Информационная безопасность компьютерных сетей

Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы. [15].

Черви, использующие интернет-пейджеры (IM-Worm). Известные компьютерные черви данного типа используют единственный способ распространения -- рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Черви в IRC-каналах (IRC-Worm). Черви этого класса используют два вида распространения: посылание пользователю URL-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием). Черви для файлообменных сетей (P2P-Worm). Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть (одноранговая сеть) червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя -- при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).Backdoor.Win32.Sinowal -- похищает конфиденциальную информацию пользователя. Является приложением Windows (PE-EXE файл). Тип вируса: Загрузочный вирус. Был обнаружен в конце марта 2009 года. Размер инсталлятора может варьироваться в пределах от 300 до 460 Кб.

На настоящий момент в основном распространение ведется через три типа ресурсов:

1. взломанные сайты;

2. ресурсы, которые распространяют вредоносное ПО;

Ещё одной технологией, относящейся к распространению, можно назвать cookies, которые вирус оставляет на жертве. Длительность жизни этих cookies составляет 7 дней. Делается это для того, чтобы идентифицировать жертву при повторном запуска скрипта. Cookies проверяются, и если скрипт выявляет, что компьютер уже был под действием бэкдора, то переадресации не происходит. По способу инфицирования делятся на троянские программы, утилиты скрытого администрирования, Intended _вирусы, конструкторы вирусов, полиморфные генераторы. Так же эти вирусы относятся к «вирусоподобным» программам. Троянская программа - вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно "Троянские кони" не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и "червей", которые копируют себя по сети. Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Visual Basic или C++. [32].

Троянская программа, будучи запущенной на компьютере, может:

-- мешать работе пользователя (в шутку, по ошибке или для достижения каких-либо других целей);

-- шпионить за пользователем;

-- использовать ресурсы компьютера для какой-либо незаконной (а иногда и наносящей прямой ущерб) деятельности и т.д.

Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном "целевом" компьютере. Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).

Виды троянских вирусов:

§ Trojan-Downloader Программы Trojan-Downloader способны загружать и устанавливать на компьютер-жертву новые версии вредоносных программ, включая троянские и рекламные программы.

§ Банковские трояны

§ Банковские трояны (Trojan-Banker) предназначены для кражи учетных данных систем интернет-банкинга, систем электронных платежей и кредитных или дебетовых карт.

§ DDoS-трояны. Эти программы предназначены для проведения атак типа «отказ в обслуживании» по целевым веб-адресам. При такой атаке с зараженных компьютеров системе с определенным адресом отправляется большое количество запросов, что может вызвать ее перегрузку и привести к отказу в обслуживании.

§ Trojan-Downloader Программы Trojan-Downloader способны загружать и устанавливать на компьютер-жертву новые версии вредоносных программ, включая троянские и рекламные программы.

§ Trojan-Dropper. Эти программы используются хакерами, чтобы установить троянские программы и/или вирусы или предотвратить обнаружение вредоносных программ. Не каждая антивирусная программа способна выявить все компоненты троянских программ этого типа.

§ Trojan-FakeAV. Программы типа Trojan-FakeAV имитируют работу антивирусного программного обеспечения. Они созданы, чтобы вымогать деньги у пользователя в обмен на обещание обнаружения и удаления угроз, хотя угроз, о которых они сообщают, в действительности не существует.

§ Игровые трояны

Программы этого типа крадут информацию об учетных записях участников сетевых игр.

§ IM-трояны. Программы Trojan-IM крадут логины и пароли к программам мгновенного обмена сообщениями, таких как ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и многие другие.

§ Trojan-Ransom. Троянские программы этого типа могут изменить данные на компьютере таким образом, что компьютер перестает нормально работать, а пользователь лишается возможности использовать определенные данные. Злоумышленник обещает восстановить нормальную работу компьютера или разблокировать данные после уплаты запрашиваемой суммы.

§ SMS-трояны. Такие программы отправляют текстовые сообщения с мобильного устройства на платные телефонные номера с повышенным тарифом, тратя ваши деньги.

§ Шпионские программы

§ Программы типа Trojan-Spy способны скрыто наблюдать за использованием компьютера, например, отслеживая вводимые с клавиатуры данные, делая снимки экрана и получая список работающих приложений.

§ Trojan-Mailfinder. Такие программы способны собирать на компьютере адреса электронной почты.

§ Также встречаются другие виды троянских программ:

1. Trojan-ArcBomb

2. Trojan-Clicker

3. Trojan-Notifier

4. Trojan-Proxy

5. Trojan-PSW

Утилиты скрытого администрирования -- особенность этих программ заставляет классифицировать их как вредные "троянские" программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Существуют Intended-вирусы, к которым относятся программы, которые на первый взгляд являются вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает" поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (что в подавляющем большинстве случаев завешивает компьютер) и т.д.

Конструкторы вирусов. К данному виду "вредных" программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п. [14].

Полиморфные генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

Компьютерные вирусы по наличию маскировки являются следующие: Spyware (специальное программное обеспечение) - программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего. Организация "Anti-Spyware Coalition", в которой состоят многие крупные производители специального и антивирусного программного обеспечения, определяет термин «Spyware» как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, то есть несанкционированно установленный.

Spyware могут осуществлять широкий круг задач, например:

§ Собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);

§ Запоминать нажатия клавиш на клавиатуре и записывать скриншоты экрана и в дальнейшем отправлять информацию создателю spyware;

§ Несанкционированно и удалённо управлять компьютером. Инсталлировать на компьютер пользователя дополнительные программы;

§ Использоваться для несанкционированного анализа состояния систем безопасности - сканеры портов и уязвимостей и взломщики паролей;

§ Изменять параметры операционной системы, руткиты, перехватчики управления и пр. -- результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;

§ Перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Законными видами применения "потенциально нежелательных технологий" являются: Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров. Может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения, и пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например - пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере. Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например - дозвон к Интернет-провайдеру для подключения к сети Интернет).

Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.

Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС. Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.

Руткит - программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов системы. В системе Windows под термином руткит принято считать программу, которая внедряется в систему и перехватывает системные функции, или производит замену системных библиотек. Многие руткиты могут маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и сервисы (они естественно также являются "невидимыми").

Условно все руткит-технологии можно разделить на две категории:

-- Руткиты работающие в режиме пользователя.

-- Руткиты работающие в режиме ядра.

Первая категория основана на перехвате функций библиотек пользовательского режима, вторая -- на установке в систему драйвера, осуществляющего перехват функций уровня ядра. [6].

Exploit (эксплуатировать) -- компьютерная программа, фрагмент программного кда или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой, так и нарушение её функционирования (DoS-атака).

В зависимости от метода получения доступа к уязвимому программному обеспечению, эксплойты подразделяются на удалённые и локальные

§ Удалённый эксплойт работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе;

§ Локальный эксплойт запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно используется для получения взломщиком прав суперпользователя.

Атака эксплойта может быть нацелена на различные компоненты вычислительной системы -- серверные приложения, клиентские приложения или модули операционной системы. Для использования серверной уязвимости эксплойту достаточно сформировать и послать серверу запрос, содержащий вредоносный код. Использовать уязвимость клиента немного сложнее -- требуется убедить пользователя в необходимости подключения к поддельному серверу (перехода по ссылке в случае если уязвимый клиент является браузером).

Взломщики удаленных компьютеров. Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями. "Замусоривание" сети (Flood). Забивание интернет-каналов бесполезной информацией. Фатальные сетевые атаки (Nuker). Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении. Введение пользователя в заблуждение (Bad-Joke, Hoax). Это не вредоносная программа. Это программа, которая заставляет пользователя испытать беспокойство пугающими надписями.

Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor). Это хакерские утилиты, которые занимаются тем, что скрывают другоевредоносное ПО от антивирусных программ.

"Полиморфы" (PolyEngine). В их коде не заложены действия на размножение, порчу информации и т.д. [24].

1.4 Программные и программно-аппаратные методы и средства обеспечения защиты сетей

Программно-аппаратные средства защиты информации -- это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование. Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.

Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды -- ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением. Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:

-- внешние события, вызванные действиями других сервисов; -- внутренние события, вызванные действиями самого сервиса; -- клиентские события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.

Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд- мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду. [22].

Эффективность программных средств защиты зависит от правильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:

общее регулирование доступа, включающее систему паролей и сегментацию винчестера;

обучение персонала технологии защиты;

обеспечение физической безопасности компьютера и магнитных носителей;

выработка правил архивирования;

хранение отдельных файлов в шифрованном виде;

Восстановление винчестера и испорченной информации. [8]. Программными называются средства защиты данных, функционирующие в составе программного обеспечения. Среди них можно выделить и подробнее рассмотреть следующие:

§ средства архивации данных;

§ антивирусные программы;

§ криптографические средства;

§ средства идентификации и аутентификации пользователей;

§ протоколирование и аудит.

Архивация - это сжатие одного или более файлов с целью экономии памяти и размещение сжатых данных в одном архивном файле. Архивация данных - это уменьшение физических размеров файлов, в которых хранятся данные, без значительных информационных потерь. Архивация проводится в следующих случаях:

-- Когда необходимо создать резервные копии наиболее ценных файлов;-- Когда необходимо освободить место на диске.

Архивный файл представляет собой набор из нескольких файлов (одного файла), помещенных в сжатом виде в единый файл, из которого их можно при необходимости извлечь в первоначальном виде. Архивный файл содержит оглавление, позволяющее узнать, какие файлы содержатся в архиве. В оглавлении архива для каждого содержащегося в нем файла хранится следующая информация:

§ Имя файла;

§ размер файла на диске и в архиве;

§ сведения о местонахождения файла на диске;

§ дата и время последней модификации файла;

§ код циклического контроля для файла, используемый для проверки целостности архива;

§ степень сжатия.

Любой из архивов имеет свою шкалу степени сжатия. Чаще всего можно встретить следующую градацию методов сжатия:

§ Без сжатия (соответствует обычному копированию файлов в архив без сжатия).

§ Скоростной.

§ Быстрый (характеризуется самым быстрым, но наименее плотным сжатием).

§ Обычный.

§ Хороший.

§ Максимальный (максимально возможное сжатие является одновременно и самым медленным методом сжатия).

Архиваторы - это программы (комплекс программ) выполняющие сжатие и восстановление сжатых файлов в первоначальном виде. Процесс сжатия файлов называется архивированием. Процесс восстановления сжатых файлов - разархивированием. Современные архиваторы отличаются используемыми алгоритмами, скоростью работы, степенью сжатия (WinZip 9.0, WinAce 2.5, PowerArchiver 2003 v.8.70, 7Zip 3.13, WinRAR 3.30, WinRAR 3.70 RU).

Другие названия архиваторов: утилиты-упаковщики, программы-упаковщики, служебные программы, позволяющие помещать копии файлов в сжатом виде в архивный файл.

WinRAR - это 32 разрядная версия архиватора RAR для Windows. Это - мощное средство создания архивов и управления ими. Есть несколько версий RAR, для разных операционных систем: Windows, Linux, UNIX, DOS, OS/2 и т.д.

Существует две версии RAR для Windows:

§ версия с графическим пользовательским интерфейсом - WinRAR.EXE;

§ Консольная версия RAR.EXE пульт линии команды (способ текста) версия - Rar.exe.

Возможности WinRAR:

§ Позволяет распаковывать архивы CAB, ARJ, LZH, TAR, GZ, ACE, UUE, BZ2, JAR, ISO, и обеспечивает архивирование данных в форматы ZIP и RAR.

§ Обеспечивает полную поддержку архивов ZIP и RAR.

§ Имеет специальные алгоритмы, оптимизированные для текста и графики. Для мультимедиа сжатие можно использовать только с форматами RAR.

§ Поддерживает технологию перетаскивания. Имеет интерфейс командной строки.

§ Может осуществлять непрерывное архивирование, что обеспечивает более высокую степень сжатия по сравнению с обычными методами сжатия, особенно при упаковке большого количества небольших файлов однотипного содержания.

§ Обеспечивает поддержку многотомных архивов, то есть осуществляет разбивку архива на несколько томов (например, для записи большого архива на диски).

§ Создает самораспаковывающиеся архивы обычные и многотомные архивы, обеспечивает защиту их паролями.

§ Обеспечивает восстановление физически поврежденных архивов.

§ Имеет средства восстановления, позволяющие восстанавливать отсутствующие части многотомного архива.

§ Поддерживает UNICODE в именах файлов.

WinRAR имеет и другие дополнительные функции. Он способен создать архив в двух различных форматах: RAR и ZIP.

Рассмотрим преимущества каждого формата. Архив в формате ZIP, преимущество формата ZIP - его популярность. Например, большинство архивов в Internet - это архивы ZIP. Поэтому приложение к электронной почте лучше всего направлять в формате ZIP. Можно также направить самораспаковывающийся архив. Такой архив является немного большим, но может быть извлечен без внешних программ. Другое преимущество ZIP - скорость. Архив ZIP обычно создается быстрее, чем RAR. Архив в формате RAR, большинстве случаев обеспечивает значительно лучшее сжатие, чем ZIP. Кроме того, формат RAR обеспечивает поддержку многотомных архивов, имеет средства восстановления поврежденных файлов, архивирует файлы практически неограниченных размеров. Необходимо отметить, что при работе в файловой системе FAT32 архивы могу достигать только 4 гигабайт. Работа с большими размерами архива поддерживается только в файловой системе NTFS. [42].Программа архивации Microsoft Backup, позволяет защитить данные от случайной утери в случае, если в системе возникает сбой оборудования или носителя информации. С помощью Backup можно создать резервную копию данных на жестком диске, а затем создать архив на другом носителе данных. Носителем архива может быть логический диск или отдельное устройство (съемный диск). Программа архивации создает снимок состояния тома, представляющий собой точную копию содержимого диска на определенный момент времени, в том числе открытых файлов, используемых системой. Во время выполнения программы архивации пользователь может продолжать работать с ОС без риска потери данных.

Программа архивации предоставляет следующие возможности:

§ Архивация выбранных файлов и папок на случай сбоя жесткого диска или случайного удаления файлов (архивировать можно на жесткий диск или съемный диск и т.д.). Backup восстанавливает архивированные файлы и папки на жесткий диск.

§ Архивация данных состояния системы. Программа позволяет архивировать копии важных системных компонентов, таких как реестр, загрузочные файлы и база данных службы каталогов. Программа архивации позволяет восстанавливать копии важных системных компонентов, таких, как реестр, загрузочные файлы и база данных службы каталогов.

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

§ Эвристический модуль - для выявления неизвестных вирусов.

§ Монитор - программа, которая постоянно находится в оперативной памяти ПК

§ Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов

§ Почтовая программа (проверяет электронную почту)

§ Программа сканер - проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков

§ Сетевой экран - защита от хакерских атак

Антивирус Касперского состоит из следующих компонентов:

§ Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.

§ Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.

§ Веб-Антивирус - компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.

§ Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных. [35].

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Norton AntiVirus cостоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок. Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу. Автозащита выполняет следующие задачи:

-- Обнаруживает и защищает ПК от всех типов вирусов, включая макро-вирусы, вирусы загрузочных секторов, вирусы резидента памяти и троянских коней, червей и других вредоносных вирусов.

-- Защищает компьютер от вирусов, которые передаются через сеть Интернет, проверяя все файлы, которые загружаются из Интернета. [16].

Метод криптографии -- одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты. При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для расшифровки. Ключом называется число, используемое криптографическим алгоритмом для шифрования текста. В криптографии используется два метода шифрования - симметричное и асимметричное. При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей. Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку.

Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровкию Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись. [7]

Средства идентификации и аутентификации пользователей характеризуются следующим способом. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно_программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации -- процедура входа пользователя в систему. [15]. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов). Аудит - это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

* обеспечение подотчетности пользователей и администраторов;

* обеспечение возможности реконструкции последовательности событий;

* обнаружение попыток нарушений информационной безопасности;

* предоставление информации для выявления и анализа проблем.

Эффективное протоколирование предполагает регистрацию, как минимум, следующих событий:

вход в систему (успешный или нет);

выход из системы;

обращение к удаленной системе;

операции с файлами (открыть, закрыть, переименовать, удалить);

смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

* дата и время события;

* уникальный идентификатор пользователя - инициатора действия;

* тип события;

* результат действия (успех или неудача);

* источник запроса (например, имя терминала);

* имена затронутых объектов (например, открываемых или удаляемых файлов);

* описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

К программно-аппаратным средствам обеспечения информационной безопасности компьютерных сетях относятся:

· программно-аппаратные шифраторы сетевого трафика;

· методика Firewall, реализуемая на базе программно-аппаратных средств;

· программные средства анализа защищенности

· программные средства обнаружения атак

· защищенные сетевые ОС. [30].

· Программно-аппаратные шифраторы сетевого трафика. Аппаратное шифрование процесс шифрования, производимый при помощи специализированных вычислительных устройств. Комплекс шифратора состоит из трех программных и двух аппаратных модулей. К программным относятся "Сервер защиты данных" (ПО, устанавливаемое непосредственно на сервер корпоративной сети), "Консоль управления" (модуль, обеспечивающий удаленное управление системой с компьютера офицера безопасности) и "Тревога" (модуль для подачи тревожного сигнала, может быть инсталлирован на любых компьютерах локальной сети).

К аппаратному обеспечению относятся входящие в комплект токены (компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам ) или смарт-карты ( пластиковые карты со встроенной микросхемой) для хранения ключей шифрования и "красная кнопка" -- проводное или радиоустройство для мгновенной подачи тревожного сигнала.

Система реализует ставший сегодня весьма популярным принцип прозрачного шифрования. Это значит, что вся важная информация всегда находится на жестком диске только в закодированном виде. При обращении к ней данные расшифровываются специальным системным драйвером, после чего передаются пользователю уже в открытом виде. При попытке записи информации происходит обратный процесс и продукт "заточен" для корпоративного использования, а поэтому имеет некоторые важные особенности. Зашифрованный раздел винчестера воспринимается операционными системами как неразмеченное место. Поэтому никакими стандартными средствами навредить ему нельзя. [40].

Методика Firewall, реализуемая на базе программно-аппаратных средств. Сетевой экран (Firewall) -- это комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита сети или отдельных её узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Возможности firewall:

· Фильтрация доступа к заведомо незащищенным службам.

· Препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб.

· Контроль доступа к узлам сети.

· Может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети.

· Регламентирование порядка доступа к сети.

· Уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран. [23]. Программные средства анализа защищенности. Периодически возникает задача проверки, насколько реализованы или используемые механизмы защиты соответствует положениям принятой в организации политики безопасности. Контроль эффективности защиты осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации или нарушение нормального функционирования средств обработки и передачи информации. Средства анализа защищенности, так называемые сканеры безопасности, помогают определить факт наличия уязвимости на узлах корпоративной сети и своевременно устранить их (до того, как ими воспользуются злоумышленники). Средства анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при подготовке и осуществлении атак на корпоративные сети. Поиск уязвимостей основывается на использовании базы данных, которая содержит признаки известных уязвимостей сетевых сервисных программ и может обновляться путем добавления новых описаний уязвимостей. Сканирование начинается с получения предварительной информации о системе, например, о разрешенных протоколах и открытых портах, о версиях операционных систем и т.п., и может заканчиваться попытками имитации проникновения, используя широко известные атаки, например, «подбор пароля». [53].

Наиболее известные программные продукты, содержащие указанные функции.

· Nessus Security Scanner

· NetRecon 3.0+SU7

· Internet Scanner

· CyberCop Scanner

· HackerShield

· System Analyst Integrated Network Tool (SAINT)

· Retina

Программные средства обнаружения атак-программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

Обычно архитектура СОВ включает:

· сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы

· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров

· хранилище, обеспечивающее накопление первичных событий и результатов анализа

· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

· Выделяют активную и пассивную систему обнаружения атак. В пассивной системе при обнаружении нарушения безопасности информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система предотвращения вторжений. Система ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам - протоколам. В узком смысле сетевая ОС - это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети. Средства защиты информации встроены в NetWare на базовых уровнях операционной системы, а не являются надстройкой в виде какого-либо приложения. Поскольку NetWare использует на файл-сервере особую структуру файлов, то пользователи не могут получить доступ к сетевым файлам, даже если они получат физический доступ к файл-серверу. Операционные системы содержат механизмы защиты следующих уровней:

-защита информации о пользователе;

-защита паролем;

-защита каталогов;

-защита файлов;

-межсетевая защита.

С точки зрения защиты сетевых ОС не делает различия между операционными системами рабочих станций. Станции, работающие под управлением DOS, Windows, OS/2, Macintosh и UnixWare, обслуживаются совершенно одинаково, и все функции защиты применяются ко всем операционным системам, которые могут использоваться в сети. [34].

Глава 2. Защита информации в локальной сети БГУИР

2.1 Библиотека БГУИР как центр информационного обеспечения учебного процесса и научных исследований

программный вирус компьютерный файловый

Библиотека БГУИР образована в 1964 году и на сегодняшний день располагается в 4-х учебных корпусах. Библиотека БГУИР сегодня - это современный информационный центр с огромным количеством возможностей для студентов и преподавателей.

Основными задачами библиотеки университета являются:

1. Содействие в подготовке компетентных, конкурентоспособных специалистов и научных работников высшей квалификации.

2. Полное и оперативное библиотечно-библиографическое и информационное обслуживание профессорско-преподавательского состава, докторантов, аспирантов, магистров, студентов всех форм обучения, студентов филиала "Минский радиотехнический колледж", научных работников и сотрудников БГУИР.

3. Формирование единого библиотечного фонда и фонда информационных ресурсов библиотеки в соответствии с профилем университета и запросами пользователей.

4. Формирование информационной культуры пользователей, навыков поиска и рационального использования информационных ресурсов. Подготовка читателей к работе со справочно-поисковым аппаратом библиотеки.

5. Совершенствование информационно-библиотечных услуг, непрерывное улучшение их качества на основе традиционных и новых информационно-библиотечных технологий.

6. Организация, ведение и совершенствование справочно-поискового аппарата и баз данных библиотеки.

7. Проведение методической работы по вопросам библиотечно-библиографического и информационного обслуживания. 8. Продвижение репозитория БГУИР в целях повышения позиций университета в международном рейтинге университетов Webometrics.

В структуру библиотеки входят: Управление: директор библиотеки; зам. директора библиотеки по методической работе; зам. директора по инновационным технологиям Отдел комплектования: сектор учета библиотечного фонда; отдел каталогизации; отдел справочно-библиографической и информационной работы; кабинет нормативно-технической документации; отдел автоматизации библиотечных процесов; отдел электронных рерурсов.

Отдел обслуживания: сектор библиотечного маркетинга; абонемент (основной фонд); электронная библиотека (ЭБ); студенческий читальный зал № 1; читальный зал периодических изданий; читальный зал для научных работников.

Филиал библиотеки № 1: абонемент учебной литературы; информационно-образовательный центр электронных ресурсов и услуг; абонемент художественной литературы.

Библиотека филиала "Минский радиотехнический колледж".

К услугам читателей: 7 читальных залов - в том числе студенческий читальный зал, читальный зал для научных сотрудников, читальный зал периодических изданий, зал каталогов

§ 3 абонемента: 2-учебных и художественной литературы

§ Библиотеки кабинетов и кафедр

§ Справочно-библиографический аппарат

§ Традиционные и виртуальные выставки литературы

§ Электронный каталог книг и статей

§ Базы данных собственной генерации и приобретенные

§ Электронные учебно-методические комплексы дисциплин

§ WI-FI во всех залах библиотеки

§ Организована работа электронной доставки документов

§ Виртуальная справочная служба библиотеки «Спроси библиотекаря», он-лайн консультации.

2.2 Электронные ресурсы библиотеки БГУИР

Электронные ресурсы библиотеки БГУИР, представлены многочисленными базами данных, на русском и английском языках, собственной генерации и подписные. А также репозиторий БГУИР.

ЭБС «Университетская библиотека онлайн» - это электронная библиотека, обеспечивающая доступ к наиболее востребованным материалам учебной и научной литературы по всем отраслям знаний от ведущих российских издательств. Ресурс содержит учебники, учебные пособия, монографии, периодические издания, справочники, словари, энциклопедии, видео- и аудиоматериалы, иллюстрированные издания по искусству, литературу нон-фикшн, художественную литературу. Каталог изданий систематически пополняется новой актуальной литературой и в настоящее время содержит более 100 тысяч наименований.

EBSCO - ведущий поставщик электронных сервисов и баз данных на рынке информационных услуг, который представляет более 200 научных, технических и медицинских баз для различных групп пользователей. База данных EBSCO содержит более 30.000 полнотекстовых журналов, книг, брошюр, газет, справочников и аналитических обзоров на английском языке.

Справочно-правовая система КонсультантПлюс--содержит в себе Республиканские и региональные правовые акты, судебные акты, комментарии и многое другое. Легко получить необходимую информацию позволяет простой и удобный поиск, который является отличительной особенностью справочно-правовой системы. В «Консультант» предусмотрен поиск по реквизитам документа, а также готовые тематические подборки.

Информационно-поисковая система (ИПС) «Стандарт 3.0» Научно-производственного республиканского унитарного предприятия «Белорусский государственный институт стандартизации и сертификации» (БелГИСС). ИПС «Стандарт 3.0» -- База данных содержит сведения о нормативных документах по стандартизации, которые используются в производственно-технических, научно-исследовательских, управленческих и других областях.

Реферативный журнал ВИНИТИ - включает рефераты, аннотации и библиографические описания, составленные на научные документы из периодических и продолжающихся изданий, книг, трудов конференций, диссертационные работы, патентные и нормативные документы, депонированные научные работы.

Polpred.com Обзор СМИ. Архив важных публикаций собирается вручную. База данных с рубрикатором: 53 отрасли / 600 источников / 9 федеральных округов РФ / 235 стран и территорий / главные материалы / статьи и интервью 6000 первых лиц. Ежедневно тысяча новостей, полный текст на русском языке. Миллион лучших сюжетов информагентств и деловой прессы за 15 лет.

ЭБС Издательства "ЛАНЬ" - предоставляет доступ ко всему бесплатному контенту своего ресурса. Это online доступ к научным журналам и полнотекстовым коллекциям книг различных издательств.

В сети университета открыт тестовый доступ к информационным ресурсам издательства Springer. Издательство Springer на своей поисковой платформе SpringerLink предоставляет доступ к более чем 10 миллионам научных документов по различным областям знаний.Доступ к электронным книгам издательства «The Institute of Physics Publishing» (IOP Publishing) на платформе Physics World Discovery.

Пользователи ресурса имеют возможность получить достоверную информацию по актуальным вопросам в области физики, охватывающим как традиционные, так и новые научные направления. Авторами изданий данной коллекции являются ведущие специалисты научного физического сообщества.

Электронная библиотека Издательского дома «Гребенников» содержит свыше 30 периодических изданий по маркетингу, менеджменту, финансам и управлению. Электронная библиотека Grebennikon имеет удобный рубрикатор по 250 темам, подробные аннотации к статьям, обладает возможностью поиска статей по авторам, названию и ключевым словам.

BioOne -- полнотекстовая база данных, в которой представлены научные достижения в биологии, экологии и науках об окружающей среде. Включает около 160 названий журналов 123 издательств, более 85000 полнотекстовых статей. Глубина архивов для всех журналов 2 года. Для некоторых журналов имеются архивы с 2000 года. Язык текста - английский.

ЭБС «Айбукс» представлен широкий спектр современной учебной и научной литературы ведущих издательств России. ЭБС постоянно пополняется электронными версиями изданий, только что вышедших из печати. Большинство книг имеют грифы Министерства образования и науки Российской Федерации, учебно-методических объединений и научно-методических советов по различным областям знания: информатике и технике, естественным, гуманитарным, социальным наукам, экономике, образованию и педагогике, медицине.

The Excellence in Science Collection - наиболее популярная коллекция издательства Королевского общества Великобритании. В ресурсе представлены публикации десяти рецензируемых научных журналов.

Базы данных собственной генерации:

БД «Учебно-методическая литература БГУИР». Включает полные тексты методических пособий, изданных в РИО БГУИР и поступивших в фонд библиотеки. Тематика: универсальная. Ретроспектива: с 2003 г. Период обновления: постоянно. Язык: русский.

БД «Магистерские диссертации». Включает полные тексты магистерских диссертаций, поступивших в фонд библиотеки. Тематика: универсальная. Ретроспектива: с 2003 г

БД « Авторефераты магистерских диссертаций». Включает полные тексты магистерских диссертаций, поступивших в фонд библиотеки. Тематика: универсальная. Ретроспектива: с 2015 г

БД «Отчеты о научно-исследовательских работах (НИР)». Включает полные тексты отчетов о научно-исследовательских работах БГУИР, поступивших в фонд библиотеки. Тематика: универсальная. Ретроспектива: с 2005 г.

Библиографические базы данных:

ЭК "Книг и статей". Включает библиографические записи на отечественные книжные издания и иностранные документы, аналитическую роспись отечественных периодических изданий и базы данных собственной генерации.

БД «Труды преподавателей БГУИР». Тематика базы информационные технологии, радиоэлектроника, связь, телевидение, радиотехника, электроника, экономика. Записи на книги, брошюры и аналитическая роспись на статьи из отечественных и российских периодических изданий.

БД «Диссертации и авторефераты диссертаций». Включает библиографические записи на диссертации и авторефератов диссертаций, поступающих в фонд библиотеки. Ретроспектива: с 1970г. База данных включена в электронный каталог.

БД «ГОСТы». Библиографические записи на нормативно-технические документы, поступившие в фонд библиотеки. Источник данных - опубликованные документы. Язык - русский. Ретроспектива с 2002г.

БД «О Республике Беларусь». Тематика базы наука, культура, идеология, история, политика, высшее образование, БГУИР. Аналитическая роспись отечественных журналов. Источник данных опубликованные документы.

БД «Издания на иностранных языках». Включает библиографические записи на иностранные документы, поступающие в фонд библиотеки. Тематика: универсальная. Ретроспектива: с 1959 г. Количество документов: около 500.

БД «Экономика». Тематика - экономика производства, бухгалтерский учет, внешнеэкономическая и инвестиционная деятельность, маркетинг, менеджмент, налогообложение, финансовые системы, финансовая политика, реклама, управление и т.д. Аналитическая роспись отечественных и российских журналов

БД «Научно-техническая информация» включает библиографические записи на статьи из отечественных периодических изданий. Тематика: информатика, информационные технологии, радиоэлектроника, электроника, полупроводниковые приборы, антенны, метрология, математика, физика, электротехника, электроэнергетика, техника электросвязи, телевидение, телефония, организация производства, химическая технология, точная механика, автоматика. Ретроспектива: с 1992 г.

БД «Политология». Тематика базы государство, власть, политические партии, социология, наука, образование, культура, общество, идеология. Аналитическая роспись отечественных и российских журналов. Источник данных - опубликованные документы. Язык - русский. Ретроспектива с 1992г. Период обновления постоянно. Свободный доступ. Записей более 8100.

БД «Отчеты о научно-исследовательских работах (НИР)». Включает библиографические записи отчетов о научно-исследовательских работах, поступающих в фонд библиотеки. Тематика: универсальная Ретроспектива: с 1984 г.

БД «Библиотековедение и библиография». Тематика базы библиотечное дело, библиотековедение, библиография. Аналитическая роспись отечественных и российских журналов. Источник - опубликованные документы. Ретроспектива с 2006г.

...