1. Место информационной безопасности в системе национальной безопасности
Скачать 453.88 Kb.
|
Заключение Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASEсредств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективностьстоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектноориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнестранзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективностьстоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании. 16.Вредоносные программы и антивирусные программные средства. Вредоносными являются программы, наносящие вред данным и программам, хранящимся на компьютере. Основными типами вредоносных программ являются: • Вирусы, черви, троянские и хакерские программы. Эта группа объединяет наиболее распространенные и опасные категории вредоносных программ. Защита от них обеспечивает минимально допустимый уровень безопасности. • Шпионское, рекламное программное обеспечение, программы скрытого дозвона. Данная группа объединяет в себе потенциально опасное программное обеспечение, которое может причинить неудобство пользователю или даже нанести значительный ущерб. • Потенциально опасное программное обеспечение. Эта группа включает программы, которые не являются вредоносными или опасными, однако при некотором стечении обстоятельств могут быть использованы для нанесения вреда вашему компьютеру. За создание, использование и распространение вредоносных программ в России и большинстве стран предусмотрена уголовная ответственность. Компьютерныйвирус- это специально написанная, небольшая по размерам программа, которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия с информацией на компьютере. Вирусы могут незаметно для пользователя внедряться в файлы, загрузочные секторы дисков и документы. После заражения компьютера вирус может активизироваться и заставить компьютер выполнять какие-либо действия. Активизация вируса может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программы, открытием документа и т. д.). В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры различных операционных систем. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т. д.). Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам: • по среде обитания вируса • по способу заражения среды обитания • по деструктивным возможностям • по особенностям алгоритма вируса. Среда обитания: Сетевые распространяются по компьютерной сети Файловые внедряются в выполняемые файлы Загрузочные внедряются в загрузочный сектор диска (Boot-сектор) Способы заражения: Резидентные находятся в памяти, активны до выключения компьютера Нерезидентные не заражают память, являются активными ограниченное время Деструктивные возможности: Безвредные практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения неопасные уменьшают свободную память, создают звуковые, графические и прочие эффекты Опасные могут привести к серьезным сбоям в работе очень опасные могут привести к потере программ или системных данных Особенности Алгоритма вируса: вирусы-«спутники» вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением, СОМ вирусы-«черви» распространяются по сети, рассылают свои копии, вычисляя сетевые адреса «паразитические» изменяют содержимое дисковых секторов или файлов «студенческие» примитив, содержат большое количество ошибок «стелс» - вирусы (невидимки) перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки вирусы-призраки не имеют ни одного постоянного участка кода, труднообнаруживаемые, основное тело вируса зашифровано Макровирусы пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal. dot Загрузочные вирусы. Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера. После необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (гибкого, жесткого, оптического или флэш-диска в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный загрузочный сектор в какой-либо другой сектор диска (например, в первый свободный). Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами. Файловые вирусы. Файловые вирусы различными способами внедряются в исполнимые файлы и обычно активизируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и является активным (т. е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы. Практически все загрузочные и файловые вирусы резидентны, т. е. они находятся в оперативной памяти компьютера и в процессе работы пользователя могут осуществлять опасные действия (стирать данные на дисках, изменять названия и другие атрибуты файлов и т. д.). Лечение от резидентных вирусов затруднено, так как даже после удаления зараженных файлов с дисков, вирус остается в оперативной памяти и возможно повторное заражение файлов. Макровирусы. Существуют макровирусы для интегрированного офисного приложения Microsoft Office (Word, Excel, PowerPoint и Access). Макровирусы фактически являются макрокомандами (макросами), на встроенном языке программирования Visual Basic for Applications (VBA), которые помещаются в документ. При работе с документом пользователь выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом приложение ищет и выполняет соответствующие стандартные макросы. Макровирусы содержат стандартные макросы, вызываются вместо них и заражают каждый открываемый или сохраняемый документ. Макровирусы являются ограниченно резидентными, т. е. они находятся в оперативной памяти и заражают документы, пока открыто приложение. Кроме того, макровирусы заражают шаблоны документов, и поэтому активизируются уже при запуске зараженного приложения. Вирусоподобные программы: • Спутники • Черви • Троянские программы – Шпионы – Рекламные программы • Хакерские утилиты – Сетевые атаки – Утилиты взлома – Руткиты Сетевые черви (англ. worm) являются вредоносными программами, которые проникают на компьютер, используя сервисы компьютерных сетей: Всемирную паутину, электронную почту и т. д. Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — как он передает свою копию на удаленные компьютеры. Однако многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей. Активизация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя. Web-черви. Отдельную категорию составляют черви, использующие для своего распространения Web-серверы. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и модифицирует Web-страницы сервера. Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают в браузере зараженную Web-страницу), и таким образом проникает на другие компьютеры сети. Разновидностью Web-червей являются скрипты — активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-страниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера. Почтовые черви. Почтовые черви для своего распространения используют электронную почту. Червь либо отсылает свою копию в виде вложения в электронное письмо, либо отсылает ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя. Лавинообразная цепная реакция распространения почтового червя базируется на том, что червь после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя. Троянская программа, троянец (от англ. trojan) — вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам. Кроме того, троянские программы могут вызывать нарушение работоспособности компьютера или незаметно для пользователя использовать ресурсы компьютера в целях злоумышленника. Троянские программы обычно проникают на компьютер как сетевые черви. Они различаются между собой по тем действиям, которые они производят на зараженном компьютере. Троянские утилиты удаленного администрирования. Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, в том числе они могут быть использованы для обнаружения и передачи конфиденциальной информации. Троянские программы — шпионы. Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем. Рекламные программы. Рекламные программы (англ. Adware: Advertisement — реклама и Software — программное обеспечение) встраивают рекламу в основную полезную программу и могут выполнять функцию троянских программ. Рекламные программы могут скрытно собирать различную информацию о пользователе компьютера и затем отправлять ее злоумышленнику. Хакерские утилиты Сетевые атаки. Сетевые атаки на удаленные серверы реализуются с помощью специальных программ, которые посылают на них многочисленные запросы. Это приводит к отказу в обслуживании (зависанию сервера), если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов. Многие из них сбивают очерёдность обработки поступающих запросов, сбрасывают защиту от большого количества запросов. DoS-программы (от англ. Denial of Service — отказ в обслуживании) реализуют атаку с одного компьютера с ведома пользователя. DoS-программы обычно наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера. DDoS-программы (от англ. Distributed DoS — распределенный DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователей зараженных компьютеров. Для этого DDoS-программа засылается на компьютеры «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от хакера начинает сетевую атаку на указанный сервер в сети. Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу. Утилиты взлома удаленных компьютеров. Утилиты взлома удаленных компьютеров предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедрения во взломанную систему других вредоносных программ. Утилиты взлома удаленных компьютеров обычно используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере. Профилактическая защита от таких хакерских утилит состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений. Руткиты. Руткит (от англ. root kit — «набор для получения прав root») — программа или набор программ для скрытого взятия под контроль взломанной системы. Это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Руткиты модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере. Антивирусные программы. Для защиты от вирусов можно использовать: · общие средства защиты информации, (копирование информации и разграничение доступа). Они полезны и как страховка от физической порчи дисков, неправильной работы программ, ошибочных действий пользователя, несанкционированного доступа; · профилактические меры, позволяющие уменьшить вероятность заражения вирусом; · специализированные программы для защиты от вирусов. Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ: Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Сигнатура — это некоторая постоянная последовательность программного кода, специфичная для конкретной вредоносной программы. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению или удалению. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий. Программы-вакцины, или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными и поэтому не внедрится. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Эти программы крайне неэффективны и практически не используются. |