СОДЕРЖАНИЕ
ВВЕДЕНИЕ 3
1 ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ 7
1.1 Обзор современных методов защиты информации 7
1.1.1 Физический доступ и доступ к данным 8
1.1.2 Контроль доступа к аппаратуре 9
1.1.3 Криптографическое преобразование информации. 10
1.2 Система защиты информации от несанкционированного доступа
(НСД) в ПЭВМ 12
1.3 Компьютерные вирусы и средства защиты от них. 19
1.3.1 Потенциальные угрозы и характер проявления компьютерных вирусов 19
1.3.2 Типичные ошибки пользователя, приводящие к заражению
ПЭВМ компьютерными вирусами 21
1.3.3 Средства защиты от компьютерных вирусов 22
1.3.4 Использование нескольких антивирусных программ 28
1.3.5 Замена или лечение 29
1.3.6 Меры по предотвращению появления компьютерных вирусов 31
1.4 Безопасность интранет 36
1.4.1 Тенденции и вопросы безопасности интранет 37
1.4.2 Идентификация пользователя 40
1.4.3 Разработка механизмов обеспечения безопасности 42
2 СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ НА КАФЕДРАХ
ЭИ и АУ И Ф и ПМ 45
2.1 Характеристика информации, хранимой на кафедрах ЭИ и АУ и Ф и ПМ 45
2.2 Защита информации от НСД 48
2.3 Защита информации от вирусов 49
ЗАКЛЮЧЕНИЕ 51
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 53
ПРИЛОЖЕНИЯ 54
Приложение А. Шифрование
информации...........................................55
Приложение Б. Характеристика криптографических алгоритмов.........56
Приложение В. Средства защиты от
НСД............................................57
Приложение Г. Аутентификация с помощью электронной почты........59
Приложение Д. Возможные каналы НСД и потенциальные угрозы......60
Кто владеет информацией, тот владеет миром.
Уинстон Черчилль
ВВЕДЕНИЕ
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и в дальнейшем расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: материальный, политический, военный и т.д.
В период существования примитивных носителей информации ее защита
осуществлялась организационными методами, которые включали ограничение и
разграничение доступа, определенные меры наказания за разглашение тайны. По
свидетельству Геродота, уже в V веке до новой эры использовалось
преобразование информации методом кодирования. Коды появились в глубокой
древности в виде криптограмм (по-гречески — тайнопись). Спартанцы имели
специальный механический прибор, при помощи которого важные сообщения можно
было писать особым способом, обеспечивающим сохранение тайны. Собственная
секретная азбука была у Юлия Цезаря. В средние века и эпоху Возрождения над
изобретением тайных шифров трудились многие выдающиеся люди, в их числе
известный философ Френсис Бэкон, крупные математики — Франсуа Виет,
Джероламо Кардано, Джон Валлис.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.
С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:
• увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств вычислительной техники;
• сосредоточение в единых базах данных информации различного назначения и принадлежности;
• расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;
• усложнение режимов функционирования технических средств вычислительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени;
• автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях;
• увеличение количества технических средств и связей в автоматизированных системах управления и обработки данных;
• появление персональных ЭВМ, расширяющих возможности не только пользователя, но и нарушителя.
К настоящему времени и в самом человеческом обществе, и в технологии
обработки данных произошли большие изменения, которые повлияли на саму суть
проблемы защиты информации. Например, по данным зарубежной литературы, к
концу 70-х годов деятельность в области сбора, обработки и использования
информации достигла 46% валового национального продукта США, и на нее
приходится 53% общей суммы заработной платы. Индустрия переработки
информации достигла глобального уровня. Появилась возможность выхода в
глобальную вычислительную сеть с домашнего компьютера. Появление
"электронных" денег (кредитных карточек) создало предпосылки для хищений
крупных сумм денег. В печати приведено множество конкретных примеров
хищения информации из автоматизированных систем обработки данных, которые
весьма убедительно иллюстрируют серьезность и актуальность проблемы.
Сейчас мы живем в мире, со всех сторон опутанном проводами, где так называемые "воздушные зазоры" и "защита неразглашением" уже не являются достаточными мерами. Компьютерная сеть продолжает расти, создавая запутанные переплетения маршрутов по всему миру. И может наступить момент, когда данные начнут перемешиваться. Пакеты вашей информации будут выстраиваться в очередь позади информационных пакетов конкурентов. Исчезнет различие между Интернет и интранет. В некоторых случаях, экономическое давление заставит компании перейти на общедоступные сети, где безопасность может быть реализована только на логическом уровне.
Новое удивительное порождение НТР - специальные компьютерные злоумышленники: хакеры и крэкеры. Хакеры (Hacker, англ.) — компьютерные хулиганы, получающие удовольствие от того, что им удается проникнуть в чужой компьютер. Одновременно они прекрасные знатоки информационной техники. С помощью телефона и домашних компьютеров они подключаются к сетям передачи данных, связанным с почти всеми крупными компьютерами экономики, научно-исследовательских центров, банков.
Парадоксально, но хорошо работающая система с качественными
соединениями будет способствовать более успешной краже информации. Для
предотвращения плачевного исхода следует не только эффективно реализовать
защиту, но и установить для функций слежения и управления безопасностью
такой же высокий приоритет, как и для управления компьютерными сетями.
Хакеры создают свои клубы, такие, как гамбургский клуб "Хаос-компьютер",
распространяют свои бюллетени, обмениваются информацией через десятки
"электронных почтовых ящиков". Коды, пароли, техническая информация,
призывы и т. д. - все идет через "почтовые ящики". Такие клубы появляются и
в России. Особая разновидность хакеров - крэкеры (Cracker (англ.) - вор-
взломщик). Крэкеры в отличие от хакеров воруют информацию с помощью
компьютера, выкачивая целые информационные банки данных.
В последнее время широкое распространение получил новый вид
компьютерного преступления - создание компьютерных вирусов, в качестве
которых выступают специально разработанные программы, начинающие работать
только по определенному сигналу. При этом вирус может размножаться, словно
возбудитель болезни, когда соприкасается с другим программным обеспечением.
Последствия от "заражения" программ подобными вирусами могут быть
различными: от безобидных шуток в виде юмористических помех до разрушения
программного обеспечения, восстановление которого может оказаться
невозможным, а потери невосполнимыми.
1 ТеоретиЧеские вопросы защиты информации
1.1 Обзор современных методов защиты информации
При наличии простых средств хранения и передачи информации существовали и не потеряли значения до настоящего времени следующие методы ее защиты от преднамеренного доступа: ограничение доступа; разграничение доступа; разделение доступа (привилегий); криптографическое преобразование информации; контроль и учет доступа; законодательные меры.
Указанные методы осуществлялись чисто организационно или с помощью технических средств.
С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носитель информации и усложнились технические средства ее обработки.
С усложнением обработки, увеличением количества технических средств, участвующих в ней, увеличиваются количество и виды случайных воздействий, а также возможные каналы несанкционированного доступа. С увеличением объемов, сосредоточением информации, увеличением количества пользователей и другими указанными выше причинами увеличивается вероятность преднамеренного несанкционированного доступа к информации. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:
• методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
• методы повышения достоверности информации;
• методы защиты информации от аварийных ситуаций;
• методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
• методы разграничения и контроля доступа к информации;
• методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;
• методы защиты от побочного излучения и наводок информации.
Рассмотрим некоторые методы подробнее.
1.1.1 Физический доступ и доступ к данным
Правила осуществления контроля доступа к данным являются единственными
существующими методами для достижения рассмотренных выше требований по
индивидуальной идентификации. Наилучшей политикой управления доступом
является политика "минимально необходимых привилегий". Другими словами,
пользователь имеет доступ только к той информации, которая необходима ему в
работе. К информации, классифицируемой как конфиденциальная (или
эквивалентной) и выше, доступ может меняться и периодически подтверждаться.
На некотором уровне (по крайней мере регистрированно конфиденциальном или
эквивалентном) должна существовать система проверок и контроля доступа, а
также регистрация изменений. Необходимо наличие правил, определяющих
ответственность за все изменения данных и программ. Должен быть установлен
механизм определения попыток неавторизованного доступа к таким ресурсам,
как данные и программы. Владелец ресурса, менеджеры подразделений и
сотрудники службы безопасности должны быть уведомлены о потенциальных
нарушениях, чтобы предотвратить возможность тайного сговора.
1.1.2 Контроль доступа к аппаратуре
В целях контроля доступа к внутреннему монтажу, линиям связи и технологическим органам управления используется аппаратура контроля вскрытия аппаратуры. Это означает, что внутренний монтаж аппаратуры и технологические органы и пульты управления закрыт крышками, дверцами или кожухами, на которые установлены датчик. Датчики срабатывают при вскрытии аппаратуры и выдают электрические сигналы, которые по цепям сбора поступают на централизованно устройство контроля. Установка такой системы имеет смысл при более полном перекрытии всех технологических подходов к аппаратуре, включая средства загрузки программного обеспечения, пульт управления ЭВМ и внешние кабельные соединители технических средств, входящих в состав вычислительной системы. В идеальном случае для систем с повышенными требованиями к эффективности защиты информации целесообразно закрывать крышками под механический замок с датчиком или ставить под контроль включение также штатных средств входа в систему - терминалов пользователей.
Контроль вскрытия аппаратуры необходим не только в интересах защиты информации от НСД, но и для соблюдения технологической дисциплины в целях обеспечения нормального функционирования вычислительной системы, потому что часто при эксплуатации параллельно решению основных задач производится ремонт или профилактика аппаратуры, и может оказаться, что случайно забыли подключить кабель или пульта ЭВМ изменили программу обработки информации. С позиции защиты информации от несанкционированного доступа контроль вскрытия аппаратуры защищает от следующих действий: изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры; подключения постороннего устройства; изменения алгоритма работы вычислительной системы путем использования технологических пультов и органов управления; загрузки посторонних программ и внесения программных "вирусов" в систему; использования терминалов посторонними лицами и т. д.
Основная задача систем контроля вскрытия аппаратуры - перекрытие на
период эксплуатации всех нештатных и технологических подходов к аппаратуре.
Если последние потребуются в процессе эксплуатации системы, выводимая на
ремонт или профилактику аппаратура перед началом работ отключается от
рабочего контура обмена информацией, подлежащей защите, и вводится в
рабочий контур под наблюдением и контролем лиц, ответственных за
безопасность информации.
1.1.3 Криптографическое преобразование информации.
Защита данных с помощью шифрования - одно из возможных решений проблемы их безопасности. Зашифрованные данные становятся доступными только для того, кто знает, как их расшифровать, и поэтому похищение зашифрованных данных абсолютно бессмысленно для несанкционированных пользователей.
Криптография обеспечивает не только секретность информации, но и ее подлинность. Секретность поддерживается путем шифрования отдельных сообщений или всего файла целиком. Подлинность информации подтверждается путем шифрования специальным кодом, содержащим всю информацию, который проверяется получателем для подтверждения личности автора. Он не только удостоверяет происхождение информации, но и гарантирует ее неизменность.
Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть ее смысл от большинства неквалифицированных нарушителей. Структурная схема шифрования информации представлена на рисунке А.1 (смотри Приложение А).
Криптография на сегодня является единственным известным способом обеспечения секретности и подтверждения подлинности информации, передаваемой со спутников. Характеристика криптографических алгоритмов приведена в таблице Б.1 (смотри Приложение Б). Природа стандарта шифрования данных DES такова, что его алгоритм является общедоступным, секретным должен быть только ключ. Причем одинаковые ключи должны использоваться и для шифрования, дешифрования информации, в противном случае прочитать ее будет невозможно.
Принцип шифрования заключается в кодировании текста с помощью ключа. В
традиционных системах шифрования для кодирования и декодирования
использовался один и тот же ключ. В новых же системах с открытым ключом или
асимметричного шифрования ключи парные: один используется для кодирования,
другой - для декодирования информации. В такой системе каждый пользователь
владеет уникальной парой ключей. Один ключ, так называемый "открытый",
известен всем и используется для кодирования сообщений. Другой ключ,
называемый "секретным", держится в строгом секрете и применяется дл
расшифровки входящих сообщений. При реализации такой системы один
пользователь, которому нужно послать сообщение другому, может зашифровать
сообщение открытым ключом последнего. Расшифровать его сможет только
владелец личного секретного ключа, поэтому опасность перехвата исключена.
Эту систему можно также использовать и для создания защиты от подделки
цифровых подписей.
Практическое использование защитного шифрования Интернет и интранет
сочетает традиционные симметричные и новые асимметричные схемы. Шифрование
открытым ключом применяется для согласования секретного симметричного
ключа, который затем используется для шифрования реальных данных.
Шифрование обеспечивает самый высокий уровень безопасности данных. Как в
аппаратном, так и в программном обеспечении применяются различные алгоритмы
шифрования.
1.2 Система защиты информации от несанкционированного доступа (НСД) в ПЭВМ
Наиболее простой и надежный способ защиты информации от НСД - режим автономного использования ПЭВМ одним пользователем, работающим в отдельном помещении при отсутствии посторонних лиц. В этом случае роль замкнутого контура защиты выполняют помещение, его стены, потолок, пол и окна. Если стены, потолок, пол и дверь достаточно прочны, пол не имеет люков, сообщающихся с другими помещениями, окна и дверь оборудованы охранной сигнализацией, то прочность защиты будет определяться техническими характеристиками охранной сигнализации при отсутствии пользователя (ПЭВМ не включена) в нерабочее время.
В рабочее время, когда ПЭВМ включена, возможна утечка информации за счет ее побочного электромагнитного излучения и наводок. Для устранения такой опасности, если это необходимо, проводятся соответствующие технические мероприятия по уменьшению или за-шумлению сигнала. Кроме того, дверь помещения для исключения доступа посторонних лиц должна быть оборудована механическим или электромеханическим замком. В некоторых случаях, когда в помещении нет охранной сигнализации, на период длительного отсутствия пользователя ПЭВМ полезно помещать в сейф по крайней мере хотя бы ее системный блок и носители информации. Применение в некоторых ПЭВМ в системе ввода-вывода BIOS встроенного аппаратного пароля, блокирующего загрузку и работу ПЭВМ к сожалению, не спасает положения, так как данная аппаратная часть при отсутствии на корпусе системного блока замка и отсутствии хозяина может быть свободно заменена на другую - такую же (так как узлы унифицированы), но только с известным значением пароля. Обычный механический замок, блокирующий включение и загрузку ПЭВМ, более эффективная в этом случае мера.
В последнее время для защиты от хищения специалисты рекомендуя механически закреплять ПЭВМ к столу пользователя. Однако при этом следует помнить, что при отсутствии охранной сигнализации, обеспечивающей постоянный контроль доступа в помещение или к сейфу прочность замков и креплений должна быть такова, чтобы ожидаемое суммарное время, необходимое нарушителю для преодоления такого рода препятствий или обхода их, превышало время отсутствия пользован ПЭВМ Если это сделать не удается, то охранная сигнализация обязательна. Тем самым будет соблюдаться основной принцип срабатывания защиты и следовательно, будут выполняться требования по ее эффективности.
Перечисленные выше меры защиты информации ограниченного доступа от
нарушителя-непрофессионала в принципе можно считать достаточными при работе
с автономной ПЭВМ одного пользователя. На практике же человек не может
постоянно быть изолированным от общества, в том числе и на работе. Его
посещают друзья, знакомые, сослуживцы обращаются по тем или иным вопросам.
Отдельное помещение для его работы не всегда может быть предоставлено. По
рассеянности или озабоченный личными проблемами пользователь может
компьютер включить, а ключ оставить в замке; на столе забыть дискету, а сам
на короткое время покинуть помещение, что создает предпосылки для
несанкционированного доступа к информации лиц, не допущенных к ней, но
имеющих доступ в помещение. Распространенные в настоящее время
развлекательные программы могут послужить средством для занесения
программных вирусов в ПЭВМ. Использование посторонних дискет для оказания
дружеской услуги может обойтись очень дорого. Помимо заражения ПЭВМ вирусом
можно перепутать дискеты и отдать случайно другу дискету с секретной
информацией.
Все перечисленные средства и им подобные должны с различной степенью
безопасности обеспечивать только санкционированный доступ к информации и
программам со стороны клавиатуры, средств загрузки и внутреннего монтажа
компьютера. Возможные каналы НСД к информации ПЭВМ и средства защиты,
рекомендуемые для их перекрытия приведены в таблице В.2 (смотри Приложение
В) и на рисунке Д.3. (смотри Приложение Д).
Защита от НСД со стороны клавиатуры усложняется тем, что современные компьютеры по своему назначению обладают широким спектром функциональных возможностей, которые с течением времени продолжают развиваться. Более того, иногда кажется, что требования по защите вступают в противоречие с основной задачей компьютера: с одной стороны, персональный компьютер - серийное устройство массового применения, с другой - индивидуального.
Если в каждый из выпускаемых персональных компьютеров, например,
установить на заводе-изготовителе электронный замок, открываемый перед
началом работы пользователем с помощью ключа-пароля, то возникает вопрос
защиты хранения и последующей замены его ответной части в замке. Если ее
может заменить пользователь, то это может сделать и нарушитель. Если эта
часть компьютера постоянна, то она известна изготовителям, через которых
может стать известной и нарушителю. Однако последний вариант более
предпочтителен при условии сохранения тайны ключа фирмой-изготовителем, а
также высокой стойкости ключа к подделке и расшифровке. Стойкость ключа
должна быть известна и выражаться в величине затрат времени нарушителя на
выполнение этой работы, так как по истечении этого времени необходима
замена его на новый, если защищаемый компьютер продолжает использоваться.
Но и этого условия тоже оказывается недостаточно. Необходимо также, чтобы
ответная часть ключа - замок тоже не был доступен потенциальному
нарушителю. Стойкость замка к замене и подделке должна быть выше стойкости
ключа и равняться времени эксплуатации компьютера при обязательном условии
невозможности его съема и замены нарушителем. В роли "замка" могут
выступать специальные программные фрагменты, вкладываемые пользователем
ПЭВМ в свои программы и взаимодействующие по известному только пользователю
алгоритму с электронным ключом. Анализ потенциальных угроз безопасности
информации и возможных каналов НСД к ней в ПЭВМ показывает их
принципиальное сходство с аналогичными угрозами и каналами. Следовательно,
методы защиты должны быть такими же, а технические средства защиты должны
строиться с учетом их сопряжения с ее аппаратными и программными
средствами. В целях перекрытия возможных каналов НСД к информации ПЭВМ,
кроме упомянутых, могут быть применены и другие методы и средства защиты.
При использовании ПЭВМ в многопользовательском режиме необходимо
применить в ней программу контроля и разграничения доступа. Существует
много подобных программ, которые часто разрабатывают сами пользователи.
Однако специфика работы программного обеспечения ПЭВМ такова что с помощью
ее клавиатуры достаточно квалифицированный программист-нарушитель может
защиту такого рода легко обойти. Поэтому эта мера эффективна только для
защиты от неквалифицированного нарушителя. Для защиты от нарушителя-
профессионала поможет комплекс программно-аппаратных средств. Например,
специальный электронный ключ, вставляемый в свободный слот ПК, и
специальные программные фрагменты, закладываемые в прикладные программы ПК,
которые взаимодействуют с электронным ключом по известному только
пользователю алгоритму. При отсутствии ключа эти программы не работают.
Однако такой ключ неудобен в обращении, так как каждый раз приходится
вскрывать системный блок ПК. В связи с этим его переменную часть - пароль -
выводят на отдельное устройство, которое и становится собственно ключом, а
считывающее устройство устанавливается на лицевую панель системного блока
или выполняется в виде выносного отдельного устройства. Таким способом
можно заблокировать и загрузку ПК, и программу контроля и разграничения
доступа.
Подобными возможностями, например, обладают наиболее популярные
электронные ключи двух американских фирм: Rainbow Technologies (RT) и
Software Security (SSI).
Из отечественных систем фирмой АКЛИС рекомендуется ключ Goldkey. На
отечественном рынке предлагается ряд электронных ключей: NovexKey - фирмой
NOVEX, HASP и Plug - фирмой ALADDIN и т. д. Среди них большая часть
предназначена для защиты от несанкционированного копирования программного
продукта, т. е. для защиты авторского права на его создание,
следовательно, для другой цели.
Однако при этом остаются не всегда защищенными каналы отображения, документирования, носители программного обеспечения и информации, побочное электромагнитное излучение и наводки информации. Их перекрытие обеспечивается уже известными методами и средствами: размещением компьютера в защищенном помещении, учетом и хранением носителей информации в металлических шкафах и сейфах, шифрованием.
Определенную проблему представляет собой защита от НСД остатков информации, которые могут прочитать при наложении на старую запись новой информации на одном и том же носителе, а также при отказах аппаратуры.
Отходы носителей скапливаются в мусорной корзине. Поэтому во избежание утечки информации должны быть предусмотрены средства механического уничтожения отработанных носителей с остатками информации.
Отдельную проблему в защите ПО и информации составляет проблема защиты от программных вирусов.
Если ПЭВМ работает в автономном режиме, проникновение вируса возможно только со стороны внешних носителей ПО и информации. Если ПЭВМ является элементом вычислительной сети (или АСУ), то проникновение вируса возможно также и со стороны каналов связи. Поскольку этот вопрос представляет отдельную проблему, он рассмотрен ниже в специальном разделе.
Еще один уровень защиты от неквалифицированного нарушителя может быть обеспечен путем использования компрессии данных. Этот метод выгоден тем, что:
• экономит пространство при хранении файлов на диске;
• уменьшает время шифрации-дешифрации;
• затрудняет незаконное расшифрование файла;
• уменьшает время передачи в процессе передачи данных.
Хотя этот метод дает относительно низкий уровень безопасности, его рекомендуется применять перед шифрацией.
Программные средства, работающие с дисками на физическом уровне, предоставляют в некоторых случаях возможность обхода программных средств защиты.
Кроме того, существуют программы, позволяющие создавать ПО, способное производить чтение или запись по абсолютным адресам, а также программ, обеспечивающих просмотр и отладку программных продуктов в режиме дисассемблера, просмотр и редактирование опера-тивной памяти ПЭВМ.
Однако наличие таких программных средств служит для других целей - для восстановления испорченной вирусами или неосторожными действиями пользователей информации. Следовательно, их применение должно быть строго регламентировано и доступно только администратору системы. В последнее время появились методы защиты от анализа программ.
Для создания замкнутой оболочки защиты информации в ПЭВМ и объединения перечисленных средств в одну систему необходимы соответствующие средств управления и контроля. В зависимости от режима использования ПЭВМ - автономного или сетевого (в составе сети - локальной, региональной или глобальной) - они будут носить различный характер.
В автономном режиме могут быть два варианта управления: однопользовательский и многопользовательский. В первом случае пользователь сам выполняет функции управления и контроля и несет ответственность за безопасность своей и доверяемой ему информации.
В многопользовательском режиме перечисленные функции рекомендуется поручить специальному должностному лицу. Им может быть один из пользователей или руководитель работ. При этом, однако, ключи шифрования и информация, закрытая ими другим пользователем, ему могут быть недоступны до момента передачи руководителю работ.
Следует отметить, что в автономном режиме функции контроля ослаблены
из-за отсутствия механизма быстрого обнаружения НСД, так как это
приходится осуществлять организационными мерами по инициативе человека.
Следовательно, многопользовательский режим нежелателен с позиций
безопасности и не рекомендуется для обработки важной информации.
В сетевом варианте можно автоматизировать процесс контроля и все перечисленные функции выполнять со специального рабочего места службы безопасности.
В сетевом варианте должностное лицо - пользователь может передавать сообщения и документы другому пользователю по каналам связи, и тогда возникает необходимость выполнять, в интересах безопасности передаваемой информации, дополнительные функции по обеспечению абонентского шифрования и цифровой подписи сообщений.
1.3 Компьютерные вирусы и средства защиты от них.
Защита от компьютерных вирусов - отдельная проблема, решению которой посвящено много исследований.
Для современных вычислительных сетей, состоящих из персональных компьютеров, большую опасность представляют хакеры. Этот термин, первоначально обозначавший энтузиаста-программиста, в настоящее время применяется для описания человека, который использует свои знания и опыт для вторжения в вычислительные сети и сети связи с целью исследования их возможностей, получения секретных сведений или совершения других вредоносных действий.
Деятельность этих лиц представляет серьезную опасность. Например, 3
ноября 1988 г. 6 тыс. рабочих станций и вычислительных систем в США были
"заражены" программой-вирусом, относящейся к типу "червь". Эта программа
распространялась по сети Internet из-за ошибок в версии операционной
системы, управляющей работой данной вычислительной сети. За несколько часов
с момента запуска с одного из компьютеров программе-вирусу удалось
инфицировать тысячи систем.
1.3.1 Потенциальные угрозы и характер проявления компьютерных вирусов
Компьютерный вирус - это специально написанная небольшая по размерам
программа, которая может "приписывать" себя к другие программам (т. е.
"заражать" их), а также выполнять различные нежелательные действия на
компьютере (например, портить файлы или таблицу размещения файлов на диске,
"засоряя" оперативную память, и т. д.). Подобные действия выполняются
достаточно быстро, и никаких сообщений при этом на экран не выдается. Далее
вирус передает управление той программе, в которой он находится. Внешне
работа зараженной программы выглядит так же, как и незараженной.
Некоторые разновидности вируса устроены таким образом, что после
первого запуска зараженной этим вирусом программы вирус остается постоянно
(точнее до перезагрузки ОС) в памяти компьютера и время от времени заражает
файлы и выполняет другие вредные действия на компьютере. По прошествии
некоторого времени одни программы перестают работать, другие - начинают
работать неправильно, на экран выводятся произвольные сообщения или символы
и т. д. К этому моменту, как правило, уже достаточно много (или даже
большинство) программ оказываются зараженными вирусом, а некоторые файлы и
диски испорченными. Более того, зараженные программы могут быть перенесены
с помощью дискет или по локальной сети на другие компьютеры.
Компьютерный вирус может испортить, т. е. изменить любой файл на
имеющихся в компьютере дисках, а может "заразить". Это означает, что вирус
"внедряется" в эти файлы, т. е. изменяет их так, что они будут содержать
сам вирус, который при некоторых условиях, определяемых видом вируса,
начнет свою разрушительную работу. Следует отметить, что тексты программ и
документов, информационные файлы баз данных, таблицы и другие аналогичные
файлы нельзя заразить вирусом: он может их только попортить.
1.3.2 Типичные ошибки пользователя, приводящие к заражению ПЭВМ компьютерными вирусами
Одна из самых грубых и распространенных ошибок при использовании персональных компьютеров - отсутствие надлежащей системы архивирования информации.
Вторая грубая ошибка - запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа.
Третья типичная ошибка - выполнение перезагрузки системы при наличии установленной в дисководе А дискеты. При этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера, в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера.
Четвертая распространенная ошибка - прогон всевозможных антивирусных программ, без знания типов диагностируемых ими компьютерных вирусов, в результате чего проводится диагностика одних и тех же вирусов разными антивирусными программами.
Одна из грубейших ошибок - анализ и восстановление программ на
зараженной операционной системе. Данная ошибка может иметь катастрофические
последствия. В частности, при этом могут быть заражены и остальные
программы. Например, при резидентном вирусе RCE-1800 (Dark Avenger) запуск
программы-фага, не рассчитанной на данный вирус, приводит к заражению всех
проверявшихся данной программой загрузочных модулей, поскольку вирус RCE-
1800 перехватывает прерывание по открытию и чтению файлов и при работе фага
будет заражен каждый проверяемый им файл. Поэтому проверять зараженный
компьютер следует только на предварительно загруженной с защищенной от
записи дискете эталонной операционной системы, используя только программы,
хранящиеся на защищенных от записи дискетах.
В настоящее время широкой популярностью в России пользуются следующие антивирусные средства АО "ДиалогНаука":
• полифаг Aidstest;
• ревизор ADinf;
• лечащий блок ADinfExt;
• полифаг для "полиморфиков" Doctor Web.
1.3.3 Средства защиты от компьютерных вирусов
Одна из причин, из-за которых стало возможным такое явление, как
компьютерный вирус, отсутствие в операционных системах эффективных средств
защиты информации от несанкционированного доступа. В связи с этим
различными фирмами и программистами разработаны программы, которые в
определенной степени восполняют указанный недостаток. Эти программы
постоянно находятся в оперативной памяти (являются "резидентными") и
"перехватывают" все запросы к операционной системе на выполнение различных
"подозрительных" действий, т. е. операций, которые используют компьютерные
вирусы для своего "размножения" и порчи информации в компьютере.
При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь может либо разрешить выполнение этого действия, либо запретить его.
Такой способ защиты не лишен недостатков. Прежде всего резидентная
программа для защиты от вируса постоянно занимает какую-то часть
оперативной памяти компьютера, что не всегда приемлемо. Кроме того, при
частых запросах отвечать на них может надоесть пользователю. И наконец,
имеются виды вирусов, работа которых не обнаруживается резидентными
программами защиты. Однако преимущества этого способа весьма значительны.
Он позволяет обнаружить вирус на самой ранней стадии, когда вирус еще не
успел размножиться и что-либо испортить. Тем самым можно свести убытки от
воздействий компьютерного вируса к минимуму.
В качестве примера резидентной программы для защиты от вируса можно привести программу VSAFE фирм Carmel и Central Point Software.
Более ранняя диагностика вируса в файлах на диске основана на том, что
при заражении и порче вирусом файлы изменяются, а при заражении, как
правило, еще и увеличиваются в своем размере. Для проверки того, не
изменился ли файл, вычисляется его контрольная сумма — некоторая
специальная функция всего содержимого файла. Для вычисления контрольной
суммы необходимо прочесть весь файл, а это относительно длительный процесс.
В связи с этим, как правило, при обычной проверке на наличие вируса
вычисление контрольной суммы производится только для нескольких особо
важных файлов, а у остальных файлов проверяется лишь их размер, указанный в
каталоге. Подобную проверку наиболее целесообразно производить для файлов
на жестком диске. В качестве программ ранней диагностики компьютерного
вируса могут быть рекомендованы программы CRCLIST и CRCTEST.
Большинство пользователей знают о том, что запись на дискету можно запретить, заклеив на ней прорезь защиты от записи. Эта возможность широко используется многими для защиты информации на "эталонных" дискетах, содержащих архивные файлы, программы и данные, которые могут использоваться, но не должны меняться. Этот же способ можно применить для защиты от вирусов рабочей дискеты, в которую не потребуется вводить какую- либо запись.
Защитить файлы от записи можно и на жестком диске. Для этого поле памяти диска следует разбить с помощью специальных программ на несколько частей - условных логических дисков. Если на жестком диске имеется несколько логических дисков, доступных операционной системе MS DOS, то некоторые из них можно сделать доступными только для чтения, что также послужит средством защиты от заражения или порчи вирусом.
Если заранее известно (хотя бы приблизительно), какую часть жесткого диска могут занимать программы и данные, не изменяемые в процессе выполнения текущей задачи, то целесообразно разбить жесткий диск на два логических диска, один из которых отвести для хранения изменяемых программ и данных, а другой с защитой от записи - для хранения программ и данных, которые будут использоваться, но не изменяться.
Другой уровень защиты основывается:
- на сегментации жесткого диска с помощью специального драйвера, обеспечивающего присвоение отдельным логическим дискам атрибута READ ONLY;
- на системе парольного доступа;
- на использовании для хранения ценной информации разделов жесткого диска, отличных от С и D и не указываемых в PATH. При этом рекомендуется раздельное хранение исполняемых программ и баз данных.
При правильном размещении операционной системы можно гарантировать, что после канальной загрузки она не будет заражена резидентным файловым вирусом. Главное в этом случае - разместить операционную систему в защищенном от записи разделе, например на диске D. Кроме того, вновь полученные утилиты нельзя включать в состав этого диска без тщательной проверки на отсутствие вирусов и прохождения "карантинного" режима хотя бы в течение месяца.
Если программное изделие получено без сертификата, из сомнительного
источника или не эксплуатировалось в том месте, откуда было получено,
первые несколько дней его полезно эксплуатировать в карантинном режиме с
использованием, если это возможно, ускоренного календаря. Это повышает
вероятность обнаружения "троянской" компоненты, срабатывающей в
определенное время. При работе со вновь поступившими программами
целесообразно употребление специального имени пользователя. Для выбранного
имени все остальные разделы должны быть либо невидимы, либо иметь статус
READ ONLY. При этом для всех компонент операционной системы и некоторых
утилит, используемых как "ловушки" для вируса, следует записать в
соответствующий файл контрольные суммы, вычисленные соответствующей
программой.
Основным средством защиты от вирусов служит архивирование. Другие
методы заменить его не могут, хотя и повышают общий уровень защиты.
Архивирование необходимо делать ежедневно. Архивирование заключается в
создании копий используемых файлов и систематическом обновлении изменяемых
файлов. Для этой цели удобно использовать специально разработанные
программы. Они дают возможность не только экономить место на специальных
архивных дискетах, но и объединять группы совместно используемых файлов в
один архивный файл, в результате чего гораздо легче разбираться в общем
архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов (AT),
главного каталога (MB) и бутсектор. Файлы, создаваемые этими утилитами,
рекомендуется периодически копировать на специальную дискету. Их
резервирование важно не только для защиты от вирусов, но и для страховки на
случай аварийных ситуаций или чьих-то действий, в том числе собственных
ошибок. В целях профилактики для защиты от вирусов рекомендуется: работа с дискетами, защищенными от записи; минимизация периодов доступности дискет для записи; разделение дискет между конкретными ответственными пользователями; разделение передаваемых и поступающих дискет; раздельное хранение вновь полученных программ и эксплуатировавшихся ранее; хранение программ на жестком диске в архивированном виде.
Вновь поступившие программные изделия должны подвергаться входному контролю - проверке соответствия длины и контрольных сумм в сертификате полученным длинам и контрольным суммам. Систематическое обнуление первых трех байтов сектора начальной загрузки на полученных дискетах до их использования поможет уничтожению "бутовых" вирусов.
Многие программисты и организации разрабатывают собственные или используют готовые программы для обнаружения и удаления вирусов на своих компьютерах и дисках. Обнаружение вируса основано на том, что каждая конкретная версия вируса, как любая программа, содержит присущие только ей комбинации байтов. Программы-фильтры проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Для обнаружения вирусов также используется специальная обработка файлов, дисков, каталогов - вакцинирование: запуск резидентных программ-вакцин, имитирующих сочетание условий, в которых заработает данный тип вируса и проявит себя.
Существуют также специальные программы удаления конкретного вируса в зараженных программах. Такие программы называются программами-фагами. С зараженными файлами программа-фаг выполняет (если это возможно) действия, обратные тем, которые производятся вирусом при заражении файла, т. е. делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются.
Следует подчеркнуть, что действия, которые надо предпринять для
обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока
не существует универсальной программы, способной обнаружить любой вирус.
Поэтому надо иметь в виду, что заражение вашего компьютера возможно и такой
разновидностью вируса, которая не выявляется известными программами для их
обнаружения.
В настоящее время трудно назвать более или менее точно количество типов вирусов, так как оно постоянно увеличивается. Соответственно увеличивается, но с некоторым запаздыванием, и число программ для их обнаружения.
Проблему защиты информации и программных продуктов от вирусов
необходимо рассматривать в общем контексте проблемы защиты от
несанкционированного доступа. Основной принцип, который должен быть положен
в основу методологии защиты от вирусов, состоит в создании многоуровневой
распределенной системы защиты, включающей приведенные выше средства.
Наличие нескольких уровней позволяет компенсировать недостатки одних
средств защиты достоинствами других. Если вирус обойдет один вид защиты, то
может быть остановлен другим. Для того чтобы избежать появления
компьютерных вирусов, необходимо соблюдать прежде всего следующие меры: не переписывать программное обеспечение с других компьютеров. Если это
необходимо, то следует принять перечисленные выше меры; не допускать к работе на компьютере посторонних лиц, особенно если они
собираются работать со своими дискетами; не пользоваться посторонними дискетами, особенно с компьютерными играми.
1.3.4 Использование нескольких антивирусных программ
Использование одного антивируса может обеспечить надежную защиту, но
здравый смысл подсказывает, что несколько подобных программ значительно
повысят безопасность вашей системы. Именно так и предлагают поступать
руководству отделов информатизации антивирусные форумы в CIS, AOL а также
различные группы новостей (например, comp.vims). Отметим, что при
использовании нескольких программ, каждая из которых имеет свои особенности
(в том числе и недокументированные), путаные или конфликтующие Друг с
другом отчеты не являются большой редкостью. Именно поэтому многим
пользователям приходит в голову мысль, что применение более чем одного
антивируса является плохой идеей. Но это не так! Несмотря ни на что,
преимущества использования нескольких антивирусных программ от различных
разработчиков перевешивают последствия недостаточной защиты. Наиболее
очевидное из них состоит в том, что вы используете более мелкую сеть (или,
если угодно, сложную двойную сеть), через которую не сможет проникнуть
большинство компьютерных вирусов.
Это следует предпринять, если антивирусное ПО обнаружило проникновение в вашу систему компьютерного вируса. Легко понять, что почти все вирусные инциденты происходят приблизительно одинаково. Если инфекция является реальной, то следует провести курс лечения. Если вы обнаружите что вирус не может быть обезврежен одним антивирусом, то вполне вероятно, что тревога оказалась ложной. Для проверки наличия этого предполагаемого вируса воспользуйтесь другой программой. Если и дальнейшая диагностика даст подобные результаты, то более чем вероятно, что у вас вирус. Найдите способ лечения или замены зараженных участков.
Однако в некоторых случаях даже с помощью двух антивирусов совсем не просто выполнить диагностику. Что вы подумаете, если станете, например, свидетелем следующих событий: продукт Х обнаруживает вирус и не может излечить зараженные файлы, продукт Y подтверждает сообщение о найденном вирусе, но также не может удалить его из системы, а продукт L не видит ничего. Кто попадает в подобные неприятные ситуации, имеет достаточно веские доказательства наличия компьютерного вируса в системе, но не располагает механизмами проверки, которые позволили бы быть в этом абсолютно уверенными.
Несчастному пользователю из предыдущего примера кажется, что жизнь к нему по-настоящему жестока. Три антивирусных продукта, каждый из которых может решить эту проблему, не решают ее! Согласитесь, что этот пример несколько утрирован. Очень редко возникает необходимость в использовании трех (и более) программ только лишь для обнаружения вируса. Это указывает лишь на то, что они вполне пригодны и эффективны в качестве антивирусных средств.
1.3.5 Замена или лечение
До сих пор мы могли видеть, что использование нескольких программ для
поиска компьютерного вируса дает некоторые преимущества. Первое из них
состоит в том, что вторая программа предоставляет возможность подтвердить
(или опровергнуть) факт наличия вируса в системе. Второе преимущество -
более точная диагностика. И хотя мы никогда не получим окончательного
ответа, тем не менее, с каждым последующим тестированием приближаемся к
истине.
Избавление от компьютерных вирусов - спор между уверенностью и удобством. Уверенность возникает при уничтожении вируса путем удаления или замены зараженных файлов, при переписывании программы начальной загрузки и/или любой другой зараженной части файла. Удобство заключается в возможности манипулировать существующими данными и восстанавливать их в своей первоначальной форме без замены.
Никто не может оспаривать гарантированную целостность, которую дает замена, но никто не может отрицать и значительных неудобств, связанных с этой процедурой. Поиск резервных копий (и желание найти самую последнюю), их восстановление, настройка — все это занимает много времени.
Сравните это с эффективностью антивирусного ПО, которое может излечить зараженные участки. Щелчок клавишей мыши или набор необходимой команды с клавиатуры — и вы избавлены от компьютерного вируса, причем за значительно меньшее время.
При выборе между лечением или полной заменой, большинство администраторов систем безопасности склоняются в сторону замены. Отчего же к лечению столь негативное отношение? После этой процедуры жизнь продолжается как и прежде - ни беспокойства, ни проблем, если, конечно, лечение прошло нормально. Часто можно встретить документальные свидетельства о случаях неправильного лечения, которые порождают неуверенность в возможностях антивирусов. Из-за некоторых непредвиденных ситуаций лечение иногда терпит неудачу, и тогда оператор будет иметь как исправленную, так и незатронутую информацию.
Неправильное лечение редко приводит к фатальным последствиям,
поскольку антивирусы принимают меры предосторожности и могут отличать
"допустимое" лечение от неправильного. По злой иронии, некоторые тонкости в
неправильном лечении, причем совсем не катастрофичные, привели к тому, что
само слово "лечение" воспринимается как бранное.
Один из недостатков использования более одного антивирусного ПО связан с тем, что при этом открываются лазейки для разработчиков. Если в излеченном файле присутствуют какие-либо дефекты, то при сравнении с простым файлом они сразу же заметны. Это подобно написанию любой компьютерной программы. Если один из соавторов принимал большее участие в ее создании, то другой будет заявлять, что он мог сделать это лучше.
1.3.6 Меры по предотвращению появления компьютерных вирусов
Множество статей по компьютерным вирусам достаточно подробно рассматривают вопросы по предупреждению заражения. Тем не менее, следует отметить недостаток полезной информации на тему "Что делать, если случится наихудшее?" Иметь дело с внезапным появлением вирусов не составляет особого удовольствия. К счастью, быть заранее предупрежденным, значит, в данном случае, быть готовым к отражению атаки. Готовясь к такому событию, можно свести к минимуму ущерб от разрушительных воздействий.
Для успешной борьбы с вирусным нападением следует провести большую подготовительную работу. Наиболее важной задачей, о которой, к сожалению, часто забывают, является контроль за регулярным выполнением процедуры надежного и правильно управляемого резервного копирования.
В большинстве случаев, наиболее ценной частью компьютера являются информационные данные, которые хранятся на диске. Они могут оказаться незаменимыми, а также могут содержать результаты многих недель и даже лет работы. Очень часто мы по-настоящему начинаем оценивать их важность уже после того, как потеряем.
Реализация продуманной процедуры резервного копирования представляет собой средство защиты этих ресурсов. Важность создания резервных копий не может быть переоценена: каждый пользователь должен четко осознавать их как неотъемлемую часть эффективной политики безопасности, поскольку именно они являются опорой в случае возникновения чрезвычайной ситуации.
Убедитесь в том, что вы можете найти расположения резервных копий, и знаете, к чему конкретно они относятся. Проверьте, правильно ли функционирует ПО для их восстановления. Нет ничего хуже, чем удалить файл, а потом обнаружить, что он не может быть восстановлен из созданной ранее резервной копии.
Рассматривая восстановление данных после вирусной атаки, можно отметить следующее — дело стоит того, чтобы создать резервную копию каждого файла, находящегося на компьютере, включая исполняемые файлы. Установка и конфигурация среды Windows является непростым и долговременным занятием, особенно когда некоторые пакеты поставляются в комплекте из десятков дискет. Поэтому, двадцать или тридцать минут проверки на наличие вирусов и создание резервной копии уже сконфигурированного компьютера могут спасти вас от утомительного занятия переустановки "с нуля". Естественно, что выбор того, как часто следует производить процедуры резервного копирования и какие файлы при этом копировать, зависит от той роли, которую играет конкретный компьютер в компании, какой тип ПО на нем установлен, а также от ценности информации, расположенной в системе.
Загрузочная дискета также является незаменимой, когда вы выполняете
проверку на вирусы и восстановление зараженных машин. Несмотря на то что
будет достаточно дискеты, созданной на незараженной машине с использованием
DOS-команды FORMAT /S, лучше собрать небольшой комплект полезных утилит.
В идеале, вы должны будете создать несколько различных загрузочных
дискет для каждой из версий DOS, которые используются в вашей компании.
Каждая такая дискета должна быть протестирована для того, чтобы убедиться в
ее правильном функционировании именно на том персональном компьютере, где
ее предполагается использовать. Приняв на вооружение регулярное резервное
копирование и коллекцию соответствующих загрузочных дискет, вы фактически
будете обладать большинством инструментов, требуемых для противостояния
вирусным эпидемиям.
Обнаружение вирусной атаки в рамках организации может быть выполнено различными способами: может быть найдена зараженная дискета, прокотирован и обнаружен зараженный компьютер, или даже сам вирус может проявить себя на машине, сигнализируя пользователю о своем присутствии. Независимо то того, каким способом был обнаружен вирус, прежде, чем предпринимать какое-либо действие, следует обратиться к заранее подготовленному плану на случай возникновения непредвиденных обстоятельств. Зачастую оказывается, что попытки лечения приносят больше неприятностей, чем сам вирус.
Если пользователь обнаружил вирус, то первым делом он должен обратиться к определенному сотруднику или в отдел, ответственный за принятие антивирусных мер. Если вирус обнаружен в компьютере, то последний не должен использоваться до тех пор, пока не будут получены дальнейшие указания. Кроме того, должны быть записаны подробности случившегося инцидента (точное название вируса, определенное антивирусной программой, или текст который сам вирус вывел на монитор).
Очень уместной профилактической мерой, которую может практиковать каждая компания, является тестирование антивирусной программой всех дискет перед их отправлением клиенту, или даже когда они (в зависимости от размера организации) передаются между отделами. Внедрение такой меры имеет следующие преимущества:
• Предотвращаются случаи отправления зараженных дискет заказчику (в противном случае ваш бизнес может быстро лопнуть).
• При заражении какого-либо компьютера в компании, вероятнее всего. источник заражения находится на дискетах. Такая процедура предоставляет возможности для более раннего предупреждения заражения компьютеров.
Первым, что должно стоять на повестке дня при встрече с вирусной
инфекцией, является предотвращение ее распространения на другие компьютеры.
Характер требуемых ответных действий зависит от природы обнаруженного
вируса и от имеющегося в наличии антивирусного ПО.
Если был обнаружен зараженный ПК, не подсоединенный в сеть, то первым
делом необходимо установить: какие флоппи-диски использовались на
зараженной машине. Если же он является частью интранет, то сразу же следует
выяснить — успел ли вирус заразить сеть. Вирусы, поражающие только
загрузочные секторы, не могут распространяться на другие ПК через сервер.
Для других типов вирусов следует предположить возможность распространения
инфекции на другие машины посредством файл-сервера.
Если антивирусной программе разрешено выполнение проверки файлов в интранет и она обнаружила вирус, то маловероятно, что возникнет необходимость в прекращении работы всей сети — в действительности достаточно просто локализовать источник проявления его активности. Тем не менее, если интранет не защищен, то может оказаться полезной остановка работы всей локальной сети.
Принять такое решение очень непросто. Следует взвесить различные доводы: с одной стороны, при остановке работы интранет вас ожидают затраты из-за простоя, но с другой — при работающей сети высока вероятность дальнейшего распространения вируса. Чрезвычайно важно помнить о том, чтобы лечение не оказалось более болезненным, чем сама болезнь!
Независимо от вида обнаруженного вируса, правильным будет отключение сети интранет всех зараженных персональных компьютеров, а также обеспечению всех флоппи-дисков, которые вы хотели бы предохранить от заражения, защитой от записи.
Когда удалось успешно предотвратить распространение вируса, наступает время для поиска всех зараженных дискет. При этом очень важно следить за тем, чтобы не допустить обмен дискетами или файлами между компьютерами, о которых известно, что они здоровы, и зараженными машинами. В противном случае может произойти повторное инфицирование уже проверенных машин. Если это случится, то весь процесс придется повторить с самого начала.
Для полной уверенности следует протестировать на вирусы каждый компьютер и каждый сопутствующий флоппи-диск. Такую операцию лучше всего проводить в выходные дни или по вечерам, когда загруженность дисков минимальна. На свой страх и риск вы, конечно, можете опустить данный шаг: однако, если вы упустите хотя бы единственный зараженный объект, то для вируса ничего не стоит повторно распространиться на всю систему. Область поиска вируса может быть ограничена в зависимости то того, что было заражено, и сколько компьютеров было при этом инфицировано.
Также важно, чтобы сотрудники выполнили проверку на наличие вирусов в своих домашних компьютерах. Некоторые поставщики предлагают за дополнительную плату, или даже бесплатно, лицензии, действие которых распространяется также и на домашние компьютеры пользователей. Настоятельно рекомендуется воспользоваться такими лицензиями, поскольку одним из самых распространенных способов заражения офисных компьютеров является занесение вируса из дома. После того, как была выявлена вся зараженная среда, наступает время для процесса восстановления. Характер проведения восстановительной процедуры зависит от типа найденных вирусов.
В каждой организации должен иметься в наличии план действий на случай возникновения вирусной эпидемии. Когда вы обнаружите, что заражены компьютеры, за которые вы несете ответственность, то очень важно, чтобы антивирусные процедуры производились в соответствии с планом. Этот процесс необходимо документировать в ясной и хорошо продуманной форме, чтобы не допустить ошибок, возможных из-за стрессовой ситуации, и предотвратить еще большие потери.
Каждая вычислительная система является индивидуальной и обладает специфическими характеристиками. Конкретный способ, который вы будете использовать для восстановления последствий вирусного нападения, может зависеть от вируса и узла компьютерной сети. К сожалению, здесь не существует единого решения, пригодного на все случаи жизни.
Процесс может быть значительно упрощен, если выработать план,
указывающий последовательность действий при обнаружении вирусной эпидемии.
Использование традиционных компьютерных технологий (регулярное выполнение
резервного копирования, создание защищенных от записи загрузочных дисков),
а также рассмотрение шагов, которые вам необходимо будет предпринять для
быстрого и безболезненного восстановления нормальной работы в вашей
компании, поможет произвести восстановление с меньшими усилиями.
Наконец, следует извлечь максимальную пользу из имевших место случаев заражения. Рассматривайте их, как возможность увеличения бдительности служащих (без использования тактики запугивания). К подобным происшествиям следует также относиться, как к шансу для пересмотра вашей политики с целью улучшения защитных мер против будущих эпидемий.
1.4 Безопасность интранет
Понятие "безопасность интранет" можно определить как совокупность мер, направленных на предотвращение несанкционированного вторжения (как на физическом, так и на логическом уровне), подмены данных и других видов компьютерных нападений. Сюда также включается обеспечение целостности интранет-сети и передаваемой информации. Для обеспечения безопасности требуется разработка защитных мер против возникновения нескольких типов разрушений, включая компьютерные нападения, вторжения на физическом уровне, человеческие ошибки и природные катаклизмы.
По мере того, как возрастает зависимость правительства, частных компаний и вообще всех людей от информационных служб, участвующих в формировании образа жизни общества, все более важным и необходимым становится фактор надежности и безопасности сетей интранет, по которым происходит передача информации. Интранет должны быть обеспечены защитой против катастрофических сбоев или остановки работы из-за ряда угроз и происшествий. Параллельно должны быть предприняты меры по мониторингу состояния интранет, которые, при возникновении неисправности, помогут немедленно восстановить работоспособность сети.
1.4.1 Тенденции и вопросы безопасности интранет
В последние годы разразился технологический бум. Особенно бурно развитие стало набирать обороты в 90-х годах. В частности, развиваются такие направления, как вычислительная техника, телекоммуникации, программные приложения и системы специального назначения. В результате появился большой набор инструментов и сервисов для работы с информационно- технологическими системами. При повсеместном распространения вычислительных средств, огромное число пользователей может теперь использовать компьютеры для необозримого числа задач. В попытке удовлетворить растущие требования, множество компаний разрабатывают вычислительные средства и прикладные программы в соответствии с нуждами конкретных пользователей. Таким образом, увеличение объемов продукции для ПК, специализированных информационно- технологических систем, а также компьютерного оборудования для распределенной обработки данных и программных задач, характеризует одну из очевидных тенденций нашего времени.
Распределенная обработка данных всегда влечет за собой большую
зависимость от телекоммуникационных линий, средств связи и интранет.
Другими словами, использование коммуникационного оборудования способствует
интеграции недавно разработанных вычислительных средств с конкретным
программным приложением пользователя. В результате, становится возможным
эффективное распределение вычислительных ресурсов и функций.
С другой стороны, возросшая зависимость организаций от возможностей компьютерных систем привела к тому, что при хранении и обработке данных становится все больше конфиденциальной финансовой и ведомственной информации, доступ к которой может быть удаленным (по частным или общественным линиям связи и через интранет). Успехи в развитии компьютерной технологии привели к созданию чрезвычайно сложной информационно- хронологической среды, где пользователи имеют удаленный доступ к системам и одновременно выполняется множество различных приложений, программ, задач и операций.
Например, интранет-сети могут быть автономными или являться частью
локальной вычислительной сети. Вследствие того, что организация полностью
владеет системой, в сети могут проводиться регулярные проверки,
периодичность которых зависит от расстояния между сегментами сети. Поэтому,
коммуникационные линии внутри одного здания, совсем несложно
проконтролировать. На нее часто в качестве соединительных линий
используется витая пара проводов, коаксиальный кабель и оптоволоконные
линии. Однако, проблемы безопасности внутренних каналов связи возрастают,
когда организация начинает передавать линии в аренду или использовать их в
качестве телефонных. В итоге проблемы безопасности становятся такими же,
как и для локальной вычислительной сети, поскольку организация ослабляет
контроль над своим компьютерным оборудованием. В основном мы рассматриваем
терминальные локальные сети. С другой стороны, они могут состоять из
кабелей, находящихся в собственности пользователя (включая оптоволоконные),
СВЧ, выделенных и телефонных линий. К тому же здесь вероятность вторжения
и подслушивания гораздо выше, чем в сети интранет.
Поднимемся еще на одну или две ступеньки выше и рассмотрим проблемы безопасности, связанные с общенациональными сетями интранет. Они обладают достаточно большим размером и используют частные или общественные линии связи. Если используются общественные линии связи, то передача данных целиком производится поставщиками средств информации.
Таким образом, обратим основное внимание на различные проблемы
функционирования, являющиеся результатом возникновения потенциальных угроз
работе системы. Возможны следующие проблемы:
Угрозы из-за случайных происшествий или неправильной работы, деструктивной
для регулярного функционирования системы - сюда также включаются
неправильные действия системы или пользователей.
Угрозы, как проявление умышленных и незаконных действий, в результате
которых происходит изменение, уничтожение или разглашение системных
ресурсов, либо просто создаются затруднения в регулярном функционировании
системы.
Меры по обеспечению целостности или ограничения по целостности являются процедурами и методами для устранения случайных действий аппаратуры и пользователей, появляющихся во время работы. С другой стороны, превентивные методы, применяемые умышленной разрушительной деятельности, называются компьютерной защитой. Следовательно, логическая структура политики безопасности должна включать в себя активную защиту и пассивное сохранение целостности системных ресурсов.
Кроме того, в пределах корпоративной интранет используются различные
стратегии, большинство из которых разрабатываются и реализуются в виде
так называемых служб обеспечения безопасности. Каждая стратегия относится к
какому-либо специфическому аспекту функционирования компьютерной системы.
Отсюда, функция первой службы обеспечения безопасности состоит в
идентификации и аутентификации пользователя, которая осуществляет проверку
личности.
1.4.2 Идентификация пользователя
Идентификация - это присвоение какому-либо объекту или субъекту
уникального образа, имени или числа. Установление подлинности
(аутентификация) заключается в проверке, является ли проверяемый объект
(субъект) в самом деле тем, за кого себя выдает. Пример аутентификации с
помощью электронной почты приведен на рисунке Г.2 (смотри Приложение Г).
Конечная цель идентификации и установления подлинности объекта в вычислительной системе - допуск его к информации ограниченного пользования в случае положительного исхода проверки или отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и установления подлинности в вычислительной системе могут быть:
• человек (оператор, пользователь, должностное лицо);
• техническое средство (терминал, дисплей, ЭВМ, КСА);
• документы (распечатки, листинги и др.);
• носители информации (магнитные ленты, диски и др.);
• информация на дисплее, табло и т. д.
Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, вычислительной системой и т. д.
В вычислительных системах применение указанных методов в целях защиты информации при ее обмене предполагает конфиденциальность образов и имен объектов.
При обмене информацией между человеком и ЭВМ (а при удаленных связях
обязательно) вычислительными системами в сети рекомендуется предусмотреть
взаимную проверку подлинности полномочий объекта и субъекта. В указанных
целях необходимо, чтобы каждый из объектов (субъектов) хранил в своей
памяти, недоступной для посторонних, список образов (имен) объектов
(субъектов), с которыми производится обмен информацией, подлежащей защите.
В вычислительных системах с централизованной обработкой информации и
относительно невысокими требованиями к защите установление ее подлинности
на технических средствах отображения и печати гарантируется наличием
системы защиты информации данной вычислительной системы. Однако с
усложнением вычислительных систем по причинам, указанным выше, вероятность
возникновения несанкционированного доступа к информации и ее модификации
существенно увеличивается. Поэтому в более ответственных случаях отдельные
сообщения или блоки информации подвергаются специальной защите, которая
заключается в создании средств повышения достоверности информации и
криптографического преобразования. Установление подлинности полученной
информации, включая отображение на табло и терминалах, заключается в
контроле положительных результатов обеспечения достоверности информации и
результатов дешифрования полученной информации до отображения ее на экране.
Подлинность информации на средствах ее отображения тесно связана с
подлинностью документов. Достоверность информации на средствах отображения
и печати в случае применения указанных средств защиты зависит от надежности
функционирования средств, доставляющих информацию на поле отображения после
окончания процедур проверки ее достоверности. Чем ближе к полю отображения
(бумажному носителю) эта процедура приближается, тем достовернее
отображаемая информация.
1.4.3 Разработка механизмов обеспечения безопасности
Разработка и реализация методов обеспечения безопасности в компьютерной системе существуют в четырех ипостасях: технический, физический и административный контроль, а также правовые и социальные вопросы.
Физическая безопасность: данный уровень представляет собой средства физической защиты компьютерного оборудования - замки, предохранители, устройства тревоги, противопожарные элементы, механизмы защиты хранилищ данных и т.п. Конечно, указанные меры не могут быть применены к оборудованию связи (спутники, открытые коммутируемые сети [PSN] и др.), которые выходят из под контроля данной организации. Безопасность на физическом уровне зависит от организации, которой принадлежит программное и аппаратное обеспечение.
Следующим уровнем безопасности является административный контроль,
обеспечивающий корректное управление и использование системы или интранет.
К его проведению должны быть подключены программисты, системные инженеры и
менеджеры информационных систем. Далее это распространятся на отделы
кадров, бухгалтерию и дирекцию.
Наконец, последним уровнем, также очень важным, являются правовые и социальные нормы.
Каждый сотрудник и каждая организация, ответственные за обеспечение безопасности, при разработке и реализации эффективной системы защиты должны строго следовать определенным процедурам. На первом месте стоят осознание и выявление всех угроз для глобальной информационной инфраструктуры или компьютерных устройств. Каждая операция представляет собой источник возможной опасности и возникновения проблем. Степень серьезности каждой из проблем зависит от пользователей и ресурсов системы, а также от содержимого и статуса последних. Можно предложить следующую последовательность рассуждений:
1. Для обеспечения безопасности компьютерной системы сначала вы должны составить список ожидаемых угроз.
2. Список доступных в системе операций следует соотнести со списком угроз.
3. Каждая угроза и соответствующая ей операция должны быть связаны с конкретным ресурсом, его важностью и его содержимым. Часто это называют анализом уязвимости.
Следующим шагом является определение и оценка вероятности возникновения всех возможных опасностей, а также их последствий. Данный процесс называется анализом риска или управление риском. При его проведении определяются требования к службам обеспечения безопасности интранет-сети ресурсоемкость. Каждая служба безопасности может быть реализована личными способами с использованием множества механизмов. Другими словами, чтобы разработать наиболее эффективную систему безопасности для конкретной установки, необходимо, чтобы сотрудники произвели оценку и проверку всех возможных механизмов безопасности.
Следовательно, в случае возникновения неисправности или сбоя в реализованной системе безопасности, для ее настройки на новые изменившиеся условия может потребоваться восстановление некоторых ресурсов, особенно тех из них, где нарушена защита или целостность.
Поэтому, для создания надежной системы безопасности все пользователи, администраторы и руководители компании должны соблюдать вышеуказанную последовательность шагов. Решения, возникающие при их выполнении, составляют политику безопасности. Другими словами, политика безопасности представляет собой план действий и норм для применения методов безопасности. Во время повседневной работы данной системы она декларирует, что является разрешенным, а что запрещено. В сущности, политика безопасности (совместно с применяемым законодательством и нормами) определяет следующие аспекты:
• В каких рамках будут использоваться коммуникационные линии организации?
• Какой тип данных будет использоваться при передаче?
• Какое поведение является приемлемым для пользователей системы ?
• Кто является ответственным за безопасность в интранет-сети?
• Имеются ли бюджетные ограничения в вопросах безопасности?
Все указанные аспекты являются составными частями работы интранет вычислительной системы в целом. Окончательное решение о размерах каждой структуры безопасности принимается из расчета используемых сервисов и механизмов защиты, как они будут реализованы, использованы, и как над ними будут производиться управление и контроль.
2 средства защиты информации на кафедрах ЭИ и АУ и Ф и ПМ
2.1 Характеристика информации, хранимой на кафедрах ЭИ и АУ и Ф и ПМ
Усложнение методов и средств организации машинной обработки информации
приводит к тому, что информация становится более уязвимой. Этому
способствуют такие факторы, как постоянно возрастающие объемы
обрабатываемых данных, накопление и хранение данных в ограниченных местах,
постоянное расширение круга пользователей, имеющих доступ как к ресурсам
ПЭВМ, так к программам и данным, хранящимся в них, усложнением режимов
эксплуатации вычислительных систем и т.п.
Учитывая эти факторы, защита информации в процессе ее сбора, хранения
и обработки приобретает исключительно важное значение. Эти проблемы
актуальны не только для крупных предприятий, банков и т.д., но и для
внутренних подразделений учебных заведений, каковыми являются кафедры ЭИ и
АУ и Ф и ПМ, входящие в состав РГЭА. Под защитой информации на кафедрах
понимается совокупность мероприятий, методов и средств, обеспечивающих
решение следующих основных задач: проверки целостности информации; исключения несанкицонированного доступа к ресурсам ПЭВМ и хранящимся в ней
программам и данным; исключения несанкицонированного использования хранящихся в ПЭВМ программ
(т.е. защиты программ от копирования).
Казалось бы, что защищать особо нечего, но при близком рассмотрении данной проблемы все оказывается не так уж и просто. Защита информации ЭВМ основывается не только на использовании паролей и ограничении физического доступа к аппаратуре, но и использовании антивирусных программ и др. средств защиты, о которых будет рассказано ниже.
В распоряжении кафедр находятся несколько компьютеров. Информация,
хранящаяся в них весьма разнообразна. Ее можно разделить на несколько
ступеней по уровню доступности и важности. К более доступным относятся
следующие виды документации: служебные записки, которые доставляются по
месту требования (один экземпляр хранится на кафедре); протоколы заседаний
кафедры и выписки их них (выписки также хранятся в двух экземплярах: один
на кафедре, другой предъявляется по месту требования, как правило, в отдел
кадров); планы стажировкм преподавателей, составляемые в трех экземплярах.
Для каждой специальности на выпускающих кафедрах имеются рабочие планы и
государственные стандарты (ГОСТы). Эта информация уже более важная, т.к.
на основе ГОСТов составляются рабочие программы для каждой специальности.
Рабочие планы составляются для очной, заочной форм обучения, а также
заочной формы на базе второго образования (2, 3, 4 года), заочно-
дистанционной формы. Эти планы необходимы не только для преподавателей, но
и для студентов, без них учебный процесс был бы невозможен. Студентам они
нужны для того, чтобы знать, какие дисциплины им предстоит сдавать, по
каким предметам необходимо выполнить домашнее задание, курсовой проект,
зачет или экзамен. Особенно это важно для студентов - заочников.
В памяти компьютера хранятся такие документы, как различные формы и приложения для отчетов и аттестации, которые присылаются на кафедры учебно- методическим управлением академии и директоратом нашего института. Имеются в компьютерах и специально созданные базы данных по аспирантам (для разных форм обучения), соискателям, а также базы с публикациями, научными и учебно-методическими разработками преподавателей, аспирантов и студентов кафедр, а также выпускаемые кафедрой тексты сборников по конференциям.
Эта информация важна и должна иметь хорошую защиту, т.к. преподаватели владеют правами на свои издания: они могут продавать их и получать от этого материальную выгоду (премия, вознаграждение и т.п.), потому что преподаватель затратил свое личное время и силы на создание данного продукта интеллектуального труда. Но на кафедре постоянно находится много людей, особенно во время перемены и каждый может в любой момент воспользоваться увиденной информацией, которая высвечивается на мониторе, а потом присвоить себе авторство, издать, опубликовать от своего имени чужой труд, использовать выдержки из публикаций, без ведома автора, выставить на продажу также от своего имени. Это все считается нарушением авторских прав и преследуется по закону.
К самой закрытой и важной информации относятся вопросы к зачету, к
экзамену по данным дисциплинам, экзаменационные билеты, варианты
контрольных работ, тесты для проверки остаточных знаний, экзаменационные
вопросы для поступления в аспирантуру, кандидатский минимум. Эта информация
важна и недоступна для студентов, иначе учебный процесс не имел бы смысла.
Нетрудно представить себе ситуацию, когда студент идет на экзамен или
зачет, заранее зная все билеты: экзамен или зачет превращается в обычное
домашнее задание.
Файлы, которые содержат всю эту информацию, можно зашифровать, защитить с помощью пароля, заданного в процессе наборе текста в меню Сервис командой Установить защиту. Можно использовать и другой вариант: так называемая попечительская защита данных. Попечитель - это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него.
Любой попечитель может иметь восемь разновидностей прав:
Read - право Чтения открытых файлов;
Write - право Записи в открытые файлф;
Open - право Открытия существующего файла;
Create - право Создания (и одновременно открытия) новых файлов;
Delete - право Удаления существующих файлов;
Parental - Родительские права: право Создания, Переименования, Стирания подкаталогов каталога; право Установления попечителей и прав в каталоге; право Установления попечителей и прав в подкаталоге;
Search - право Поиска каталога;
Modify - право Модификации файловых атрибутов.
Еще одни способ защиты - защита атрибутами файлов. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменен или разделен. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. Такая защита полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. В защите данных используются четрые файловых атрибута: “Запись-чтение/Только чтение” и “Разделяемый/Неразделя- емый”. А при чтении информации с дискеты информация будет недоступна, если защитить ее от записи. Для этого на дискете имеется лист (защитный замок).
2.2 Защита информации от НСД
Существует множество способов защиты компьютера от НСД от менее эффективных до очень эффективных. В нашем случае машину можно защитить следующим образом: пароли и шифрование.
Пароли должны быть просты для запоминания и не должны быть столь очевидны, чтобы тот, кто захотел воспользоваться информацией в компьютере, мог его угадать. При формировании пароля можно прибегнуть к помощи специального устройства, которое генерирует последовательности чисел и букв в зависимости от данных, которые задает пользователь.
Существуют “невидимые” файлы. Это средство защиты состоит в изменении имени файла программы в каталоге диска таким образом, чтобы затруднить работу с файлами обычными командами DOS. Например, имя файла может содержать “невидимые” управляющие символы, которые не отображаются, когда просматриваются содержимое каталогов.
Информацию на дискетах можно сохранить, используя два принципа: либо помешать копированию программы на другой диск. либо воспрепятствовать просмотру. О таких программах можно говорить как о “защищенных от копирования” и “защищенных от просмотра”. Метод первого типа защищает программу от несанкционированного доступа, а второго - от несанкционированной проверки.
Как уже упоминалось, на кафедрах постоянно находится много людей от студентов до сотрудников и преподавателей. Необходимо ограничить доступ персонала на кафедре, где установлены компьютеры. Рекомендуется, чтобы в помещении находилось не более 8-10 человек в одно и то же время. Эти рекомендации основаны на том, что при большем количестве людей труднее заметить или узнать лишних посетителей.
2.3 Защита информации от вирусов
Но файлы и сам компьютер могут пострадать не только от постороннего вмешательства, но и от компьютерных вирусов. И это уже проблема достаточно серьезна и актуальна не только в пределах кафедр, но и стала глобальной проблемой. Вирусы могут проникать в машину различными путями: при чтении файлов с дискет; при наличии подключенной к компьютеру сети не только локальной (внутривузовской), но и глобальной (Internet), а также через игровые программы (являющиеся самым распространенным способом проникновения вирусов в машину, т.к. зачатую при обмене играми пользователи забывают простые правила безопасности, а именно: проверку дискет на наличие вирусов). Последствия от заражения вирусов весьма неприятны: от разрушения файла до проникновения вируса в память компьютера, приводящего машину в полную непригодность для работы. Достаточно всего лишь одного зараженного файла, чтобы заразить всю имеющуюся на компьютере информацию.
Вирусы в компьютер могут попасть и другим путем. В РГЭА существует специально созданная внутривузовская сеть сетевых операционных систем под управлением Novell NetWare 4.1 и Microsoft WindowsNT 4.0, с топологией общая шина. Данная сеть подключена практически к каждому компьютеру на кафедрах. Как таковых вирусов в сети нет, но студенты, работая на втором этаже со своими документами и дискетами (а именно: копируют, записывают переписывают с дискеты в память компьютера или наоборот) могут случайно занести вирус в компьютер, а значит и в сеть. Раньше на компьютерах была установлена блокировка дисковода, для того, чтобы студенты не могли пользоваться своими дискетами, а теперь ее устранили и риск попадания вирусов в компьютер достаточно велик.
Всего этого можно избежать, следуя элементарным правилам. Прежде всего
при работе с файлами на дискете или считывания различной информации с
дискеты или просто работе с конкретными файлами необходимо проверить
дискету или данный файл на наличие вирусов, с помощью имеющихся на ЭВМ
специальных антивирусных программ. В нашем случае это такие программы как
AntiViral Toolkit Pro и DrWeb. Но при наличии множества разновидностей
вирусов требуется постоянное обновление данных средств защиты.
ЗаклюЧение
Итак, мы рассмотрели и проанализировали потенциальные угрозы, возможные каналы НСД, методы и средства защиты информации как в целом в автоматизированных системах обработки данных и на примере интранет, так и более конкретно, на кафедрах ЭИ и АУ и Ф и ПМ.
Естественно, что указанные средства защиты не всегда надежны, т.к. на сегодняшний день быстрыми темпами развивается не только техника (в нашем случае компьютерная), постоянно совершенствуется не только сама информация, но и методы, позволяющие эту информацию добывать. Наш век часто называют информационной эпохой и он несет с собой огромные возможности, связанные с экономическим ростом, технологическими новшествами. На данный момент обладание электронными данными, которые становятся наибольшей ценностью информационной эры, возлагает на своих владельцев права и обязанности по контролю за их использованием. Файлы и сообщения, хранимые на дисках и пересылаемые по каналам связи, имеют иногда большую ценность, чем сами компьютеры, диски. Поэтому перспективы информационного века могут быть реализованы только в том случае, если отдельные лица, предприятия и другие подразделения, владеющие информацией, которая все чаще имеет конфиденциальный характер или является особо важной, смогут соответствующим образом защитить свою собственность от всевозможных угроз, выбрать такой уровень защиты, который будет соответствовать их требованиям безопасности, основанным на анализе степени угрозы и ценности хранимой собственности.
А что касается защиты данных в более узком смысле (в нашем случае это
защита данных на кафедрах), то защита компьютеров на кафедрах имеет широкий
диапазон действия и сотрудники должны выбирать тот или иной механизм, в
зависимости от важности хранимой информации. Основное внимание, на наш
взгляд, следует уделять вирусам и сохранению конфиденциальности информации
в пределах кафедр. В идеале финансовые возможности кафедр должны позволять
сотрудникам делать резервные копии для собственного использования и не
должны ограничивать возможности компьютера, но, к сожалению, не все
требования, перечисленные выше, удовлетворяют техническим возможностям
компьютеров и условиям, созданным на кафедрах. Но, будем надеяться, что
эта ситуация в дальнейшем измениться к лучшему и станут возможны следующие
меры по защите информации: регулярное объявление антивирусной базы через
INTERNET, резервное копирование (для этого требуются следующие устройства:
стриммер или jarr-drive), использование надежной ОС (WindowsNT). В этом
случае степень защиты информации на кафедрах ЭИ и АУ и Ф и ПМ значительно
возрастет.
Список использованных истоЧников
1. Вакка Дж. Безопасность интранет: Пер. с англ.-М.: ООО ”Бук Медиа
Паблишер”, 1998.- 496 с.: ил.
2. Защита программного обеспечения: Пер. с англ./ Д.Гроувер, Р.Сатер, Дж.
Фипс и др./ Под ред. Д.Гроувера.- М.: Мир, 1992. - 286 с.: ил.
3. Защита информации в персональных ЭВМ/ Спесивцев А.В., Вегнер В.А.,
Крутяков А.Ю. и др.-М.: Радио и связь, МП “Веста”, 1993.-192 с.: ил.
4. Мельников В.В. Защита информации в компьютерных системах.-М.: Финансы и статистика; Электронинформ, 1997.-368 с.: ил.
ПриложениЯ
Приложение А
Шифрование информации
(информационное)
Рисунок А.1 - Шифрование информации
Приложение Б
Характеристика криптографических алгоритмов
(информационное)
Таблица Б.1 - Характеристика криптографических алгоритмов
|Характеристика |DES |RSA |
|Скорость работы |Быстрая |Медленная |
|Используемая функция |Перестановка и |Возведение в степень |
| |подстановка | |
|Длина ключа |56 бит |300...600 бит |
|Наименее затратный |Перебор по всему |Разложение модуля |
|криптоанализ |ключевому пространству | |
| | | |
|Временные затраты на |Столетия |Зависят от длины |
|криптоанализ | |ключа |
|Время генерации ключа |Миллисекунды |Десятки секунд |
|Тип ключа |Симметричный |Асимметричный |
Приложение В
Средства защиты от НСД
(информационное)
Таблица В.2 - Возможные каналы НСД к информации ПЭВМ и средства защиты, рекомендуемые для их перекрытия
|№№ п/п|Возможные каналы НСД |Средства защиты |
|1 |Дисплей, принтер, |Отдельное помещение с контролируемым |
| |плоттер, |доступом |
| |графопостроитель | |
|2 |Клавиатура, сканер, |То же |
| |манипулятор “мышь” | |
| | |Специальный электронный ключ в сочетании с |
| | |фрагментами ПО |
| | |Программа контроля и разграничения доступа |
| | |(пароли) |
| | |Средства защиты от отладочных программ |
| | |Блокировка механическим замком включения |
| | |электропитания |
| | |Блокировка механическим замком механизма |
| | |загрузки ПО |
| | |Средства контроля целостности ПО |
|3 |Дисковод |Отдельное помещение с контролируемым |
| | |доступом |
| | |Применение ПЭВМ без дисковода |
| | |Установка механической крышки с |
| | |механическим замком |
| | |Средства защиты от вирусов |
| | |Средства верификации НГМД |
| | |Средства защиты от несанкционированной |
| | |загрузки ПО |
| | |Средства контроля целостности ПО |
Продолжение приложения В
Продолжение таблицы В.2
|4 |ГМД, Стриммер |Отдельное помещение с контролируемым |
| | |доступом |
| | |Учет и регистрация |
| | |Маркировка цветом |
| | |Хранение в сейфах |
| | |Стирание остатков информации |
| | |Уничтожение остатков информации |
| | |Компрессия данных |
| | |Шифрование данных |
|5 |ЖМД |Отдельное помещение с контролируемым |
| | |доступом |
| | |Металлический шкаф с замком |
| | |Блокировка снятия кожуха системного блока |
| | |механическим замком |
| | |Средства контроля целостности ПО |
| | |Стирание остаточной информации |
| | |Уничтожение остаточной информации |
| | |Шифрование данных |
|6 |Внутренний монтаж |Отдельное помещение с контролируемым |
| | |доступом |
| | |Блокировка снятия кожуха системного блока |
| | |механическим замком |
|7 |ПЭМИН |Средства уменьшения и зашумления сигналов и|
| | |установление границ контролируемой зоны |
|8 |Отходы носителей с |Отдельное помещение с контролируемым |
| |информацией |доступом |
| | |Средства уничтожения отходов носителей |
|9 |Документы |Отдельное помещение с контролируемым |
| | |доступом |
| | |Учет и регистрация документов |
| | |Сейф |
Приложение Г
Аутентификация с помощью электронной почты
(информационное)
Этап 1: Пользователь запрашивает у сервера адрес эл.почты пароль, который будет направлен по конкретному адресу электронной почты
пароль, отправленный
Этап 2: Сервер создает пароль и по заданному адресу отправляет его по указанному адресу
почтовый адрес, пароль,
Этап 3: Пользователь, которому принадлежит другие данные (URL) данный адрес, отправляет на сервер свой почтовый адрес, пароль и URL
Рисунок Г.2 - Аутентификация с помощью электронной почты
Приложение Д
Возможные каналы НСД и потенциальные угрозы
(информационное)
Рисунок Д.3 - Возможные каналы НСД к информации ПЭВМ и
потенциальные угрозы
-----------------------
Открытый текст
Шифр
Шифр
Открытый текст
Ключ
Ключ
Открытый текст
Приемник
Передатчик
ПОЛЬЗОВАТЕЛЬ
СЕРВЕР
СЕРВЕР
ПОЛЬЗОВАТЕЛЬ
ПОЛЬЗОВАТЕЛЬ
СЕРВЕР
Потенциальные угрозы
Изменение схемы ПЭВМ и вставка постороннего устройства
Отходы носителей информации
Снятие неучтенной копии
Дисковод
Несанкционированный вход в ПЭВМ
Клавиатура, сканер, мышь
Дисплей, принтер, плоттер, графопостроитель
Возможные каналы
Несанкционированный доступ к информации другого пользователя
Несанкционированное наблюдение информации
Ввод несанкциониро-ванных программ
Ремонт НЖМД
Прием информации на спецаппаратуру
Чтение остатков информации
Запись информации на неучтенный носитель
Хищение НГМД
Побочное электромагнитное излучение и наводки информации
Программное обеспечение
НЖМД
НГМД, стриммер
Внутренний монтаж