Файл: Исследование проблем защиты информации ( ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ).pdf
Добавлен: 01.04.2023
Просмотров: 64
Скачиваний: 2
Для обработки трафика возможны два варианта настройки файрвола. Первый – всё, что не запрещено, то разрешено. В данном случае пакеты, не попадающие ни под один шаблон, передаются межсетевым экраном дальше. Противоположная ситуация: всё, что не разрешено – запрещено. При таком варианте настроек межсетевой экран обеспечивает большую безопасность, потому что блокируется весь трафик, который не одобрен правилами. Недостатком данного варианта является дополнительная нагрузка на системного администратора.
По исполнению межсетевые экраны подразделяются на программные и программно-аппаратные. В свою очередь программно-аппаратные вариант имеют две разновидности – отдельный модуль в маршрутизаторе или в виде аппаратного решения специального назначения.
Достаточно часто используются программные решения, потому что для их применения необходимо приобрести (либо использовать бесплатный) межсетевой экран и установить его на свободный, подходящий по системным требованиям компьютер. Если на предприятии свободного компьютера нет, его необходимо приобрести. После этого необходимо выполнить установку и настройку операционной системы, а также самого межсетевого экрана. Однако всё большее распространение получают специализированные устройства защиты (безопасности) – security appliance, работающие на базе NIX-систем (например FreeBSD) или собственных версиях операционных систем, оптимизированных для выполнения только необходимых функций.
У межсетевых экранов есть свои недостатки. Например, он может фильтровать только тот трафик, который способен распознать. Существуют протоколы, использующие криптографию, чтобы содержимое невозможно было прочитать, как следствие трафик не может быть распознан. Существуют протоколы, которые шифруют данные прикладного уровня, как следствие фильтрация трафика, которая содержится на данном сетевом уровне, становится невозможной. Также у традиционных межсетевых экранов отсутствуют встроенные механизмы антивирусной защиты, они не обеспечивают защиту пользователей, которые могут загрузить вирусы из Интернета, так как они могут быть зашифрованы или сжаты разнообразными способами.
Чтобы обеспечить защиту информационных ресурсов в локальной сети организации, важно использование комплексного подхода к обеспечению информационной безопасности для достижения максимальной эффективности сильных сторон межсетевого экрана, а также компенсировать их недостатки с помощью других средств безопасности.
Для защиты от вирусов используются специальные программные средства – антивирусы, а также резервное копирование информации. Резервное копирование информации выступает как страховка от некорректных действий пользователя, физической порчи носителей информации, а также воздействия вредоносного программного обеспечения.
Антивирусная программа (антивирус) – любая программа для обнаружения компьютерных вирусов, а также считающихся вредоносными программ и восстановления зараженных или модифицированных такими программами файлов. Кроме того антивирусы применяются для профилактики, чтобы предотвратить заражение системы вредоносным кодом.
К основным симптомам заражения системы вирусами относятся следующие события:
– отображение на экране посторонних сообщений или изображений – так себя проявляет рекламное программное обеспечение;
– изменение размера файла, даты и времени его модификации, а также искажение или пропажа каталогов и файлов – возможное воздействие файловых вирусов;
– частые сбои в работе компьютера, низкая скорость работы, вызванная снижением размера свободной оперативной памяти и высокой загрузкой процессора;
– проблемы с загрузкой операционной системы – возможное воздействие буткитов, руткитов или файловых вирусов.
Стоит отметить, что данные события могут быть вызваны не только появлением в системе вредоносного программного обеспечения, но и являться следствием других причин. Поэтому правильная диагностика состояния компьютера всегда затруднена и обычно требует привлечения специализированных программ[4].
На сегодняшний день существует большое количество антивирусных программ, различающихся как по модели распространения (бесплатные или платные), так и по заложенному в них функционалу. Для выполнения своих задач обычно используются следующие методы:
– анализ содержимого файлов – в данный метод включают сканирование сигнатур вирусов, проверку целостности и наличие подозрительных команд;
– отслеживание подозрительного поведения программ при их выполнении.
Сигнатурный анализ основывается на поиске сигнатур. Сигнатура – уникальная последовательность байтов в файлах, специфичная для каждого вируса. Для каждого нового вируса разработчиками антивирусных программ выполняется анализ вредоносного кода, после чего определяется его сигнатура. Полученный результат помещают в базу данных вирусных сигнатур, с которой работает антивирусная программа. Преимуществом данного метода является достаточно низкий процент ложных срабатываний. Главный недостаток – невозможность обнаружения новых версий вредоносного программного обеспечения из-за отсутствия сигнатур в базе данных антивирусной программы (так называемые угрозы нулевого дня). Соответственно, необходимо как можно чаще обновлять антивирусные базы.
Метод контроля целостности основан на том, что любое внезапное изменение данных на носителях информации это подозрительное событие, которому требуется внимание антивирусной программы. Чаще всего вредоносное программное обеспечение оставляет следы своей деятельности – модификация существующих, особенно системных или исполняемых файлов, а также появление новых файлов. Факт нарушения целостности устанавливается путем сравнения контрольной суммы, подсчитанной для первичного состояния проверяемого кода, и контрольной суммы актуального состояния исследуемого кода. Если выявлены различия, из этого следует, что целостность нарушена и необходимо провести дополнительную проверку путём сканирования вирусных сигнатур. Данный способ выполняется быстрее, чем сигнатурный анализ, так как расчёт контрольных сумм и ведение специального журнала расходует меньше вычислений, чем операция побайтового сравнения программного кода. Также он позволяет обнаружить результаты воздействия неизвестных вирусов, у которых еще нет сигнатур в базах.
Эвристическое эвристический метод (метод сканирования подозрительных команд) – выявляет в проверяемом файле наличие подозрительных команд или признаки странных последовательностей программного кода (шифрование файлов, форматирование жесткого диска или внедрение в выполняемый программный код). Модуль эвристики содержит список типичных действий вредоносного программного обеспечения и во время проверки системы пытается обнаружить характерный для него код. На основании выполненного анализа программа делает предположение о вредоносности проверенного файла и принимает решение о необходимости дополнительной проверки. Этот метод обладает хорошим быстродействием, к тому же позволяет распознавать новые вирусы. Наличие модуля эвристического анализа неотъемлемая часть современных антивирусных программ.
Метод отслеживания подозрительного поведения программ – технология проактивной защиты, построенная на анализе поведения. Также данный метод имеет следующие названия: HIPS, Host-based Intrusion Prevention System, система предотвращения вторжений. Ввиду того, что принцип действия HIPS основан на проактивных технологиях защиты, программные решения данного класса не используют базы данных сигнатур вирусов и не выполняют их обнаружение. Проактивные технологии – множество технологий, которые используются в антивирусном программном обеспечении, главной задачей которых, в отличии от сигнатурных технологий, является предотвращение заражения системы вредоносным программным обеспечением, а не его поиск в системе. К проактивным технологиям относят: эвристический анализ, эмуляцию кода, анализ поведения и метод под названием «песочница». HIPS-продукты выполняют изучение активности не только выполняемых программ, но и модулей системы, и блокируют нежелательные действия в системе пользователя. Изучение активности выполняется путем перехвата системных функций, что обеспечивает достаточно высокую эффективность. С другой стороны программы данного типа требуют от пользователя постоянного участия и определенного уровня знаний для грамотной настройки антивируса. К серьезным недостаткам системы предотвращения вторжений относят возможное блокирование легитимных программ – так называемые ложные срабатывания и снижение уровня внимания пользователя ввиду возможного частого срабатывания HIPS-модуля.
Метод эмуляции кода позволяет выполнять приложения в отдельной области памяти, в которой эмулируются функции операционной системы. В данном режиме приложение не может причинить ущерб системе пользователя, так как нежелательные действия будут обнаружены эмулятором. К сожалению, данный метод имеет существенный недостаток – для его функционирования требуется достаточно количество ресурсов рабочей станции, что в свою очередь негативно сказывается на производительности при обработке повседневных задач.
Ещё одна проактивная технология – sandbox или песочница. Песочница – специально выделенный набор системных ресурсов для безопасного запуска программного обеспечения, который ограничивает возможные угрозы таким образом, чтобы они не нанесли ущерба. При выполнении приложения в песочнице у него нет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Данная технология достаточно эффективна для противодействия современным угрозам, но точно так же имеет недостатки, как и метод эмуляции: высокая нагрузка на систему и определенный уровень знаний пользователя.
Антивирусная защита предприятия – один из самых важных вопросов информационной безопасности ресурсов организации. Это объясняется стремительным ростом числа компьютерных вирусов и относительно низким уровнем компьютерной грамотности. Информационные технологии находятся в постоянном развитии, одновременно с ними растет число угроз информационной безопасности.
Небольшие организации, использующие не более 10 узлов, чаще всего используют антивирусные решения с графическим интерфейсом и возможностью локальных настроек. Крупные предприятия используют более продвинутые корпоративные решения антивирусной защиты, в которых реализованы консоли управления и подчиняющиеся единому центру. Такие решения позволяют обеспечить оперативное централизованное управление локальными антивирусными клиентами и дают возможность при необходимости интегрироваться с другими решениями в области безопасности корпоративных сетей[5].
Системы активного мониторинга (DLP-системы, системы предотвращение утечек) – технологии, предназначенные для предотвращения утечек конфиденциальной информации из информационной системы за пределы заданного периметра. Также данные системы включают в себя активные компоненты (программные или программно-аппаратные) для предотвращения утечек. Если рассмотренные выше средства защиты в основном обеспечивают защиту от внешних угроз, то DLP-системы обеспечивают защиту от внутренних.
Системы предотвращения утечек обычно включают в себя элементы сетевого уровня и локальные модули. Сетевые элементы обеспечивают контроль трафика, который пересекает периметр информационной системы. Типичным местом установки являются сервера разных типов (прокси-сервера, почтовые). Локальные компоненты устанавливаются на рабочих местах сотрудников и позволяют контролировать запись информации на внешние носители информации либо её вывод на печать. DLP-система должна иметь компоненты обоих указанных типов, а также модуль для централизованного управления.
Преимуществом этого метода защиты информации является возможность создания виртуальной изолированной среды обработки конфиденциальной информации без физического выделения отдельной информационной системы для работы с данными ограниченного доступа. Кроме того, системы этого типа позволяют программно ограничить вывод информации на внешние носители, что избавляет от необходимости физического удаления из компьютеров устройств записи информации, а также опечатывания портов и системных блоков. Однако применение систем активного мониторинга влечёт за собой установку дополнительного программного обеспечения на каждую рабочую станцию, что потенциально может привести к увеличению сложности администрирования информационной системы, но и к возможным конфликтам в работе программ системы.
Чтобы предотвратить утечки конфиденциальных данных, могут применяться средства криптографической защиты информации.
Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства[6]. Криптография известна с древних времён, её история насчитывает несколько тысяч лет.
В основе криптографии лежат методы шифрования и расшифровывания. Шифрование – это преобразование информации, делающее ее нечитаемой для посторонних. Соответственно, расшифровывание – процесс, обратный шифрованию, в ходе которого зашифрованные данные преобразуются в открытые при помощи ключа. Ключ шифрования – секретный набор символов, используемый криптографическим алгоритмом для шифрования (расшифровывания) сообщения, использования и проверки цифровой подписи, вычисления кодов аутентичности. Криптография и алгоритмы шифрования данных используются в условиях, когда отправитель и получатель не могут быть уверены в том, что передаваемые данные не будут перехвачены неавторизованным лицом. В таком случае секретность данных будет обеспечена, несмотря на перехват, без расшифровки прочитать их невозможно.