят, однако размножаются очень быстро и чрезвычайно опасны в локальных сетях.

Вирусы-«невидимки» (stealth) — весьма совершенные программы, перехватывающие обращения к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки информации. Алгоритм этих вирусов позволяет «обманывать» антивирусные резидентные мониторы. В них применяются разнообразные способы маскировки. Вирусы, использующие приемы маскировки, нельзя увидеть средствами ОС. Так же маскируются и загрузочные вирусы: при попытке прочитать зараженный загрузочный сектор они подставляют не зараженный, а оригинальный.

Вирусы-«мутанты» (ghost) — самомодифицирующиеся, полиморфные, трудно обнаруживаемые вирусы, не имеющие постоянного участка кода. Они содержат в себе алгоритмы шифровки-расшифровки, обеспечивающие такое положение, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байтов (например, вирусы Phantom-1, OneHalf и Natas), т.е. вирус модифицирует свое тело, что создает сложности для их нахождения.

Наряду с программами-вирусами существуют и другие разрушающие программы. К ним можно отнести программы типа «Троянский конь», «Часовая мина» и «Бомба».

Программы типа «Троянский конь» не совсем подходят под описание вируса, поскольку самостоятельно они не размножаются. Такие программы записывает на компьютер сам пользователь, поскольку они маскируются под игровые программы или широко известные программные пакеты. Однако при этом программы типа «Троянский конь» выведывают сведения о ресурсах компьютера и передают ее своему создателю, который может пользоваться, например. Интернетом, войля в него под чужим именем. Особый вред такие программы наносят в военных и государственных сетях.

Программы типа «Часовая мина» выполняют разрушения в заданный день, сверяясь по системной дате. До этого они никак не проявляются, и можно даже не подозревать об их присутствии.

Программы типа «Бомба» производят разрушительные действия и не размножаются. Обычно эти программы привлекают пользователя, например, интригующим названием, и он запускает их. Во время запуска или работы «Бомба» производит разрушения.

Еще недавно заразиться компьютерным вирусом можно было только после запуска программы. Но с появлением нового класса «универсальных» (blended threat) вирусов положение изменилось. Такие вирусы, как Nimda и CodeRed, могут заражать компьютеры, просто подключенные к сети. Они распространяются по электронной почте, через загружаемые файлы, компоненты Web-страниц и сетевые папки коллективного доступа. Универсальные вирусы в основном относятся к «червям», однако в отличие от традиционных «червей» они формируют на зараженных компьютерах учетные записи с административными полномочиями, перезаписывают файлы на локальных и сетевых жестких дисках. Потенциальная опасность лавинных заражений для вирусов такого рода очень велика (вирус Klez, SoBig, Livra и Yaha, SQL Slammer).

Методы защиты от компьютерных вирусов

Для решения задач антивирусной зашиты должен быть реализо­ван комплекс известных и хорошо отработанных организационно- технических мероприятий:

  • использование сертифицированного программного обеспече­ния;

  • организация автономного испытательного стенда для провер­ки на вирусы нового программного обеспечения и данных. Это ме­роприятие эффективно для систем, обрабатывающих особо ценную информацию;

  • ограничение пользователей системы на ввод программ и дан­ных с посторонних носителей информации — отключение пользо­вательских дисководов для магнитных и оптических носителей ин­формации. Особенно эффективным это становится при переходе на технологию электронного документооборота;

  • запрет на использование инструментальных средств для соз­дания программ в самой системе;

  • резервное копирование рабочего программного обеспечения и данных. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла хранится на диске рабочей станции, одна архивная копия в защищенной области на сервере и еще одна архивная копия на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируются специальной инструкцией;

  • подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация администраторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций.

Программы борьбы с компьютерными вирусами

Параллельно с общими средствами защиты информации применяются специализированные антивирусные программы, которые можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов, на основе специфической комбинации байтов и выводить сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

Программы-ревизоры (ADINF с лечащим модулем Adinf Cure Module, лаборатория Касперского) сначала запоминают сведения о состоянии незараженных программ и системных областей и могут в любой момент сравнить это состояние с исходным. О выявленных несоответствиях сообщается пользователю. Чтобы проверка состояния проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.

Существуют полезные гибриды ревизоров и докторов, т. е. доктора-ревизоры (Adinf-Adinfxt, AVSP), — программы, которые moi ут обнаружить изменения в файлах и системных областях дисков и автоматически вернуть их в исходное состояние. Такие программы более универсальны, поскольку при лечении они используют заранее со­храненную информацию о состоянии файлов и областей дисков. Это позволяет им лечить даже от новых вирусов, но лишь от тех, ко­торые используют «стандартные» механизмы заражения файлов.

Программы-фильтры (антивирусный монитор-D, FluShol Plus) располагаются резидентно в оперативной памяти компьютера, пе­рехватывают те обращения к операционной системе, которые ис­пользуются вирусами для размножения и нанесения вреда, и сооб­щают о них пользователю. Пользователь может разрешить или за­претить выполнение соответствующей операции. Использование фильтров вызывает замедление работы, однако позволяет обнару­жить многие вирусы на самой ранней стадии и свести убытки от их действий к минимуму.

Программы-вакцины, или иммунизаторы, модифицируют про­граммы и диски без изменения их принципов работы, но вирус, от которого производится вакцинация, считает их уже зараженными и обходит стороной. Эти программы иногда эффективны.

Рассмотренные мероприятия являются стандартными для рабо­чих станций. Вероятность вирусной атаки значительно возрастает при объединении компьютеров в сеть и становится неизбежной при подключении к информационно-вычислительным сетям общего пользования.

Компьютерные сети имеют архитектурные особенности, кото­рые оказывают влияние на уязвимость компьютерных систем при воздействии программных вирусов:

  • поддержка различных сетевых информационных услуг и уда­ленных пользователей:

  • значительный объем обмена информацией между компьюте­рами;

  • наличие различных платформ и протоколов взаимодействия;

  • сложная конфигурация систем с большим количеством раз­нотипных узлов сети;

  • использование информационных ресурсов публичных компь­ютерных сетей.

Организация антивирусной защиты — сложная техническая и административная задача, требующая выработки политики анти­вирусной безопасности.

Полноту покрытия вирусного пространства проверяют в ходе тестовых испытаний, используя для этого коллекции вирусов, куда входят: набор примерно из 400 «живых» вирусов, встречающихся на практике в настоящее время; макровирусы, поражающие докумен­ты офисных приложений; полиморфные вирусы, меняющие свой код при генерации каждой новой копии; стандартные вирусы.

Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.

Защита от несанкционированного доступа к информации

Современная концепция защиты информации предусматривает реализацию стратегии разграничения доступа пользователей к различным категориям информационных ресурсов с ограничением доступа к системе посторонних субъектов. Реализация стратегии разграничения доступа основана на применении административно-правовых, организационных, криптографических и физических методов.

Выделенные помещения, экраны, заземление и генераторы шума реализуют защиту информации на физическом уровне взаимодействия, ограничивая физический доступ посторонних лиц и технических устройств к носителям информации.

Криптографические методы реализуют защиту информации на синтаксическом уровне, используя уникальные знаковые системы для представления информации, а программно-аппаратные средства разграничения доступа — на семантическом уровне, регламентируя функциональные возможности пользователей по доступу к электронным файлам и функциям по их обработке.

Выбор оптимального набора средств защиты, объединение их в единую подсистему и интеграция в информационно-коммуникационную систему должны осуществляться специалистами по защите информации.

В зависимости от характеристик обрабатываемой информации, политики информационной безопасности, архитектуры и других параметров информационной системы могут использоваться средства разграничения доступа пользователей к информационным ресурсам различных категорий, контролировать локальный и удаленный вход в автоматизированную систему .

Разграничение доступа может быть реализовано механизмами операционной системы, специальными программными или программно-аппаратными средствами зашиты. В программно-аппаратных средствах защиты часть функций реализуется в аппаратных устройствах (специальных процессорах, электронных ключах, электронных устройствах идентификации и других). Аппаратная реализация обеспечивает более высокую устойчивость к попыткам обхода системы защиты нарушителем.

Требования к средствам защиты информации от несанкционированного доступа и порядок их использования в Российской Федерации определяются документами Гостехкомиссии