ОИБ. основы информ. безопасности. Учебное пособие Томск

142 установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.
Ролевой доступ развивается более 10 лет (сама идея ролей, разумеется, значительно старше) как на уровне операционных систем, так и в рамках СУБД и других информационных сервисов. В частности, существуют реализации ролевого доступа для Web-серверов.
В 2001 году Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом, основные положения которого приведены ниже.
Ролевое управление доступом оперирует следующими основными понятиями: пользователь (человек, интеллектуальный автономный агент и т.п.); сеанс работы пользователя; роль (обычно определяется в соответствии с организационной структурой); объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД); операция (зависит от объекта: для файлов ОС – чтение, запись, выполнение и т.п.; для таблиц СУБД – вставка, удаление и т.п.); право доступа (разрешение выполнять определенные операции над определенными объектами).
Ролям приписываются пользователи и права доступа, можно считать, что они (роли) именуют отношения ―многие ко многим‖ между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям.
Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.
Между ролями может быть определено отношение частичного порядка, называемое
наследованием. Если роль r2 является наследницей r1, то все права r1 приписываются r2, а все пользователи r2 приписываются r1. Наследование ролей соответствует наследованию классов в объектно-ориентированном программировании, только правам доступа соответствуют методы классов, а пользователям – объекты (экземпляры) классов.
Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу. В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц (и, естественно, несколько наследниц, которых мы будем называть также преемницами).
Можно представить себе формированиеиерархии ролей, начиная с минимума прав (и максимума пользователей), приписываемых роли «сотрудник», с постепенным уточнением состава пользователей и добавлением прав (роли «системный администратор», «бухгалтер» и т.п.), вплоть до роли «руководитель» (что, впрочем, не значит, что руководителю предоставляются неограниченные права, как и другим ролям, в соответствии с принципом
минимизации привилегий, этой роли целесообразно разрешить только то, что необходимо для выполнения служебных обязанностей).
Существует масса принципов информационной безопасности, в частности разделение
обязанностей, причем в двух видах: статическом и динамическом.
Статическое разделение обязанностей налагает ограничения на приписывание пользователей ролям. В простейшем случае членство в некоторой роли запрещает приписывание пользователя определенному множеству других ролей. В общем случае данное ограничение задается как пара «множество ролей – число» (где множество состоит, по крайней мере, из двух ролей, а число должно быть больше 1), так что никакой пользователь не может быть приписан указанному (или большему) числу ролей из заданного множества.

143
Например, может существовать пять бухгалтерских ролей, но политика безопасности допускает членство не более чем в двух таких ролях (здесь 3).
При наличии наследования ролей ограничение приобретает несколько более сложный вид, но суть остается простой: при проверке членства в ролях нужно учитывать приписывание пользователей ролям-наследницам.
Динамическое разделение обязанностей отличается от статического только тем, что рассматриваются роли, одновременно активные (быть может, в разных сеансах) для данного пользователя, а не те, которым пользователь статически приписан. Например, один пользователь может играть роль и кассира, и контролера, но не одновременно; чтобы стать контролером, он должен сначала закрыть кассу. Тем самым реализуется так называемое
временное ограничение доверия, являющееся аспектом минимизации привилегий.
Рассматриваемый проект стандарта содержит спецификации трех категорий функций, необходимых для администрирования РУД:
Административные функции (создание и сопровождение ролей и других атрибутов ролевого доступа): создать/удалить роль/пользователя, приписать пользователя/право роли или ликвидировать существующую ассоциацию, создать/удалить отношение наследования между существующими ролями, создать новую роль и сделать ее наследницей/предшественницей существующей роли, создать/удалить ограничения для статического/динамического разделения обязанностей.
Вспомогательные функции (обслуживание сеансов работы пользователей): открыть сеанс работы пользователя с активацией подразумеваемого набора ролей; активировать новую роль, деактивировать роль; проверить правомерность доступа.
Информационные функции (получение сведений о текущей конфигурации с учетом отношения наследования). Здесь проводится разделение на обязательные и необязательные функции. К числу первых принадлежат получение списка пользователей, приписанных роли, и списка ролей, которым приписан пользователь.
Все остальные функции отнесены к разряду необязательных. Это получение информации о правах, приписанных роли, о правах заданного пользователя (которыми он обладает как член множества ролей), об активных в данный момент сеанса ролях и правах, об операциях, которые роль/пользователь правомочны совершить над заданным объектом, о статическом/динамическом разделении обязанностей.
6.4.3. Регистрация и аудит
Регистрация (или протоколирование) представляет собой механизм подотчетности системы ОБИ, фиксирующий все события, касающиеся безопасности, такие как: вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытки доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т.д.
Эффективность системы ОБИ принципиально повышается в случае дополнения регистрации аудитом — анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей и т.д.
Реализация механизма регистрации и аудита преследует следующие цели: обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем.
Кроме того, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.

144
Практическими средствами регистрации и аудита могут быть следующие: различные системные утилиты и прикладные программы, регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал — это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата. Типовая запись регистрационного журнала включает в себя: тип записи, дата, время, терминал, пользователь, событие, результат.
Процесс ведения регистрационного журнала состоит из четырех этапов:
Сбор и хранение;
Защита;
Интеграция;
Анализ.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь от несанкционированной модификации и, возможно, раскрытия. Дополнительные требования по безопасности определяются концентрацией информации обо всей АС, множеством сегментов
АС с различными уровнями доступа, разницей зон административной ответственности и др.
Этап интеграции необходим для объединения и согласования форматов регистрируемых данных из различных систем. Некоторые системы не имеют механизмов контроля и регистрации данных. Возможно, здесь придется разработать программы дополнительного контроля данных и программы трансформации данных в единый формат.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления НСД.
Статистические методы. Здесь накапливается среднестатистические параметры функционирования подсистем (исторический профиль трафика) и сравниваются с текущими.
Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз. Например, так выявляются: сбои в работе сервера из-за лавинного потока запросов, быстро распространяемый компьютерный вирус, нарушитель, маскирующиеся под легального пользователя, но ведущий себя иначе («маскарад») и др.
Эвристические методы. В данном случае в логических правилах системы поддержки принятия решений закодированы известные сценарии НСД, характеристики наблюдаемой системы, сигнализирующие о нарушениях, или модели действий, по совокупности приводящие к НСД. Понятно, что данные методы идентифицируют только известные угрозы, определенные в базе знаний системы поддержки принятия решений.
Аудиту информационной безопасности посвящен второй раздел работы (см. ниже).

145
6.4.4. Криптография
В этом пункте будут рассмотрены криптографические сервисы безопасности, точнее, элементарные сведения, помогающие составить общее представление о компьютерной криптографии и ее месте в общей архитектуре информационных систем.
Криптография необходима для реализации, по крайней мере, трех сервисов безопасности: шифрование; контроль целостности; аутентификация (этот сервис был рассмотрен ранее).
Шифрование
Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и в то же время последним (а подчас и единственным) защитным рубежом. Например, для портативных компьютеров только шифрование позволяет обеспечить конфиденциальность данных даже в случае кражи.
В большинстве случаев и шифрование, и контроль целостности играют глубоко инфраструктурную роль, оставаясь прозрачными и для приложений, и для пользователей.
Типичное место этих сервисов безопасности – на сетевом и транспортном уровнях реализации стека сетевых протоколов.
Различают два основных метода шифрования: симметричный, асимметричный.
При симметричном шифровании один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных. Разработаны весьма эффективные (быстрые и надежные) методы симметричного шифрования. Национальный стандарт на подобные методы – ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно.
В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой (секретный, известный только получателю) – для расшифрования.
Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями.
Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтому данные методы приходится сочетать с симметричными
(асимметричные методы на 3 – 4 порядка медленнее). Так, для решения задачи эффективного шифрования с передачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем этот ключ зашифровывают открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети [3].

146
Контроль целостности
Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий – «неотказуемость».
В основе криптографического контроля целостности лежат два понятия: хэш-функция; электронная цифровая подпись (ЭЦП).
Хэш-функция – это трудно обратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.
Пусть имеются данные, целостность которых нужно проверить, хэш-функция и ранее вычисленный результат ее применения к исходным данным (так называемый дайджест).
Обозначим хэш-функцию через h, исходные данные – через T, проверяемые данные – через T'.
Контроль целостности данных сводится к проверке равенства h(T') = h(T). Если оно выполнено, считается, что T' = T. Совпадение дайджестов для различных данных называется коллизией. В принципе, коллизии, конечно, возможны, поскольку мощность множества дайджестов меньше, чем мощность множества хэшируемых данных, однако то, что h есть функция односторонняя, означает, что за приемлемое время специально организовать коллизию невозможно.
Два российских стандарта, ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и
ГОСТ Р 34.11-94 «Функция хэширования», объединенные общим заголовком
«Информационная технология. Криптографическая защита информации», регламентируют вычисление дайджеста и реализацию ЭЦП. В сентябре 2001 года был утвержден, а 1 июля
2002 года вступил в силу новый стандарт ЭЦП – ГОСТ Р 34.10-2001, разработанный специалистами ФАПСИ.
6.4.5. Экранирование
Механизмом обеспечения целостности данных в информационно-вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети. С одной стороны, это повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды.
Указанное уменьшает уязвимость внутренних объектов потому, что сторонний нарушитель должен преодолеть некоторый защитный барьер — межсетевой экран, в котором механизмы
ОБИ сконфигурированы особо тщательно и жестко. С другой стороны, экранирование позволяет контролировать информационные потоки, исходящие во внешнюю среду, что повышает режим конфиденциальности АС. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в АС и/или выходящих из АС, и обеспечивает защиту АС посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее распространении в/из АС.
В общем случае межсетевой экран выполняет свои функции, контролируя все информационные потоки между двумя сегментами сети или сетями.
Межсетевые экраны классифицируют следующим образом:

147 на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети, по уровню фильтрации, соответствующему эталонной модели OSI/ ISO.
Говоря о внешних и внутренних сетевых экранах, следует отметить следующее.
Внешние обычно имеют дело только с протоколом TCP/IP сети Internet. Для внутренних сетевых экранов может иметь место многопротокольность.
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (таблица 6.4). Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
Межсетевые экраны разделяют на четыре типа: межсетевые экраны с фильтрацией пакетов; шлюзы сеансового уровня; шлюзы прикладного уровня; межсетевые экраны экспертного уровня.
Таблица 6.4. Типы межсетевых экранов и уровни модели ISO/OSI
Уровень модели
OSI
Протоколы Internet
Тип межсетевого экрана
Прикладной
Telnet, FTP, DNS,
NFS, PING, SMTP,
HTTP
Шлюз прикладного уровня
Межсетевой экран экспертного уровня
Представления данных
Сеансовый
TCP, UDP
Шлюз сеансового уровня
Транспортный
TCP, UDP
Сетевой
IP, ICMP
Межсетевой экран с фильтрацией пакетов
Канальный
Физический
1. Межсетевые экраны с фильтрацией пакетов (packet-filtering firewall) представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их с сконфигурированной таблицей правил.
Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным недостатком является их уязвимость для IP-спуфинга - замены адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
2. Шлюзы сеансового уровня (circuit-level gateway) контролируют допустимость сеанса связи. Они следят за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние
IP-адреса, т.е. исключают IP-спуфинг. Однако, т.к. системы контролируют пакеты только на сеансовом уровне, то и отсутствует контроль содержимого пакетов, генерируемых

148 различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
3. Шлюзы прикладного уровня (application-level gateway) проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип брандмауэра, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб Internet (HTTP,
FTP, telnet и т.д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Internet из-за узости каналов связи, но существенно при работе во внутренней сети - Intranet. К недостаткам можно добавить необходимость (а значит и дополнительные временные и экономические затраты) в разработке новых программ-посредников при внедрении новой службы Internet.
4. Межсетевые экраны экспертного уровня (stateful inspection firewall) сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что, теоретически, должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают прямое соединение между авторизованным клиентом и внешним хостом, то они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остаются вопрос: обеспечивают они меньшую безопасность АС по сравнению со шлюзами прикладного уровня или нет [2].
6.4.6. Антивирусная защита
Известно, что нельзя добиться 100 %-ой защиты ПК от компьютерных вирусов отдельными программными средствами. Поэтому для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по корпоративной сети необходим комплексный подход, сочетающий различные административные меры, программно- технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно-технических средствах, можно выделить три основных уровня антивирусной защиты:
Поиск и уничтожение известных вирусов.
Поиск и уничтожение неизвестных вирусов.
Блокировка проявления вирусов.

149
Поиск и уничтожение известных вирусов
При поиске и уничтожении известных вирусов наиболее распространенным является
метод сканирования. Указанный метод заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая база данных сканирования с фрагментами кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентификации кода нового вируса, его сигнатура может быть введена в базу данных сканирования. В виду того, что сигнатура известна, то существует возможность корректного восстановления (обеззараживания) зараженных файлов и областей. Следует добавить, что некоторые системы хранят не сами сигнатуры, а, например, контрольные суммы или имитоприставки сигнатур.
Антивирусные программы, выявляющие известные компьютерные вирусы, называются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами (фагами), докторами или дезинфекторами.
Примером сканера-полифага является знакомая программа Aidstest.
Принято разделять сканеры на следующие:
транзитные, периодически запускаемые для выявления и ликвидации вирусов,
резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).
К недостаткам сканеров следует отнести то, что они позволяют обнаружить вирусы, которые уже проникали в вычислительные системы, изучены и для них определена сигнатура.
Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования. Однако с увеличением объема базы данных сканирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь актуальной.
Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный код. Это затрудняет или делает невозможным выделить сигнатуру, а следовательно, обнаружить вирусы методом сканирования.
Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.
Поиск и уничтожение неизвестных вирусов
Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключаются в проверке и сравнении текущих параметров вычислительной системы с эталонными, соответствующими ее незараженному состоянию. Понятно, что контроль целостности не являются прерогативой исключительно системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.

150
Для реализации указанных функций используются программы, называемые
ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут ―только для чтения‖ файлов, дерево каталогов, сбойные кластеры, загрузочные сектора дисков. В сетевых системах могут накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими.
Ревизоры, как и сканеры, делятся на транзитные и резидентные.
К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими всякие неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.
Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения зараженных файлов неизвестными вирусами обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.
Кроме этого ревизоры не определяют зараженные файлы, создаваемые или копируемые в систему.
Разновидностью контроля целостности системы является метод программного самоконтроля, именуемые вакцинацией. Идея методов состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.
Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы. Они позволяет выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором.
К недостаткам эвристических анализаторов можно отнести ошибки 1-го и 2-го рода: ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эвристики.
Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.
Блокировка проявления вирусов
Блокировка проявления вирусов предназначена для защиты от деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средства: программы-фильтры, аппаратные средства контроля.
Программы-фильтры, называемые также резидентными сторожами и мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания, с целью контроля подозрительной действий. При этом они могут блокировать ―опасные‖ действия или выдавать запрос пользователю.

151
Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры часто являются ―навязчивыми‖ и создают определенные неудобства в работе пользователя.
Встроенные аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главном загрузочном секторе диска (MBR). Включение указанных возможностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.
Наиболее полная защита от вирусов может быть обеспечена с помощью специальных контроллеров аппаратной защиты. Такой контроллер подключается к ISA-шине ПК и на аппаратном уровне контролирует все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может быть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, ―опасные‖ операции и т.д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование.
К недостаткам указанных контроллеров, как ISA-плат, относят отсутствие системы авто конфигурирования, и как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными [2].
6.5. Модель безопасности информационной сети предприятия
В данном разделе будет рассмотрен один из возможных вариантов построения защищенной информационной сети предприятия на базе компьютерного оборудования и программных средств.
Компьютерная сеть предприятия малого/среднего бизнеса включает в себя несколько локальных сетей объединенных в единую сеть организации и функционирующих как единое целое. Как правило, сеть включает в себя различного рода коммутационное оборудование, такое как маршрутизатор, хосты, коммутаторы, сетевые карты и т.д., а также всевозможные сервисы и программы.
Из предыдущего раздела известно, что в качестве первого рубежа защиты сети, от угроз из Internet, служит межсетевой экран. В общем случае существует два варианта постановки экрана в сеть, эти варианты приведены на рисунке 6.8.
Internet
Router
Firewall
LAN
Public services
Internet
Router
Firewall
LAN
Public services a) Простое включение МЭ б) Подключение МЭ с вынесением общедоступных серверов
Рис. 6.8. Варианты постановки МЭ в сеть

152
Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной (6.8а). При этом публичные сервисы (Public services: WWW, FTP, e-mail) оказываются защищены межсетевым экраном. Требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных публичных серверов.
Для предотвращения доступа в локальную сеть, используя ресурсы публичных серверов, рекомендуется общедоступные серверы подключать перед межсетевым экраном, так как показано на рисунке 6.8б. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности общедоступных серверов.
Экскурс в технологию WWW. WWW представляет собой клиент-серверную технологию, основанную на прикладном протоколе HTTP. В нем имеется два вида сообщений: запросы от клиента к серверу и ответы сервера клиенту. Для передачи сообщений используется протокол TCP, стандартный порт HTTP-сервера – 80.
Очевидно, что не все информационные ресурсы WWW могут быть открыты для всеобщего просмотра. Для того чтобы ограничить доступ к какому-либо ресурсу, используется аутентификация клиента, т.е. клиент должен предоставить имя пользователя и пароль, прежде чем его пароль будет обслужен HTTP-сервером.
Почтовый сервис (e-mail) использует протоколы: SMPT (Simple Mail Transfer Protocol) и POP3 (Post Office Protocol).
Главной целью протокола SMTP служит надежная и эффективная доставка электронных почтовых сообщений. SMTP является довольно независимой системой и требует только надежного канала связи. Средой для SMTP может служить отдельная локальная сеть, система сетей или весь Internet.
SMTP базируется на следующей модели коммуникаций: в ответ на запрос пользователя почтовая программа-отправитель устанавливает двухстороннюю связь с программой-приемником (TCP, порт 25). Получателем может быть оконечный или промежуточный адресат. SMTP-команды генерируются отправителем и посылаются получателю. На каждую команду должен быть отправлен и получен отклик.
В некоторых небольших узлах Internet бывает непрактично поддерживать систему передачи сообщений MTS (Message Transport System). Рабочая станция может не иметь достаточных ресурсов для обеспечения непрерывной работы SMTP-сервера. Для ―домашних
ЭВМ‖ слишком дорого поддерживать связь с Internet круглые сутки.
POP3 обеспечивает доступ к электронной почте малых узлов и индивидуальных ЭВМ.
Этот протокол обеспечивает доступ узла к базовому почтовому серверу. POP3 получает и стирает почтовые сообщения. Когда пользователь ЭВМ-клиента хочет послать сообщение, он устанавливает SMTP связь с почтовым сервером непосредственно и посылает все, что нужно через него. При этом ЭВМ POP3-сервер не обязательно является почтовым сервером. В исходный момент ЭВМ POP3-сервер прослушивает TCP-порт 110. Если ЭВМ-клиент хочет воспользоваться услугами POP3-сервера, то устанавливает с ним TCP связь. По установлении связи POP3-сервер посылает клиенту уведомление и сессия переходит в фазу авторизации.
После этого может производиться обмен командами и откликами.
Преследуя своей целью защитить активы внутренней сети организации, а так же не загружать firewall – поставим экран после публичных сервисов.
Система защиты информации на уровне ―периметра‖, кроме межсетевого экрана, включает в себя такие защитные средства (Security services): автоматизированное рабочее место администратора, антивирусный шлюз, сервер аудита безопасности системы, средства адаптивного управления безопасностью ANS (Adaptive Network Security) и обнаружения атак IDS (Intrusion Detection System), средства проверки почты,

153 и др.
В качестве внутреннего сервиса выступает сервис распределенных баз данных.
Разбивка сети на сегменты достигается за счет коммутатора (Switch), посредствам которого так же осуществляется доступ/запрет: из одного локального сегмента в другой, из внутренней сети к внутренним сервисам (например, к распределенной базе данных предприятия), из внутренней сети к публичным сервисам, из внутренней сети в Internet.
Благодаря коммутатору можно задавать любую политику безопасности.
Описанная структура информационной сети организации представлена на рисунке 6.9.
Public services
Internet
Modem
Router
Hub
Security services
(Firewall, IDS,… )
Mail Server
Web Server
FTP Server
………
Other services
Switch
Segment 2
Segment 1
Segment N
………
IDS
Рис. 6.9. Модель безопасности информационной сети предприятия
6.6. Типовая политика безопасности предприятия малого и среднего
бизнеса – комплект документов и инструкций
Для модели безопасности информационной сети предприятия, представленной в предыдущем пункте (рисунок 6.9) необходимо предоставить:
Типовую политику безопасности.
Типовые документы и инструкции.
Основные средства, методы и элементы информационной защиты.

154
6.6.1. Типовая политика безопасности
Типовая политика безопасности разработана для организации, имеющей выход в
Internet и обладающая ресурсами, к которым необходим доступ из Internet.
Сетевая безопасность
Доступ из Internet в корпоративную сеть компании:
Доступ во внутреннюю сеть извне запрещен.
Доступ к межсетевому экрану извне запрещен.
Доступ к следующим сервисам: антивирусному шлюзу, серверу аудита безопасности системы, средствам адаптивного управления безопасностью и обнаружения атак, средствам проверки почты доступ извне запрещен.
Доступ к WWW, FTP, e-mail сервисам извне разрешен по следующим правилам.
Для WWW сервиса: доступ извне разрешен всем только к 80 порту, доступ администратора
WWW-сервера разрешен только из сегмента административного управления при прохождении процедуры аутентификации/идентификации на firewall.
Для e-mail сервера: разрешен доступ из внутренней сети компании к РОР3-сервису через 110 порт, разрешен доступ из внутренней сети компании к SMTP-сервису через 25 порт.
Межсетевой экран:
Firewall администрируется только локально с автоматизированного рабочего места администратора сети (процедура администрирования возможна при прохождении аутентификации/идентификации пользователем (администратором)). Регулярно ставятся и обновляются антивирусные программы и необходимые патчи, поддерживается максимально безопасная конфигурация операционной системы.
Средства адаптивного управления безопасностью:
Система анализа защищенности (Internet Scanner) администрируется локально с автоматизированного рабочего места администратора сети. Анализ всесторонних и/или выборочных тестов операционных систем, используемого прикладного ПО, маршрутизатора, межсетевого экрана, всех серверов и т.д., производится администратором безопасности регулярно (раз в неделю).
Система обнаружения атак IDS служащая для автоматической реконфигурации межсетевого экрана в случае обнаружения атак. Сервис контролирует весь входящий трафик из сети Internet.
Средства протоколирования:
Ведутся специальные файлы. на межсетевом экране ведется запись в лог-файл обо всех обращениях и попытках связи (удачных и нет) из корпоративной сети и в корпоративную сеть, система обнаружения атак запоминает все атаки и подозрительные активности (так же в лог-файле), на Web-сервисе храниться информация обо всех посетителях (лог-файл), администратор безопасности должен вести файл, содержащий информацию обо всех изменениях и попытках изменить информацию в лог-файлах предыдущих сервисов.
Коммутатор (Switch): разрешен доступ из всех сегментов сети к Internet без ограничений, доступ из сетей пользователей в сети администраторов (управления, безопасности) запрещен.

155
Локальная безопасность
Локальная безопасность направлена на защиту каждого компьютера сети.
Антивирусный контроль:
Антивирусный контроль на всех рабочих станциях.
Защита от НСД:
Необходимо поставить систему защиты от НСД, которая должна контролировать и разграничивать доступ к каждой рабочей станции и серверу. Система должна быть: при загрузке идентификация простого пользователя должна производиться при помощи при помощи пароля, блокировать доступ в setup всех рабочих станций и серверов всем пользователям кроме администратора, блокировать компьютер, в случае если пользователь покинул свое место.
Криптографическая защита данных:
Сотрудники компании должны сохранять информацию начиная с уровня ―строго конфиденциально» (см. п.6.2) на специальном криптодиске.
Защита персональным firewall:
Все рабочие станции должны быть защищены персональным firewall (реализованным программно).
Резервирование данных
Обязательным является резервирование пользователями важных данных на персональных компьютерах на внутреннем сервере данных компании.
Протоколирование доступа:
При локальном доступе пользователя к рабочей станции (администратора к серверам) ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему).
Физическая безопасность
Все сервисы безопасности и данных должны находится в отдельном помещении, доступ в которое разрешен только администраторам (у которых есть ключ или магнитная карта к этой комнате).
Необходимо введение отдельной должности администратора безопасности, все изменения в системах ИТ – администратор и администратор безопасности будут делать в паре
(пароль разбит на две части: по одному сегменту на специалиста).
Помещение должно быть оборудовано принудительной вентиляцией и пожарной защитой (полуавтоматической или автоматической), возможно, видео наблюдением за действиями администраторов.
Необходимо контролировать поток служащих и посетителей компании (либо по специальным пропускам, либо по магнитным картам).
6.6.2. Типовые документы и инструкции
В соответствии с рекомендациями Британского стандарта BS 7799:1995 включим в документ, характеризующий политику безопасности организации, следующие разделы:
1 Вводный раздел.
2 Организационный раздел.
3 Классификационный.
4 Штатный раздел.
5 Раздел инструкций и требований по обеспечению внутренней информационной безопасности компании.

156
Соответствие четырех уровневой модели обеспечения безопасности информационной сети предприятия. Первые три раздела соответствуют административному уровню защиты информации, четвертый раздел – процедурному уровню, а программно-техническому уровню соответствует пятый раздел документов.
Ранее говорилось, что ПБ состоит из двух (трех) уровней, чем больше предприятие, тем сложнее структура политики. Для малого и среднего бизнеса достаточно привести двухуровневую структуру политики безопасности, назовем условно верхний уровень
«административным», а нижний «техническим». Таким образом, в «административный» раздел войдут документы вводного, организационного, классификационного и штатного разделов. «Технический» раздел охватит свод правил, инструкций и требований по обеспечению информационной безопасности организации.
Вводный раздел
Позиция администрации предприятия по вопросу защиты информационных активов:
Надежное функционирование информационной компьютерной сети предприятия является частью производственного процесса. Защита информационных активов предприятия необходима.
Типовые цели предприятия в области защиты информации:
Приоритетной целью любого предприятия является обеспечение целостности, конфиденциальности, доступности информации. В качестве частных целей: следование экономической целесообразности в выборе защитных мер, обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации, и др.
Организационный раздел
Данный раздел включает описание всех групп пользователей имеющих отношение к работам в области информационной безопасности. В принципе данную формулировку можно трактовать по-разному, так как каждый пользователь сети так или иначе несет ответственность за некоторую часть производственной информации, с которой он работает. В таком контексте данный документ можно рассматривать как положение о категорировании пользователей автоматизированной системы.
Этот документ также может содержать положение о категорировании ресурсов.
Положение о категорировании пользователей АС:
В АС входят следующие группы пользователей:
Группа Администраторы. В нее входят администраторы информационных технологий и безопасности. Администраторы имеют полный доступ к ресурсам АС для ее администрирования.
Группа Топ-менеджеры. В группу входят: президент компании, генеральный директор, технический директор, заместители и т.д.
Группа Сотрудники. В группу входят все сотрудники компании (экономисты, бухгалтеры, сотрудники отдела кадров, …).
Каждая группа пользователей обладает различными правами доступа к информации различного уровня секретности. Уровень секретности определяется положением о категорировании ресурсов организации.
Положение о категорировании ресурсов:
В компании вводятся следующие уровни категорий секретности информации: общедоступно, конфиденциально,

157 строго конфиденциально, секретно.
Сотрудникам компании строго запрещается разглашать кому-либо информацию, начиная с уровня «конфиденциально».
Общедоступной информацией является информация, уже опубликованная в средствах массовой информации, а также на Web-сайте компании. Решение о придании статуса
«Общедоступно» принимает генеральный или технический директор.
Конфиденциальной информацией в компании является любая внутренняя информация компании (служебная, штатная,…).
Строго конфиденциальной информацией в компании является: коммерческая информация (тексты договоров и соглашений с партнерами и клиентами), техническая информация (тексты отчетов, ТЗ, значимые документы, продукты, ключи лицензирования и т.д.).
Решение о придание статуса «Строго конфиденциально» коммерческой информации принимает генеральный директор. Решение о придание статуса «Строго конфиденциально» технической информации принимает технический директор.
Порядок обращения с информацией, подлежащей защите
Должны быть четко описаны и классифицированы следующие действия с информацией:
1. копирование;
2. хранение;
3. передача почтой, факсом, е-мейлом;
4. передача голосом, включая мобильные телефоны, голосовую почту;
5. уничтожение.
1. Информация уровня «общедоступно». Доступ, копирование и любая передача информации данного уровня не ограничены. Уничтожение информации возможно только ее владельцем.
2. Информация уровня «конфиденциально». Подлежит защите от НСД средствами разграничения доступа.
Доступ к данной информации может осуществляться сотрудниками компании локально и удаленно. Удаленный доступ из корпоративной сети осуществляется без применения средств шифрования трафика. Удаленный доступ из Internet осуществляется с применением средств шифрования трафика.
Доступ к информации уровня «конфиденциально» осуществляется категориями пользователей: Администраторы, Топ-менеджеры, Сотрудники.
Копирование и любая передача информации данного уровня ограничены периметром компании. Уничтожение информации возможно только ее владельцем.
3. Информация уровня «строго конфиденциально». Подлежит защите от НСД средствами разграничения доступа и криптографической защите.
Удаленный доступ из корпоративной сети осуществляется с применением средств шифрования трафика. Удаленный доступ сотрудников из Internet осуществляется с применением средств шифрования трафика. Копирование и любая передача информации данного уровня возможно только в пределах компании и только авторизованным персонам.
Уничтожение информации возможно только ее владельцем.
Право на удаление информации уровня ―секретно‖ имеет только администратор безопасности вместе с ИТ – администратором (пароль разделен на две части между ними) с разрешения тех. Директора.
Доступ к информации уровня «строго конфиденциально» осуществляется категориями пользователей: Топ-менеджеры, Сотрудники (с разрешения тех. директора).

158 4. Информация уровня «секретно» подлежит защите от НСД, криптографической защите и обязательному протоколированию доступа.
Удаленный доступ из корпоративной сети осуществляется с применением средств шифрования трафика. Удаленный доступ из Internet запрещен. Копирование и любая передача информации данного уровня возможно только в пределах компании и только авторизованным персонам. Уничтожение информации возможно только ее владельцем.
Право на удаление информации уровня «секретно» имеет только администратор безопасности вместе с ИТ-администратором администратором (пароль разделен на две части между ними) с разрешения тех. директора.
Доступ к информации уровня «строго конфиденциально» осуществляется категориями пользователей: Топ-менеджеры.
Классификационный раздел
Данный раздел описывает имеющиеся в организации материальные, информационные ресурсы и необходимый уровень их защиты.
В качестве материальных ресурсов могут выступать элементы, описанные выше. В проекции на организацию с моделью безопасности информационной сети (рисунок 6.9) данный список может принять вид:
Аппаратное обеспечение: компьютеры, принтеры, сканеры, факсы и телефоны, коммуникационные линии, сетевое оборудование (сетевые карты) и их составные части.
Программное обеспечение: операционные системы: Windows 2000, Server, NT, 98/95 (для рабочих станций), прикладные программы: офисные приложения (MS Word, MS Excel, …), базы данных
(1C, MS Access, Oracle, …), другое (…), почтовые протоколы POP3, SMTP, сетевые протоколы: стек TCP/IP, система анализа защищенности (Internet Scanner), система обнаружения атак IDS,
…
Информационное обеспечение (вводимые и обрабатываемые, хранимые, передаваемые и резервные (сохранные копии) данные и метаданные): данные о сотрудниках (информация о личности (ФИО, …), занимаемой должности, правах доступа к информации, заработанной плате, …), данные о клиентах/партнерах, данные о соглашениях/контрактах с клиентами/партнерами, промежуточные данные (при обработке какой бы то ни было информации), данные о конфигурации системы, используемом оборудовании и программах,
….
Персонал: обслуживающий персонал (ИТ – администраторы, администраторы безопасности), пользователи (администрация организации, топ-менеджеры, экономисты, юристы, кладовщики, клиенты,…).
Документация (конструкторская, техническая, пользовательская, …).
Расходные материалы: бумага,

159 магнитные носители, картриджи, др.
Штатный раздел
Данный раздел характеризует меры безопасности, применяемые к персоналу, иначе говоря, эти документы функционируют на процедурном уровне защиты информации.
Типовые документы:
Описание должностей с точки зрения информационной безопасности,
Организация обучения и переподготовки персонала,
Порядок реагирования на нарушения режима безопасности и т.п.
Данный уровень был подробно рассмотрен ранее (см. п.3).