Основы ИБ

через 1, 2 этажа от места установки аппаратуры съема информации. В общем случае, в за-

висимости от конструкции здания и качества выполнения стыков между его элементами,

затухание на стыках варьируется в пределах от 1-ьЗ дБ до Юн-15 дБ. Отсюда следует важная тактическая особенность и повышенная опасность виброакустического канала утечки информации - перехват информации возможен не только из смежных помещений,

но и из помещений значительно удаленных от источника информации.

в) Некоторые элементы строительных конструкций, как и в случае рассмотре-

ния акустического канала, представляют собой волноводы вибрационных колебаний. К

ним относятся трубы различных коммуникаций (отопления, водоснабжения, электропита-

ния и пр.). Как и в случае воздушных волноводов, значительная разница в величинах аку-

стического сопротивления материала труб и окружающей среды составляет

=48 .

и создаются условия волноводного распространения сигналов на значительные расстояния. Данный канал становится особенно опасным, если трубопровод соединен с какой-то жесткой и развитой поверхностью, которая играет роль согласующего элемента при передаче энергии из воздуха в трубопровод. Таким согласующим элементом, напри-

мер, являются современные легкие радиаторы отопления.

Таким образом, учитывая высокую важность речевой информации и рассмотрен-

ные возможности ее несанкционированного съема, необходимо рассмотреть всесторонние меры и средства защиты речевой информации.

5.8. Способы противодействия утечке по техническим каналам На любом объекте ВТ, где требуется обеспечение безопасности обрабатываемой

информации, необходимо внедрение целого комплекса соответствующих мер и средств,

т.е. создание комплексной системы ее защиты. Комплексная система защиты информации

(КСЗИ) должна обеспечивать блокирование всех существующих угроз безопасности ин-

формации, в том числе и от утечки по техническим каналам.

Организационно-технические меры и технические средства противодействия ТР подразделяются на меры и средства, направленные на блокирование каналов ПЭМИН, и

меры (поисковые работы), служащие для выявления закладок[5.6].

Далее в качестве примера будут рассматриваться только организационно-

технические меры и технические средства, направленные на блокирование каналов ПЭМИН.

К ним можно отнести:

5

- своевременное (перед началом обработки защищаемой информации) включение средств защиты (имеются в виду средства, требующие таких действий, например, средст-

ва активной защиты информации);

-контроль работоспособности средств защиты, требующих включения (наличие соответствующей индикации), в процессе обработки защищаемой информации;

-проведение технического обслуживания средств защиты (при необходимости) и

т.п.

Все рассматриваемые меры и средства защиты информации от утечки по каналам ПЭМИН можно разделить на объектовые и локальные. Первые действуют по отношению ко всем компонентам защищаемого объекта ВТ или по отношению к определенной части этих компонентов, вторые по отношению к отдельным компонентам объекта.

Обработка информации, ведение переговоров, совещаний со сведениями, состав-

ляющими государственную тайну, должны проводиться в выделенных помещениях (ВП).

К основным мероприятиям по защите информации от ее утечки в выделенных по-

мещениях относятся:

1.Категорирование выделенных помещений в зависимости от важности и условий обмена (обработки) информации, составляющей государственную тайну, в соответствии с нормативными документами ФСТЭК России.

2.Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях (далее сотрудники, ответственные за безопас-

ность информации).

3.Разработка для выделенных помещений частных инструкций по обеспечению безопасности информации в помещениях.

4.Обеспечение эффективного контроля доступа в выделенные помещения, а также

всмежные помещения.

5.Инструктирование сотрудников, работающих в выделенных помещениях о пра-

вилах эксплуатации ЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по защите информации.

6. Проведение в ВП обязательных визуальных (непосредственно перед совещания-

ми) и инструментальных (перед ответственными совещаниями и периодически) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ВП.

7. Исключение неконтролируемого доступа к линиям связи, управления сигнализа-

ции в ВП, а также в смежные помещения и в коридор.

6

8. Оснащение телефонных аппаратов ГАТС, расположенных в выделенных поме-

щениях, устройствами высокочастотной развязки и подавления слабых сигналов типа

“Гранит”, “Корунд-М” и поддержание их в работоспособном состоянии. Оснащение теле-

фонов ГАТС в ВП и телефонов основных абонентов специальными шифраторами

(скремблерами).

9. Исключение применения в выделенных помещениях технических средств и ап-

паратуры, не прошедших специсследований, спецпроверки и не разрешенных для исполь-

зования в данном помещении.

10. Осуществление сотрудниками, ответственными за безопасность информации,

контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

11.Обеспечение требуемого уровня звукоизоляции входных дверей ВП.

12.Обеспечение требуемого уровня звукоизоляции окон ВП

13.Демонтирование или заземление (с обеих сторон) лишних (незадействованных)

вВП проводников и кабелей.

14.Отключение при проведении совещаний в ВП всех неиспользуемых электро- и

радиоприборов от сетей питания и трансляции.

15.Выполнение перед проведением совещаний следующих условий:

окна должны быть плотно закрыты и зашторены;

двери плотно прикрыты;

в ВП первой и второй категории защиты должны быть включены системы активно-

го зашумления.

Рассматриваемые меры и средства могут быть универсальными, предназначенными для эффективной защиты информации от утечки по всем основным типам каналов ПЭМИН и неуверсальными, служащими для эффективного блокирования отдельных ти-

пов каналов или части каналов этих типов.

Все рассматриваемые меры и средства можно разделить также на основные и вспомогательные. Основные меры и средства обеспечивают (сами по себе) достаточно эффективную защиту или входят в число обязательных элементов внедряемого комплекса мер и средств, который эффективен в целом. При этом такая защита должна приводить к ликвидации как минимум одного канала возможной утечки информации.

К основным мероприятиям по защите информации в ОТСС и ВТСС относятся:

1.Проведение категорирования образцов ОТСС.

2.Обеспечение при эксплуатации ОТСС контролируемой зоны, радиус которой оп-

ределяется категорией ОТСС и размерами опасной зоны.

7

3. Размещение ВТСС (телефонных аппаратов, громкоговорителей и т.п.) за преде-

лами зоны, в которой возможно создание электромагнитными излучениями работающих ОТСС наводок информативного сигнала на ВТСС. При невозможности выполнения этого требования для телефонных аппаратов их следует оснастить безразрывными розетками и отключать от телефонной сети на период обработки информации, составляющей государ-

ственную или служебную тайну.

4. Размещение телефонных линий, сетей электропитания, сигнализации и т.п. (“распределенных антенн”), имеющих выход за границы контролируемой зоны, в местах,

где не создаются наводки электромагнитных излучений защищаемых ОТСС. При невоз-

можности выполнения этого требования для конкретной линии ее следует демонтировать

(перенести), заземлить с обеих сторон или зашунтировать емкостью.

5. Оборудование помещений, в которых эксплуатируются ОТСС системой схемно-

го заземления, осуществляемой по схеме “ветвящегося” дерева, не имеющей замкнутых контуров.

6. Обеспечение электропитания ОТСС от автономного источника питания, распо-

ложенного в пределах контролируемой зоны, (трансформаторной подстанции с заземлен-

ной нулевой точкой, системы “двигатель-генератор”), либо от городской сети электропи-

тания с использованием развязывающих фильтров для подключения ОТСС к сети элек-

тропитания.

7. При невозможности обеспечения контролируемой зоны заданных размеров ре-

комендуется одно из следующих мероприятий:

7.1. Проведение частичной экранировки помещения. В первую очередь подлежат экранировке наиболее распространенные элементы: окна, двери, вентиляционные и дру-

гие отверстия в стенах, полу и потолке помещения. В случае необходимости, проводится экранировка стен, пола и потолка.

7.2. Применение систем пространственного зашумления (СПЗ) для создания шумо-

вого электромагнитного поля в районе размещения защищаемого ОТСС.

8. Применение средств линейного электромагнитного зашумления линий электро-

питания, радиотрансляции, заземления, связи для создания шумовых напряжений в токо-

проводящих коммуникациях, имеющих выход за пределы контролируемой зоны.

8

6 ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

(КОМПЬЮТЕРНЫЕ ВИРУСЫ)

6.1 Компьютерные вирусы как вид информационно-программного оружия

Защита информации от НСД, использование криптографических методов и проти-

водействие утечкам по техническим каналам является классическим, но далеко не полным перечнем аспектов противоборства между легальными пользователями компьютерных систем и нарушителями их информационной безопасности.

Согласно всем аналитическим и статистическим обзорам последних лет наиболее опасными стали компьютерные атаки путем скрытого внедрения в программно-

техническую и телекоммуникационную среду вредоносного программного обеспечения, в

том числе так называемых компьютерных вирусов. Результат таких атак по уровню своего разрушительного воздействия, как правило, значительно превосходит ущерб вследствие разглашения или утечки конфиденциальной информации, так как связан с блокированием,

модификацией и даже с полным уничтожением информационных ресурсов.

При коренном изменении мирового информационного пространства, во-первых,

как глобального фактора развития цивилизации, во-вторых, базирующегося на новейших информационных технологиях и, прежде всего, на развитых сетевых архитектурах ин-

формационного взаимодействия, вредоносное программное обеспечение, вирусы, исполь-

зующие уязвимости программно-технической и телекоммуникационной среды АС, стано-

вятся одним из основных видов оружия в условиях нового явления – информационной войны.

Информационная война определяется как широкомасштабное противоборство в информационной сфере, осуществляемое путѐм явного или скрытного информационного воздействия на противника с целью навязывания требуемого для воздействующей сторо-

ны решения [6.6].

Необходимо выделить два аспекта информационной войны:

технико-технологический аспект – влияние и противоборство в технических ин-

формационно-телекоммуникационных системах и автоматизированных системах управ-

ления;

социально-политический аспект – влияние и противоборство в социальных систе-

мах различного вида деятельности, а также при решении политических вопросов путѐм влияния на отдельных людей и социум в целом.

9

Проблемы, связанные с социально-политическим аспектом, в последнее время формируются в отдельное направление обеспечения информационной безопасности - ин-

формационно-психологическую безопасность [6.7] как частный аспект проблемы защиты от информации.

Технико-технологический аспект связан, прежде всего, с понятием информацион-

но-программного оружия.

Информационно-программное оружие (ИПО) – специальные средства разрушаю-

щего воздействия, направленного на аппаратное и программное обеспечение АС, на ин-

формацию (данные), в том числе на средства защиты информации компьютерных систем и сетей [6.5]. Факт применения информационно-программного оружия именуется компь-

ютерной атакой.

Основным средством информационно-программного поражения является про-

граммная или аппаратная закладка, внедряемая либо путѐм инфицирования (заражения)

программно-аппаратной среды, либо внедренная специальным скрытым способом.

Условно можно выделить следующие основные виды вредоносного программного продукта как информационно-программного оружия:

компьютерные вирусы;

компьютерные черви;

программы типа «троянский конь»;

программные закладки.

Иногда к информационно-программному оружию относят и аппаратные закладки,

если они имеют внутреннюю программную составляющую.

Компьютерные вирусы и черви, являясь программными компонентами, обладают свойствами самовнедрения в программную среду АС и саморепродукции (самовоспроиз-

ведения) в ней. Отличие между ними состоит в том, что компьютерные вирусы внедряют-

ся в АС вместе с заражѐнной программой-носителем. Компьютерные черви, обладая спо-

собностью саморепродукции путѐм повторного дублирования, являются самостоятельны-

ми программами (кодами с набором команд), способными скрыто внедряться в программ-

но-техническую среду. Иногда их называют сетевыми вирусами, так как основной путь их внедрения – информационное взаимодействие систем через внешние телекоммуникаци-

онные сети.

Программы типа «троянский конь», не обладая свойством саморепродукции, мас-

кируются под обычные прикладные программы, но дополнительно могут выполнять не-

санкционированные операции и процедуры.

10

Программные закладки – преднамеренно или случайно оставленные в программно-

технической среде скрытые внедрения, позволяющие изменить политику информацион-

ной безопасности, а также выполнять недекларированные действия. К этому виду отно-

сятся и специфические фрагменты среды (логические люки), обеспечивающие скрытое внедрение и изменение работы средств защиты уже в процессе функционирования АС.

Наиболее распространѐнным видом информационно-программного оружия явля-

ются компьютерные вирусы.

Вирусные атаки, то есть внедрение вирусных программ в информационные и управляющие системы как гражданского, так и военного назначения, можно рассматри-

вать как специфическую форму информационной войны, называемую вирусным подавле-

нием [6.4]. Вирусное подавление может применяться для достижения таких целей как:

скрытое изменение функций системы;

вывод системы из строя;

разрушение файлов данных и прикладных программ.

Процесс развития современных автоматизированных систем, как военного, так и гражданского применения, как правило, приводит к возрастанию их уязвимости для ком-

пьютерных вирусов. Действительно, современные автоматизированные системы имеют характерные основные особенности:

расширение применения распределенной цифровой обработки информации;

использование перепрограммируемых встроенных ЭВМ и сетей связи;

стандартизация ЭВМ, программного обеспечения, форматов сообщений,

каналов и процедур передачи данных.

При этом следствием первой особенности является значительное расширение дос-

тупности различных компонентов вычислительной системы для злоумышленников. Вто-

рая особенность приводит к большей доступности перепрограммируемых запоминающих устройств и сетей обмена, что провоцирует, например, такой способ поражения АС, как изменение маршрутов обмена. Наконец, третья особенность современных систем создает благоприятные условия для использования стандартных программ вирусного подавления.

Основными каналами внедрения компьютерных вирусов являются телекоммуника-

ционные системы информационного обмена и отчуждаемые носители информации, кото-

рые используются в АС без предварительного входного антивирусного контроля.

6.2 Общее описание компьютерных вирусов

11

С начала 80-х годов в ведущих промышленно развитых странах наметился рост публикаций об относительно маленьких саморепродуцирующихся программах, названных компьютерными вирусами [6.8]. Компьютерный вирус, однажды внесенный в систему,

может распространяться самостоятельно и лавинообразно и в зависимости от цели зара-

жения может нанести существенный вред информации и программному обеспечению.

Приблизительно до середины двадцатого столетия было распространено мнение,

что саморепродукция, также как мутация, может встречаться как элементарный процесс естественного развития только для живой материи. Следует отметить, что общепринятые положения теории развития, в которых биологические процессы рассматриваются как особый случай, до настоящего времени не содержат глубоких исследований процесса са-

морепродукции искусственных систем. В то же время Джон фон Нейман, исследуя логи-

ческий аспект саморепродукции, поставил вопрос: "Можно ли принципиально проектиро-

вать автоматы, которые сами репродуцируются или конструируют совершенно новые ав-

томаты?". И в 1951 году ответил на него положительно, описав соответствующий метод. В

дальнейшем на этой основе были открыты саморепродуцирующиеся компьютерные про-

граммы.

Не вдаваясь в теорию таких программ, отметим, что саморепродуцирующаяся про-

грамма в состоянии производить свои собственные копии и располагать их в других про-

граммах или в памяти компьютера. Главное условие для этого универсальная интерпре-

тация данных в вычислительных системах. В этом случае программа может интерпрети-

ровать команды как данные, при этом ее собственные программные коды используются в качестве входных и выходных данных.

Вид саморепродуцирующихся программ был представлен впервые в 1984 году Ф.

Коэном [6.2]. На основе сходства определѐнных свойств этой программы с биологическим вирусом она и была названа компьютерным вирусом.

Сообщение Ф. Коэна, сделанное на 7-й конференции по безопасности информации,

проходившей в США в 1984 году, в то время не нашло отклика у специалистов по инфор-

мационным технологиям. Они не придали ему большого значения. Однако сообщения о фактах проявления компьютерных вирусов стали появляться уже в 1985 году. В мае 1985

г. вследствие вирусной атаки во время голосования в конгрессе США вышла из строя компьютерная система подсчета голосов. В сентябре 1985 г. вирус, написанный Д. Г. Бур-

лесоном, уничтожил за два дня более 160 тысяч платежных записей. Начиная с 1987 года,

количество сообщений о вирусных проявлениях резко увеличилось. Описания фактов за-

ражения компьютерными вирусами, в том числе и с достаточно серьезными последствия-

ми, практически не сходят со страниц западной прессы.

12

С 1987 года начали фиксироваться факты появления компьютерных вирусов и в нашей стране. На первой Всесоюзной научно-технической конференции "Методы и сред-

ства защиты от компьютерных вирусов в операционной системе MS DOS" (Киев, ноябрь

1990 г.) была приведена статистика выявления вирусов на территории СССР: 1987г. – 8;

1988 г. – 24; 1989 г. – 49; 1990 г. (осень) – 75.

Весьма примечательной является статистика, представленная Национальной ассо-

циацией по компьютерной защите США за 2006 год:

63 % опрошенных респондентов подверглись вирусной атаке;

предполагаемые потери американского бизнеса от компьютерных вирусов составили четыре миллиардов долларов;

идентифицировано более 25000 вирусов;

каждый месяц появляются более 50 новых компьютерных вирусов;

в среднем от каждой вирусной атаки страдает 142 персональных компьюте-

ра, на отражение атаки в среднем уходит 2,4 дня;

для компенсации ущерба в 114 случаях требуется 5 дней.

Внастоящее время ежегодно в мире выявляется не менее тысячи компьютерных

вирусов.

Прежде всего, необходимо дать более точное определение компьютерного вируса.

Компьютерным вирусом называется часть заражѐнной программы-носителя (набор ко-

дов), которая может «заражать» другие программы, включая в них свою копию (возможно модифицируя их) и выполнять деструктивные функции в системе, а эта копия в свою оче-

редь также способна к дальнейшему размножению [6.3].

Таким образом, компьютерный вирус обладает двумя основными функциями: спо-

собностью к саморепродукции и способностью осуществлять определенные манипуляции в вычислительной системе [6.1]. Как и биологический вирус, который только при наличии основной клетки может стать активным, компьютерный вирус связан с программой-

носителем. Особенность саморепродукции компьютерных вирусов заключается в том, что их копии вводятся в другую выполняемую программу лишь тогда, когда с помощью отли-

чительного признака устанавливается, что эта программа еще не содержит копий. При этом инфицированная программа переносит копию вируса в другие «чистые» программы и этим продолжает процесс его распространения.

Заражая программы, компьютерный вирус может распространяться по компьютер-

ной системе или сети, используя полномочия пользователей для заражения их программ.

13

Представим, исходя из этого, обобщенную структуру и схему функционирования компьютерного вируса V (рисунок 6.1), рассмотрев самый простой вариант его построе-

ния: вирус файловый, поражающий пользовательские программы, после инфицирования программы он уничтожает еѐ как функциональный элемент системы.

Рис.6.1. Схема функционирования компьютерного вируса

Сам вирус включает в себя следующие типы наборов кодов:

M – признак вируса;

VIR – ядро вируса;

WOR - обрабатывающая задача.

Признак вируса M – это характерная для данного вируса команда передачи управ-

ления.

Ядро вируса VIR – программные коды, реализующие инфицирование (размноже-

ние) как основную функцию вируса.

Обрабатывающая задача WOR реализует деструктивные функции, которые могут быть безобидными или опасными, вплоть до уничтожения данных, порчи оборудования или разрушения среды функционирования.

14