- место действия (системная консоль, надежный узел сети и т.п.);

- время действия (большинство действий целесообразно разрешать только в рабочее время);

- внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт и т.п.).

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

Протоколирование и аудит

Протоколирование - сбор и накопление информации о событиях, происходящих в компьютерной информационной системе. Каждый сервис имеет свой набор возможных событий. Но в них выделяют: внешние - вызванные действиями других сервисов; внутренние - от действия самого сервиса; клиентские - от действия пользователей и администраторов.

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Главные цели реализации протоколирования и аудита: обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем.

Обеспечение подотчетности важно как средство сдерживания. Знание о фиксации всех действий, возможно, удержит пользователей и администраторов от незаконных операций. При наличии подозрений можно регистрировать действия какого-либо пользователя особенно детально, вплоть до каждого нажатия клавиши. Это обеспечивает и возможность расследования случаев нарушения режима безопасности и возврат всех изменений, т.е. целостность информации. Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе. Выявление и анализ проблем способствуют улучшению доступности как параметру безопасности. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Криптографические методы

Криптографические методы - одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Они занимают центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным рубежом.

Есть два основных метода шифрования: симметричный и асимметричный. При первом методе шифрования один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования, например, по стандарту ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

Принципиальный недостаток в том, что секретный ключ должен быть известен и отправителю, и получателю. Во-первых, это ставит новую проблему рассылки ключей. Во-вторых, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один (несекретный) используется для шифровки и может публиковаться вместе с адресом пользователя. Другой (секретный) применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA. Он основан на операциях с большими (100-значными) простыми числами и их произведениями.

Асимметричное шифрование реализует электронную цифровую подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения - открытое и дешифрованное его секретным ключом (дешифровка незашифрованного сообщения является формой шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить его с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенный недостаток асимметричных методов - низкое быстродействие (в 3-4 порядка медленнее симметричных). Поэтому на практике их сочетают. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети. Асимметричные методы требуют также гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.

Криптографические методы надежно контролируют целостность информации. Традиционное контрольное суммирование способно противостоять только случайным ошибкам. Криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, исключает все возможности незаметного изменения данных.

Сейчас распространяется разновидность симметричного шифрования на основе составных ключей. Идея в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у контролирующих органов появляются подозрения относительно лица, использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Сетевое экранирование

Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран контролирует все информационные потоки между двумя множествами систем.

В экране выделяют два механизма: один ограничивает перемещение данных, а второй, наоборот, способствует. В целом, экран или полупроницаемую оболочку представляют как последовательность фильтров. Каждый из них может задержать данные, а может и сразу «перебросить» их «на другую сторону». Допускается также передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю. Кроме разграничения доступа экраны протоколируют информационный обмен.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». Задача экранирования - в защите внутренней области от потенциально враждебной внешней. Так, межсетевые экраны защищают локальные сети организации, имеющей выход в открытую среду, подобную Internet. Еще пример экрана - устройство защиты порта. Оно контролирует доступ к коммуникационному порту компьютера, независимо от всех прочих системных защитных средств.

Экранирование поддерживает доступность сервисов внутренней области, уменьшая или ликвидируя нагрузку от внешней активности. Уязвимость внутренних сервисов безопасности уменьшается, поскольку вначале злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование также контролирует информационные потоки, направленные во внешнюю область, и поддерживает режим конфиденциальности.

Важное понятие в экранировании - зона риска. Это множество систем, которые станут доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Повышая надежность защиты, экран реализуют как совокупность элементов и «взлом» одного из них еще не открывает доступ ко всей внутренней сети. Экранирование использует идею многоуровневой защиты. Поэтому внутренняя сеть попадает в пределы зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование как сервис безопасности применяют не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

Антивирусная защита

Защита от вирусов является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите от вирусов должны осуществляться взаимосвязано с мероприятиями по защите от НСД и специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи. В общем случае, комплекс средств по защите от вирусов состоит из следующих подсистем:

1) блокирования внедрения;

2) контроля целостности;

3) обнаружения и удаления;

4) обеспечения гарантированности свойств системы компьютера;

5) регистрации.

Важное значение в борьбе с вредоносными компьютерными программами имеет использование антивирусных программ:

- программ-детекторов (сканеров), разновидность: детекторы-доктора;

- программ-ревизоров;

- программ-сторожей;

- программ-иммунизаторов (вакцин);

- интегрированных антивирусных пакетов.

Программы-детекторы

Эти программы ищут известные вирусы в файлах, системных областях дисков, в оперативной памяти. Поиск идет по определенным кодам, характерным для вирусов. У разных вирусов эти коды разные. Поэтому детектор обнаруживает вирусы по кодам, выявленным и заложенным в версию программы-детектора. Естественно, что программы-детекторы постоянно обновляются. Сейчас распространяются комбинированные детекторы-доктора, которые, обнаружив вирус, удаляют его. Недостаток - обнаружение только известных программе вирусов.

Типичные представители: DrWeb, AVP.

Программы-ревизоры

Вирусы в процессе своей деятельности производят на дисках изменения, например, увеличивается длина файла. Программа-ревизор при первом запуске просматривает диски и записывает в специальную таблицу сведения о состоянии дисков: количество и названия каталогов и файлов, даты их создания, размеры файлов и прочие данные. При следующих запусках ревизора состояние дисков проверяется и сравнивается с ранее записанной таблицей. При обнаружении изменений выдается сообщение. Изменения могут быть от пользователей или от работы вирусов. Если нет ясности, то нужно провести проверку программами-детекторами. После просмотра таблицу изменений можно обновить. Недостаток - выявляются проявления, не обязательно указывающие на работу вируса; не выявляется, какие файлы могут быть заражены.

Типичный представитель: Adinf.

Программы-сторожа.

Эти программы являются резидентными. После запуска они постоянно проверяют, не происходит ли в данный момент какое-либо действие, характерное для работы вирусов: попытки записи, удаления файлов, форматирования дисков и т.д. При их обнаружении сторож приостанавливает работу компьютера, выводит сообщение и запрос «разрешить выполнение данного действия, или запретить его». Если пользователь сам дал команду, он должен согласиться и работа продолжается. Иначе, пользователь выбирает команду «запретить» и предотвращает распространение вируса или разрушительные действия. Необходимо также прекратить работу и произвести проверку программами-детекторами. Сторожа очень замедляю работу и их используют в ответственных случаях, например, при проверке новых программ. Недостатки - замедление работы компьютера; частые запросы, снижающие эффективность работы пользователя; конфликты с другими программами

Представитель: Anti4us2.

Программы-иммунизаторы (вакцины)

Данный способ предохранения от заражения вирусами основан на том, что, подавляющее большинство вирусов перед заражением файла проверяют его. Если файл уже заражен данным вирусом, то повторное заражение не производится. Из-за ряда недостатков (быстрый рост количества новых вирусов, изменение файлов, излишнее засорение дисков и др.) данные программы сейчас практически не применяются.

Интегрированные антивирусные пакеты

Они все больше используются, сочетают в себе все достоинства и способы защиты от вирусов всех вышеназванных программ. Кроме того, обновление и пополнение антивирусных баз через Internet позволяет обнаруживать новые вирусы и эффективно бороться с ними.

Представители: AVP (Касперский), DrWeb, NOD32, McAffee Antivirus.

Общие положения организации антивирусной политики

Для обнаружения и лечения компьютерных вирусов используются лицензионные антивирусные средства. Их централизованная установка, получение обновлений антивирусных баз, для файл-серверов, почтовых серверов и рабочих станций пользователей осуществляется ответственным за безопасность информации.

Порядок проведения антивирусного контроля

Антивирусный контроль, обновление антивирусных баз на персональных компьютерах и серверах осуществляется в автоматическом режиме. Его периодичность определяется перечнем установленных антивирусных компонент и видом выполняемых работ. Кроме регулярного антивирусного контроля должен осуществляться внеочередной, дополнительный в следующих случаях:

- перед установкой на компьютер нового системного или прикладного программного обеспечения;

- работа с информацией на съемных носителях (дискеты, магнитные диски и ленты, CD-ROM, DVD и т. п.);

- получение информации (файлов любых форматов) по локальной вычислительной сети или по электронной почте;

- возникновение подозрения на вирусное заражение (неустойчиво работает компьютер, не запускаются программы и т.д.);

- получение предупреждения от антивирусной программы о наличии вируса на персональном компьютере или сервере и др.

При работе с сообщениями, приходящими по электронной почте, нужна особая осторожность. При получении подозрительного письма (с текстом не на русском языке, от незнакомого отправителя, или призывающее посетить незнакомый web-сайт, с вложенными командными файлами и т.п.) сообщение вместе с вложением, если таковое имеется, необходимо сразу же удалить. Необходимо очистить папку «Удаленные», затем сжать все папки. При получении любого другого сообщения с вложением необходимо вложение не открывать, а сохранить на жестком диске. Перед открытием сохраненного на жестком диске вложения необходимо проверить его антивирусной программой.

При обнаружении на компьютере вируса пользователь обязан:

- приостановить работу на компьютере;

- применить антивирусные средства;

- сообщить владельцу зараженных файлов, в другие подразделения, которые используют эти зараженные файлы, проинформировать руководителя подразделения безопасности информации;

- в случае затруднения с лечением или использованием антивирусных средств обратиться за помощью в сектор технической поддержки изготовителя антивирусных программ;

Ответственность за организацию и соблюдение антивирусной защиты возлагается на руководителя, администратора сервера. Сотрудники подразделений не имеют права изменять настройки антивирусных средств без участия ответственных специалистов.

Размещено на allbest.ru