- •1. Информатика.
- •. Структура информатики
- •2. Информация. Передача информации. Информационные каналы.
- •3. Классификация информации. Методы получения информации. Свойства информации.
- •По способу восприятия
- •По форме представления
- •По предназначению
- •Свойства информации
- •4. Измерение информации. Меры информации. Подходы к определению количества информации.
- •5. Системы счисления. Перевод целых числе из десятичной системы в двоичную и обратно.
- •Существуют позиционные и непозиционные системы счисления.
- •Системы счисления, используемые при работе с эвм Двоичная система счисления
- •6. Арифметические операции в позиционных системах счисления.
- •История возникновения пк. Поколения компьютеров. Архитектура фон Неймана.
- •8. Аппаратное обеспечение пк
- •12. Память компьютера, озу, пзу, сменные носители.
- •13. Устройства для постоянного хранения и переноса информации
- •9. Процессор. Материнская плата. Жесткий диск
- •Состав материнской платы
- •Устройства ввода-вывода
- •Матричные (игольчатые) принтеры
- •Струйные принтеры (Ink Jet)
- •Лазерные принтеры
- •14. Программное обеспечение пк. Назначение. Типы
- •15. Системное программное обеспечение. Операционные системы.
- •Сервисное программное обеспечение
- •18. Файловая система пк.
- •19. Компьютерная графика. Растровая графика. Векторная графика.
- •16. Вредоносные программы. Классификация
- •21. Безопасность информации.
- •Основные понятия
- •Классификация угроз информационной безопасности
- •22. Правовые основы информационной безопасности. Шифрование. Эцп
- •Глава 28. «Преступления в сфере компьютерной информации» содержит три статьи:
- •20. Алгоритмизация и программирование
- •Базовые алгоритмические структуры (типы алгоритмов)
- •Чем отличается программный способ записи алгоритмов от других
- •23. Компьютерные сети. Топология сетей
- •Основные понятия
- •Аппаратные средства
- •Топология локальных сетей
- •Аппаратные средства
- •Беспроводные сети.
- •26. Эталонная модель osi
- •Физический уровень
- •Канальный уровень
- •Сетевой уровень
- •Транспортный уровень
- •Сеансовый уровень
- •Прикладной уровень
- •Краткие итоги
- •25. Стек протоколов tsp/ip
- •21. Понятие ip-адреса. Классы сетей. Адресация компьютеров
- •Три схемы адресации узлов.
- •Сетевая маска
- •27. Internet. Сервисы Internet.
- •Пространство доменных имен
- •Сервисы Интернет
16. Вредоносные программы. Классификация
Вредоносная программа - это программа, наносящая какой-либо вред компьютеру, на котором она запускается, или другим компьютерам в сети.
Поскольку мало пользователей в здравом уме добровольно поставят себе на компьютер заведомо вредоносную программу, их авторы вынуждены использовать различные обманные методы или специальные технологии для несанкционированного проникновения в систему. Следовательно, классифицировать вредоносные программы удобно по способу проникновения, размножения и типу вредоносной нагрузки.
Все вредоносные программы в соответствии со способами распространения и вредоносной нагрузкой можно разделить на четыре основные типа - компьютерные вирусы, черви, трояны и другие программы.
Так исторически сложилось, что термином "компьютерный вирус" часто называют любую вредоносную программу. Это обусловлено в первую очередь тем, что первые широко известные вредоносные программы были именно вирусами и в течение следующих десятилетий число вирусов значительно превышало количество всех остальных вредоносных программ вместе взятых.
Основная черта компьютерного вируса - это способность к саморазмножению.
Компьютерный вирус- это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:
Проникновение на чужой компьютер
Активация
Поиск объектов для заражения
Подготовка копий
Внедрение копий
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы - заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.
После проникновения следует активация вируса. Это может происходить несколькими путями и в соответствии с выбранным методом вирусы делятся на такие виды:
Загрузочные вирусы заражают загрузочные сектора жестких дисков и мобильных носителей.
Файловые вирусы - заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют:
Классические файловые вирусы - они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы
Макровирусы, которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word
Скрипт-вирусы, написанные в виде скриптов для определенной командной оболочки - например, bat-файлы для DOS или VBS и JS - скрипты для Windows Scripting Host (WSH)
Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix. Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.
При подготовке своих вирусных копий для маскировки от антивирусов могут применять такие технологии как:
Шифрование - в этом случае вирус состоит из двух частей: сам вирус и шифратор.
Метаморфизм - при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительного, обычно ничего не делающих команд.
Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.
Основные цели любого компьютерного вируса - это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера). Специальные действия нередко оказываются вредоносными.
Черви В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь". Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом. Жизненный цикл червей состоит из таких стадий:
В зависимости от способа проникновения в систему черви делятся на типы:
После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии. Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса). Трояны Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Троян (троянский конь) - программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе. Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет. Следовательно, жизненный цикл троянов состоит всего из трех стадий:
Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну. После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему. Поскольку главная цель написания троянов - это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки:
Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы - организаторы DDoS-атак. Другие вредоносные программы Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы. Это в первую очередь:
17. Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
Краткий обзор.
AVP (Antiviral Toolkit Pro, Kaspersky Antivirus, www.kaspersky.ru) – с помощью программ лаборатории Касперского пресекаются все возможные пути проникновения вирусов в компьютер пользователя, включая Интернет, электронную почту, дискеты и т.д. Здесь используются все типы антивирусной защиты – сканеры (AVP-сканер), мониторы (AVP-монитор), поведенческие блокираторы и ревизоры изменений. Dr. WEB (www.drweb.ru) – не менее известный пакет от лаборатории Данилова. Это, в первую очередь, программа-полифаг, предназначенная для поиска и обезвреживания файловых, загрузочных и файлово-загрузочных вирусов. Ее отличает эвристический анализ (позволяет обнаружить вирусы, не известные ранее). Другие типы антивирусных средств (монитор, модуль для электронной почты) реализованы в виде отдельных программ. Norton Antivirus (www.symantec.com) – мощнейший антивирусный пакет фирмы Symantec, включающий в себя все типы антивирусных средств. Особенно надежную защиту пакет представляет от сетевых вирусов. Также достаточно хорошо развиты эвристические возможности программы и удобный и быстрый способ обновления антивирусных баз.
Dr Solomon’s AntiVirus (производитель: «Dr Solomon’s Software»).
Считается одним из самых лучших антивирусов (Евгений Касперский как-то сказал, что это единственный конкурент его AVP). Обнаруживает практически 100% известных и новых вирусов. Большое количество функций, сканер, монитор, эвристика и все что необходимо чтобы успешно противостоять вирусам.
McAfee VirusScan (производитель: «McAfee Associates»).
Это один из наиболее известных антивирусных пакетов. Очень хорошо удаляет вирусы, но у VirusScan хуже, чем у других пакетов, обстоят дела с обнаружением новых разновидностей файловых вирусов. Он легко и быстро устанавливается с использованием настроек по умолчанию, но его можно настроить и по собственному усмотрению. Вы можете сканировать все файлы или только программные, распространять или не распространять процедуру сканирования на сжатые файлы. Имеет много функций для работы с сетью Интернет.
Панда антивирус
Совершенный механизм обновлений антивирусных баз значительно укрепляет защиту персонального компьютера. Пользователи антивирусных программ могут получать круглосуточную техническую поддержку на сайте производителя. Межсетевые экраны Межсетевой экран (firewall) - это устройство управления доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Правильно сконфигурированный межсетевой экран является важнейшим устройством защиты. Однако он не сможет предотвратить атаку через разрешенный канал связи. Например, при разрешении доступа к веб-серверу с внешней стороны и наличии слабого места в его программном обеспечении межсетевой экран пропустит эту атаку, поскольку открытое веб-соединение необходимо для работы сервера. Межсетевой экран не защитит от внутренних пользователей, поскольку они уже находятся внутри системы. Под внутреннего пользователя может замаскироваться злоумышленник. Рассмотрим организацию, имеющую беспроводные сети. При неправильной настройке внутренней беспроводной сети злоумышленник, сидя на стоянке для автомобилей, сможет перехватывать данные из этой сети, при этом его действия будут выглядеть как работа пользователя внутри системы. В этом случае межсетевой экран не поможет. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности. Классификация межсетевых экранов Все межсетевые экраны можно разбить на три основных типа: пакетные фильтры (packet filter); серверы уровня соединения (circuit gateways); серверы прикладного уровня (application gateways). Все типы могут одновременно встретиться в одном брандмауэре. Фильтры пакетов Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются таблицы типа: Фильтры пакетов с контекстной проверкой Фильтры обрабатывают пакеты очень быстро, но их вряд ли можно признать идеальным средством защиты, так как они просматривают только некоторые поля в заголовке пакета. Другим типом межсетевых экранов, пионером в разработке которых была компания CheckPoint Software, является контекстная проверка сеансов между клиентами и серверами. Не ограничиваясь фильтрацией, межсетевые экраны этого типа перехватывают пакеты на сетевом уровне и принимают решения на основании высокоуровневой информации путем анализа данных в пакетах. Данные подразделяются на "хорошие" (данные, которые правила безопасности разрешают пропустить), "плохие" (данные, которые правила безопасности запрещают пропускать) и "неизвестные" (данные, для которых никаких правил не определено). Межсетевой экран с контекстной проверкой обрабатывает их следующим образом: данные, признаваемые хорошими, пропускаются; данные, признаваемые плохими, изымаются, а неизвестные данные фильтруются, т. е. по отношению к ним брандмауэр действует как фильтр пакетов. Еще одной сильной стороной технологии контекстной проверки является хорошая пропускная способность. Сервер уровня соединения Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много - соединение типа "один - много". Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. В частности, областью применения сервера уровня соединения может быть организация так называемых виртуальных частных сетей (VPN - Virtual Private Network). Обычно локальные сети (например, головной организации и ее филиалов) связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Развернув виртуальную частную сеть (VPN), компании могут создать соединение между межсетевыми экранами без дополнительных расходов на выделенные линии. Серверы прикладного уровня Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого экрана до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого экрана. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность централизованной аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает. При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик. Отметим положительные и отрицательные стороны данного типа межсетевых экранов: Межсетевой экран на основе двухпортового шлюза Межсетевой экран на базе двухпортового прикладного шлюза представляет собой хост с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и Интернетом размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Ее можно использовать для размещения доступного извне информационного сервера. Размещение информационного сервера увеличивает безопасность сети, поскольку даже при проникновении на него злоумышленник не сможет получить доступ к системам сети через шлюз с двумя интерфейсами. . Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме» Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны лишь межсетевому экрану и скрыты от внешних систем. Рассматриваемая схема организации межсетевого экрана относительно проста и достаточно эффективна. Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволяет выявить действия злоумышленников. Межсетевой экран на основе экранированного шлюза Межсетевой экран на основе экранированного шлюза обладает большей гибкостью по сравнению с межсетевым экраном, построенным на основе шлюза с двумя интерфейсами, однако эта гибкость достигается ценой некоторого уменьшения безопасности. Межсетевой экран состоит из фильтрующего маршрутизатора и прикладного шлюза, размещаемого со стороны внутренней сети. Прикладной шлюз реализуется на хосте и имеет только один сетевой интерфейс. Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост, перед ним окажутся незащищенными системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю. Межсетевой экран с экранированной подсетью Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между Интернетом и экранируемой подсетью, а внутренний — между экранируемой подсетью и защищаемой внутренней сетью. В экранируемую подсеть входит прикладной шлюз, а также могут включаться информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает высокий уровень безопасности благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Интернета. Внешний маршрутизатор защищает от вторжений из Интернета как экранированную подсеть, так и внутреннюю сеть. Внешний маршрутизатор запрещает доступ из Глобальной сети к системам внутренней сети и блокирует весь трафик к Интернету, идущий от систем, которые не должны являться инициаторами соединений. Внутренний маршрутизатор защищает внутреннюю сеть от несанкционированного доступа как из Интернета, так и внутри экранированной подсети. Кроме того, он осуществляет большую часть пакетной фильтрации, а также управляет трафиком к системам внутренней сети и от них. Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена. К его недостаткам можно отнести то, что пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности, поскольку из-за ошибок в их конфигурировании могут возникнуть провалы в системе безопасности всей сети. Кроме того, существует принципиальная возможность доступа в обход прикладного шлюза. Недостатки применения межсетевых экранов ежсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка. Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Помимо описанных выше достоинств межсетевых экранов имеется ряд ограничений в их использовании, а также существуют угрозы безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов:
Следует отметить, что межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.
В настоящее время все выпускаемые межсетевые экраны можно классифицировать по следующим основным признакам:
Довольно распространенная на сегодня защита корпоративной сети на основе маршрутизатора со списком доступа основывается на использовании специализированных маршрутизаторов. Данная схема обладает высокой эффективностью и достаточной степенью безопасности. В качестве такого решения получили широкое распространение маршрутизаторы компании Cisco серий 12000, 7600. Для подключения сети предприятия к Интернету можно также использовать предшествующие серии маршрутизаторов этой фирмы. Защита корпоративной сети на основе операционных систем, усиленных функциями пакетной фильтрации, построена на том, что системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др. По уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы. Распределенные межсетевые экраны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Такие виды деятельности, как попытки взлома и несанкционированного доступа, блокируются этим экраном до перехода на уровень приложений сервера. К основным преимуществам распределенных межсетевых экранов относятся:
Межсетевой экран:
|
||
|