Безопасность информационных систем и технологий

Безопасность любой информационной системы можно определить как свойство, которое заключается в способности информационной системы обеспечить полную конфиденциальность и целостность хранимой информации, т.е. защиту данных от несанкционированного доступа, например в целях ее раскрытия, изменения или разрушения.

Информационную безопасность принято указывать одной из основных информационных проблем XXI века. На самом деле, проблемы хищения информации, искажения смысла информации и ее уничтожения часто приводят к последствиям, ведущим не только к банкротствам фирм, но даже возможным жертвам (не говоря о возможных военных конфликтах).

В законе Российской Федерации «Об информации, информатизации и защите информации» от 27.07.2006 № 149-ФЗ, например, особо подчеркивается, что «...информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства» и, естественно, защищать информационные ресурсы необходимо так же, как защищают личную и государственную собственность.

Угрозы для информационных систем можно представить тремя группами:

1. Угроза раскрытия — имеющаяся возможность доступа к определенной информации лицу, не имеющему права знать данную информацию.
2. Угроза целостности — намеренное несанкционированное изменение данных, которые хранятся в вычислительной системе или передаются из одной системы в другую по каналам связи (модификация или удаление).
3. Угроза отказа в обслуживании — допустимость появления блокировки санкционированного доступа к некоторым данным.

Средства, которыми может быть обеспечена информационная безопасность, в зависимости от способа реализации можно разбить на следующие группы методов:

• организационные методы предполагают конфигурирование, организацию и администрирование информационной системы. Прежде всего это относится к сетевым информационным системам и их операционным системам, полномочиям системного администратора, набору инструкций, которые определяют порядок доступа и функционирования в сети пользователей;
• технологические методы, охватывающие технологии осуществления сетевого администрирования, мониторинга и аудита безопасности ресурсов данных, ведения журналов регистрации пользователей, фильтрации и антивирусной обработки поступающей информации;
• аппаратные методы, которые должны реализовать физическую защиту информационной системы от возможного несанкционированного доступа, аппаратные средства идентификации внешних терминалов системы и пользователей и т.д.;
• программные методы относятся к самым распространенным методам защиты информации (программы идентификации пользователей, программы парольной защиты, программы проверки полномочий, брандмауэры, криптопротоколы и т.д.). Без применения программной составляющей фактически невыполнимы даже первые три группы методов. При этом нужно учитывать, что стоимость реализации сложных программных комплексов по защите информации может значительно превосходить по затратам аппаратные, технологические и тем более организационные решения.

Со стороны разработчиков и потребителей в настоящее время наибольшее внимание вызывают следующие тенденции защиты информации:

1. Защита от несанкционированного доступа информационных ресурсов компьютеров, работающих автономно и в сети. В первую очередь эта проблема определяется для серверов и пользователей Интернета. Эта функция может быть реализована многочисленными программными, а также программно-аппаратными и аппаратными средствами.
2. Защита различных информационных систем от компьютерных вирусов, имеющих возможность не только разрушить необходимую информацию, но даже повредить технические компоненты системы.
3. Защита секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения. Эта функция может обеспечиваться как средствами защиты от несанкционированного доступа, так и с помощью криптографических средств, традиционно выделяемых в отдельный класс.

Также активно развиваются средства защиты от утечки информации по силовым каналам, каналам электромагнитного излучения компьютера или монитора (для решения данной проблемы может применяеться экранирование помещений, использование генераторов шумовых излучений), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера и т.д.

Защита информации от несанкционированного доступа. Защита от несанкционированного доступа к информационным ресурсам компьютера представляется комплексной проблемой, которая предполагает решение следующих задач:

• присвоение пользователю, файлам, компьютерным программам и каналам связи идентификаторов – уникальных имен и кодов;
• установление подлинности при обращениях к вычислительной системе и информации, по сути проверка соответствия лица или устройства, сообщившего идентификатор (такая идентификация пользователей, программ, терминалов при доступе к системе зачастую выполняется посредством проверки паролей или обращением в службу, которая отвечает за сертификацию пользователей);
• проверка полномочий – контроль права пользователя к запрашиваемым данным или на доступ к системе (на выполнение над данными определенных операций – модификация, чтение, обновление) для разграничения прав доступа к сетевым и вычислительным ресурсам;
• автоматическая регистрация в журнале всех как выполненных, так и не выполненных запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, т.е ведение журналов аудита, которые позволяют определить хост-компьютер хакера, а иногда и определить его IP-адрес и точное местоположение.

Брандмауэр как средство контроля межсетевого трафика. Брандмауэр (сетевой экран, «firewall» (файервол)) – это устройство или программа, предназначенные для проверки сетевого трафика и его блокировки в случае, если указанный трафик не соответствует определенному набору правил. Указанные правила являются как системными, так и создаются пользователем, позволяя отсекать нежелательное кибервторжение в пользовательскую сеть со стороны третьих лиц и вредоносных программ. По сути, брандмауэр обычно используется для защиты сети и блокировки нежелательной информации, передаваемой через компьютерную сеть. Кроме того, он может служить для целей мониторинга сети, ведя журнал активности различных программ, служб и т.д.

Контроль трафика предполагает его фильтрацию, т.е. частичное пропускание через экран, иногда с выполнением дополнительных преобразований и созданием извещений для отправителя в случае, если его данным было отказано в пропуске. Фильтрация производится на основании набора правил, которые предварительно загружены в сетевой экран и отражают политику информационной безопасности. Брандмауэры в настоящее время могут быть как аппаратными, так и программными комплексами, записанными в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т.д.).

Работа брандмауэра сводится к анализу структуры и содержанию информационных пакетов, попадающих из внешней сети, при этом зависимости от результатов анализа пропуска данных пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции:

• физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
• многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);
• проверка полномочий и прав доступа пользователей к внутренним ресурсам сети;
  
  
• регистрация всех запросов к компонентам внутренней подсети извне;
• Q контроль целостности программного обеспечения и данных;
• экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);
• сокрытие IP-адресов внутренних серверов в целях защиты от хакеров.
  
  

Криптографическое закрытие информации. В настоящее время активно развиваются криптографические технологии, направленные на поддержание конфиденциальности и работоспособности следующих комплексных сетевых приложений: электронная почта (e-mail), электронный банк (e-banking), электронная торговля (e-commerce), электронный бизнес (e-business).

Криптографическое закрытие информации производится путем преобразования информации с использованием специальных алгоритмов и процедур шифрования с применением открытых и закрытых ключей, в результате чего невозможно без знания закрытого ключа, определить содержание данных по их внешнему виду.

С помощью криптографических протоколов реализуется безопасная передача информации в сети, в том числе паролей и регистрационных имен, которые необходимы для идентификации пользователя. На практике применяются следующие типы шифрования: симметричное и асимметричное.

Для шифровки и дешифровки данных при симметричном шифровании используется один секретный ключ. Ключ при этом передается безопасным способом участникам информационного взаимодействия до начала передачи данных. Можно указать два типа шифров, которые применяются для реализации симметричного шифрования: блочные и поточные.

В Российской Федерации для блочного шифрования рекомендован симметричный алгоритм, предложенный ГОСТ 28.147 - 89 «Системы обработки информации. Защита криптографическая». В качестве примеров поточных алгоритмов можно привести в первую очередь алгоритмы RC (RC2, RC4, RC5) корпорации RSA Data Security (США) и алгоритмы ВЕСТА (ВЕСТА-2, ВЕСТА-2М, ВЕСТА-4) фирмы «ЛАН Крипто» (Россия).

Электронная цифровая подпись. Согласно Гражданскому кодексу Российской Федерации заключение юридического договора может осуществляться не только в письменном виде, путем составления печатного документа, подписанного сторонами, но и путем обмена документами посредством электронной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. В этом случае целесообразно использовать одну из операций криптографии — цифровую электронную подпись.

Электронная цифровая подпись — это последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство путем применения открытого ключа.

При использовании электронной подписи файл пропускается через специальную программу (hash function), в результате чего получается набор символов (hash code), генерируются два ключа: открытый (public) и закрытый (private). Набор символов шифруется с помощью закрытого ключа. Такое зашифрованное сообщение и является цифровой подписью. По каналу связи передается незашифрованный файл в исходном виде вместе с электронной подписью. Другая сторона, получив файл и подпись, с помощью имеющегося открытого ключа расшифровывает набор символов из подписи. Далее сравниваются две копии наборов, и если они полностью совпадают, то это действительно файл, сделанный и подписанный первой стороной.

Для длинных сообщений в целях уменьшения их объема (ведь при использовании электронной подписи фактически передается файл двойной длины) передаваемое сообщение перед шифрованием сжимается (хешируется), т.е над ним производится математическое преобразование, которое описывается так называемой хеш-функцией. Расшифрованный полученный файл в этом случае дополнительно пропускается через тот же алгоритм хеширования, который не является секретным.

Для шифрования электронной подписи используются ранее названный алгоритм RSA, а также DSA (национальный стандарт США) и Schnorr (алгоритм Klaus Schnorr); в России применяются алгоритмы шифрования электронной подписи по ГОСТ Р 34.10 - 94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и Нотариус (Нотариус-AM, Нотариус-S).

Защита информации от компьютерных вирусов. Компьютерным вирусом называется рукотворная программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи в целях прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей. Компьютерным вирусам, как и биологическим, характерны определенные стадии существования:

• латентная стадия, в которой вирусом никаких действий не предпринимается;
  
  
• инкубационная стадия, в которой основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;
• активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

Сейчас существуют сотни тысяч различных вирусов, и их можно классифицировать по нескольким признакам. По среде обитания вирусы можно разделить на:

• файловые;
  
  
• загрузочные;
  
  
• файлово-загрузочные;
  
  
• сетевые;
  
  
• документные.
  
  

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения .ехе и .com (самые распространенные вирусы), но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы (вирус подключает к такому файлу исполняемые программы, предварительно заразив их), программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы). Файловые вирусы могут создавать файлы-двойники (компаньоны-вирусы). В любом случае файловые вирусы при запуске программ, ими зараженных, берут на время управление на себя и дезорганизуют работу своих «квартирных хозяев».

Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке операционной системы с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.

Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп и обладают наибольшей «эффективностью» заражения.

Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).

Документные вирусы (их часто называют макровирусами) заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус I love you или менее навредивший вирус «Анна Курникова»).

По способу заражения среды обитания вирусы делятся на:

• резидентные;
  
  
• нерезидентные.
  
  

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.

Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (жесткие диски, Flash-чипсет BIOS), перепрограммируя его.

По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как:

• паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены;
• вирусы-репликаторы («черви» WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами "черви" деструктивных действий не выполняют, поэтому их часто называют псевдовирусами);
• «троянские» вирусы маскируются под полезные программы (существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение .com вместо .ехе) и выполняют деструктивные функции (например, очищают FAT); самостоятельно размножаться, как правило, не могут;
• вирусы-невидимки (стелс-вирусы), по имени самолета-невидимки stealth способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;
• самошифрующиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса);
• мутирующиеся вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов;
• «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» в сети Интернет функционирует только в день годовщины чернобыльской трагедии).

Способы защиты от вирусов.

Для обнаружения и удаления компьютерных вирусов разработано много различных программ. Эти антивирусные программы можно разделить на:

• программы-детекторы;
  
  
• программы-ревизоры;
  
  
• программы-фильтры или сторожа;
  
  
• программы-доктора или дезинфекторы, фаги;
  
  
• программы-вакцины или иммунизаторы.
  
  

Программы-детекторы осуществляют поиск компьютерных вирусов в памяти машины и при обнаружении искомых сообщают об этом. Детекторы могут искать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов — сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла).

Программы-ревизоры являются развитием детекторов, но выполняющим значительно более сложную и эффективную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры.

Программы-фильтры выполняют наблюдение и выявление подозрительных, характерных для вирусов процедур в работе компьютера (коррекция исполняемых .ехе и .com файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т.д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.

Программы-доктора — самые распространенные и популярные программы. Эти программы не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Многие программы-доктора находят и удаляют большое число (десятки тысяч) вирусов и являются полифагами.

Программы-вакцины применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом, уже зараженным, и поэтому вирус не внедряется.

© 2017 об авторе список литературы сведения о пособии