МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИРОССИЙСКОЙ ФЕДЕРАЦИИРОССИЙСКИЙГОСУДАРСТВЕННЫЙ СОЦИАЛЬНЫЙ УНИВЕРСИТЕТИНСТИТУТ СОЦИАЛЬНОГО МЕНЕДЖМЕНТА
Факультет социального управления
Кафедра социального менеджмента и туризмаСпециальность «Менеджмент организации»Специализация «Гостиничный бизнес и туризм»
КУРСОВАЯ РАБОТА
по дисциплине «Информационные технологии управления»
на тему: Основные угрозы безопасности информации инормального функционирования ИС
Выполнила: студентка IV курса
группы МОТ-В-4
ЖИЕНКУЛОВА К.Х.
Проверил: научный руководитель
МАТЯШ С.А.
Работа защищена с оценкой
«____»(_________________)
«____» _____________2009г.
Москва
2009 год
Оглавление
Введение
Раздел 1.Теоретическая часть
1.1 Основные угрозыбезопасности информации
1.2 Характеристикакомпьютерных вирусов и признаки вирусного заражения
1.3 Классификация компьютерныхвирусов
Раздел 2.Практическая часть
2.1 Общаяхарактеристика средств нейтрализации компьютерных вирусов
2.2 Классификацияметодов защиты от компьютерных вирусов
2.3 Информационнаябезопасность с точки зрения законодательства и политика безопасности
Заключение
Списокиспользуемой литературы
Введение
Развитие новых информационныхтехнологий и всеобщая компьютеризация привели к тому, что информационнаябезопасность не только становится обязательной, она еще и одна из характеристикИС. Существует довольно обширный класс систем обработки информации, приразработке которых фактор безопасности играет первостепенную роль (например,банковские информационные системы).
Под безопасностью ИС понимаетсязащищенность системы от случайного или преднамеренного вмешательства внормальный процесс ее функционирования, от попыток хищения(несанкционированного получения) информации, модификации или физическогоразрушения ее компонентов. Иначе говоря, это способность противодействоватьразличным возмущающим воздействиям на ИС.
Под угрозой безопасностиинформации понимаются события или действия, которые могут привести кискажению, несанкционированному использованию или даже к разрушению информационныхресурсов управляемой системы, а также программных и аппаратных средств.
Если исходить из классическогорассмотрения кибернетической модели любой управляемой системы, возмущающиевоздействия на нее могут носить случайный характер. Поэтому среди угрозбезопасности информации следует выделять как один из видов угрозы случайные,или непреднамеренные. Их источником могут быть выход из строяаппаратных средств, неправильные действия работников ИС или ее пользователей,непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тожеследует держать во внимании, так как ущерб от них может быть значительным.Однако в данной главе наибольшее внимание уделяется угрозам умышленным, которые,в отличие от случайных, преследуют цель нанесения ущерба управляемой системеили пользователям. Это делается нередко ради получения личной выгоды.
Человека, пытающегося нарушитьработу информационной системы или получить несанкционированный доступ кинформации, обычно называют взломщиком, а иногда «компьютерным пиратом»(хакером).
В своих противоправных действиях,направленных на овладение чужими секретами, взломщики стремятся найти такиеисточники конфиденциальной информации, которые бы давали им наиболеедостоверную информацию в максимальных объемах с минимальными затратами на ееполучение. С помощью различного рода уловок и множества приемов и средствподбираются пути и подходы к таким источникам. В данном случае под источникоминформации подразумевается материальный объект, обладающий определенными сведениями,представляющими конкретный интерес для злоумышленников или конкурентов.
Многочисленные публикации последнихлет показывают, что злоупотребления информацией, циркулирующей в ИС илипередаваемой по каналам связи, совершенствовались не менее интенсивно, чем мерызащиты от них. В настоящее время для обеспечения защиты информации требуется непросто разработка частных механизмов защиты, а реализация системного подхода,включающего комплекс взаимосвязанных мер (использование специальных техническихи программных средств, организационных мероприятий, нормативно-правовых актов,морально- этических мер противодействия и т.д.). Комплексный характер защитыпроистекает из комплексных действий злоумышленников, стремящихся любымисредствами добыть важную для них информацию.
Сегодня можно утверждать, чторождается новая современная технология — технология защиты информации вкомпьютерных информационных системах и в сетях передачи данных. Реализация этойтехнологии требует увеличивающихся расходов и усилий. Однако все это позволяетизбежать значительно превосходящих потерь и ущерба, которые могут возникнутьпри реальном осуществлении угроз ИС и ИТ.
Объектом исследованияв данной курсовой работе являются основные угрозы безопасности информации инормального функционирования ИС.
Предметинформационнойбезопасности рассматривается по целям существования субъектов, на основаниичего предмет исследования сводится в область управления активными системами иформируется понятие информационной безопасности.
В данной работе «по существу»проведена попытка очертить контуры предмета информационной безопасности (ИБ).При этом данная оценка не претендует на всецело объективную.
Цель работы заключается в попытке комплексносформулировать подход к определению состояние (условий) информационнойбезопасности, которое можно рассматривать как целевое состояние политики ИБ.
Курсоваяработа состоит из введения, содержательной части, заключения и спискаиспользованной литературы.
Введении раскрываются актуальность проблемы, объект ипредмет исследования. Содержательная часть состоит из двух частей. Впервой части раскрываются теоретические вопросы безопасности информации инормального функционирования ИС, во второй части отражены практические вопросырешения проблем, связанных с угрозами информации.
Вданной работе мною были использованы методы контент-анализа, структурногоанализа, функционального анализа.
Раздел 1. Теоретическаячасть 1.1 Основныеугрозы безопасности информации
Косновным угрозам безопасности информации и нормального функционирования ИСотносятся:
Ø утечкаконфиденциальной информации;
Ø компрометацияинформации;
Ø несанкционированноеиспользование информационных ресурсов;
Ø ошибочноеиспользование информационных ресурсов;
Ø несанкционированныйобмен информацией между абонентами;
Ø отказот информации;
Ø нарушениеинформационного обслуживания;
Ø незаконноеиспользование привилегий.
Менеджерамследует помнить, что довольно большая часть причин и условий, создающихпредпосылки и возможность неправомерного овладения конфиденциальнойинформацией, возникает из-за элементарных недоработок руководителей организациии их сотрудников. В настоящее время борьба с информационными инфекциямипредставляет значительные трудности, так как помимо невнимательностируководителей существует и постоянно разрабатывается огромное множествовредоносных программ, цель которых – порча БД и ПО компьютеров. Большое числоразновидностей этих программ не позволяет разработать постоянных и надежныхсредств защиты против них.
Вредоносныепрограммы классифицируются следующим образом:
Ø логическиебомбы;
Ø троянскийконь;
Ø компьютерныйвирус;
Ø червь;
Ø захватчикпаролей.
Приведеннаяклассификация наиболее опасных вредоносных программ безопасности ИС не охватываетвсех возможных угроз этого типа. И так как существует огромное количествоугроз, было бы целесообразнее остановить свое внимание на одном из самыхраспространенных видов вредоносных программ, как компьютерный вирус. 1.2 Характеристикакомпьютерных вирусов и признаки вирусного заражения
Насегодняшний день известно около 45 ООО вирусов, и их число продолжаетувеличиваться. Источниками вирусной грозы является электронная почта,подавляющее большинство вирусов проникает с помощью посланий через e-maiL Следом заней идет информация, которая скачивается с web-сайтов.Часть вирусов переносится накопителями информации (дискеты, CK-RkM KVK-RkM).
Поданным исследования компании Symantec, в первомполугодии 2005 г. зарегистрировано 11 тыс. новых модификаций вирусов.Количество угроз, с которыми сталкиваются пользователи, возрастает с каждымгодом, а сами вредоносные программы становятся все более сложными. Связано этос тем, что хакерский бизнес приносит большие прибыли. Время между обнаружениемуязвимости компьютеров до выпуска соответствующей защиты в среднем составляетоколо двух месяцев. Все это время компьютер практически беззащитен.Разрабатываются все более изощренные, трудноуловимые программы, которыенаучились отключать антивирусную защиту, сетевые экраны и прочие мерыобеспечения безопасности. Большое распространение получают модульные,вредоносные программы, которые после заражения системы загружают дополнительныемодули с расширенной функциональностью. Тогда они могут делать с компьютеромпользователя; все, что угодно, например, рассылать с него спам, т.е.осуществлять рассылку нежелательных электронных писем. Среди новых угрозназывается установка рекламного ПО «adware» и «фишинг».«Adware» открывает окна и отображаетрекламные сообщения на web-сайтах. А«фишингом» эксперты называют попытки получить конфиденциальные, в основном,финансовые сведения, например, номер и пин-код кредитных карт.
Итак, что же такое компьютерный вирус? Формальногоопределения этого понятия до сих пор нет. Многочисленные попытки дать«современное» определение вируса не привели к успеху. Поэтому ограничимсярассмотрением некоторых свойств компьютерных вирусов, которые позволяютговорить о них как о некотором определенном классе программ.
Компьютерныйвирус — это небольшая по размерам программа, которая заражаетдругие программы, например, приписывая себя к ним, и выполняет различные,вредоносные действия на компьютере — портит файлы или таблицу размещения файловна диске, засоряет оперативную память, рассылает себя по Интернету и т.д. Когдатакая программа начинает исполняться, то сначала управление получает вирус,который находит и заражает другие программы. Вирус маскируется в системе.Например, после того как вирус выполнит вредоносные действия, он передаетуправление той программе, в которой находится, и она работает обычным образом.Таким образом, работа зараженного компьютера внешне выглядит так же, как инезараженного. Вред вируса проявится позднее, когда, возможно, уже поздноспасать как информацию, так и сам компьютер. Компьютерный вирус может испортитьлюбой файл, вызвав потерю информации на жестких дисках компьютера. Вначале онимогут незаметно заразить большое число программ и дисков, а затем вызватьсерьезные повреждения, например, разрушив BIkS илиотформатировав весь жесткий диск на компьютере.
Вирус– это программа, обладающая способностью к самостоятельному внедрению в теладругих программ и последующему самовоспроизведению и самораспространению винформационно-вычислительных сетях и отдельных ЭВМ. Такаяспособность является единственным средством, присущим всем типам вирусов. Но нетолько вирусы способны к самовоспроизведению. Любая операционная система и ещемножество программ способны создавать собственные копии. Копии же вируса нетолько не обязаны полностью совпадать с оригиналом, но и могут вообще с ним несовпадать! Вирус не может существовать в«полной изоляции»: нельзя представить себе вирус, который не использует коддругих программ, информацию о файловой структуре или даже просто имена другихпрограмм. Причина понятна — вирус должен каким-нибудь способом обеспечитьпередачу себе управления. Вирус, как правило,внедряется в рабочую программу таким образом, чтобы при ее запуске управлениесначала передалось ему и только после выполнения всех его команд сновавернулось к рабочей программе. Получив доступ к управлению, вирус, преждевсего, переписывает сам себя в другую рабочую программу и заражает ее. Послезапуска программы, содержащей вирус, становится возможным заражение другихфайлов.
Предшественникамивирусов принято считать так называемые троянские программы (программа,используемая злоумышленником для сбора информации, ее разрушения илимодификации, нарушения работоспособности компьютера или использования егоресурсов в неблаговидных целях), тела которых содержат скрытыепоследовательности команд (модули), выполняющие действия, наносящие вредпользователям. Наиболее распространенной разновидностью троянских программявляются широко известные программы массового применения (редакторы, игры,трансляторы и т.д.), в которые встроены так называемые «логические бомбы»(программа для искажения или уничтожения информации), срабатывающие понаступлении некоторого события. Следует отметить, что троянские программы неявляются саморазмножающимися.
Принципиальноеотличие вируса от троянской программы состоит в том, что вирус после егоактивизации существует самостоятельно (автономно) и в процессе своегофункционирования заражает (инфицирует) программы путем включения (имплантации)в них своего текста. Таким образом, компьютерный вирус можно рассматривать каксвоеобразный «генератор троянских программ». Программы, зараженные вирусом,называют вирусоносителями.
Наиболеечасто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющиерасширения .EXE, .COM,.SYS,.ВАТ. Редко заражаются текстовыефайлы.
Послезаражения программы вирус может выполнить какую-нибудь диверсию, не слишкомсерьезную, чтобы не привлечь внимания. И наконец, не забывает возвратитьуправление той программе, из которой он был запущен. Каждое выполнениезараженной программы переносит вирус в следующую. Таким образом, заражается всепрограммное обеспечение.
При заражении компьютера вирусом важно егообнаружить. Для этого следует знать об основных признаках проявления вирусов.К ним можно отнести:
Ø прекращениеработы или неправильная работа ранее успешно функционировавших программ;
Ø замедлениеработы компьютера;
Ø невозможностьзагрузки операционной системы;
Ø исчезновениефайлов и каталогов или искажение их содержимого;
Ø изменениедаты и времени модификации файлов;
Ø изменениеразмеров файлов;
Ø неожиданноезначительное увеличение количества файлов на диске;
Ø существенноеуменьшение размера свободной оперативной памяти;
Ø выводна экран непредусмотренных сообщений или изображений;
Ø подачанепредусмотренных звуковых сигналов;
Ø частыезависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явлениянеобязательно вызываются присутствием вируса, а могут быть следствием другихпричин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Итак,если не предпринимать мер по защите от вирусов, то последствия заражениякомпьютера могут быть очень серьезными. 1.3 Классификациякомпьютерных вирусов
Заражениепрограммы, как правило, выполняется таким образом, чтобы вирус получилуправление раньше самой программы. Для этого он либо встраивается в началопрограммы, либо имплантируется в ее тело так, что первой командой зараженной программыявляется безусловный переход на компьютерный вирус, текст которогозаканчивается аналогичной командой безусловного перехода на командувирусоносителя, бывшую первой до заражения. Получив управление, вирус выбираетследующий файл, заражает его, возможно, выполняет какие-либо другие действия,после чего отдает управление вирусоносителю.
«Первичноезаражение происходит в процессе наступления инфицированных программ из памятиодной машины в память другой, причем в качестве средства перемещения этих программмогут использоваться как носители информации (дискеты, оптические диски,флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующиедля размножения сетевые средства, сетевые протоколы, управляющие команды компьютерныхсетей и электронной почты, принято называть сетевыми.
Циклжизни вируса обычно включает следующие периоды: внедрение, инкубационный,репликации (саморазмножения) и проявления. В течение инкубационного периодавирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапепроявления вирус выполняет свойственные ему целевые функции, напримернеобратимую коррекцию информации в компьютере или на магнитных носителях.
Физическаяструктура компьютерного вируса достаточно проста. Он состоит из головы и,возможно, хвоста. Под головой вируса понимается его компонента, получающаяуправление первой. Хвост – это часть вируса, расположенная в тексте зараженнойпрограммы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными,тогда как вирусы, содержащие голову и хвост, — сегментированными.
Наиболеесущественные признаки компьютерных вирусов позволяют провести следующую ихклассификацию (рисунок 1).
/>
Рисунок1 — Классификация вирусов
Порежиму функционирования:
Ø резидентныевирусы (вирусы, которые после активизации постоянно находятся в оперативнойпамяти компьютера и контролируют доступ к его ресурсам);
Ø транзитныевирусы (вирусы, которые выполняются только в момент запуска зараженнойпрограммы).
Пообъекту внедрения:
Ø файловыевирусы (вирусы, заражающие файлы с программами);
Ø загрузочныевирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
Всвою очередь, файловые вирусы подразделяются на вирусы, заражающие:
Ø исполняемыефайлы;
Ø командныефайлы и файлы конфигурации;
Ø составляемыена макроязыках программирования, или файлы, содержащие макросы (макровирусы- разновидность компьютерных вирусов разработанных на макроязыках,встроенных в такие прикладные пакеты ПО, как Microsoft Office);
Ø файлыс драйверами устройств;
Ø файлыс библиотеками исходных, объектных, загрузочных и оверлейных модулей,библиотеками динамической компоновки и т.п.
Загрузочныевирусы подразделяются на вирусы, заражающие:
Ø системныйзагрузчик, расположенный в загрузочном секторе и логических дисков;
Ø внесистемныйзагрузчик, расположенный в загрузочном секторе жестких дисков.
Постепени и способу маскировки:
Ø вирусы,не использующие средств маскировки;
Ø stealth-вирусы(вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженнымэлементам данных);
Ø вирусы-мутанты(MtE-вирусы, содержащие в себеалгоритмы шифрования, обеспечивающие различие разных копий вируса).
Всвою очередь, MtE-вирусы делятся:
Ø наобычные вирусы-мутанты, в разных копиях которых различаются толькозашифрованные тела, а дешифрованные тела вирусов совпадают;
Ø полиморфныевирусы, в разных копиях которых различаются не только зашифрованные тела, но иих дешифрованные тела.
Наиболеераспространенные типы вирусов характеризуются следующими основнымиособенностями.
Файловыйтранзитный вирус целиком размещается в исполняемомфайле, в связи с чем он активизируется только в случае активизациивирусоносителя, а по выполнении необходимых действий возвращает управлениесамой программе. При этом выбор очередного файла для заражения осуществляетсявирусом посредством поиска по каталогу.
Файловыйрезидентный вирус отличается от нерезидентного логическойструктурой и общим алгоритмом функционирования. Резидентный вирус состоит изтак называемого инсталлятора и программ обработки прерываний. Инсталляторполучает управление при активизации вирусоносителя и инфицирует оперативнуюпамять путем размещения в ней управляющей части вируса и замены адресов вэлементах вектора прерываний на адреса своих программ, обрабатывающих этипрерывания. На так называемой фазе слежения, следующей за описанной фазойинсталляции, при возникновении какого-либо прерывания управление получаетсоответствующая подпрограмма вируса. В связи с существенно более универсальнойпо сравнению с нерезидентными вирусами общей схемой функционированиярезидентные вирусы могут реализовывать самые разные способы инфицирования.
Наиболеераспространенными способами являются инфицирование запускаемых программ, атакже файлов при их открытии или чтении. Отличительной особенностью последнихявляется инфицирование загрузочного сектора магнитного носителя. Голова загрузочноговируса всегда находится в загрузочном секторе (единственном для гибкихдисков и одном из двух – для жестких), а хвост – в любой другой областиносителя. Наиболее безопасным для вируса способом считается размещение хвоста втак называемых псевдосбойных кластерах, логически исключенных из числадоступных для использования. Существенно, что хвост загрузочного вируса всегдасодержит копию оригинального (исходного) загрузочного сектора.
Stealth-вирусыпользуютсяслабой защищенностью некоторых операционных систем и заменяют некоторые ихкомпоненты (драйверы дисков, прерывания) таким образом, что вирус становитсяневидимым (прозрачным) для других программ.
Полиморфныевирусы содержат алгоритм порождения дешифрованных телвирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могутвстречаться обращения практически ко всем командам процессора Intelи даже использоваться некоторые специфические особенности его реального режимафункционирования.
Макровирусыраспространяютсяпод управлением прикладных программ, что делает их независимыми от операционнойсистемы. Подавляющее число макровирусов функционирует под управлениемтекстового процессора MicrosoftWord. В то же время известнымакровирусы, работающие под управлением таких приложений, как MicrosoftExcel, LotusAmi Pro,Lotus 1-2-3, LotusNotes, в операционныхсистемах фирм Microsoft и Apple.
Сетевыевирусы, называемые также автономными репликативнымипрограммами, или, для краткости, репликаторами, используют дляразмножения средства сетевых операционных систем. Наиболее просто реализуетсяразмножение в тех случаях, когда сетевыми протоколами возможно и в тех случаях,когда указанные протоколы ориентированы только на обмен сообщениями.Классическим примером реализации процесса электронной почты является репликаторМорриса. Текст репликатора передается от одной ЭВМ к другой как обычноесообщение, постепенно заполняющее буфер, выделенный в оперативной памятиЭВМ-адресата. В результате переполнения буфера, инициированного передачей,адрес возврата в программу, вызвавшую программу приема сообщения, замещается наадрес самого буфера, где к моменту возврата уже находится текст вируса.
Темсамым вирус получает управление и начинает функционировать на ЭВМ-адресате.
«Лазейки»,подобные описанной выше обусловленные особенностями реализации тех или иныхфункций в программном обеспечении, являются объективной предпосылкой длясоздания и внедрения репликаторов злоумышленниками. Эффекты, вызываемыевирусами в процессе реализации ими целевых функций, принято делить на следующиегруппы:
Ø искажениеинформации в файлах либо в таблице размещения файлов (FAT-таблице),которое может привести к разрушению файловой системы в целом;
Ø имитациясбоев аппаратных средств;
Ø созданиезвуковых и визуальных эффектов, включая, например, отображение сообщений,вводящих оператора в заблуждение или затрудняющих его работу;
Ø инициированиеошибок в программах пользователей или операционной системе.
Раздел 2. Практическая часть. 2.1 Общаяхарактеристика средств нейтрализации компьютерных вирусов
Наиболее распространенным средствомнейтрализации компьютерных вирусов являются антивирусные программы(антивирусы). Антивирусы, исходя из реализованного в них подхода квыявлению и нейтрализации вирусов, принято делить на следующие группы:
Ø детекторы;
Ø фаги;
Ø вакцины;
Ø прививки;
Ø ревизоры;
Ø мониторы.
Детекторыобеспечивают выявление вирусов посредством просмотра исполняемых файлов ипоиска так называемых сигнатур – устойчивых последовательностей байтов,имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файлесвидетельствует о его заражении соответствующим вирусов. Антивирус,обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фагивыполняютфункции, свойственные детекторам, но, кроме того, «излечивают» инфицированныепрограммы посредством «выкусывания» вирусов из их тел. По аналогии сполидетекторами фаги, ориентированные на нейтрализацию различных вирусов,именуют полифагами.
Вотличие от детекторов и фагов вакцины по своему принципу действияподобны вирусам. Вакцина имплантируется в защищаемую программу и запоминает рядколичественных и структурных характеристик последней. Если вакцинированнаяпрограмма не была к моменту вакцинации инфицированной, то при первом же послепоражения запуске произойдет следующее. Активизация вирусоносителя приведет кполучению управления вирусом, который, выполнив свои целевые функции, передаступравление вакцинированной программе. В последней, с вою очередь, сначалауправление получит вакцина, которая выполнит проверку соответствия запомненныхею характеристик аналогичным характеристикам, полученным в текущий момент. Еслиуказанные наборы характеристик не совпадают, то делается вывод об изменениитекста вакцинированной программы вирусом. Характеристиками, используемымивакцинами, могут быть длина программы, ее контрольная сумма и т.д.
Принципдействия прививок основан на учете того обстоятельства, что любой вирус,как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобыне выполнять их повторное заражение. В ином случае имело бы место многократноеинфицирование, сопровождаемое существенным и поэтому легко обнаруживаемымувеличение объема зараженных программ. Прививка, не внося никаких другихизменений в текст защищаемой программы, помечает ее тем же признаком, что ивирус, который таким образом после активизации и проверки наличия указанногопризнака считает ее инфицированной и «оставляет в покое».
Ревизорыобеспечивают слежение за состоянием файловой системы, используя для этогоподход, аналогичный реализованному в вакцинах. Программа-ревизор в процессесвоего функционирования выполняет применительно к каждому исполняемому файлусравнение его текущих характеристик с аналогичными характеристиками,полученными в ходе предшествующего просмотра файлов. Если при этомобнаруживается, что, согласно имеющейся системной информации, файл с моментапредшествующего просмотра не обновлялся пользователем, а сравниваемые наборыхарактеристик не совпадают, то файл считается инфицированным. Характеристикиисполняемых файлов, получаемые в ходе очередного просмотра, запоминаются вотдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов,имеющее место при вакцинации, в данном случае не происходит. Другое отличиеревизоров от вакцин состоит в том, что каждый просмотр исполняемых файловревизоров требует его повторного запуска.
Мониторпредставляет собой резидентную программу, обеспечивающую перехват потенциальноопасных прерываний, характерных вирусов, и запрашивающую у пользователейподтверждение на выполнение операции, следующих за прерыванием. В случаезапрета или отсутствия подтверждения монитор блокирует выполнениепользовательской программы. 2.2 Классификацияметодов защиты от компьютерных вирусов
Проблемузащиты от вирусов необходимо рассматривать в общем контексте проблемы защитыинформации от несанкционированного доступа и технологической и эксплуатационнойбезопасности компьютерных технологий в целом. Основной принцип, который долженбыть положен в основу разработки технологии защиты от вирусов, состоит всоздании многоуровневой распределенной системы защиты.
Для решения задач антивирусной зашиты должен бытьреализован комплекс известных и хорошо отработанных организационно-техническихмероприятий:
Ø использованиесертифицированного программного обеспечения;
Ø организацияавтономного испытательного стенда для проверки на вирусы нового программногообеспечения и данных. Предварительная проверка на автономном стенде новогопрограммного обеспечения и данных позволяет значительно снизить вероятностьпроникновения в систему вирусов при ошибочных действиях пользователей. Этомероприятие эффективно для систем, обрабатывающих особо ценную информацию.Однако в случае эксплуатации компьютерной сети проверка на стенде входящихданных значительно снижает оперативность обработки информации;
Ø ограничениепользователей системы на ввод программ и данных с посторонних носителейинформации. Отключение пользовательских дисководов для магнитных и оптическихносителей информации, которые являются основным каналом проникновения вирусов всистему, позволяет значительно повысить уровень антивирусной зашиты при работев компьютерной сети.
Длязащиты от компьютерных вирусов в настоящее время используются методы, указанныена рисунке 2.
/>
Рис.2- Классификация антивирусов
Архивирование.Заключается в копировании системных областей магнитных дисков и ежедневномведении архивов измененных файлов. Архивирование является одним из основныхметодов защиты от вирусов. Остальные методы защиты дополняют его, но не могутзаменить полностью.
Входнойконтроль. Проверка всех поступающих программ детекторами, атакже проверка длин и контрольных сумм, вновь поступающих программ насоответствие значениям, указанным в документации. Большинство известныхфайловых и бутовых вирусов можно выявить на этапе входного контроля. Для этойцели используется батарея детекторов (несколько последовательнозапускаемых программ). Набор детекторов достаточно широк и постояннопополняется по мере появления новых вирусов. Однако при этом могут бытьобнаружены не все вирусы, а только распознаваемые детектором. Следующимэлементом входного контроля является контекстный поиск в файлах слов исообщений, которые могут принадлежать вирусу (например, Virus,COMMAND.COM,Kill и т. д.). Подозрительным являетсяотсутствие в последних 2-3 кб файла текстовых строк – это может быть признакомвируса, который шифрует свое тело.
Рассмотренныйконтроль может быть выполнен с помощью специальной программы, которая работаетс базой данных «подозрительных» слов и сообщений и формирует список файлов длядальнейшего анализа. После проведенного анализа новые программы рекомендуетсянесколько дней эксплуатировать в карантинном режиме. При этом целесообразноиспользовать ускорение календаря, т.е. изменять текущую дату при повторныхзапусках программы. Это позволяет обнаружить вирусы, срабатывающие вопределенные дни недели (пятница, 13-е число месяца, воскресенье и т.д.).
Профилактика.Дляпрофилактики заражения необходимо организовать раздельное хранение (на разныхмагнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ,минимизацию периодов доступности дискет для записи, разделение общих магнитныхносителей между конкретными пользователями.
Ревизия.Анализ вновь полученных программ специальными средствами (детекторами),контроль целостности перед считыванием информации, а также периодическийконтроль состояния системных файлов.
Карантин.Каждая новая программа проверяется на известные типы вирусов в течениеопределенного промежутка времени. Программы-доктора нетолько обнаруживают, но и «лечат» зараженные файлы или диски, удаляя иззараженных программ тело вируса. Программы-доктора служат для обнаружения иуничтожения большого количества разнообразных вирусов. Значительноераспространение в России получили программы такого типа, как MSAntivirus, NortonUtilites, Avast,Doctor Webи др. Российским лидером в области разработки антивирусных программ является«Лаборатория Касперского». «Лаборатория Касперского» предлагает для обеспеченияинформационной безопасности: антивирусные программы, программы защитыэлектронной почты, системы контроля целостности данных и др. Антивирусныепрограммы «Лаборатории Касперского» отслеживают потенциальные источники проникновениякомпьютерных вирусов, поэтому они используются на PC,серверах, Web-серверах, почтовыхсерверах, межсетевых экранах. Пользователи программы обеспечиваютсякруглосуточной технической поддержкой, ежедневными обновлениями антивируснойбазы данных.
Кроме «Лаборатории Касперского» на российском рынкеесть еще популярная антивирусная программа Dг.Web.В Dг.Webреализован принципиально иной подход, чем в других антивирусных программах: впрограмму встроен модуль эвристического анализатора, который позволяет обезвреживатьне только уже известные и занесенные в базу данных вирусы, но и но вые, ещенеизвестные вирусы.
Периодическипроводимые специализированными организациями испытания наиболее популярныхантивирусных средств показывают, что они способны обнаруживать до 99,8%известных вирусов.
Сегментация.Предполагает разбиение магнитного диска на ряд логических томов (разделов),часть из которых имеет статус READ_ONLY(только чтение). В данных разделах хранятся выполняемые программы и системныефайлы. Базы данных должны храниться в других секторах, отдельно от выполняемыхпрограмм. Важным профилактическим средством в борьбе с файловыми вирусамиявляется исключение значительной части загрузочных модулей и сферы ихдосягаемости. Этот метод называется сегментацией и основан на разделениимагнитного диска с помощью специального драйвера, обеспечивающего присвоениеотдельным логическим томам атрибута READ_ONLY(только чтение), а также поддерживающего схемы парольного доступа. При этом взащищенные от записи разделы диска помещаются исполняемые программы и системныеутилиты, а также системы управления базами данных и трансляторы, т.е.компоненты программного обеспечения, наиболее подтвержденные опасностизаражения. В качестве такого драйвера целесообразно использовать программы типаADVANCED DISKMANAGER (программа дляформатирования и подготовки жесткого диска), которые позволяют не толькоразбить диск на разделы, но и организовать доступ к ним с помощью паролей.Количество используемых логических томов и их размеры зависят от решаемых задачи объема винчестера. Рекомендуется использовать 3-4 логических тома, причем насистемном диске, с которого выполняется загрузка, следует оставить минимальноеколичество файлов (системные файлов, командный процессор, а также программы-ловушки).
Фильтрация.Заключается в использовании программ-сторожей для обнаружения попыток выполнитьнесанкционированные действия
Вакцинация.Специальная обработка файлов и дисков, имитирующая сочетание условий, которыеиспользуются некоторым типом вируса для определения, заражена уже программа илинет.
Автоконтрольцелостности. Заключается в использовании специальныхалгоритмов, позволяющих после запуска программы определить, были ли внесеныизменения в ее файл.
Терапия.Предполагает дезактивацию конкретного вируса в зараженным программахспециальными программами (фагами). Программы-фаги «выкусывают» вирус иззараженной программы и пытаются восстановить ее код в исходного состояние(состояние до момента заражения). В общем случае технологическая схема защитыможет состоять из следующих этапов:
Ø входнойконтроль новых программ;
Ø сегментацияинформации на магнитном диске;
Ø защитаоперационной системы от заражения;
Ø систематическийконтроль целостности информации.
Необходимоотметить, что не следует стремиться обеспечить глобальную защиту всех файлов,имеющихся на диске. Это существенно затрудняет работу, снижаетпроизводительность системы и в конечном итоге ухудшает защиту из-за частнойработы в открытом режиме. Анализ показывает, что только 20-30% файлов должныбыть защищены от записи.
Анализрассмотренных методов и средств защиты показывает, что эффективная защита можетбыть обеспечена при комплексном использовании различных средств в рамках единойоперационной среды. Для этого необходимо разработать интегрированныйпрограммный комплекс, поддерживающий рассмотренную технологию защиты. В составпрограммного комплекса должны входить компоненты, указанные на рисунке 4.
/>
Рис.4 — Состав программного комплекса защиты от компьютерных вирусов
Современныеинформационные технологии защиты информации включают средства обнаружения,защиты и лечения от вирусов — это специальные программы, которые называютсяантивирусными. Антивирусные программы (AVP)представляют собой программные комплексы, которые сочетают в себе средствапрофилактики заражения, средства лечения и восстановления данных.Функционирование AVP заключается впостоянном отслеживании системы на наличие вредоносных программ при запускефайлов, открытии различных документов, получении электронной почты, работе вИнтернете и других процессах.
Семейство(батарея) детекторов. Детекторы, включенные в семейство,должны запускаться из операционной среды комплекса. При этом должна бытьобеспечена возможность подключения к семейству новых детекторов, а такжеуказание параметров их запуска из диалоговой среды. С помощью данной компонентыможет быть организована проверка ПО на этапе входного контроля.
Программа-ловушкавирусов. Данная программа порождается в процессефункционирования комплекса, т.е. не ранится на диске, поэтому оригинал не можетбыть заражен. Программа-ловушка при каждом запуске контролирует своюцелостность (размер, контрольную запуску и время создания). В случаеобнаружения заражения программный комплекс переходит в режим анализа зараженнойпрограммы-ловушки и пытается определить тип вируса.
Программадля вакцинации. Предназначена для изменения средыфункционирования вирусов таким образом, чтобы они теряли способность кразмножению. Известно, что ряд вирусов помечает зараженные файлы дляпредотвращения повторного заражения. Используя это свойство, возможно созданиепрограммы, которая обрабатывала бы файлы таким образом, чтобы вирус считал, чтоони уже заражены.
Базыданных о вируса и их характеристиках. Предполагается, что вбазе данных будет храниться информация о существующих вирусах, их особенностяхи сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД можетиспользоваться при анализе зараженной программы-ловушки, а также на этапевходного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можновыработать рекомендации по использованию наиболее эффективных детекторов ифагов для лечения от конкретного типа вируса.
Резидентныесредства защиты. Эти средства могут резидентноразместиться в памяти и постоянно контролировать целостность системных файлов икомандного процессора. Проверка может выполняться по прерываниям от таймера илипри выполнении операций чтения и записи в файл. 2.3 Информационнаябезопасность с точки зрения законодательства и политика безопасности
Стандарты и рекомендации образуют понятийный базис,на котором строятся все работы по обеспечению информационной безопасности. В тоже время этот базис ориентирован, в первую очередь, на производителей и«оценщиков» систем и в гораздо меньшей степени — на потребителей.
Стандарты и рекомендации статичны, причем статичны,по крайней мере, в двух аспектах. Во-первых, они не учитывают постояннойперестройки защищаемых систем и их окружения. Во-вторых, они не содержатпрактических рекомендаций по формированию режима безопасности. Информационнуюбезопасность нельзя купить, ее приходится каждодневно поддерживать,взаимодействуя при этом не только и не столько с компьютерами, сколько слюдьми.
Иными словами, стандарты и рекомендации не даютответов на два главных и весьма актуальных с практической точки зрения вопроса:
Ø какприобретать и комплектовать информационную систему масштаба предприятия, чтобыее можно было сделать безопасной?
Ø какпрактически сформировать режим безопасности и поддерживать его в условиях постоянноменяющегося окружения и структуры самой системы?
Как уже отмечалось, стандарты и рекомендации несутна себе «родимые пятна» разработавших их ведомств. На первом месте в«Оранжевой книге» (документе, освещающем проблемы информационнойбезопасности в США) и аналогичных Руководящих документах Гостехкомиссии приПрезиденте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но длябольшинства гражданских организаций целостность и доступность — вещи не менееважные. Не случайно в приведенном определении информационной безопасностиконфиденциальность поставлена на третье место.
Таким образом, стандарты и рекомендации являютсялишь отправной точкой на длинном и сложном пути защиты информационных системорганизаций. С практической точки зрения интерес представляют по возможностипростые рекомендации, следование которым дает пусть не оптимальное, нодостаточно хорошее решение задачи обеспечения информационной безопасности.Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще однозамечание общего характера.
Несмотря на отмеченные недостатки, у «Оранжевойкниги» есть огромный идейный потенциал, который пока во многом остаетсяневостребованным. Прежде всего, это касается концепции технологическойгарантированности, охватывающей весь жизненный цикл системы — от выработкиспецификаций до фазы эксплуатации. При современной технологии программированиярезультирующая система не содержит информации, присутствующей в исходныхспецификациях. В то же время, ее наличие на этапе выполнения позволило быпо-новому поставить и решить многие проблемы информационной безопасности.Например, знание того, к каким объектам или их классам может осуществлятьдоступ программа, существенно затруднило бы создание «троянскихконей» и распространение вирусов. К сожалению, пока для принятия решения одопустимости того или иного действия используется скудная и, в основном,косвенная информация — как правило, идентификатор (пароль) владельца процесса,- не имеющая отношения к характеру действия.
В реальной жизни термин «политикабезопасности» трактуется гораздо шире, чем в «Оранжевой книге».Под политикой безопасности понимается совокупность документированныхуправленческих решений, направленных на защиту информации и ассоциированных сней ресурсов.
С практической точки зрения политику безопасностицелесообразно разделить на три уровня. К верхнему уровню можно отнести решения,затрагивающие организацию в целом. Они носят весьма общий характер и, какправило, исходят от руководства организации. Примерный список подобных решенийможет включать в себя следующие элементы:
Ø формированиеили пересмотр комплексной программы обеспечения информационной безопасности,определение ответственных за продвижение программы;
Ø формулировкацелей, которые преследует организация в области информационной безопасности,определение общих направлений в достижении этих целей;
Ø обеспечениебазы для соблюдения законов и правил;
Ø формулировкауправленческих решений по тем вопросам реализации программы безопасности,которые должны рассматриваться на уровне организации в целом.
Для политики уровня руководства организации цели вобласти информационной безопасности формулируются в терминах целостности,доступности и конфиденциальности. Если организация отвечает за поддержаниекритически важных баз данных, на первом плане может стоять уменьшение случаевпотерь, повреждений или искажений данных. Для организации, занимающейсяпродажами, вероятно, важна актуальность информации о предоставляемых услугах иценах, а также ее доступность максимальному числу потенциальных покупателей.Режимная организация в первую очередь заботится о защите отнесанкционированного доступа — конфиденциальности.
На верхний уровень выносится управление защитнымиресурсами и координация использования этих ресурсов, выделение специальногоперсонала для защиты критически важных систем, поддержание контактов с другимиорганизациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчиватьсферу своего влияния. Возможно, это будут все компьютерные системы организацииили даже больше, если политика регламентирует некоторые аспекты использованиясотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация,когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанностидолжностных лиц по выработке программы безопасности и по проведению ее в жизнь.В этом смысле политика является основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремяаспектами законопослушности и исполнительской дисциплины. Во-первых,организация должна соблюдать существующие законы. Во-вторых, следуетконтролировать действия лиц, ответственных за выработку программы безопасности.Наконец, необходимо обеспечить определенную степень послушания персонала, а дляэтого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхнийуровень следует выносить минимум вопросов. Подобное вынесение целесообразно,когда оно сулит значительную экономию средств или когда иначе поступить простоневозможно.
К среднему уровню можно отнести вопросы, касающиесяотдельных аспектов информационной безопасности, но важные для различных систем,эксплуатируемых организацией. Примеры таких вопросов — отношение к передовым,но еще недостаточно проверенным технологиям: доступ к Internet (как сочетатьсвободу получения информации с защитой от внешних угроз?), использованиедомашних компьютеров, применение пользователями неофициального программногообеспечения и т.д.
Политика обеспечения информационной безопасности насреднем уровне должна освещать следующие темы:
1) Областьприменения. Следует специфицировать, где, когда, как, по отношению к кому ичему применяется данная политика безопасности. Например, касается лиорганизаций-субподрядчиков политика отношения к неофициальному программномуобеспечению? Затрагивает ли она работников, пользующихся портативными идомашними компьютерами и вынужденных переносить информацию на производственныемашины?
2) Позицияорганизации. Продолжая пример с неофициальным программным обеспечением, можнопредставить себе позиции полного запрета, выработки процедуры приемки подобногообеспечения и т.п. Позиция может быть сформулирована и в гораздо более общемвиде, как набор целей, которые преследует организация в данном аспекте. Вообще,стиль документов по политике безопасности, как и перечень этих документов,может быть существенно различным для разных организаций.
3) Ролии обязанности. В «политический» документ необходимо включитьинформацию о должностных лицах, отвечающих за проведение политики безопасностив жизнь. Например, если для использования работником неофициальногопрограммного обеспечения нужно официальное разрешение, то должно быть известно,у кого и как его следует получать. Если должны проверяться дискеты, принесенныес других компьютеров, необходимо описать процедуру проверки. Если неофициальноепрограммное обеспечение использовать нельзя, следует знать, кто следит завыполнением данного правила.
4) Законопослушность.Политика должна содержать общее описание запрещенных действий и наказаний заних.
5) Точкиконтакта. Должно быть известно, куда следует обращаться за разъяснениями,помощью и дополнительной информацией. Обычно «точкой контакта»является должностное лицо, и это не зависит от того, какой конкретный человекзанимает в данный момент данный пост.
Политика безопасности нижнего уровня относится кконкретным сервисам. Она включает в себя два аспекта — цели и правила ихдостижения, поэтому ее порой трудно отделить от вопросов реализации. В отличиеот двух верхних уровней, рассматриваемая политика должна быть гораздодетальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзяединым образом регламентировать в рамках всей организации. В то же время этивещи настолько важны для обеспечения режима безопасности, что решения,относящиеся к ним, должны приниматься на управленческом, а не техническомуровне. Приведем несколько примеров вопросов, на которые следует дать ответ приследовании политике безопасности нижнего уровня:
Ø ктоимеет право доступа к объектам, поддерживаемым сервисом?
Ø прикаких условиях можно читать и модифицировать данные?
Ø какорганизован удаленный доступ к сервису?
При формулировке целей политика нижнего уровня можетисходить из соображений целостности, доступности и конфиденциальности, но онане должна на них останавливаться. Ее цели должны быть конкретнее. Например,если речь идет о системе расчета заработной платы, можно поставить цель, чтобытолько работникам отдела кадров и бухгалтерии позволялось вводить и модифицироватьинформацию. В более общем случае цели должны связывать между собой объектысервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности,описывающие, кто, что и при каких условиях может делать. Чем детальнее правила,чем более формально они изложены, тем проще поддержать их выполнениепрограммно-техническими мерами. С другой стороны, слишком жесткие правила могутмешать работе пользователей, вероятно, их придется часто пересматривать.Руководству придется найти разумный компромисс, когда за приемлемую цену будетобеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерноскованы. Обычно ввиду особой важности данного вопроса наиболее формальнозадаются права доступа к объектам.
Заключение
Статистика показывает, что во всех странах убытки отзлонамеренных действий непрерывно возрастают. Причем основные причины убытковсвязаны не столько с недостаточностью средств безопасности как таковых, сколькос отсутствием взаимосвязи между ними, т.е. с нереализованностью системногоподхода. Поэтому необходимо опережающими темпами совершенствовать комплексныесредства защиты. Одной из основных задач защитыинформации является организация эффективной антивирусной защиты автономныхрабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающихинформацию ограниченного доступа, в том числе содержащую государственную ислужебную тайну.
Из рассмотренного становится очевидно, чтообеспечение информационной безопасности является комплексной задачей. Этообусловлено тем, что информационная среда является сложным многоплановыммеханизмом, в котором действуют такие компоненты, как электронное оборудование,программное обеспечение, персонал.
Для решения проблемы обеспечения информационнойбезопасности необходимо применение законодательных, организационных ипрограммно-технических мер. Пренебрежение хотя бы одним из аспектов этойпроблемы может привести к утрате или утечке информации, стоимость и ролькоторой в жизни современного общества приобретает все более важное значение.
Использование высокоэффективных информационныхсистем является обязательным условием успешной деятельности современныхорганизаций и предприятий. Безопасность информации — это один из основныхпоказателей качества информационной системы. Поданным статистики, наиболееуспешными методами реализации угроз безопасности информации вавтоматизированных системах являются вирусные атаки. На их долю приходитсяоколо 57% инцидентов с безопасностью информации и около 60% реализованных угрозиз числа зафиксированных и попавших в статистические обзоры.
Списокиспользуемой литературы
1) А.Э.Саак, Е.В. Пахомов, В.Н. Тюшняков — Информационные технологии управления 2-еиздание: Учебник для ВУЗов, 2-е издание – СПб.: Питер, 2009. – 320 с.: ил. –(Серия «Учебник для ВУЗов). ООО «Питер Пресс», 2009.
2) Информатикаи информационные технологии: учебное пособие/ Ю. Д. Романова, И. Г. Лесничая,В. И. Шестаков, И. В. Миссинг, П. А. Музычкин; под ред. Ю. Д. Романовой. – 3-еизд., перераб. И доп. – М.: Эксмо, 2008. — 592 с. – (Высшее экономическоеобразование).
3) Информационныетехнологии управления: Учеб. Пособие для ВУЗов/ Под ред. Проф. Г.А. Титоренко.– 2-е изд., доп. – М.: ЮНИТИ-ДАНА, 2008. – 439 с.
4) КорнеевИ. К., Ксандопуло Г. Н., Машурцев В. А. – Информационный технологии: учеб. –М.: ТК Велби, Изд-во Проспект, 2009. – 224 с.
5) ЛогиновВ.Н. Информационные технологии управления: учебное пособие / В.Н. Логинов. –М.: КНОРУС, 2008. – 240 с.
6) ФедотоваЕ. Л. – Информационные технологии и системы: учеб. пособие. – М.: ИД «ФОРУМ»:ИНФРА-М, 2009. – 352 с.: ил. – (Профессиональное образование).