Лекция-Информационная безопасность. Информационная безопасность план
Скачать 0.91 Mb.
|
Программные средства защиты данных в настоящее время получили значительное развитие. По целевому назначению их можно разделить на несколько больших классов (групп): программы идентификации пользователей; программы определения прав (полномочий) пользователей (технических устройств) при обращении к ресурсам Интернет или внутренним корпоративным ресурсам из Интернет; программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала); программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации; криптографические программы (программы шифрования данных). 14 защита от компьютерных вирусов Существуют три рубежа защиты от компьютерных вирусов: • предотвращение поступления вирусов; • предотвращение вирусной атаки, если вирус все-таки поступил на компьютер; • предотвращение разрушительных последствий, если атака произошла. Существуют три метода реализации защиты: • программные методы защиты; • аппаратные методы защиты; • организационные методы защиты. В вопросе защиты ценных данных часто используют бытовой подход: «болезнь лучше предотвратить, чем лечить». Именно он и вызывает наиболее разрушительные последствия. Создав бастионы на пути проникновения вирусов в компьютер, нельзя положиться на их прочность и остаться неготовым к действиям после разрушительной атаки. Вирусная атака - далеко не единственная и даже не самая распространенная причина утраты важных данных. Существуют программные сбои, которые могут вывести из строя операционную систему, а также аппаратные сбои, способные сделать жесткий диск неработоспособным. Всегда существует вероятность утраты компьютера вместе с ценными данными в резуль- тате кражи, пожара или иного стихийного бедствия. Поэтому создавать систему безопасности следует в первую очередь с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с данными достигается только тогда, когда любое неожиданное событие, в том числе и полное физическое уничтожение компьютера не приведет к катастрофическим последствиям. 15 Средства антивирусной защиты Основным средством защиты информации является резервное копирование наиболее ценных данных, В случае утраты информации по любой из вышеперечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей. При резервировании данных надо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Интернета. Их не следует хранить на компьютере. При резервном копировании информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. Относительно новым и достаточно надежным приемом хранения ценных, но неконфиденциальных данных является их хранение в Web-папках на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неаккуратный пользователь. Существует достаточно много программных средств антивирусной защиты. Они предоставляют следующие возможности. 1. Создание образа жесткого диска на внешних носителях(например, на гибких дисках). В случае выхода из строя данных в системных областях жесткого 16 диска сохраненный «образ диска» может позволить восстановить если не все данные, то, по крайней мере, их большую часть. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жесткого диска. 2. Регулярное сканирование жестких дисков в поисках компьютерных вирусов. Антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надежной работы следует регулярно обновлять антивирусную программу. Желательная периодичность обновления - один раз в две недели; допустимая - один раз в три месяца. Для примера укажем, что разрушительные последствия атаки вируса W95.CIK.1075 («Чернобыль»), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999 года, были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств. 3. Контроль за изменением размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя. 4. Контроль за обращениями к жесткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности. Программы обнаружения вирусов и защиты от них по принципу действия 1. программы – детекторы 2. программы – доктора (фаги) 3. программы – ревизоры 17 4. программы – фильтры 5. программы – вакцины (иммунизаторы) Уровни мер информационной безопасности 1. Законодательный (законы, нормативные акты, стандарты и т.п.). 2. Административный (действия общего характера, предпринимаемые руководством организации) разработку правил обработки информации в компьютерных системах; совокупность действий при проектировании и оборудовании вычислительных центров и других объектов компьютерных систем; совокупность действий при подборе и подготовке персонала; организацию надежного пропускного режима; организацию учета, хранения, использования, уничтожения документов и носителей с конфиденциальной информацией; распределение реквизитов (паролей, полномочий и т.д.); организацию скрытого контроля за работой персонала. 3. Процедурный (конкретные меры безопасности, имеющие дело с людьми). 4. Программно-технический (конкретные технические меры). Большинство из перечисленных способов защиты реализуется криптографическими методами защиты информации. Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для противника. Обобщенная схема криптографической системы, обеспечивающей шифрование передаваемой информации показана на рисунке 3: 18 Действия при заражении компьютера вирусом. Первым делом отключите компьютер от локальной или глобальной сети, если таковая имеется. Если компьютер загружается, то постарайтесь сохранить важную информацию на съемные носители, CD, DVD. Не копируйте программы и исполняемые файлы, они могут быть заражены. Если компьютер не загружается, не пытайтесь загрузить его снова и снова, каждая попытка загрузки дает вирусу время для его вредоносной деятельности. В идеале, лучше подключить жесткий диск с зараженного компьютера к другому компьютеру и вытащить с него всю нужную информацию. Только не в коем случаи, не стоит запускать не каких программ с зараженного жесткого диска или копировать их на здоровый носитель информации. Допустим, важные данные сохранены на внешние носители, и мы можем приступить к искоренению вируса. Попробуйте установить антивирус на компьютер, если он не был установлен. Если же антивирусная защита присутствовала, попробуйте обновить ее антивирусные базы. Если есть возможность, обновите антивирусные базы, не подключая зараженный компьютер к сети. Загрузите обновления на другой компьютер и запишите антивирусные базы на CD, после чего обновите базы зараженного компьютера с CD диска. Просканируйте весь компьютер на предмет заражения вирусом. Если компьютер не загружается, может помочь «пассивное сканирование» жесткого диска, т.е. сканирование жесткого диска на предмет заражения вирусами на другом компьютере. Для этого потребуется снять жесткий диск с пораженного компьютера и подключить его к рабочему компьютеру с предустановленной антивирусной защитой. После чего просканировать зараженный жесткий диск. Рисунок 3 – схема криптографической системы отправитель шифрование расшифрование получатель 19 Даже если антивирусная защита говорит, что вирус полностью удален и ваш компьютер чист, это не значит, что вирус полностью уничтожен. Антивирусы видят не все вирусы и не всех могут корректно удалить. Антивирус не гарантирует на сто процентов, что ваш компьютер защищен от вирусов и вредоносных программ. Некоторые вирусы могут безвозвратно повредить системные файлы операционной системы, после чего операционная система будет работать некорректно или не будет работать вообще. В данном варианте может потребоваться полная переустановка системы. Как видно последствия деятельности вируса непредсказуемы и нет панацеи от этой заразы. Грамотное поведение пользователя компьютера может предотвратить заражение операционной системы почти на 100%, сохранить важные данные, деньги и драгоценное время. Рекомендации при защите от вирусов и вредоносных программ. - пользуйтесь самыми последними разработками в области компьютерной антивирусной защиты; - регулярно обновляйте антивирусные базы; - регулярно устанавливайте критические обновления для ваших программ и операционной системы (Разработчики операционных систем и программ использующихся в Интернете, постоянно находят дыры в своих разработках, которые способствуют проникновению злоумышленников на ваш компьютер. Эти же разработчики постоянно выпускают заплатки для своих программных промахов.); - пользуйтесь сетевым экраном (Иногда присутствует в антивирусном пакете.); - не отключайте антивирусную защиту по просьбе программ или сайтов, антивирус постоянно должен быть в рабочем состоянии и находиться в резидентной памяти компьютера; - не открывайте незнакомые ссылки, присланные якобы другом; 20 - не открывайте знакомые ссылки, присланные незнакомыми людьми или почтовыми роботами, не проверив истинный адрес, куда ведет ссылка (Правая кнопка мыши на ссылки, свойства.); - скопируйте ссылку из письма и вставьте ее в адресную строку браузера, так безопасней (Ссылка может вести совсем в другое место, не в то куда она сообщает пользователю, читающему письмо.); - внимательно изучайте обратный адрес отправителя и другие данные почтового сообщения, прежде, чем его открыть и прочитать; - некогда не открывайте письма, присланные незнакомыми людьми, и не в коем случаи не открывайте вложения из этих писем; - если вам знаком отправитель письма, и вы хотите открыть вложение в нем, сначала сохраните вложение на диск и просканируйте антивирусной программой, а потом открывайте ( Ваш друг может не догадываться, что его компьютер заражен опасным вирусом. ); - не попадайтесь на бесплатный сыр в мышеловке, бесплатно в Интернете нечего не бывает; - старайтесь избегать сайтов для взрослых и сайтов с пиратским программным обеспечением (основные разносчики компьютерных вирусов); - используйте для путешествий по Интернету малораспространенные браузеры; - старайтесь работать на компьютере в ограниченной учетной записи, а не под «администратором»; - не открывайте полный доступ к папкам на вашем компьютере; - для подозрительных сайтов используйте повышенный уровень безопасности вашего интернет-браузера (Повышенный уровень безопасности: отключено выполнение скриптов на сайтах, динамическое содержимое WEB-страниц.); - отключите использование макросов в офисных приложениях (Макросы используются очень редко, но на них может быть написан вирус, который не распознает ваша антивирусная защита.); - не устанавливайте на компьютер сомнительные программы; 21 - не устанавливайте на компьютер программы из сомнительных источников; - делайте как можно чаще резервные копии важных данных на внешние носители информации; - разбейте ваш жесткий диск на логические диски, чтобы операционная система была отдельно размещена от важной информации и документов пользователей; Как говориться, «На бога надейся, а сам не плошай». Хорошая антивирусная защита, это не только хорошая антивирусная программа, но и грамотное поведение пользователя в сети и за своим компьютером. 5 Защита информации в Интернете При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютера могут быть открыты всем, кто обладает необходимыми средствами. Под защитой информации в компьютерных сетях принято понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде. Можно выделить две группы возможных причин ее искажения или уничтожения: непреднамеренные действия (сбои технических средств, ошибки обслуживающего персонала и пользователей, аварии и т.п.); несанкционированные действия, к которым относятся не планируемый (несанкционированный) доступ и ознакомление субъектов с информацией; прямое хищение информации в электронном виде непосредственно на носителях; снятие слепков с носителей информации или копирование информации на другие носители; запрещенная передача информации в линии 22 связи или на терминалы; перехват электромагнитных излучений и информации по различным каналам связи и т.п. Основные атаки Все атаки в Интернет/Интранет сети по способу работы можно классифицировать на следующие 4 вида: 1) Первый тип атак - приведение системы в нерабочее состояние - широко используется в Интернет. Цели при этом преследуются разные: начиная от мелких разборок на IRC, кончая политической виртуальной атакой. Результаты атаки бывают разные, но удачное ее проведение ничего хорошего для вас не сулит: в лучшем случае на экране пользователя появится хорошо знакомый синий экран с информацией об ошибке в библиотеке, отвечающей за работу с TCP/IP, а в худшем - компьютер намертво зависнет, и вся работа, которая велась на компьютере перед этим полетит насмарку. И лучше даже не представлять себе крайний случай, когда атакующий сумеет запустить на вашей машине программу-бомбу, которая через несколько минут сотрет содержимое жесткого диска и прошьет флэш-микросхему БИОСа нулями, после чего компьютер можно будет просто выбросить. Основные и широко распространенные орудия злоумышленников давно известны, и от них можно защититься. Перечислим некоторые: Самый старый и классический - это WinNuke, он же "нюкер". В операционной системе Windows'95 такое действие вызывает прекращение деятельности TCP/IP-ядра. Сама система продолжает работать, но для работы в сети вам придется перезагрузиться. В Windows'98 эта проблема исправлена. Также довольно широко известны программы, действие которых основывается на посылке фрагментированных IP-пакетов с некорректной информацией о сборке. В этом случае при получении таких данных ядро операционной системы пытается собрать полученные фрагменты в один, но из-за неправильно указанных длин фрагментов происходит неправильное выделение памяти. 23 Работа операционной системы останавливается полностью. Она не реагирует ни на что, кроме выключения питания. Для защиты требуется поставить на систему патчи. Если атакующему не хочется выводить чужой компьютер из строя, то он может использовать средства для захламления канала пользователя данными. В лучшем случае атакуемый компьютер захлебнется волной информации и долгое время его производительность в сети будет ничтожна, а в худшем может перестать функционировать TCP/IP ядро. Но сам компьютер при этом будет полноценно работать, хотя и в гордом одиночестве. Пример такой атаки - это flood ping на IRC - беспрерывная подача пакетов без ожидания ответа от жертвы. 2) Атаки с целью получить информацию с атакуемой машины. Такие атаки участились в последнее время, особенно в России. Крадут у нас все. Вообще все, что представляет какой-то интерес. Но прежде всего - пароли для доступа в Интернет. Дело в том, что их хранение в ОС Windows происходит без соблюдения нужных требований безопасности и украсть секцию из системного реестра, а также несколько *.pwl файлов совсем нетрудно. При таких атаках чаще всего используют тот недостаток Windows, что при установленной службе Microsoft доступа к каталогам и принтерам и разрешении в настройках сделать их общими (а так чаще всего все и делают) все ресурсы системы оказываются в полном распоряжении для их использования в Internet. Атакующему для этого достаточно знать только IP- адрес жертвы, после чего он может запустить, например, SmbScan или winhack и просканировать целого провайдера на предмет открытых портов у его клиентов для доступа к их сетевым ресурсам. Защититься от такой атаки несложно - достаточно закрыть сетевые tcp/ip-порты от доступа со стороны. Сделать это можно, например, программой PortBlock, а обнаружить присоединение человека к вашей системе - программой NetStat. 3) Получение контроля над атакованной машиной. Такие атаки очень удобны для взломщика. Прежде всего тем, что в случае удачной ее реализации атакующий получает полный контроль над системой: он может 24 полностью управлять работой программ, графического интерфейса, даже периферией и внешними устройствами. Другими словами, взломщик получает удаленную консоль для работы с атакованной машиной. Уже классическая сейчас программа, обеспечивающая крэкеру такие возможности - это BackOrifice, или в простонаречии - bo. При запуске она подменяет некоторые системные библиотеки, садится на определенный порт и слушает его, ожидая запросы от программы bo-клиента. При поступлении вызова от клиента происходит его авторизация и в случае успеха устанавливается соединение, передающее полное управление системой клиенту. Атакующий может все - от форматирования дискеты до проигрывания музыки на экране. Защиты здесь универсальной просто не существует, так как программ таких существует несколько, а все они используют хотя и похожие, но немного разные алгоритмы. Поэтому для каждой конкретной атаки надо искать конкретный патч либо использовать целый комплекс средств для проверки системы на зараженность серверной частью таких программ. 4) |