Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdf•обеспечения конфиденциальности и целостности всей пе редаваемой порции, включая служебные поля.
Туннелирование может применяться как на сетевом, так и прикладном уровнях. Например, стандартизовано туннелирова ние для IP и двойное конвертование для почты Х.400.
Комбинация туннелирования и шифрования (с необходимой криптографической инфраструктурой) на выделенных шлюзах позволяет реализовать такое важное в современных условиях за щитное средство, как виртуальные частные сети. Такие сети, наложенные обычно поверх Internet, существенно дешевле и го раздо безопаснее, чем действительно собственные сети органи зации, построенные на выделенных каналах. Коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об уязвимости и соответственно обеспечивать защиту. Современные протоколы, направленные на поддержку классов обслуживания, помогут га рантировать для виртуальных частных сетей заданную пропуск ную способность, величину задержек и т. п., ликвидируя тем са мым единственное на сегодняшний день реальное преимущест во сетей собственных.
Обнаружение отказов и оперативное восстановление относит ся к числу сервисов, обеспечивающих высокую доступность (го товность). Его работа опирается на элементы архитектурной безопасности, а именно на существование избыточности в аппа ратно-программной конфигурации.
В настоящее время спектр программных и аппаратных средств данного класса можно считать сформировавшимся. На программ ном уровне соответствующие функции берет на себя программное обеспечение промежуточного слоя. Среди аппаратно-программ ных продуктов стандартом стали кластерные конфигурации. Вос становление производится оперативно (десятки секунд, в крайнем случае, минуты) прозрачным для приложений образом.
Важно отметить, что обнаружение отказов и оперативное восстановление может играть по отношению к другим средствам безопасности инфраструктурную роль, обеспечивая высокую го товность последних. Это особенно важно для межсетевых экра нов, средств поддержки виртуальных частных сетей, серверов ау тентификации, нормальное функционирование которых крити чески важно для корпоративной информационной системы в целом. Такие комбинированные продукты получают все более широкое распространение.
Резервное копирование информации. Резервное копирование
{англ. backup) — процесс создания копии данных на носителе (жестком диске, дискете и т. д.), предназначенный для восста новления данных в оригинальном месте их расположения в слу чае их повреждения или разрушения.
Резервное копирование необходимо для возможности быст рого и недорогого восстановления информации (документов, программ, настроек и т. д.) в случае утери рабочей копии ин формации по какой-либо причине.
Требования к системе резервного копирования:
•надежность хранения информации. Обеспечивается дубли рованием информации и заменой утерянной копии другой в случае уничтожения одной из копий;
•простота в эксплуатации — автоматизация (по возможно сти минимизировать участие человека, как пользователя, так и администратора);
•быстрое внедрение (легкая установка и настройка программ, создание скриптов, краткое обучение пользователей).
Вид ы р е з е р в н о г о копиров ания:
• п о л н о е р е з е р в и р о в а н и е (Full Backup) -- обычно за трагивает всю систему и все файлы. Еженедельное, ежемесяч ное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное резервирование долж но быть полным резервированием, обычно выполняемым по выходным дням, в течение которого копируются все защи щаемые файлы. Последующие резервирования, выполняе мые, например, ежедневно, до следующего полного резерви
рования, могут |
быть д о б а в о ч н ы м и или д и ф ф е р е н |
ц и а л ь н ы м и , |
главным образом для того, чтобы сохранить |
время и место на носителе. Полное резервирование обычно рекомендуется проводить, по крайней мере, еженедельно;
• д и ф ф е р е н ц и а л ь н о е р е з е р в и р о в а н и е (Differential Backup) — каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления. Все, что необходимо, это послед няя полная и последняя дифференциальная резервная ко пия. Популярность дифференциального резервирования растет, так как все копии файлов делаются в определенные моменты времени, что, например, очень важно при зараже нии вирусами;
• д о б а в о ч н о е р е з е р в и р о в а н и е (Incremental Backup). При добавочном («инкрементальном») резервировании про исходит копирование только тех файлов, которые были из менены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее до бавочное резервирование добавляет только файлы, которые были изменены с момента предыдущего добавочного резер вирования. В среднем, добавочное резервирование занимает меньше времени, так как копируется меньшее количество файлов. Однако процесс восстановления данных занимает больше времени, так как должны быть восстановлены дан ные последнего полного резервирования, плюс данные всех последующих добавочных резервирований. При этом, в от личие от дифференциального резервирования, изменив шиеся или новые файлы не замещают старые, а добавляют ся на носитель независимо;
• п о ф а й л о в о е р е з е р в и р о в а н и е — запрашивается каждый индивидуальный файл и записывается на носитель. Всегда следует использовать предлагаемую опцию верифи кации. При верификации все копируемые с диска данные перечитываются с источника и проверяются или побайтно сравниваются с данными на носителе. Так как фрагменти рованные файлы на диске из-за большего количества вы полняемых операций поиска замедляют процесс резерви рования, то производительность можно обычно увеличить, производя регулярную дефрагментацию диска;
•о т о б р а ж а ю щ е е д у б л и р о в а н и е — делается своеоб разный «мгновенный снимок» диска и копируется на но ситель сектор за сектором. Процесс почти непрерывный, позволяющий резервирующему устройству работать с мак симальной производительностью. Отображающее дублиро вание обеспечивает быстрое восстановление всей системы. Многие системы отображающего дублирования также по зволяют восстанавливать отдельные файлы.
Схемы ротации. Для резервного копирования очень важным вопросом является выбор подходящей схемы ротации носителей (например, магнитных лент). Наиболее часто используют сле дующие схемы:
• о д н о р а з о в о е к о п и р о в а н и е (custom) является са мой простой схемой, поскольку оно вообще не предусмат ривает ротации носителей. Все операции проводятся вруч-
ную. Перед копированием администратор задает время на чала резервирования, перечисляет файловые системы или каталоги, которые нужно копировать. Эту информацию можно сохранить в базе, чтобы ее можно было использо вать снова. При одноразовом копировании чаще всего при меняется полное копирование;
• с х е м а «д ед — о т е ц — сы н» (Grandfather—Father—Son, GFS) имеет иерархическую структуру и предполагает ис пользование комплекта из трех наборов носителей. Раз в неделю делается полная копия дисков компьютера, еже дневно же проводится инкрементальное (или дифферен циальное) копирование. Дополнительно раз в месяц про изводится еще одно полное копирование. Набор для ежедневного инкрементального копирования называется «сыном», для еженедельного — «отцом» и для ежемесяч ного — «дедом»;
• с х е м а - « х а н о й с к а я б а шн я » (Tower Of Hanoi) получи ла свое название от древней восточной игры, в которой не обходимо переместить стопку дисков с одного колышка на другой, и маленький диск может быть помещен только на диск большего размера. В данной схеме многочисленные комплекты носителей сменяются в последовательности до бавочного и полного резервирования. Здесь для увеличения безопасности используется больше комплектов носителей, чем в GFS. Призвана устранить некоторые из перечислен ных недостатков, но, правда, она имеет свои собственные. Схема построена на применении нескольких наборов но сителей, их количество не регламентируется, хотя обычно ограничивается пятью-шестью. Каждый набор предназна чен для недельного копирования, как в схеме простой ро тации, но без изъятия п<* іных копий;
• с х е м а «10 н а б о р о в » , как следует из названия, рассчи тана на использование 10 наборов носителей. Период из 40 недель делится на десять циклов. В течение цикла за ка ждым набором закреплен один день недели. По прошест вии четырехнедельного цикла осуществляется сдвиг номера набора. Иными словами, если в первом цикле за понедель ник отвечал набор № 1, а за вторник — № 2, то во втором цикле за понедельник отвечает набор № 2, а за вторник — № 3. Такая схема позволяет равномерно распределить на грузку и, как следствие, износ между всеми носителями.
Перечислим основные типы носителей резервной копии:
•лента стримера — запись резервных данных на магнитную ленту;
•DVD или CD — запись резервных данных на компактдиски;
•HDD — запись резервных данных на НЖМД (жесткий диск компьютера);
•LAN — запись резервных данных на другую машину внут ри локальной сети;
•FTP — запись резервных данных на ҒТР-сервер;
•USB — запись резервных данных на USB-совместимое уст ройство (флэш-карта или внешний жесткий диск);
•ZIP, JAZ, МО — резервное копирование на дискеты ZIP, JAZ, МО.
Антивирусная защита. Методы обнаружения вирусов. Антиви русное программное обеспечение обычно использует две группы отличных друг от друга методов для выполнения своих задач:
•р е а к т и в н ы е — методы, основанные на поиске вредо носных объектов с помощью постоянно обновляемых баз приложения (сигнатур вирусов/атак). Для реализации дан ного метода необходимо хотя бы одно заражение, чтобы до бавить сигнатуру в базы и распространить обновление баз;
•п р о а к т и в н ы е — методы, в отличие от реактивной защи ты, строящиеся не на анализе кода объекта, а на анализе его поведения в системе. Такие методы нацелены на обнаруже ние новых угроз, информации о которых еще нет в базах.
О б н а р у ж е н и е , о с н о в а н н о е на с и г н а т у р а х / с л о в а р я х — антивирусная программа, сканируя проверяемый файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемой программы извест ному коду (сигнатуре) вируса в базах программа антивирус мо жет по запросу выполнить одно из следующих действий:
•удалить инфицированный файл;
•заблокировать доступ к инфицированному файлу;
•отправить файл в карантин (т. е. сделать его недоступным для выполнения с целью недопущения дальнейшего рас пространения вируса);
•попытаться восстановить файл, удалив сам вирус из тела файла;
•в случае невозможности лечения/удаления выполнить эту процедуру при перезагрузке.
Хотя антивирусные программы, созданные на основе сигна тур могут достаточно эффективно препятствовать вспышкам за ражения компьютеров, авторы вирусов стараются держаться впе реди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определе нием в словаре вирусов.
О б н а р у ж е н и е а н о м а л и й п о в е д е н и я (другие назва ния: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System — HIPS). Антивирусы, использующие метод обнаружения подозрительного поведения программ, не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ.
Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий, как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предполо жить, что это программа — червь. К опасным действиям также относятся:
•изменения файловой системы;
•встраивание модулей в другие процессы;
•скрытие процессов в системе;
• изменение определенных ключей системного реестра MS Windows.
Внастоящее время подобные превентивные методы обнару жения вредоносного кода, в том или ином виде широко приме няются в качестве модуля антивирусной программы, а не от дельного продукта.
Вотличие от метода поиска соответствия определению виру са в антивирусных базах, метод обнаружения подозрительного поведения дает защиту от новых вирусов, которых еще нет в ан тивирусных базах. Однако программы или модули, построенные на этом методе, выдают также большое количество предупрежде ний (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям.
К л а с с и ф и к а ции а н т и в и р у с н ы х п р о г р а м м . Суще ствует несколько классификаций антивирусных программ. В со
ответствии с одной из них известные к настоящему времени ан тивирусные программы по функциональным признакам делятся на четыре класса:
•А — предупреждение заражения;
•Б — выявление последствий заражения;
•В — минимизация причиненного ущерба;
•Г — общего характера.
Программы класса А делятся на пять групп следующего на значения:
А1 — фильтры, следящие за операциями других исполняе мых программ и реагирующие на подозрительные действия;
А2 — резидентные детекторы и фаги, следящие за появлени ем в оперативной памяти конкретных вирусов и подающие при их появлении специальные сигналы оператору;
АЗ — иммунизаторы, изменяющие файлы и области оператив ной памяти таким образом, что вирус их после этого не заражает; А4 — разграничители доступа, ограничивающие распростра нение вирусов путем разграничения доступа к ресурсам ЭВМ, программам и массивам данных со стороны других программ и
пользователей; А5 — преобразователи параметров операционной среды, реа
лизующие изменение соглашений, принятых в операционной системе (форматы записей, команды, расположение системной информации и др.), недоступные разработчикам вирусов и тем самым препятствующие заражению ЭВМ.
Программы класса Б делятся на шесть групп следующего функционального назначения:
Б 1 — нерезидентные детекторы и фаги, осуществляющие просмотр запоминающих устройств, определяющие заражен ность файлов и дисков и организующие их лечение;
Б2 — программы проверки подозрительных характеристик, осуществляющие просмотр запоминающих устройств и выяв ление таких характеристик, которые могут говорить о наличии вируса в системе. К таким характеристикам относятся недо пустимые значения отдельных полей в заголовке файла, по дозрительные переходы, странные изменения в программах и т. п.;
БЗ — программы, осуществляющие просмотр файлов и но сителей, определение различных их характеристик (контрольные суммы, криптографические суммы, длины, даты и времена соз
дания и др.) и сравнение этих величин с эталонами в целях оп ределения возможного заражения;
Б4 — программы, осуществляющие слежение и регистрацию
всистемном журнале операций, осуществляемых на ЭВМ. При заражении анализ журнала помогает выявить источник зараже ния, характер поведения вируса;
Б5 — программы-ловушки («дрозофилы», уловители), специ ально выделяемые для заражения, которые, заражаясь, сигнали зируют о наличии вируса;
Б6 — программы автономной защиты файла, защищающие файлы от вирусов путем дописывания своей копии к защищае мым модулям.
Программы класса В (минимизирующие ущерб, причинен ный заражением) делятся на следующие три группы:
В1 — программы полного копирования, предназначенные для создания резервных копий программного обеспечения;
В2 — программы частичного копирования, предназначенные для копирования и восстановления наиболее уязвимых частей диска (Boot-сектор, FAT, корневое оглавление);
ВЗ — программы, прерывающие вычислительный процесс, т. е. осуществляющие принудительное прерывание вычислитель ного процесса в целях локализации распространения вируса.
Программы класса Г (общего назначения) предназначены не для прямой борьбы с вирусами, а для оказания помощи в этой борьбе. Эти программы делятся на пять групп следующего на значения:
Г1 — программы просмотра диска, позволяющие отображать значения каждого сектора, копировать одну физическую область
вдругую. Применяются для определения целостности отдельных частей диска, наличия вируса в файлах и внесения небольших изменений;
Г2 — программы, позволяющие искать на диске контекст определенного содержания. С их помощью можно найти участки кодов вирусов и пораженные ими секторы;
ГЗ — программы, позволяющие восстанавливать отдельные части диска;
Г4 — программы, реализующие просмотр состояния опе ративной памяти, состав и характеристики находящихся там модулей;
Г5 — программы, позволяющие упорядочить информацию на диске на физическом уровне по заранее заданному закону.
Существуют и другие подходы к этой классификации. Разли чают, например, следующие виды антивирусных программ:
•сканеры (устаревший вариант «полифаги») Определяют на личие вируса по БД, хранящей сигнатуры (или их кон трольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора;
•ревизоры — запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений;
•сторожа (мониторы) — отслеживают потенциально опас ные операции, выдавая пользователю соответствующий за прос на разрешение/запрещение операции;
•вакцины — изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже счи тал файл зараженным. В современных условиях, когда ко личество возможных вирусов измеряется десятками тысяч, этот подход затруднителен.
Некоторые из данных типов программ будут рассмотрены далее (гл. 4).
Контрольные вопросы
1. В чем со сто и т п р ед м ет и объекты защ иты и н ф о р м ац и и в ав то м ати зи р о в ан н ы х систем ах о б р а б о тк и и нф о р м ац и и (СО И )?
2. |
Что пред став л яю т собой элементы и объекты защ иты в СОИ? |
|
|
3 . |
Д а й те о п р ед е л е н и е |
и п ер еч и сл и те основны е д ес та б и л и зи р ую щ и е |
ф акторы |
|
СОИ? |
|
|
4 . |
П ер ечи сл и те каналы |
н е с а н к ц и о н и р о в а н н о го п ол учени я и н ф о р м ац и и |
в СОИ. |
5 . |
Н азо в и те п р ед н ам ер ен н ы е угрозы б езо п асн о сти СОИ. |
|
|
6 . |
В чем состоят ф у н кц и и неп о ср ед ств ен н о й защ иты и нф орм ац ии ? |
|
|
7 . |
Каковы методы п о д тв е р ж д е н и я под л и нн ости поль зов ателей и р азгр а н и ч е н и я |
||
|
их д о ступа к ком пью терны м ресурсам? Цели и методы ко нтрол я д оступа к а п |
||
|
пар атур е . |
|
|
8 . |
К а к и е р азн о в и д н о сти |
методов и сп ол ьзо вани я парол ей вам известны ? |
|
9 . |
П ер ечи сл и те методы |
и д ен ти ф и кац и и и устан о в л ен и я подли нн ости субъектов |
|
|
и разл и чн ы х объ ектов? |
|
|
1 0 . |
Каковы методы с в о ев р е м е н н о го о б н а р у ж е н и я н е с а н кц и о н и р о в ан н ы х д е й с т |
||
|
вий пол ь зов ателей? |
|
|
11 . |
П еречи сл ите способы о п р ед ел ени я м о д и ф и кац и й и нф о р м ац и и . |
|
|||||
1 2 . |
Н азо в и те методы р е ги стр ац и и действий |
поль зов ателей . |
|
||||
1 3 . |
Что пон им ается под и д ен ти ф и кац и ей и устано в л ени ем подли нн ости субъ екта |
||||||
|
(о б ъ екта)? |
|
|
|
|
|
|
1 4 . |
В чем |
закл ю ч ается суть и д ен ти ф и кац и и |
и устано в л ени я подли нности |
т е х н и |
|||
|
ч ески х средств? |
|
|
|
|
|
|
1 5 . |
П еречи сл ите р азн о в и д н о сти |
в р едо н о сн о го пр о гр ам м н о го о б е с п е ч ен и я . |
|||||
1 6 . |
К а к и е р азн о в и д н о сти вирусов вам известны ? |
|
|||||
1 7 . |
К а ки е виды ко м пью терны х чер вей вам известны ? |
|
|||||
1 8 . |
П еречи сл ите виды |
атак в In te r n e t. |
|
|
|||
1 9 . |
О бъясните суть п р е о б р азо в а н и й |
— пер естан о в ка и зам ен а . |
|
||||
2 0 . |
П ри вед ите п р и м ер таб л и чн о й |
п ер естан о в ки с и сп ользо вани ем кл ю ч ев о го |
|||||
|
слова. |
|
|
|
|
|
|
2 1 . |
Что та к о е ключ? |
|
|
|
|
|
|
2 2 . |
Что из себя п р ед став л яет кр иптосистем а? |
|
|||||
2 3 . |
К а к и е основны е типы кр иптосистем вы знаете? |
|
|||||
2 4 . |
Что из себя п р ед став л яет си м м етр ичная |
кр и п то гр аф и ч еская систем а? |
|
||||
2 5 . |
О бъ ясните суть ал го р и тм а DES и у к а ж и т е |
на его о со б ен н о сти . |
|
||||
2 6 . |
Д а й те |
о п и с а н и е |
алгоритм а |
кр и п то гр а ф и ч е с ко го п р ео б р азо в ан и я |
данны х |
||
|
(ГОСТ 2 8 1 4 7 — 9 0 ) |
и его отличительны х о с о б е н н о с те й . |
|
||||
2 7 . Для ка к и х целей п ри м еняю тся случайны е последовательности и просты е ч и с
|
ла в кр и п то гр аф и и ? |
|
2 8 . |
Чем отли чается кр и п то гр а ф и ч е с ка я |
систем а с откры ты м клю чом? |
2 9 . |
В чем закл ю ч ается суть э л е ктр о н н о й |
циф ровой подписи? |
3 0 . |
К а к п ро веряется целостность сообщ ени я? |
|
3 1 . |
В чем отл и чие ауд ита от а кти в н о го аудита? |
|
3 2 . |
К а ки е методы р е зе р в и р о в а н и я данны х вам известны ? |
|
3 3 . |
Н азо в и те основ ны е типы анти в ирусны х про гр ам м . |
|
Задания для дешифровки текстов, зашифрованных методами перестановки
1 . |
И зр е ч е н и е н е м е ц ко го ф илософ а Ф ри д риха Н иц ш е: |
|
ОЬТСО Н Й А Ч У ЛСВТЯ РЕВЕН ИЛЕТИ ДЕБОП |
2 . |
И зр е ч е н и е н е м е ц ко го у ч е н о го -гу м а н и с та Эразма Р о ттер д ам ско го : |
|
ЙЫ ТЫ Р КСТНА ЛАТЕН ТЕАДЗ О С И И Ц АТУПЕ Р 0 0 0 0 |