Файл: Исследование проблем защиты информации ( ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ).pdf
Добавлен: 01.04.2023
Просмотров: 61
Скачиваний: 2
При использовании локально-вычислительных сетей в организации появляется целый спектр потенциальных возможностей несанкционированного доступа к конфиденциальной информации. Это может быть вызвано большим количеством возможных каналов преднамеренного несанкционированного доступа к информации, либо доступом со стороны кабельных линий связи. В таких случаях нарушитель выполняет подключение к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, выполняется сеанс связи, и данные могут быть получены под видом легального пользователя. Нельзя исключать возможности выполнения злоумышленником анализа трафика – для этого анализируются частоты сигналов в сети, а также способы авторизации пользователей в системе. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт под видом авторизованного пользователя. Также причиной несанкционированного доступа может являться возможность использования автоматизированного рабочего места (включая серверы) по каналам несанкционированного доступа к информации самого автоматизированного рабочего места, так и доступ со стороны штатного пользователя-нарушителя при обращении к информации. Ещё одной причиной может выступить возможность подключения постороннего персонального компьютера (ноутбука) или оргтехники к локально-вычислительной сети, либо к рабочему месту специалиста.
К отдельной категории электронных методов воздействия относят компьютерные вирусы и прочие вредоносные программы. Основы теории самовоспроизводящихся механизмов заложил известный математик Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. Первые рабочие примеры таких программ датируются 1961 годом. В повседневной жизни «вирусами» называют всё вредоносное программное обеспечение, но на самом деле это лишь одна из его разновидностей. Компьютерный вирус – вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи. На сегодняшний день существует множество видов вирусов, которые различаются по способу распространения и функциональности. Изначально вирусы распространялись на дискетах и других носителях информации, то сейчас основными источниками распространения вирусов являются локальные и глобальные (Интернет) сети. Расширяется функциональность вирусов, которую они перенимают от других видов программ. По состоянию на сегодняшний день нет единой системы классификации и именования вирусов, хотя такие попытки предпринимались. Принято разделять вирусы:
– по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы);
– по поражаемым операционным системам и платформам (DOS, Windows, NIX-системы, мобильные операционные системы);
– по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
– по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык);
– по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, боты, рекламное программное обеспечение).
Для своего размножения файловый вирус использует файловую систему, внедряясь в исполняемые файлы практически любой ОС. По механизму заражения разделяются следующим образом: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.
Компьютерный вирус, записывающийся в первый жёсткого диска (или дискеты) и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела называется загрузочным. К ним также относятся руткиты. Перехватывая обращения к дискам, данный тип вирусов либо продолжает загрузку операционной системы, либо нет (MBR-Locker).
Сценарные (скриптовые) вирусы написаны на скриптовых языках Visual Basic Script, Visual Basic for Applications, Java Script, Jscript. Данный тип вредоносных программ чаще всего внедряется в уязвимое место программы, заставляя совершать несвойственные для неё действия.
Под многие операционные системы, которые используются на автоматизированных рабочих местах и серверах, существуют вирусы. Справедливо заметить, чем более распространена система, тем чаще для неё встречается вредоносное программное обеспечение, и наоборот. Общая доля систем Windows для настольных систем составляет 87,79%, а затем следуют MacOS и Linux с 9,95% и 1,93% соответственно. Как следствие, большинство из известного на сегодняшний день вредоносного программного обеспечения ориентировано на операционные системы от Microsoft. Не избежали данной участи и мобильные устройства – смартфоны и планшеты, основной целью злоумышленников является наиболее распространенная операционная система Android.
Полиморфизм компьютерного вируса – техника, позволяющая затруднить обнаружение компьютерного вируса с помощью сканирования и эвристики. Вирус, использующий такую технику, называется полиморфным.
Стелс-вирус – вирус, который полностью или частично умеет скрывать своё присутствие в системе, перехватывая обращения к операционной системе, осуществляющие чтение, запись, чтение дополнительной информации о зараженных объектах.
Бэкдор – вредоносное программное обеспечение, которое злоумышленник устанавливает на атакуемом им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. Незаметно управляя компьютером, бэкдор позволяет копировать файлы с контролируемого злоумышленником компьютера и наоборот, передавать на поражённый компьютер файлы и программы.
Кейлоггер (клавиатурный шпион) – данный вид программного обеспечения позволяет злоумышленникам получать любую вводимую с клавиатуры или мыши информацию. Кроме того, кейлоггеры могут делать скриншоты либо видеозаписи, и передавать их по сети на удаленный сервер либо почту. Таким образом злоумышленник может завладеть практически любой конфиденциальной информацией.
Скрытно установленная на автоматизированное рабочее место с целью получения информации о его конфигурации, несанкционированного копирования информации из памяти устройства либо копирования пользовательских данных без согласия пользователя, называется программой-шпионом.
Бот – автономное программным обеспечением, которое скрытно устанавливается на устройство жертвы и позволяющее злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Чаще всего киберпреступники объединяют такие зараженные устройства в сеть, которой можно управлять удаленно. Эти сети могут использоваться для осуществления атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS), крупномасштабных кампаний по рассылке спама и других типов кибератак.
Рекламное программное обеспечение – это нежелательная программа, написанная для того, чтобы забрасывать экран компьютера рекламными сообщениями. Проникнув в систему, данный вид программ способен выполнять все виды нежелательных действий с устройством, вплоть до полной его блокировки.
Вирусы представляют собой реальную опасность для современных отраслей экономики, широко использующие локально-вычислительные сети, а также сервисы и службы, предоставляемые посредством Интернета. Проникновение вредоносного программного обеспечения на узел сети предприятия может привести к нарушению функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. При проникновении в корпоративную сеть вирусные программы могут предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
Глава 2. Методы защиты информации.
Средства защиты информации – комплекс инженерно-технических, электрических, электронных, оптических приборов и технических систем, а также прочих элементов, используемых для решения разнообразных вопросов по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. Если в системе поддерживается заданный уровень конфиденциальности информационных ресурсов (невозможности несанкционированного доступа к информации), целостности (невозможности несанкционированного или случайного её изменения) и доступности (возможности в разумные сроки получить необходимую информацию), то можно считать, что обеспечена информационная безопасность. При этом должна рассматриваться не только возможность нарушения любого из параметров безопасности в результате умышленных либо неумышленных действий пользователей, но и вероятность выхода из стоя каких-либо узлов информационной системы. В этом смысле средства повышения надежности также входят в комплекс информационной безопасности предприятия.
Согласно общепринятой практике, средства защиты информации подразделяются на следующие классы:
– организационные средства;
– технические и программно-аппаратные средства;
– криптографические средства;
– нормативно-правовые средства;
– социально-психологические средства[1].
2.1 Организационные средства.
Под организационными средствами понимают совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Другими словами, данные документы являются политикой безопасности предприятия. Это тот инструментарий, при помощи которого организована работа в автоматизированной информационной системе. В рамках этих мер на предприятии должны быть разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, модели угроз, которые с ними связаны, а также перечень тех мероприятий, которые должны быть реализованы для противодействия указанным угрозам. Примерами таких организационных документов могут являться концепция и политика информационной безопасности, должностные инструкции сотрудников компании.
Время от времени политика безопасности должна корректироваться, обеспечивая соответствие текущим потребностям предприятия. Документ политики должен быть составлен таким образом, чтобы она не была привязана к набору конкретных технологий, в этом случае её не потребуется изменять слишком часто. Политика безопасности в виде документа включает в себя следующие разделы: проблемные области, сфера применения, позиция организации, распределение ролей и обязанностей. За реализацию целей, определённых в политике, отвечают должностные лица и пользователи вычислительной сети.
Руководство отделов отвечает за ознакомление с положениями политики безопасности пользователями. Системные администраторы обеспечивают непрерывную работу сети и отвечают за исполнение мер, необходимых для осуществления политик безопасности. Сервисные администраторы выполняют построение защиты в соответствии с общей политикой безопасности. Пользователи работают с информационной системой в соответствии с политикой безопасности, выполняют распоряжения ответственных за различные аспекты безопасности лиц, а также извещают руководство обо всех нештатных ситуациях. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения[2]. Таким образом, содержание политики безопасности организации зависит от её масштаба и задач. В дополнении к организационным средствам защиты должны применяться технические (в том числе и программно-аппаратные) решения, предназначенные для блокирования перечисленных выше каналов утечки конфиденциальной информации[3].
2.2 Технические и программно-аппаратные средства.
К данному виду средств относятся межсетевые экраны (файрволы, брандмауэры), антивирусы, прикладное программное обеспечение для контроля за рабочими станциями, встроенные средства операционной системы.
Межсетевой экран – программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. Основной задачей для файрволов является защита сети или отдельных устройств от несанкционированного доступа с использованием слабых мест протоколов сетевой модели или программного обеспечения. Используя набор правил, заданный сетевым администратором, межсетевой экран пропускает или запрещает трафик.
Чаще всего брандмауэр устанавливают на границе периметра локальной сети, чтобы защитить внутренние устройства от внешних угроз. Возможна такая ситуация, когда внутренние узлы будут являться источниками атак – тогда подверженное атаке устройство будет расположено внутри сети и трафик не выйдет за пределы сетевого периметра, соответственно межсетевой экран не выполнит фильтрацию трафика согласно установленным шаблонам. Поэтому межсетевые экраны могут быть размещены между различными участками внутренней сети, чтобы обеспечивать больший уровень безопасности.