3) оказывают вредное воздействие на программное обеспечение и компьютер: стирают или портят файлы, приостанавливают работу ПК или делают её невозможной. Их активизация (запуск) может происходить по различным условиям (дате и времени, номеру запуска и др.).
Типизация «вирусов»
Невозможно все вирусы однозначно классифицировать, наиболее часто используют классификацию компьютерных вирусов по среде их обитания:
1.Файловые – внедряющие свой код в какой-либо исполняемый файл. При запуске такого файла, в нём активизируется вирус, после чего управление передается заражённому файлу. Борьба с ними не представляет значительных сложностей, так как основные их механизмы хорошо изучены. Более затруднительно бороться с их разновидностью –
резидентными файловыми вирусами. Для их обнаружения полезно использовать программы, осуществляющие постоянный мониторинг состояния оперативной памяти, файлов и файловой структуры носителей информации.
Нерезидентные файловые вирусы работают следующим образом: после загрузки заражённой программы в оперативную память они получают управление и ищут файл-жертву, анализируя «autoexec», «config» или другую информацию о расположении загрузочных программ. После заражения жертвы вирус снова получает управление из первоначально загруженной заражённой программы. Резидентные вирусы реагируют на определенные коды прерывания, соответствующие загрузке программ на выполнение и т.п.
2.Загрузочные (Boot-вирусы) всегда резидентны, воздействуют примерно так же, как и файловые, но могут сохраняться в оперативной памяти как после мягкой, так и после полной перезагрузки компьютера. Чаще всего они заражают дискеты, но могут заразить и жесткий диск. Эти вирусы записывают себя в загрузочный сектор диска или в сектор, содержащий системный загрузчик жёсткого диска. Вирусы активизируются и распространяются в момент загрузки ОС – ещё до того, как пользователь успевает запустить какую-либо антивирусную программу. Они могут начать действовать сразу или через некоторое время, которое характеризуется наступлением определенного временного параметра (например, «чёрная пятница») или события, например, нажатие комбинации клавиш, конкретное количеством запусков программы и т.п. Последние чаще всего относятся к категории вирусов, получивших название «троянский конь».
3.Макровирусы – использующие возможности макроязыков, встроенных в различные системы обработки информации (текстовые и табличные редакторы и т.п.). Они захватывают управление при
442
открытии или закрытии заражённого файла, перехватывают некоторые файловые функции, а затем заражают файлы, к которым происходят последующие обращения. Такие вирусы могут функционировать не только на отдельных компьютерах, но и быстро распространяться по сети, где осуществляется работа с соответствующими приложениями.
4. Сетевые – используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Наиболее часто встречаются троянские кони и почтовые вирусы (черви), открывающие широкие возможности для хищения информации. Почтовые вирусы могут относиться к любому типу и распространяются по электронной почте. Получив письмо с нейтральным текстом и приложением, человек открывает его. При открытии приложения происходит внедрение вируса в систему и начинается рассылка по почте абонентам из адресной книги текущей почтовой программы от имени пользователя. Вирус следит за появлением новых адресов и распространяется к новым абонентам электронной почты. Такое явление порой называют «спамом». Спам – замусоривание почты, при этом почтовый ящик пользователя заполняется рекламными и не ему адресованными сообщениями.
Существуют вирусы, заражающие гибкие диски после обращения пользователя к дискете. Чистая, отформатированная дискета может таить в себе вирус! Иные вирусы распространяются даже в случае просмотра оглавления файлов инфицированного диска при использовании лишь внутренней команды DOS – «Dir». Наиболее часто вирусы поражают файлы с расширениями «COM», «EXE», файл операционной системы «COMMAND.COM», загрузочные сектора гибкого и жёсткого дисков, таблицы разделов жёсткого диска (область деления на логические диски). Вирус может изменить размер зараженного файла, а может и не менять его.
Наиболее известны следующие разновидности вирусов:
«Черви» (англ. – «worm») – программы, незаконно проникающие в вычислительную сеть и обладающие способностью к самораспространению. Известно, что первые подобные программы появилась в начале 1999 года.
«Жуки» (англ. – «bugs») – видимые ошибки в подлинных оригинальных программах, не выявляемые в процессе тестирования. «Жуки» могут располагаются в большинстве современных программ и могут рано или поздно проявиться при их многократном использовании.
Троянский конь (англ. – «trojan horse») – наиболее опасный тип вирусов. Основной его задачей является не порча информации, а скрытая её пересылка автору вируса. Внедряясь в ОС, эти вирусы внешне себя не проявляют, но тайком от пользователя отправляют по сети информацию пользователя, в т.ч. секретную. Пользователь может долго не подозревать об этом.
«Логические бомбы» – программы, начинающие различные разрушительные действия при наступлении каких-либо заранее
443
установленных условий (временных, логических и др.).
Таким образом, компьютерный вирус может быть файлом, частью имевшегося на накопителе файла, а также располагаться в системных областях диска или дискеты. При этом его команды, воздействуя на файлы, модифицируют их и инициируют распространение (копирование) зараженных файлов на другие носители информации. По утверждению многих специалистов, заражение вирусами компьютеров составляет лишь доли процентов там, где работают, а не играют.
Теперь для создания вирусов не обязательно знать даже азы программирования. Существуют специальные программы – генераторы вирусов, упрощающие процесс изготовления вирусов до предела. По мнению специалиста Symantec Сары Гордон создатели вирусов не являются хакерами. Это, как правило, представители мужского пола в возрасте от 13 до 26 лет. Ими в большей степени движут мотивы продемонстрировать слабость технологий, проведения экспериментов, сделать, по их мнению, нечто потрясающее (прославиться). Иногда это социально-политические мотивы или месть.
Программа-вирус обычно состоит из уникальной последовательности команд – сигнатур (знаков) и поведений, что позволяет создавать специальные программы, их обнаруживающие. Однако некоторые вирусы не имеют уникальных сигнатур и поведения, а также могут видоизменять самих себя (полиморфные).
Для защиты машин от компьютерных вирусов, профилактики и
«лечения» используются программы-антивирусы, а также средства диагностики и профилактики, позволяющие не допустить попадания вируса в компьютерную систему, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов) действия.
Выделяют программы-антивирусы следующих типов: «Прививки» – программы, присоединяемые к исполняемым
файлам и контролирующие их целостность при каждом запуске. Недостаток заключается в том, что исполняемая программа должна быть привита от всех вирусов, способных осуществить на неё воздействие. Это стало большой проблемой в связи с появлением десятков тысяч программ-вирусов. В настоящее время такие программы не используются.
«Перехватчики» – программы, следящие за изменениями исполняемых программ и сообщающие о них пользователям, чтобы последние определили действие это самой программы или воздействие вируса не неё. Это диагностирующие программы.
«Доктора» – программы, работу исполняемых программ на действие известных вирусов и предлагающих приостановить действие, удалить программу, вылечить её или др. Неизвестный такой программе вирус может быть не обнаружен.
В другой классификации определено пять основных видов
444
антивирусных программ: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.
Сканеры (см. «перехватчики» и «доктора») предназначены для поиска в файлах, памяти, загрузочных секторах сигнатур вирусов, т.е. уникального программного кода вируса. При этом описания известных вирусов содержится в антивирусной БД. Если сканер встречает программный код, совпадающий с одним из этих описаний, то он выдает сообщение об обнаружении соответствующего вируса.
Мониторы – резидентные программы, разновидность сканеров, в реальном времени осуществляют автоматическую проверку всех используемых файлов. Проверка осуществляется в момент открытия и закрытия файла, исключая, таким образом, запуск ранее инфицированных файлов и заражение файла резидентным вирусом.
Ревизоры изменений «снимают» оригинальные контрольные суммы с возможных объектов заражения (файлы, загрузочные сектора, системный реестр) и сохраняют их в специальной БД (см. «доктора»).
Несмотря на все способы маскировки, вирусы – обычные компьютерные программы, имеющие возможность тайно создавать новые или внедряться в уже существующие объекты. В любом случае они оставляют следы своей деятельности в ОС.
При следующем запуске ревизор сравнивает текущие контрольные суммы с контрольными суммами своей БД и сообщает пользователю об изменениях, выделяя вирусоподобные действия.
Иммунизаторы (см. «прививки») делятся на два вида:
1)иммунизаторы, сообщающие о заражении, и
2)иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файла, и каждый раз при запуске файла производится его проверка на изменения. Второй тип защищает систему от поражения определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже заражённые. Сейчас этот тип антивирусных программ почти не используется из-за неспособности обнаружить заражение вирусаминевидимками.
Поведенческие блокираторы (см. «доктора») – резидентные программы, перехватывающие различные события и в случае подозрительных действий, запрещающие их или запрашивающие разрешение пользователя. Блокираторы не совершают поиска уникального программного кода вируса (как сканеры или мониторы) и не сравнивают файлы с их оригиналами (как ревизоры изменений), а отслеживают и нейтрализуют вредоносные программы по их характерным действиям. Эти программы имеют реальную возможность со 100% гарантией противостоять атакам новых вирусов.
У каждого типа антивирусных программ есть свои достоинства и недостатки. Только комплексное использование нескольких типов
445
антивирусных программ одновременно способно привести к приемлемому результату.
Программные средства защиты информации представляют комплекс алгоритмов и программ специального и общего обеспечения функционирования компьютеров и вычислительных сетей, нацеленных на контроль, разграничение доступа и исключения проникновение несанкционированной информации. Существует целый спектр программ, предназначенных для профилактики заражения вирусом, обнаружения и уничтожения вирусов. Наибольшей популярностью пользуются постоянно обновляемые отечественные антивирусные программы DRWEB (Dr.Web) И. Данилова и AVP Е. Касперского («Antiviral Toolkit Pro»). Они обладают удобным интерфейсом, средствами сканирования устанавливаемых программ, проверки системы при загрузке и т.д. Используются и зарубежные антивирусные программы. Однако они не всегда эффективны против отечественных вирусов.
AVP включает в себя: антивирусный сканер/фаг для нахождения и удаления вирусов в архивных, упакованных и иных файлах, загрузочных секторах и оперативной памяти, эвристического детектирования неизвестных вирусов; встроенный резидентный монитор состояния системы, не допускающий проникновения вирусов; модуль редактирования антивирусных баз и утилиты системного анализа компьютера.
DrWeb обнаруживает и уничтожает простые и достаточно сложные (мутанты, полиморфные) вирусы в обычных, архивированных и упакованных, текстовых (MS Word, MS Excel) файлах. Программа, обладая эвристическим анализатором, позволяет обнаруживать вирусоподобные участки в проверяемых файлах, что обеспечивает выявление до 90% новых и неизвестных вирусов.
«Sheriff» – резидентный сторож, предназначен для «железной» защиты особо ценных данных на дисках от любых несанкционированных действий (попыток внести какие-то изменения). Комплекс блокирует любые попытки внести изменения в системные области, контролируемые файлы, отдельные сектора и логические диски, объявленные доступными только для чтения.
Зарубежная программа Norton AntiVirus обеспечивает эвристический анализ, обнаружение полиморфных и неизвестных вирусов. В программе используются технологии:
●«псевдовыполнения», имитирующая запуск программы, заставляя вирус-мутант проявить себя;
●«инокуляции» (прививки), принудительно защищающая таблицы размещения файлов и логического деления физических дисков,
атакже любые файлы от случайных или преднамеренных изменений.
Norton AntiVirus ведёт мониторинг вирусной активности в
446
фоновом режиме, проверяет сжатые, восстанавливает повреждённые файлы, уничтожает макро-вирусы в документах программ Word и Excel, проверяет данные в процессе перекачки из Интернета, отключает заражённый компьютер от сети и протоколирует события. Программа автоматически удаляет вирусы, не прерывая при этом работу пользователя.
Широко используются различные электронные ключи, например,
HASP (Hardware Against Software Piracy), представляющие аппаратно-
программную систему защиты программ и данных от нелегального использования и пиратского тиражирования. Другим подобным устройством является семейство электронных ключей Hardlock, используемых для защиты программ и файлов данных. В состав системы входит собственно Hardlock, крипто-карта для программирования ключей и программное обеспечение для создания защиты приложений и связанных с ними файлов данных.
Абсолютно надёжных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Важным элементом защиты от компьютерных вирусов является профилактика. Чаще всего источниками заражения являются компьютерные игры, приобретенные «неофициальным» путём и нелицензионное ПО. Поэтому надёжной гарантией от вирусов является аккуратность пользователей при выборе программ и установке их на ПК, а также во время сеансов в Интернете. Вероятность заражения не из компьютерной сети можно свести почти к нулю, если пользоваться только лицензионными, легальными продуктами и никогда не пускать на свою машину приятелей с неизвестно откуда взявшимися программами, особенно играми.
Антивирусные программы следует применять одновременно с регулярным резервированием данных и профилактическими мероприятиями. В совокупности эти меры позволяют значительно снизить вероятность заражения вирусом.
Таким образом, основными мерами профилактики вирусов являются:
1)применение лицензионного программного обеспечения;
2)регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых «чужих» дискет и дисков с любой информацией на них, в т.ч. и переформатированных;
3)применение различных защитных средств при работе в любой информационной сети (например, в Интернете), особенно проверка на наличие вирусов файлов, полученных по сети;
4)периодическое резервное копирование наиболее ценных данных
ипрограмм.
Безопасность программно-технических средств и ИР
447
Информационные ресурсы в электронной форме размещаются стационарно на жёстких дисках серверов и компьютеров пользователей и т.п., хранятся на переносимых носителях информации. Они могут представлять отдельные файлы с различной информацией, коллекции файлов, программы и базы данных. В зависимости от этого к ним применяются различные меры, способствующие обеспечению безопасности ИР.
К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности ИР, относятся:
●аутентификация пользователя и установление его идентичности;
●управление доступом к БД;
●поддержание целостности данных;
●протоколирование и аудит;
●защита коммуникаций между клиентом и сервером;
●отражение угроз, специфичных для СУБД и др.
Напомним, поддержание целостности данных подразумевает не только программно-аппаратные средства поддержания их в рабочем состоянии, но и мероприятия по защите и архивированию ИР, дублированию их и т.п. Очевидно, что наибольшую опасность для ИР, особенно организаций, представляет несанкционированное воздействие на структурированные данные – БД. В целях защиты информации в БД важнейшими являются следующие аспекты информационной безопасности (европейские критерии):
●условия доступа (возможность получить некоторую требуемую информационную услугу);
●целостность (непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения);
●конфиденциальность (защита от несанкционированного прочтения).
Под доступностью понимают обеспечение возможности доступа авторизованных в системе пользователей к информации в соответствии с принятой технологией.
Конфиденциальность – обеспечение пользователям доступа только к данным, для которых они имеют разрешение на доступ (синонимы – секретность, защищённость)
Целостность – обеспечение защиты от преднамеренного или непреднамеренного изменения информации или процессов её обработки.
Эти аспекты являются основополагающими для любого ПО, ориентированного на обеспечение безопасного функционирования данных в компьютерах и компьютерных информационных сетях. Проверка подлинности пользователя приложений БД чаще всего
448
осуществляется через соответствующие механизмы операционной системы, или через определенный SQL-оператор: пользователь идентифицируется своим именем, а средством аутентификации служит пароль. СУБД стали основным инструментом, обеспечивающим хранение больших массивов информации. Современные информационные приложения опираются в первую очередь на многопользовательские СУБД. В этой связи пристальное внимание уделяется проблемам обеспечения информационной безопасности, определяющей степень безопасности организации, учреждения в целом.
Программно-техническая (в т.ч. криптографическая) и физическая защита от несанкционированных воздействий
Программные средства защиты информации делятся на основные и вспомогательные.
Основные программные средства защиты информации
способствуют противодействию съёма, изменения и уничтожения информации по основным возможным каналам воздействия на неё. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирование работы людей и техники, самоконтроль и защиту, разграничение доступа, уничтожение информации, сигнализацию о несанкционированном доступе и несанкционированной информации. Рекомендуется своевременно обновлять (инсталлировать) новые версии ПО.
Вспомогательные программы защиты информации обеспечивают:
уничтожение остаточной информации на магнитных и иных перезаписываемых носителях данных, формирование грифа секретности и категорирование грифованной информации, имитацию работы с несанкционированным пользователем для накопления сведений о его работе, ведение регистрационных журналов, общий контроль функционирования подсистемы защиты, проверку системных и программных сбоев и др. Некоторые специализированные программы (например, ForSer TV) позволяют отображать план охраняемого объекта с отражаемыми на нём точками контроля доступа сотрудников и посетителей, местами установки видеокамер, извещателей и датчиков и др.
Рассмотрим некоторые программы защиты данных.
Популярная программа Dallas Lock обеспечивает многоуровневую защиту. Она позволяет защищать компьютер от несанкционированного доступа, разграничивать доступ к его ресурсам, в том числе сетевым, защищать данные путём их кодирования и др. При загрузке компьютера в ней осуществляется идентификация и аутентификация пользователя, выполняется проверка целостности контролируемых объектов средствами контроля целостности. Каждый зарегистрированный
449
пользователь получает в ней соответствующие права доступа к ресурсам и полномочия на администрирование системы защиты. При этом администратором автоматически становится пользователь, установивший систему защиты. Он же регистрирует в программе других пользователей и декларирует им полные или частичные полномочия администрирования.
Программа Secure Suite позволяет полностью контролировать доступ к компьютеру, определять полномочия каждого работающего в системе пользователя, обезопасить отдельные папки от несанкционированного доступа и ограничить запуск программ. В главном окне Secure Suite выводится список пользователей, имеющих права доступа к компьютеру. Пользователь со статусом администратора может описывать новые группы пользователей и указывать их привилегии. Это мощный инструмент защиты персональных компьютеров. В комплект входит средство безопасного хранения паролей во внешнем электронном ключе iKey, который подключается к порту USB.
Известное отечественное ПО защиты информации Secret Disk получило сертификацию Гостехкомиссии России. Эта программа компании «Аладдин» представляет логический диск, информация на котором хранится в зашифрованном виде. До включения секретные диски представляются ОС как обычные файлы. Когда секретный диск подключён, ОС и приложения работают с ним, как с обычным логическим диском. После отключения секретного диска закрывается доступ к находящимся на нём файлам.
Аналогична ей программа StrongDisk, в которой вместо ограничения доступа к существующим файлам и папкам создаётся новый виртуальный диск для работы и хранения на нём секретных данных. Доступ к этим данным возможен после ввода пароля и последующей дешифрации информации. Программа имеет русскоязычный интерфейс и подробный справочный аппарат с рекомендациями по решению конкретных проблем. Программа совместима с подключаемыми к внешним портам электронными ключами, обеспечивающими более надёжную защиту данных.
В качестве бесплатного ПО защиты данных приведём программу DC (Direct Connect), позволяющую ограниченному числу людей создавать собственные защищённые паролями сети, в которых они могут обмениваться между собой, например, музыкой и фильмами. На основе подобного специального ПО в мире создаются «Darknet» – «тёмные сети» теневого Интернета, мир закрытых сообществ, работающих в Интернете. Эти мини-сети всё более становятся популярными. Даже некоторые известные корпорации переходят на «darknet» для обмена важными данными с партнерами, защищая себя от конкурентов и не допуская партнеров в собственную внутреннюю сеть компании. Группа людей, намеренная сформировать такую сеть,
450
обменивается паролями или цифровыми ключами для обеспечения возможности их компьютерам общаться между собой. Передаваемые данные обычно шифруются аналогично тому, как это делается при проведении онлайновых транзакций с кредитными картами. Следует заметить, что «тёмные сети» оказываются безопаснее обычных корпоративных внутренних сетей, так как компании обычно не кодируют свои данные. При слежении за такой сетью можно контролировать наличие трафика, но содержание шифрованных пакетов недоступно. [22].
Бесплатная программа Waste надёжнее, чем DC. Для защиты файлов и сообщений внутри сети в ней используется шифрование данных, посылаемых пользователям так называемой «ячейки». При вступлении в ячейку новый пользователь обменивается кодировочными ключами с кем-то из ячейки.
Freenet – ПО ирландского программиста Йена Кларка – работает по принципу связи компьютеров в Интернете, используя серьезные методы шифровки. «Сейчас Интернет не отличается анонимностью», – считает Кларк. «Люди ищут способы обмена информацией без посторонних глаз». Однако «Тёмные сети» могут быть с равным успехом использоваться и для свободы слова, и для пиратской торговли музыкой на черном рынке [22].
Существуют и другие программы, но не менее важно решить проблему, связанную с необходимостью защищать ПО от несанкционированного доступа и использования.
Криптографическая защита информации
Одним из наиболее практикуемых современных способов защиты информации, является её кодирование (шифрование). Оно не спасает от физических воздействий, но в остальных случаях служит весьма надёжным средством. Кодом называют правила составления различных сигналов, изображений и алфавитов. Подробно эти вопросы рассмотрены в теме 1.
Код характеризуется: длиной – числом позиций (знаков, используемых при кодировании) и структурой – порядком расположения символов, используемых для обозначения классификационного признака.
Средством кодирования служит таблица соответствия. Примером такой таблицы для перевода алфавитно-цифровой информации в компьютерные коды является кодовая таблица ASCII (подробнее – тема
1).
Для предотвращения несанкционированного использования данных на машинных носителях применяются разные системы кодирования (шифрования) информации. Сокрытия смысла (содержания) информации обеспечивается, как правило, с помощью
451
алфавитно-цифровых шрифтов и цифровых кодов соответственно. Первый стандарт шифрования опубликован в 1977 году в США. Алгоритмы шифрования, принятые в качестве международных и государственных стандартов, например, ISO 8732, DES, ANSI X9.17, используют многократно повторяемые перестановки и замены.
В России разработкой стандарта ядра безопасности для интеллектуальных карт (ИК) занималось ФАПСИ. Стандарт получил название ГОСТ Р ИК/Б, что означает «Государственный стандарт России – Интеллектуальные карты/Безопасность».
Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равняется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей.
Всё большую популярность приобретают криптографические методы защиты информации, представляющие комплекс
(совокупность) алгоритмов и процедур шифрования и кодирования информации для обеспечения преобразования смыслового содержания передаваемой в информационных сетях данных, то есть подразумевают создание специальных секретных ключей пользователей.
Криптография – тайнопись, система изменения информации с целью её защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных. Общие методы криптографии существуют достаточно давно, и она, по праву, считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Как утверждают многие специалисты, альтернативы методам криптографии ныне нет.
Основу криптографии составляют алгоритмы преобразования данных, использующие методы перестановки и подстановки (замены), алгебру матриц (аналитические преобразования) и др. Стойкость криптоалгоритма зависит от сложности методов преобразования. Вопросы разработки, продажи и использования средств шифрования данных в России контролирует ФАПСИ. Сертификацией средств защиты данных без встроенных криптосредств занимается Гостехкомиссия РФ.
Сертификация средств шифрования в России осуществляется на основе стандартов: ГОСТ 28147-89 для систем шифрования данных, ГОСТ Р 34.10–94 для систем электронной цифровой подписи и ГОСТ Р 34.11–94 на хэш-функцию. Первый из них позволяет использовать для коммерческого применения 256-разрядные ключи, что обеспечивает уровень надёжности десятки и сотни лет работы суперкомпьютера. В ряде случаев вполне достаточными можно считать 40-, 44-разрядные ключи.
Электронная подпись
452
Одной из важных проблем информационной безопасности является организация защиты электронных данных и электронных документов. Для кодирования ЭИР, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).
Первый отечественный стандарт ЭЦП появился в 1994 году – ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма». Новая редакция этого закона принята 12 сентября 2001 года постановлением Госстандарта России №380-ст.– ГОСТ Р 34.10-2001. Аналогичный стандарт ЭЦП в США принят в 1994 году (FIPS 186).
В законе об ЭЦП электронный документ определяется как «…документ, в котором информация представлена в электронноцифровой форме» [68].
Цифровая подпись для сообщения является последовательностью символов, зависящей от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа. Она должна легко проверяться и позволять решать три следующие задачи:
●осуществлять аутентификацию источника сообщения,
●устанавливать целостность сообщения,
●обеспечивать невозможность отказа от факта подписи конкретного сообщения.
Воздействия на здания, помещения, личную безопасность пользователя и обслуживающий персонал
Типичными причинами нарушения безопасности на объекте являются:
1)ошибки индивидов или неточные их действия;
2)неисправность и (или) отказ используемого оборудования;
3)непредсказуемые и недопустимые внешние проявления;
4)неисправность и (или) отсутствие необходимых средств
защиты;
5)случайные и преднамеренные воздействия опасных факторов на защищаемые элементы оборудования, человека и окружающую среду.
Установлено, что ошибочные действия индивидов составляют 50¸80% , а технических средств – 15¸25 % [23]. Специалисты отмечают, что ошибочные и несанкционированные действия индивидов характеризуются недостаточной их дисциплинированностью и подготовленностью к работе, опасной технологией и несовершенством используемой ими техники. Более того, высказывается мнение, что причиной многих чрезвычайных техногенных ситуаций является
453
человек, его взаимодействие с различными техническими устройствами и системами. Согласно статистике число связанных с человеческим фактором техногенных аварий и катастроф доходит до двух третей от общего их количества.
Отрицательное воздействие на индивида оказывает не только незащищённость ИР, но и факторы, связанные со стихийными бедствиями, последствиями техногенных влияний на природу, нарушением правил техники безопасности, террористические акты и другие события, приводящие, в первую очередь, к стрессовым ситуациям. Отрицательные информационные социальнопсихологические воздействия, в том числе дискомфорт, человек получает и в процессе работы с огромными массивами данных, прямотаки обрушивающимися на него. Кроме стресса, он становится жертвой информационных перегрузок, информационного шума и т.п.
454
Технические возможности и мероприятия по обеспечению сохранности людей, зданий, помещений, программно-технических средств и информации
Безопасность зданий, помещений, оборудования и людей в них обеспечиваются охраной объектов с использованием организационных, физических, программно-технических и социально-психологических мероприятий. Для охраны зданий используют системы освещения и видеонаблюдения, датчики-извещатели охранной сигнализации, реагирующие на движущиеся источники теплового излучения и управление доступом.
Организационные мероприятия предполагают объединение всех составляющих (компонент) безопасности. Согласно многочисленным статистическим данным во всём мире основную угрозу ИР организации представляют её сотрудники, оказывающиеся психически неуравновешенными, обиженными или неудовлетворенными характером их работы, заработной платой, взаимоотношениями с коллегами и руководителями.
Физические в большей степени примыкают к организационным мероприятиям, нацеленным на реализацию названной цели. Они заключаются в применении человеческих ресурсов, отдельных технических средств и устройств, позволяющих обеспечивать защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, а также отдельные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежелательных лиц.
В качестве технических средств используются решётки на окна, ограждения, металлические двери, турникеты и др. Программнотехнические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.
Технические мероприятия включают в себя элементы физических мероприятий. Они базируются на применении следующих технических средств и систем:
●охранной и пожарной сигнализации;
●контроля и управления доступом;
●видеонаблюдения и защиты периметров объектов;
●защиты информации;
●контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов;
●учёта рабочего времени персонала и времени присутствия на
455
объектах различных посетителей.
Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.
Социально-психологические мероприятия также относятся к организационным. Они включают регулярное проведение организационных мероприятий по недопущению отрицательных воздействий и явлений, по созданию работникам комфортных условий и нормального психологического климата. С этой целью в штат некоторых организаций входит психолог.
Успешному обеспечению безопасности способствуют заблаговременные мероприятия по выявлению и идентификации возможных угроз (опознание и предвидение, оценка, уменьшение вредного влияния их на человека и среду его обитания).
Охрана зданий и помещений предполагает решение следующих задач:
1)создание физической защиты внутри и снаружи зданий и помещений (решётки на окнах, металлические двери, турникеты и другие устройства, в том числе технические и (или) программнотехнические средства ограничения несанкционированного посещения территории и отдельных помещений);
2)организация службы охраны, в которую могут входить: вахтеры, работники ведомственной или вневедомственной охраны, собственной службы безопасности и сотрудники организации, добровольно или в административном порядке участвующие в её охране
сцелью ограничения доступа посетителей и работников в отдельные помещения и к отдельным ИР, а также предотвращения вандализма и несанкционированных действий, ведущих к нарушению её работы, повреждению или уничтожению материальных и технических ценностей, помещений и зданий;
3)установка устройств, систем и (или) комплексов пожарной и охранной сигнализации.
К инженерно-техническим средствам защиты относятся:
●специальное укрепление зданий и помещений;
●хранилища;
●системы пассивной безопасности (двери и металлоконструкции, замки, защитные стёкла, витрины и стенды, сейфы и металлические шкафы; преграждающие, ограждающие и запирающие устройства, ворота);
●средства индивидуальной защиты.
456
Эти же мероприятия способствуют защите программнотехнических средств, ИР, людей, включают средства и системы активной безопасности.
Мероприятия по защите работников и посетителей организаций от различных несанкционированных воздействий на них включают:
1)создание физической защиты внутри зданий и помещений;
2)организацию охраны человеческих (одновременно и материально-технических) ресурсов;
3)установку внутри и вне здания различных технических защитных устройств, систем и (или) комплексов пожарной и охранной сигнализации;
4)обеспечение организации необходимыми индивидуальными средствами защиты органов дыхания, перчатками, сапогами и другой специальной одеждой;
5)проведение с персоналом, а порой и посетителями, мероприятий
по:
а) обучению их правилам пользования различными защитными средствами (в том числе первичными средствами пожаротушения);
б) принятию соответствующих мер, эвакуации человеческих и материально-технических ресурсов при стихийных бедствиях, пожарах, нарушениях работоспособности инженерных сооружений (водо-, тепло-
иэлектроснабжения, канализации);
в) ознакомлению с правилами поведения в непредвиденных обстоятельствах.
Заметим, защита работников и посетителей входит в состав общих организационных и технических мероприятий по защите организации от различных несанкционированных предвиденных и непредвиденных отрицательных воздействий. Её содержание тесно переплетается с общими мероприятиями и отличается отдельными нюансами.
Охрана объектов с целью ограничения свободного доступа, смарткарты и др.
Кроме названых выше мероприятий, направленных на охрану объектов с целью защиты людей, зданий, помещений, материальнотехнических средств и ИР от несанкционированных воздействий на них, широко используются системы и меры активной безопасности, ограничивающие доступ несанкционированных лиц. Общими и в этом случае являются организационные мероприятия.
Физические меры технического характера подразумеваю использование технические устройств и средств, обеспечивающие санкционированный доступ к объектам и ИР. К ним примыкают программно-технические средства, системы и комплексы активной безопасности. Общепринятый вид мероприятий по охране объектов, в первую очередь, характеризуется применением систем управления
457
с помощью пакетных ламинаторов, позволяющих обрабатывать документы размером от визитной карточки (порядка 50x75 мм) до формата A3 (Тема 20).
Для проверки штрих-кодов используются сканирующие устройства считывания бар-кодов – сканеры. Они преобразуют считанное графическое изображение штрихов в цифровой код. При использовании контрольного кода, сканер вычисляет контрольный разряд и сравнивает его со считанным графическим изображением. Совпадение считанного и вычисленного контрольных разрядов означает правильное считывание штрихового кода. Сканер сообщает об этом световым и звуковым сигналом. В противном случае сигналы не выдаются.
Для печатания штриховых кодов используются принтеры этикеток и обычные лазерные принтеры со специальным программным обеспечением. Первые обладают различными способами нанесения изображений (лазерные, термо- и термотрансферные и др.). Наибольшее распространение получили термотрансферные принтеры, в которых изображение переносится со специальной термотрансферной ленты под воздействием нагрева на бумагу или этикеточную ленту с липкой основой. Они также позволяют наносить цветное изображение, печать сложные этикетки с логотипом и даже цветными фотографиями.
Кроме удобства, штрих-коды обладают и отрицательными качествами: дороговизна используемой технологии, расходных материалов и специальных программно-технических средств; отсутствие механизмов полной защиты документов от стирания, пропажи и др.
За рубежом в некоторых организациях, в том числе информационных, вместо штрих-кодов и магнитных полос на всех носителях для обеспечения защиты документов от несанкционированного выноса используют радиоидентификаторы RFID (англ. «Radiofrequency Identification»). Радиоидентификация – бесконтактная технология, не требующая прямой видимости между предметом и регистрирующим прибором. Для использования их с целью обеспечения сохранности документов дальность действия RFID можно сократить и поддерживать в диапазоне от 2,5 до 75 см. Ярлыки RFID выполняют те же функции, что и штрих-кодирование, но потенциально предоставляют намного больше возможностей. Каждый ярлык содержит микрочип размером 0,4х0,4 мм, который принимает радиосигнал и сообщает в ответ свой уникальный идентификационный код. Они гибкие, толщиной с бумажный лист, непосредственно наклеиваются на документ, и сигнал с них считывается антеннами. При этом ярлыки не имеют батарей питания, а используют энергию входящего радиосигнала. Ярлык может содержать бит информации, необходимый для функционирования системы защиты от воровства, и идентификацию для работы системы автоматической сортировки документов и др. При попытке вынести документ с таким ярлыком через контрольно-
459
пропускные ворота, включается звуковой сигнал, сигнал тревоги на центральном пульте и цифровые фотокамеры.
Долговечность ярлычков соответствует долговечности книг. За время существования они могут многократно перезаписываться в самых различных целях, в том числе при сдаче, выдаче, инвентаризации, самообслуживании. Отличительной особенностью радиоидентификаторов является то, что их можно активизировать и использовать не только в стенах организации.
Сцелью предоставления возможности отдельным индивидам проходить в соответствующие здания и помещения, а также пользоваться ИР применяют контактные и бесконтактные пластиковые и иные магнитные и электронные карты памяти, а также биометрические системы.
Первые в мире пластиковые карточки со встроенными в них микросхемами были выпущены фирмой CP8 Transac в 1976 году. Спустя два года эта фирма запатентовала архитектуру SPOM (Self Programming On Memory) – стандарт внутренней организации смарт-карт. Как правило, в карту встраивают специальный сопроцессор для генерации простых чисел при использовании ассиметричных криптографических алгоритмов. В постоянной памяти (ROM) карты хранится исполняемый код внутреннего процессора, оперативная память (RAM) является рабочей, а к перезаписываемой памяти (EEPROM) возможен доступ извне для чтения/записи произвольной информации. Международные стандарты по смарт-картам с 1987 года объединены в общую группу ISO 7816 «Идентификационные карты. Карты с микросхемой и контактами».
Сих помощью можно ограничить вход в служебные помещения, а также возможность работы на технических устройствах несанкционированных пользователей. Для этого используют специальные устройства, позволяющие надёжно идентифицировать личность при считывании смарткарт.
Кроме того, с этой же целью можно использовать электронные визитные карты на компакт-дисках. На прозрачном или цветном фоне лицевой стороны такой карты наносятся те же сведения, что и на обычной «визитке» (логотип и реквизиты). Физически – это часть компакт-диска диаметром 120 или 80 мм.
Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Они могут фиксировать время прохода или открывания дверей и др.
Наиболее чётко обеспечивают защиту данных на любом объекте средства идентификации личности, базирующиеся на использовании биометрических систем. Понятие «биометрия» — определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики.
460
Это научное направление появилось в конце XIX века. Биометрия представляет совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристиках. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальцев, роговице глаза, форме руки, генетическому коду, запаху и др.) и динамическими (голосу, почерку, поведению и др.) характеристиками.
Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют
биологическим кодом человека.
Первые биометрические системы использовали рисунок (отпечаток) пальца. Заметим, что примерно 1 тыс. лет до н.э. в Китае и Вавилоне существовало представление об уникальности отпечатков пальцев, которые ставили под юридическими документами, но дактилоскопию стали применять в Англии в 1897 году, а в США – в 1903 году. Пример современного считывающего отпечатки пальцев
устройства представлен на рис. 21-3. Преимущество таких систем
идентификации, по сравнению с традиционными (например, PIN-кодовыми, доступом по паролю), заключается в идентификации не внешних
предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления. Это обстоятельство послужило основанием в различных странах (в том числе России) для включения биометрических признаков в загранпаспорта и другие официальные идентифицирующие личности документы.
Биометрическая идентификация считается одним из наиболее надёжных способов. Многие зарубежные организации для обеспечения физической и информационной безопасности перешли на биометрические системы. В биометрических системах используют технологии машинного зрения для распознавания личности по: отпечаткам пальцев, геометрии лица, кисти руки или рисунка вен, рисунку радужной оболочки или сетчатке глаза, голосу, почерку и др. С помощью этих технологий осуществляются:
1)ограничение доступа к информации и обеспечение персональной ответственности за её сохранность;
2)обеспечение допуска сертифицированных специалистов;
3)предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
461
4) организация учёта доступа и посещаемости сотрудников, а также решается ряд других проблем.
Одним из наиболее надёжных способов считается идентификация глаз человека (рис. 21-4):
идентификация рисунка радужной оболочки глаза или сканирование глазного дна (сетчатки глаза). Его перспективность обусловлена отличным соотношением точности
идентификации с простотой использования оборудования. Изображение радужной оболочки оцифровывается и сохраняется в системе в виде кода. Код, полученный в результате считывания, сравнивается с зарегистрированным в системе, и при их совпадении система снимает блокировку доступа. Время сканирования не превышает двух секунд.
Устройства фотоидентификации (рис. 21-5)
работают по принципу сравнения создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера. Они же могут осуществлять идентификацию подписей и отпечатков пальцев. В качестве примера приведём систему обработки изображений NexSentry.
Одной из главных мер защиты от утечки информации в компьютерных сетях является установление специальных технических средств, которые называются
Firewalls (в переводе с английского это звучит как «огненная стена»). Часто под этим термином подразумевают «противопожарные перегородки», «защитный барьер» или брандмауэр. Их назначение заключается в воспрепятствовании проникновению злоумышленника в информацию на носителях пользователя, то есть внешняя защита. Это устройство располагают между внутренней локальной сетью организации и Интернетом для ограничения трафика, пресечения попыток несанкционированного доступа к внутренним ресурсам организации.
Современные брандмауэры выполняют также функции «отсечения» от пользователей корпоративных сетей незаконной и нежелательной для них корреспонденции, передаваемой по электронной почте, ограничивая, таким образом, возможность получения избыточной информации и так называемого «мусора» (спама).
Другим техническим устройством, способным эффективно осуществлять защиту в компьютерных сетях, является маршрутизатор, осуществляющий организацию фильтрации пакетов данных при их прохождении через шлюзовые системы. Модули фильтрации пакетов (PFM – Packet Filter Module) анализируют все входящие и исходящие
462
пакеты в соответствии с правилами, установленными сетевым администратором. Для этого ведётся регистрационный журнал, и все неразрешенные данные отбрасываются. В данном случае появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осуществляя детальный контроль над адресами отправителя и получателя. Таким же образом можно ограничить доступ всем или определённым категориям пользователей к различным серверам, например, ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).
Защита может осуществляться не только на уровне локальных сетей организаций, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы, например, разработка ЗАО РФК – «Аккорд». В её состав входят следующие технические средства:
1.Плата контроллера с собственным ПЗУ для идентификации и аутентификации пользователя.
2.Специальное контрольное устройство-считыватель (типа Touch Memory), к которому пользователь должен прикоснуться идентификатором.
3.Идентификаторы (специальные малогабаритные пульты-ключи типа Touch Memory).
Считыватели, как правило, представляют собой простейшие контактные устройства и обладают высокой надёжностью.
Устройства Touch Memory – специальная малогабаритная (размером с батарейку в виде таблетки) электронная карта в корпусе из нержавеющей стали, внутри которой расположена микросхема с электронной памятью для установления уникального номера длиной в 48 бит, а также хранения Ф.И.О. пользователя и другой
Рис. 21-6. дополнительной информации. Такую карту можно носить на брелке с ключами (рис. 21-6) или разместить на пластиковой карточке сотрудника. Подобные устройства
используются в домофонах для осуществления беспрепятственного открытия двери подъезда. Touch Memory относится к контактному типу электронных карт, бесконтактные же получили название «Proximity».
Вопросы для самопроверки:
1.Что такое компьютерный вирус?
2.Назначение компьютерного вируса?
3.Типы вирусов.
4.Программные средства защиты – антивирусные программы (характеристика).
5. Безопасность программно-технических средств и
463