КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Основные пути комплексной защиты компьютерной информации
|
|
|
|
Под защитой информации понимается непрерывный процесс построения, поддержки, нормального функционирования и совершенствования системы защиты информации.
Система защиты информации (СЗИ) – это комплекс правовых, организационных мер и программно – технических (в том числе криптографических) средств обеспечения безопасности информации в КС.
Главная задача СЗИ – обеспечить защищенность КС на всех этапах ее жизненного цикла от возможных внутренних и внешних информационных угроз. Решение этой задачи возможно только на основе сочетания правовых, организационных и программно – технических методов (рис. 8.17).
 |
По данным некоторых зарубежных исследований удельный вес каждого из методов СЗИ приведен на рисунке 8.18. Отсюда видно, что правовые методы занимают лидирующее место по своей значимости. Именно поэтому правовое обеспечение рассматривается как приоритетное направление в государственной политике обеспечения информационной безопасности.
 |
Правовое обеспечение включает в себя:
— нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области информационной безопасности;
— исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями (юридическими лицами), гражданами.
Несмотря на существующее сегодня большое количество законов и подзаконных актов в сфере информационных отношений и защиты информации, в них имеются определенные пробелы и недостатки.
Различные законы и подзаконные акты, регулирующие общественные отношения, объектом которых является информация, принимались в разное время без согласования понятий и определений. Поэтому они содержат ряд недостаточно корректных терминов. Некоторые категории вообще не имеют четкого определения и содержания, например, «информация», «секретная информация», «автоматизированная система» и др.
|
|
|
Значительное количество юридических норм, регулирующих информационные отношения, рассеяна по разным законам и подзаконным актам, что усложняет их поиск, анализ и практическое применение.
Совокупность юридических норм в этой сфере уже достигла критической массы, что позволяет на научном уровне условно выделить их в отдельную область законодательства – информационное право.
Его целью является претворение в жизнь государственной политики в условиях развития информационных отношений на Украине: развитие методов и средств создания информационных ресурсов, их оборота, сбора, накопления, применения, сохранения и защиты. Важным аспектом информационных отношений должно явиться обеспечение информационной безопасности как важной составной части национальной безопасности.
Организационные методы СЗИ включают комплекс ограничительных правил и мероприятий, которые направлены на: регламентацию деятельности персонала; организацию охраны и режима доступа к объектам КС; правила обработки, хранения и передачи информации; создание служб (структур) информационной безопасности. Они реализуются, как правило, административным путем. К таким мероприятиям относятся, например, определение контролируемых зон и организация контроля доступа в эти зоны. Для реализации мероприятий этой группы в большинстве случаев нет необходимости в использовании сложных аппаратно – программных средств.
Организационные мероприятия должны проводиться на всех этапах жизненного цикла КС (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).
|
|
|
Программно – технические методы основаны на применении технических и программных средств защиты.
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические.
Под аппаратными техническими средствами защиты понимают устройства, внедряемые непосредственно в аппаратуру обработки данных, или устройства, которые сопрягаются с ней по стандартному интерфейсу. Из наиболее известных аппаратных средств можно отметить схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры и т.д. Физические средства реализуются в виде автономных устройств и систем (электронно – механическое оборудование охранной сигнализации и наблюдения, генераторы шумовых помех и т.д.).
Программные средства представляют ПО, специально предназначенное для выполнения функций защиты информации. Указанные выше средства составляли основу механизмов защиты на первой фазе развития технологии информационной безопасности в КС. При этом считалось, что основными средствами защиты являются программные. Первоначально программные механизмы защиты включались, как правило, в состав ОС управляющих ЭВМ или СУБД. Практика показала, что надежность подобных механизмов защиты является явно недостаточной.
Особенно слабым звеном оказалась защита по паролю. Следующей попыткой расширения рамок и повышения эффективности программной защиты стала организация разграничения доступа пользователей к данным, находящимся в КС. Для этого идентифицировались все пользователи и все элементы защищаемых данных, устанавливалось каким – либо образом соответствие между идентификаторами пользователей и идентификаторами элементов данных, строилась алгоритмическая процедура проверки лояльности каждого запроса пользователя. Дальнейшие попытки наращивания возможностей защиты основывались на использовании математических (в частности, криптографических) методов. При этом защищаемые данные преобразуются (шифруются) так, чтобы их содержание было доступно лишь тем, кому они предназначаются, и кто имеет ключ для их расшифровки. Современные механизмы защиты являются достаточно сложными и основываются, как правило, на сочетании всех указанных средств защиты.
|
|
|
Подробное описание всей совокупности возможных методов и средств защиты информации, их характеристик и путей реализации выходит за рамки настоящего издания. Поэтому для иллюстрации интегрального подхода к проблеме защиты информации остановимся на общих принципах построения комплексной системы антивирусной защиты.
Главной задачей комплексной системы антивирусной защиты (КСАЗ) является профилактика и предупреждение пользователей КС о вирусной атаке на ее ранних стадиях, а также блокировка потенциально опасных (вредоносных) воздействий на элементы КС (информацию, носители, программно – математическое, аппаратное обеспечение и т.д.). Решение данной задачи возможно только на основе комплексирования различных методов, средств и механизмов защиты, главными из которых являются правовые, организационные и технические (рис. 8.19).
Правовые методы основаны на нормотворческой, исполнительной и правоприменительной деятельности, вводящей и поддерживающей административную и уголовную ответственность за умышленное создание и распространение вирусов с целью нанесения ущерба.
 |
Например, диспозиция ст. 361 УК Украины рассматривала в качестве одной из объективных сторон преступления распространение компьютерного вируса путем применения программных и технических средств, предназначенных для незаконного проникновения в КС. Однако привлечение к ответственности за такое правонарушение законодатель увязывал с наступлением определенных последствий – искажение или уничтожение компьютерной информации либо носителей такой информации.
Такая трактовка существенно снижала пределы ответственности за операции с вредоносными программами. В частности, было определено наказание лишь за распространение вирусов и оставлены без внимания другие преступления – создание и использование вредоносных программ. Поэтому в 2004 г. УК был дополнен ст. 361-1, которая предусматривает ответственность за создание с целью использования, распространения или сбыта, а также распространение или сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно – вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.
|
|
|
Основные проблемные аспекты в применении правовых методов сегодня обусловлены следующими факторами:
— неоднозначность трактовки квалифицирующих признаков данного вида компьютерных преступлений;
— трудности в физическом обнаружении (задержании) злоумышленника;
— трудности в доказательстве авторства вирусописателя и умышленности в его действиях;
— отсутствие единых методик по оценке нанесенного ущерба.
Указанные факторы обуславливают бедность юридической практики применения правовых методов антивирусной защиты информации на Украине.
Организационные методы антивирусной защиты основаны на строгом соблюдении определенных технологических операций с носителями и источниками информации. Их направленность, полнота и жесткость во многом зависят от назначения и характера эксплуатируемой КС. Например, в КС на основе локальных рабочих станций (ЛРС) возможны три способа проникновения вирусов:
· поступление вместе с программным обеспечением, предназначенным для последующего использования в работе;
· занесение пользователями с программами, не относящимися к эксплуатируемой КС;
· преднамеренное создание пользователями.
Вероятность проникновения вирусов первым путем можно значительно снизить, если разработать и поддерживать правильные процедуры приобретения, установки программ и контроля за внесением в них изменений. Процедура приемки должна быть достаточно продолжительной и всесторонней, в нее должны быть включены специальные операции по провоцированию известных вирусов. Так, например, после известной пандемии на Украине в конце 1994 г. нового полиморфного вируса OneHalf единый операционный день в большинстве банков страны теперь начинается, в том числе, с обязательного контроля состояния антивирусной защищенности своих КС.
Вероятность проникновения вирусов вторым путем можно уменьшить введением запрета на приобретение и запуск программ без специальной процедуры проверки. Возможен также частичный запрет на использование посторонних программ на определенных аппаратных средствах КС.
Вероятность умышленного внедрения вируса в КС внутренним персоналом можно существенно уменьшить, если с достаточным вниманием контролировать деятельность вычислительных центров и отдельных пользователей.
Очевидно, однако, что применение подобных методов защиты к локальным, тем более к глобальным компьютерным сетям объективно затруднено вследствие их распределенной архитектуры и большого числа пользователей.
Наиболее существенный вклад в решение задач антивирусной защиты сегодня вносят технические методы, основу которых составляют аппаратные, программные и программно – аппаратные методы и средства.
Самый простой способ аппаратной защиты – отключение от КС всех физических каналов (устройств), через которые в нее может проникнуть вирус. Если это ЛРС, не подключенная к локальной сети, и на ней не установлен модем, то достаточно отключить накопители на ГМД. При этом основной канал возможной атаки вирусов будет заблокирован. Однако такое отключение не всегда возможно. В большинстве случаев пользователю необходим доступ к дисководам или модемам. Кроме того, зараженные программы могут проникать в КС через локальную сеть (сетевые вирусы), а также через компакт – диски (CD – ROM вирусы), отключение которых значительно уменьшает возможности КС. Разрабатываются и внедряются и более сложные способы защиты, основанные на аппаратной поддержке ОС и контролирующих ее средств, реализуемые на специальных дополнительных платах. К ним относят:
— запрет или регистрация попыток записи в файлы ОС и в области памяти, занятой системной информацией;
— установление приоритета в обработке программ, составляющих ОС, и антивирусных средств перед программами пользователей;
— разделение областей памяти, в которой работают программы, невозможность записи в другую область памяти;
— выделение некоторых функций и возможностей ЭВМ, которые могут бытьреализованы только программами ОС.
По существу, данные аппаратные средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. В случае, если какая – то программа попытается изменить содержание загрузочных секторов (BIOS – вирусы, boot – вирусы), срабатывает защита и пользователь получает соответствующее предупреждение. Однако стоимость таких дополнительных плат достаточно высока.
Наиболее распространенными сегодня средствами нейтрализации вирусов являются программные средства антивирусной защиты. В настоящее время имеется большое число антивирусных программных средств как отечественного, так и зарубежного производства. Все антивирусные программы, исходя из реализованного в них подхода к выявлению и нейтрализации КВ, принято делить на классы, показанные на рисунке 8.19.
Детекторы являются наиболее старым классом средств программной защиты от вирусов. Их основное назначение – обнаружение КВ посредством последовательного просмотра всех файлов и поиска сигнатур известных вирусов.
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. При написании указанных программ необходимо учитывать ряд особенностей:
— сигнатура должна обеспечивать надежное распознавание КВ в случае его модификации (например, изменения текстовых сообщений, выдаваемых вирусом);
— сигнатура должна быть достаточно длинной, чтобы исключить ложное срабатывание детектора.
Следует отметить, что эти факторы в некоторой мере противоречивы. Поэтому выбор сигнатуры является прерогативой разработчика, а не строго формализованной процедурой.
Преимущество программ – детекторов и фагов состоит в возможности однозначного определения наличия в КС одного из известных типов КВ, и, в некоторых случаях, оперативного излечения инфицированных программ. Кроме того, в силу общности алгоритма поиска КВ достаточно легко строить полидетекторы, осуществляющие обнаружение сразу нескольких типов вирусов. Недостатки программ – детекторов состоят в их неуниверсальности и в запаздывании появления по отношению к новым типам КВ. Это объясняется необходимостью предварительного выделения и исследования КВ с последующим обучением детектора задаче распознавания КВ. Следует учесть также, что некоторые вирусы используют специальные методы противодействия детекторам (фагам). Основной метод противодействия – шифрование кода КВ, затрудняющее его анализ и увеличивающее временные затраты на создание детектора в несколько раз.
Дополнительной мерой противодействия является изменение в вирусе алгоритма шифрования и ключей от копии к копии, что значительно усложняет процесс выбора эффективной сигнатуры.
Третий метод противодействия программам – детекторам состоит в изменении длины КВ от копии к копии по случайному закону. В результате, настройка большинства из распространенных полидетекторов становится невозможной. Это объясняется тем, что с целью ускорения поиска просматривается не весь файл – вирусоноситель, а лишь определенные его фрагменты с фиксированным смещением от начала или от конца.
Таким образом, использование программ – детекторов эффективно только против известных типов КВ и принципиально невозможно против новых, ранее не известных вирусов.
В отличие от детекторов, просматривающих при поиске КВ все файлы, программа – вакцина состыковывается с каждой защищаемой программой подобно вирусу и запоминает ряд ее характеристик. К эталонным характеристикам, используемым вакцинами, относятся:
— длина программы;
— последовательность машинных кодов в окрестности точки входа в программу;
— контрольная сумма.
Достоинство программ – вакцин состоит в том, что с их помощью можно защищать программы не только от известных, но и новых КВ, так как принцип действия вакцины – фиксация несанкционированных изменений в защищаемой программе, а не поиск какого – либо конкретного КВ. Именно это обстоятельство является не только преимуществом, но и обуславливает принципиальные недостатки программ – вакцин:
— вакцины не могут обнаружить факт заражения, если оно произошло до момента вакцинации;
— увеличение объема и времени загрузки защищаемых программ.
Основной метод противодействия вакцинам заключается в применении таких КВ, которые не изменяют зафиксированные вакциной характеристики программы. Например, при фиксации признака вирусной атаки по изменению длины программы, КВ могут использовать метод сжатия данных, позволяющий сохранить длину инфицированной программы неизменной.
Программы – прививки представляют собой отдельный класс программных средств защиты от КВ, реализующий своеобразную «мимикрию». Принцип действия прививок основан на учете того обстоятельства, что большинство КВ помечают инфицируемые программы каким – либо признаком, чтобы не выполнять их повторное заражение. В противном случае имело бы место многократное инфицирование, сопровождаемое существенным и легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который после активизации и проверки наличия указанного признака ошибочно считает программу инфицированной.
Основные преимущества программ – прививок:
— не вносят никаких дополнительных ограничений на работу пользователя и не требуют машинных ресурсов;
— простота в использовании.
Главный недостаток программ – прививок – узкая специализация на определенный тип КВ, поэтому их появление, также как и программ – детекторов, возможно только после тщательного анализа кода КВ.
Кроме того, в ряде случаев использование программ – прививок принципиально невозможно, так как ряд КВ при обнаружении факта заражения всех доступных файлов переходят к фазе активной работы, что может привести к уничтожению информации.
Использование прививок может быть нейтрализовано за счет разработки новых нестандартных методов индикации факта заражения программы – носителя.
Программы – ревизоры следят за состоянием файловой системы и по принципам работы похожи на программы – вакцины. Ревизоры записывают следующие характеристики исполняемых файлов (программ):
— длину программы;
— контрольную сумму;
— дату и время создания (модификации) файла;
— точку входа в программу.
Отличие их от программ – вакцин состоит в том, что характеристики программ запоминаются в отдельных файлах. Сама проверка (ревизия) также осуществляется отдельной программой. В результате, длины файлов не увеличиваются, и в теле программы никакой дополнительной информации не появляется, что не позволяет КВ определить факт наличия защиты.
Достоинство программ – ревизоров – универсальность. Как и программы – вакцины, ревизоры фиксируют не факт заражения каким – либо конкретным КВ, а любое несанкционированное изменение в файлах программ.
Однако, как и любое средство защиты, программы – ревизоры обладают рядом недостатков:
— эффективность ревизора зависит от частоты его запуска. Это означает, что для обеспечения защиты программ и данных необходимо регулярно затрачивать значительное время на просмотр файловой системы. Затраты времени зависят от объема информации на дисках, числа просматриваемых файлов, характера проводимых проверок и их качества. Поэтому, как показывает опыт практической эксплуатации таких программ, их запуск осуществляется в среднем один – два раза в неделю, что ведет к значительному снижению их эффективности;
— программы – ревизоры не могут обнаружить заражение программы, если оно произошло до момента включения защиты, т.е. они не реагируют на уже зараженные программы;
— применение программ – ревизоров требует от пользователей КС определенной компьютерной грамотности;
— большинство программ – ревизоров только фиксирует факт модификации программ на диске, не проводя анализа этих изменений. Средства анализа и восстановления поврежденных файлов реализованы только для системных файлов.
Основной метод противодействия программам – ревизорам заключается в создании «кочующих» КВ, которые к моменту проверки файла ревизором перемещают код вируса из пораженной программы и возвращают его после проверки.
Мониторы представляют собой резидентные программы, обеспечивающие перехват основных векторов прерываний. При поступлении запроса на обслуживание вектора программа проверяет, не является ли вызываемая функция потенциально опасной для системы, что характерно для КВ (например, форматирование дисков), и запрашивает у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения блокируется выполнение пользовательской программы.
Основные недостатки программ – мониторов вытекают из организации ОС. Действия, которые должны отслеживаться монитором для защиты от КВ, по существу являются типичными для штатной работы ОС, так как многие прикладные программы также используют вектора прерываний. Кроме того, каждый системный вызов порождает серию запросов на уровне физической адресации, что может приводить к многочисленным ложным срабатываниям монитора.
Основной путь нейтрализации монитора состоит в обеспечении КВ доступа к функциям ОС, минуя контроль со стороны монитора. Для этого КВ необходимо найти первоначальную точку входа в ОС, устанавливаемую при ее загрузке до включения программ защиты. После того, как значение вектора будет определено, КВ при внедрении в файлы будет использовать именно его, что позволит заблокировать программу – монитор.
Несмотря на такие серьезные недостатки, программы – мониторы считаются одним из основных средств защиты от КВ, и работы по их совершенствованию ведутся непрерывно.
К перспективным средствам защиты относятся универсальные, адаптивные и интеллектуальные антивирусные программы.
Универсальные средства претендуют на блокировку большинства известных типов вирусов. Однако теоретически подтверждено, что множество всех вирусов не перечислимо. Для любого вируса можно создать антивирус, но и для любого средства борьбы с вирусами можно создать вирус, преодолевающий его. Кардинальное решение проблемы антивирусной защиты лежит в создание сред, делающих существование вирусов невозможным.
Адаптивные (самообучающиеся) средства автоматически расширяют список вирусов, которые они блокируют. Это, в первую очередь, программы, содержащие постоянно пополняемые базы вирусов. Наиболее привлекательной выглядит идея создания самообучающегося средства, которое при встрече с неизвестным вирусом автоматически анализирует его и добавляет в свою базу.
Интеллектуальные средства базируются на системах логического вывода. Их суть сводится к определению алгоритма и спецификации программы по ее коду, и выявлению, таким образом, программ, осуществляющих несанкционированные действия. Этот перспективный метод, однако, требует огромных затрат.
Проведенный краткий анализ программных средств защиты показывает, что каждый антивирус способен выявлять и блокировать не все вирусы, а только их ограниченное количество. Разные программы могут «вылечивать» только различные вирусы, по разным авторским алгоритмам и с разной эффективностью блокировки. Поэтому при построении КСАЗ целесообразно использовать комплект антивирусных программ. Этот комплект должен быть многоуровневым, т.е. обеспечивать N уровней защиты не только против известного количества M вирусов, но против неизвестных новых вирусов.
Данный базовый комплект целесообразно дополнить антивирусными программами ведущих западных стран для повышения вероятности блокирования, прежде всего сетевых и макровирусов.
По данным Computer Economics, в 2000 г. вирусные атаки привели к совокупным потерям в размере 17,1 млрд. долларов. Этот показатель сократился до 13,2 млрд. долларов в 2001 г., при этом ущерб от одного только вредоносного «червя» SirCam оценивался в 1,15 млрд. долларов, Code Red – 2,62 млрд. долларов, Nimda – 635 млн. долларов.
|
|
|
|
|
Дата добавления: 2014-12-27; Просмотров: 599; Нарушение авторских прав?; Мы поможем в написании вашей работы!