Экзамен в Магистратуру. Содержание. Место информационной безопасности в системе национальной безопасности
 Скачать 0.79 Mb.
|
|
Программы-вакцины, или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными и поэтому не внедрится. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Эти программы крайне неэффективны и практически не используются. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Для поиска новых вирусов используются алгоритмы эв ристического сканирования, т. е. анализа последовательнос ти команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирус ная программа выдает сообщение о возможном заражении объекта. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: - попытки коррекции файлов с расширениями COM, EXE; - изменение атрибутов файла; - прямая запись на диск по абсолютному адресу; - запись в загрузочные сектора диска; - загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирус ный сканер). Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фоново го системного процесса, проверяя на вредоносность соверша емые другими программами действия. Основная задача ан тивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замед лении работы компьютера. Антивирусный сканер запускается по заранее выбранно му расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных про грамм в оперативной памяти, а также на жестких и сетевых дисках компьютера. К недостаткам современных антивирусных программ можно отнести большие размеры используемых ими антивирусных баз дан ных, которые должны содержать информацию о максималь но возможном количестве вирусов (в настоящее время десят ках тысяч), что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов. Межсетевой экран. Межсетевой экран (брандмауэр) — это программное или аппаратное обеспечение, которое про веряет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропус кает в компьютер, в зависимости от параметров бранд мауэра. Межсетевой экран обеспечивает проверку всех Web-страниц, поступающих на компьютер пользователя. Каждая Web-страница перехватывается и анализируется межсетевым экраном на присутствие вредоносного кода. Распознавание вредоносных программ происходит на основании баз, исполь зуемых в работе межсетевого экрана, и с помощью эвристиче ского алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнару живать новые вирусы, еще не описанные в базах. Если Web-страница, к которой обращается пользова тель, содержит вредоносный код, доступ к нему блокирует ся. При этом на экран выводится уведомление о том, что за прашиваемая страница заражена. Если Web-страница не содержат вредоносного кода, она сразу же становится дос тупной для пользователя. Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сете вые игры, которым требуется принимать информацию из Интернета или локальной сети, межсетевой экран запраши вает пользователя о блокировании или разрешении подклю чения. Если пользователь разрешает подключение, брандма уэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Межсетевой экран позволяет: 1. блокировать хакерские DoS-атаки, не пропуская на за щищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен); 2. не допускать проникновение на защищаемый компьютер сетевых червей; 3. препятствовать троянским программам отправлять конфи денциальную информацию о пользователе и компьютере. Троянские программы часто изменяют записи системного реестра операционной системы, который содержит все сведения о компьютере и установленном программном обеспечении. Для их удаления необходимо восстановление системного реестра, поэтому компонент, восстанавливающий системный реестр, входит в современные операционные системы. Проверка скриптов в браузере. Проверка всех скриптов, обрабатываемых в браузере, производится следующим обра зом: • каждый запускаемый на Web-странице скрипт пере хватывается модулем проверки скриптов и анализиру ется на присутствие вредоносного кода; • если скрипт содержит вредоносный код, модуль про верки скриптов блокирует его, уведомляя пользовате ля специальным всплывающим сообщением; • если в скрипте не обнаружено вредоносного кода, он выполняется. Основными типами вредоносных программ являются: 1. компьютерные вирусы; 2. сетевые черви; 3. троянские программы; 4. программы показа рекламы и программы-шпионы, занимающиеся сбором персональной информации о компьютере и пользователе; 5. хакерские утилиты. Принцип антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для этого конкретного вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается заражённым вирусом и подлежит лечению. Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдаёт сообщение о возможном заражении объекта. Большинство антивирусных программ сочетает в себе функции постоянной защиты и функции защиты по требованию пользователя. Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера. Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жёстких и сетевых дисках компьютера. К недостаткам антивирусных программ можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.
Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование. Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает. Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением. Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы: - внешние события, вызванные действиями других сервисов; - внутренние события, вызванные действиями самого сервиса; - клиентские события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически. Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (брандмауэры (firewall)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду. Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты. При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки. Ключом называется число, используемое криптографическим алгоритмом для шифрования текста. В криптографии используется два метода шифрования - симметричное и асимметричное. При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей. Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку. Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровки. Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись.
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывшая Гостехкомиссия России). Для начала дадим определение объекта информатизации. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров. Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате. Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации. Аттестация является обязательной в следующих случаях:
Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации. Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:
Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:
Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации". Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации. Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика. В структуру системы аттестации входят:
В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации. В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию. Органы по аттестации:
ФСТЭК осуществляет следующие функции в рамках системы аттестации:
Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации. Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации". Заявители:
Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:
Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
Проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее: - анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации; - определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации; - проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации; - проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации; - проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации; - оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации. К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Протокол аттестационных испытаний должен включать:
Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов. Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю. Заключение и протоколы испытаний подлежат утверждению органом по аттестации. Рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон. Аттестат соответствия должен содержать:
Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. |