Обеспечение безопасности обработки и хранения информации в вычислительных системах

Технология салями - названа  так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что  они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.

Захватчик паролей — это  программы, специально предназначенные  для воровства паролей. При попытке  обращения пользователя к терминалу  системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей — необходимое условие надежной защиты.

Таким образом, можно подытожить: во всех видах опасностей виновником и главным действующим лицом  является сам человек, а компьютер  – лишь жертвой или средством  преступления.

В результате решения проблем  безопасности информации современные  компьютерные системы должны обладать следующими основными признаками:

• наличием информации различной степени конфиденциальности;

• обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;

• иерархичностью полномочий субъектов доступа к программам к компонентам ИС и информационных технологий (к файлам-серверам, каналам связи и т.п.); .

• обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;

• обязательным обеспечением целостности программного обеспечения и информации в информационных технологиях;

• наличием средств восстановления системы защиты информации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техники и магнитных носителей;

• наличием специальной службы информационной безопасности системы.

Некоторые технологии по защите системы и обеспечению учета  всех событий могут быть встроены в сам компьютер. Другие могут  быть встроены в программы. Некоторые  же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих  руководящих документах.

Принятие решения о  выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности.

Что касается моей темы, что  стоит сказать, что основными  методами и средствами защиты именно хранимых в компьютерных системах данных являются средства операционной системы  и встроенных приложений, аудит, а  также средства программно-аппаратного  комплекса. О них будет рассказано далее.

Методы и  средства защиты информации.

Для обеспечения безопасного  хранения информации в компьютерных системах создаются системы информационной безопасности (СИБ), которые основывается на следующих принципах.

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы.

Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более  актуален для СИБ. Способы реализации угроз информации в информационных технологиях непрерывно совершенствуются, а потому обеспечение безопасности информационной системы не может  быть одноразовым актом. Это непрерывный  процесс, заключающийся в обосновании  и реализации наиболее рациональных методов, способов и путей совершенствования  СИБ, непрерывном контроле, выявлении  ее узких и слабых мест, потенциальных  каналов утечки информации и новых  способов несанкционированного доступа.

Разделение и минимизация  полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам информационной системы, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации  попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации без ее предварительной регистрации.

Обеспечение надежности системы  защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств  борьбы с вредоносными программами. Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

Вирус-фильтром (сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя подтверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:

- обновление программных файлов;

- прямая запись на диск (по физическому адресу);

- форматирование диска;

- резидентное размещение программы в ОЗУ.

Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.

Детекторы делятся на универсальные (ревизоры) и специализированные. Универсальные  детекторы проверяют целостность  файлов путем подсчета контрольной  суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может  быть определен в самом начале его эксплуатации.

Специализированные детекторы  настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных  вирусов, то его называют полидетектором. Работа специализированного детектора  основывается на поиске строки кода, принадлежащей  тому или иному вирусу, возможно заданной регулярным выражением. Такой  детектор не способен обнаружить все  возможные вирусы.

Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса, как с восстановлением, так и без восстановления среды  обитания. Ряд вирусов искажает среду  обитания таким образом, что ее исходное состояние не может быть восстановлено.

Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы Диалог.

Иммунизатором (вакциной) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению. Такие программы в настоящее время практически не используются.

Методы защиты от компьютерных вирусов.

При защите от компьютерных вирусов как никогда важна  комплексность проводимых мероприятий  как организационного, так и технического характера. На переднем ее крае “обороны” целесообразно разместить средства защиты данных от разрушения, за ними – средства обнаружения вирусов и, наконец, средства нейтрализации вирусов.

Средства защиты данных от возможной потери и разрушения должны использоваться всегда и регулярно. Дополнительно к этому следует  придерживаться следующих рекомендаций организационного характера, чтобы  избавиться от заражения вирусами:

- гибкие диски использовать всегда, когда это возможно, с заклеенной прорезью защиты от записи, без крайней необходимости не пользоваться неизвестными дискетами;

- не передавать свои дискеты другим лицам;

- не запускать на выполнение программы, назначение которых не понятно;

- использовать только лицензионные программные продукты;

- ограничить доступ к ПК посторонних лиц.

При необходимости использования  программного продукта, полученного  из неизвестного источника, рекомендуется:

- протестировать программный продукт специализированными детекторами на предмет наличия известных вирусов. Нежелательно размещать детекторы на жестком диске – для этого нужно использовать защищенную от записи дискету.

- осуществить резервирование файлов нового программного продукта;

- провести резервирование тех своих файлов, наличие которых требуется для работы нового программного обеспечения;

- организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его сообщения.

Защита от компьютерных вирусов  должна стать частью комплекса мер  по защите информации как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.

Помимо перечисленных  выше методов и средств, обеспечивающих наиболее безопасное хранение данных в системе, используют также программно-аппаратные средства, средства операционной системы  и прочее.

Аппаратные средства —  устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу. В данном случае защиту хранимых данных обеспечивают устройства ввода, идентифицирующей пользователя информации, и устройства шифрования информации.

Программные средства —  это специальные программы и программные комплексы, предназначенные для защиты информации в информационных системах. Многие из них слиты с программным обеспечением самой компьютерной системы. Это программы идентификации и аутентификации пользователей компьютерной системы и программы разграничения доступа пользователе к ресурсам системы.

Средства идентификации и аутентификации пользователей – так называемый "Комплекс 3А" включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?" - являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Данные средства основываются на использовании криптографии —  это наука об обеспечении секретности  и/или аутентичности (подлинности) передаваемых сообщений.

Механизмы шифрования —  криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным. Рассмотрим данный механизм подробней, потому что, на мой взгляд, он является одним из важнейших в обеспечении безопасности данных.

Шифрованием называется некоторое обратимое однозначное преобразование данных, делающее их непонятными для неавторизованных лиц. Шифрование насчитывает тысячелетнюю историю, во всяком случае, имеются сведенья, что к шифрованию донесений прибегали еще древнегреческие полководцы. Специалисты считают, что шифрование является одним из самых надежных средств обеспечения безопасности данных. В самом деле, охота за данными в компьютерных системах во многом обусловлена тем, что слишком многие люди, не имевшие сколь-нибудь специального образования, способны разобраться, как использовать эти данные в своих личных интересах. Hо(!) все это имеет смысл лишь при условии, что сами данные представлены в понятном виде, например в виде строк текста на некотором естественном языке. Однако стоит произвести несложную манипуляцию - провести однозначную замену одних символов (допустим, букв) на другие символы (допустим цифры в сочетании со специальными символами) и чтение той же строки текста будет весьма серьезно затруднено. Метод защиты информации шифрованием подразумевает обязательное выполнение следующих требований. Никто, кроме хозяина данных и лиц, которым разрешен доступ к этим данным, не должен знать, во-первых, самого алгоритма преобразования данных а, во-вторых, управляющих данных для такого алгоритма - так называемых ключей. Доступ к зашифрованным данным обязательно включает этап расшифровки данных - т.е. выполнения обратного преобразования данных из непонятного в понятное представление. Шифрование делает почти бессмысленным просто доступ к данным: ведь, не зная ключа, захватчик может годами биться над украденной абракадаброй, и так и не понять смысла данных. Кроме того, шифрование имеет еще одно немаловажное в смысле безопасности свойство. Расшифровка возможна только в том случае, когда зашифрованные данные не были искажены. Искажение зашифрованных данных в силу однозначности преобразования неминуемо повлечет искажение данных, получаемых в результате расшифровки. Таким образом, если захватчик как-либо исказил (модифицировал) зашифрованные данные, то факт нарушения безопасности будет выявлен при первой же попытке расшифровки, поскольку в расшифрованных данных появятся искаженные участки. Это свойство особенно полезно для предотвращения искажений программ. Код программы шифруется с тем, чтобы быть расшифрованным только на время выполнения программы. Если в промежутке между выполнениями программы ее зашифрованный код исказить, то после расшифровки программа в большинстве случаев работать не будет. Хотя и есть некоторая вероятность случайного искажения зашифрованного кода таким образом, что программ все же будет работать, однако вероятность эта очень мала. Еще меньше вероятность успешного выполнения целенаправленного изменения зашифрованного кода программы, например, с целью вставить в нее одну из ловушек. В идеале данные в расшифрованном виде должны существовать только во время их законной обработки владельцем и быть зашифрованными во всех других случаях - при хранении, пересылке по линиям связи и т.д. Однако такое тотальное шифрование существенно снижает эффективность системы, так как и значительные ресурсы отвлекаются на выполнение операций шифрования/расшифрования. Приемлемый вариант обычно достигается путем определения для такого способа защиты ограниченного количества данных, требующих наиболее высокого уровня защиты.