1. Место информационной безопасности в системе национальной безопасности
 Скачать 453.88 Kb.
|
|
Заключение Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE средств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективность стоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании. 16.Вредоносные программы и антивирусные программные средства. Вредоносными являются программы, наносящие вред данным и программам, хранящимся на компьютере. Основными типами вредоносных программ являются: • Вирусы, черви, троянские и хакерские программы. Эта группа объединяет наиболее распространенные и опасные категории вредоносных программ. Защита от них обеспечивает минимально допустимый уровень безопасности. • Шпионское, рекламное программное обеспечение, программы скрытого дозвона. Данная группа объеди няет в себе потенциально опасное программное обеспе чение, которое может причинить неудобство пользова телю или даже нанести значительный ущерб. • Потенциально опасное программное обеспечение. Эта группа включает программы, которые не являются вредоносными или опасными, однако при некотором стечении обстоятельств могут быть использованы для нанесения вреда вашему компьютеру. За создание, использование и распространение вредоносных программ в России и большинстве стран предусмотрена уголовная ответственность. Компьютерныйвирус- это специально написанная, небольшая по размерам программа, которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия с информацией на компьютере. Виру сы могут незаметно для пользователя внедряться в файлы, загрузочные секторы дисков и документы. После заражения компьютера вирус может активизиро ваться и заставить компьютер выполнять какие-либо дей ствия. Активизация вируса может быть связана с различ ными событиями (наступлением определенной даты или дня недели, запуском программы, открытием документа и т. д.). В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры различных операцион ных систем. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т. д.). Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам: • по среде обитания вируса • по способу заражения среды обитания • по деструктивным возможностям • по особенностям алгоритма вируса. Среда обитания: Сетевые распространяются по компьютерной сети Файловые внедряются в выполняемые файлы Загрузочные внедряются в загрузочный сектор диска (Boot-сектор) Способы заражения: Резидентные находятся в памяти, активны до выключения компьютера Нерезидентные не заражают память, являются активными ограниченное время Деструктивные возможности: Безвредные практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения неопасные уменьшают свободную память, создают звуковые, графические и прочие эффекты Опасные могут привести к серьезным сбоям в работе очень опасные могут привести к потере программ или системных данных Особенности Алгоритма вируса: вирусы-«спутники» вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением, СОМ вирусы-«черви» распространяются по сети, рассылают свои копии, вычисляя сетевые адреса «паразитические» изменяют содержимое дисковых секторов или файлов «студенческие» примитив, содержат большое количество ошибок «стелс» - вирусы (невидимки) перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки вирусы-призраки не имеют ни одного постоянного участка кода, труднообнаруживаемые, основное тело вируса зашифровано Макровирусы пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal. dot Загрузочные вирусы. Загрузочные вирусы заражают за грузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запус ка операционной системы при включении или перезагрузке компьютера. После необходимых тестов установленного об орудования программа системной загрузки считывает пер вый физический сектор загрузочного диска (гибкого, жест кого, оптического или флэш-диска в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы «подставля ют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинально му коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригиналь ный загрузочный сектор в какой-либо другой сектор диска (например, в первый свободный). Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сек тор диска и компьютер будет защищен от заражения загру зочными вирусами. Файловые вирусы. Файловые вирусы различными спо собами внедряются в исполнимые файлы и обычно активи зируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и яв ляется активным (т. е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагруз ки операционной системы. Практически все загрузочные и файловые вирусы рези дентны, т. е. они находятся в оперативной памяти компью тера и в процессе работы пользователя могут осуществлять опасные действия (стирать данные на дисках, изменять на звания и другие атрибуты файлов и т. д.). Лечение от рези дентных вирусов затруднено, так как даже после удаления зараженных файлов с дисков, вирус остается в оперативной памяти и возможно повторное заражение файлов. Макровирусы. Существуют макровирусы для интегри рованного офисного приложения Microsoft Office (Word, Excel, PowerPoint и Access). Макровирусы фактически яв ляются макрокомандами (макросами), на встроенном язы ке программирования Visual Basic for Applications (VBA), которые помещаются в документ. При работе с документом пользователь выполняет раз личные действия: открывает документ, сохраняет, печата ет, закрывает и т. д. При этом приложение ищет и выпол няет соответствующие стандартные макросы. Макровирусы содержат стандартные макросы, вызываются вместо них и заражают каждый открываемый или сохраняемый доку мент. Макровирусы являются ограниченно резидентными, т. е. они находятся в оперативной памяти и заражают до кументы, пока открыто приложение. Кроме того, макрови русы заражают шаблоны документов, и поэтому активизи руются уже при запуске зараженного приложения. Вирусоподобные программы: • Спутники • Черви • Троянские программы – Шпионы – Рекламные программы • Хакерские утилиты – Сетевые атаки – Утилиты взлома – Руткиты Сетевые черви (англ. worm) являются вредоносными программами, которые проникают на компьютер, используя сервисы компьютерных сетей: Всемирную паутину, элек тронную почту и т. д. Основным признаком, по которому типы червей разли чаются между собой, является способ распространения чер вя — как он передает свою копию на удаленные компьюте ры. Однако многие сетевые черви используют более одного способа распространения своих копий по компьютерам ло кальных и глобальных сетей. Активизация сетево го червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя. Web-черви. Отдельную категорию составляют черви, ис пользующие для своего распространения Web-серверы. За ражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и модифицирует Web-страницы сервера. Затем червь «ждет» посетителей, которые запрашивают ин формацию с зараженного сервера (например, открывают в браузере зараженную Web-страницу), и таким образом про никает на другие компьютеры сети. Разновидностью Web-червей являются скрипты — ак тивные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-стра ниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера. Почтовые черви. Почтовые черви для своего распрос транения используют электронную почту. Червь либо отсы лает свою копию в виде вложения в электронное письмо, либо отсылает ссылку на свой файл, расположенный на ка ком-либо сетевом ресурсе. В первом случае код червя акти визируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код чер вя. Лавинообразная цепная реакция распространения по чтового червя базируется на том, что червь после заражения компьютера начинает рассылать себя по всем адресам элек тронной почты, которые имеются в адресной книге пользо вателя. Троянская программа, троянец (от англ. trojan) — вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам. Кроме того, троянские программы могут вызывать нарушение работоспособности компьютера или незаметно для пользователя использовать ресурсы ком пьютера в целях злоумышленника. Троянские программы обычно проникают на компьютер как сетевые черви. Они различаются между собой по тем дей ствиям, которые они производят на зараженном компьютере. Троянские утилиты удаленного администрирования. Утили ты скрытого управления позволяют принимать или отсы лать файлы, запускать и уничтожать их, выводить сообще ния, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и за тем следит за ней, при этом пользователю не выдается ника ких сообщений о действиях троянской программы в систе ме. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспече ния, поскольку в них заложена возможность самых разнооб разных злоумышленных действий, в том числе они могут быть использованы для обнаружения и передачи конфиден циальной информации. Троянские программы — шпионы. Данные троянцы осуществляют электронный шпионаж за пользователем за раженного компьютера: вводимая с клавиатуры информа ция, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем. Рекламные программы. Рекламные программы (англ. Adware: Advertisement — реклама и Software — программное обеспечение) встраивают рекламу в основную полезную про грамму и могут выполнять функцию троянских программ. Рекламные программы могут скрытно собирать различную информацию о пользователе компьютера и затем отправлять ее злоумышленнику. Хакерские утилиты Сетевые атаки. Сетевые атаки на удаленные серверы ре ализуются с помощью специальных программ, которые по сылают на них многочисленные запросы. Это приводит к от казу в обслуживании (зависанию сервера), если ресурсы атакуемого сервера недостаточны для обработки всех посту пающих запросов. Многие из них сбивают очерёдность обработки поступающих запросов, сбрасывают защиту от большого количества запросов. DoS-программы (от англ. Denial of Service — отказ в об служивании) реализуют атаку с одного компьютера с ведома пользователя. DoS-программы обычно наносят ущерб уда ленным компьютерам и сетям, не нарушая работоспособно сти зараженного компьютера. DDoS-программы (от англ. Distributed DoS — распреде ленный DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователей зараженных компьютеров. Для этого DDoS-программа засылается на компьютеры «жертв-посредников» и после запуска в зависи мости от текущей даты или по команде от хакера начинает сетевую атаку на указанный сервер в сети. Некоторые хакерские утилиты реализуют фатальные се тевые атаки. Такие утилиты используют уязвимости в опе рационных системах и приложениях и отправляют специ ально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызы вает критическую ошибку в атакуемом приложении, и сис тема прекращает работу. Утилиты взлома удаленных компьютеров. Утилиты взлома удаленных компьютеров предназначены для проник новения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедре ния во взломанную систему других вредоносных программ. Утилиты взлома удаленных компьютеров обычно ис пользуют уязвимости в операционных системах или прило жениях, установленных на атакуемом компьютере. Профилактическая защита от таких хакерских утилит состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений. Руткиты. Руткит (от англ. root kit — «набор для полу чения прав root») — программа или набор программ для скрытого взятия под контроль взломанной системы. Это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избе жать их обнаружения антивирусными программами. Руткиты модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое со бственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере. Антивирусные программы. Для защиты от вирусов можно использовать: · общие средства защиты информации, (копирование информации и разграничение доступа). Они полезны и как страховка от физической порчи дисков, неправильной работы программ, ошибочных действий пользователя, несанкционированного доступа; · профилактические меры, позволяющие уменьшить вероятность заражения вирусом; · специализированные программы для защиты от вирусов. Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ: Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Сигнатура — это некоторая постоянная последовательность программного кода, специфичная для кон кретной вредоносной программы. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается зараженным вирусом и под лежит лечению или удалению. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий. Программы-вакцины, или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными и поэтому не внедрится. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Эти программы крайне неэффективны и практически не используются. |