РефератыИнформатикаАнАнализ антивирусных средств защиты

Анализ антивирусных средств защиты

ОГЛАВЛЕНИЕ


ВВЕДЕНИЕ. 4


1 АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ.. 5


1.1 Анализ нормативной законодательной базы.. 5


1.2 Методы защиты информации. 7


1.2.1 Классификация угроз информационной безопасности. 9


1.2.2 Классификация злоумышленников. 14


2 анализ антивирусных средств защиты.. 4


2.1Классификация компьютерных вирусов. 4


2.2Програмные средства борьбы с вирусами. 4


2.3Обобщенная структура сети ЭВМ.. 20


3 Оценка рисков информационных угроз безопасности.. 4


4 Совершенствование системы информационной безопасности организации.. 4


4.1Организационно-технические меры защиты от угроз безопасности сети. 4


4.2Профилактика заражения вирусами компьютерных систем. 4


4.3Политика руководства организации в области защиты информации. 4


4.4 Оценка рисков разработанной системы безопасности. 4


заключение. 4


Библиографический список.. 4


ВВЕДЕНИЕ


Вредительские программы и, прежде всего, вирусы представ­ляют очень серьезную опасность для информации в КС. Недо­оценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возмож­ностей КС и чрезмерное преувеличение опасности вирусов. Зна­ние механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие виру­сам, свести к минимуму вероятность заражения и потерь от их воздействия.


Термин «компьютерный вирус» был введен сравнительно не­давно - в середине 80-х годов. Малые размеры, способность бы­стро распространяться, размножаясь и внедряясь в объекты (зара­жая их), негативнее воздействие на систему - все эти признаки биологических вирусов присуши и вредительским программам, получившим по этой причине название «компьютерные вирусы» Вместе с термином «вирус» при работе с компьютерными виру­сами используются и другие медицинские термины: «заражение», «среда обитания», «профилактика» и др.


«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распро­странения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных , хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.


В рамках данного курсового проекта будетрассмотрен анализ антивирусных средств защиты.


1 АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ


1.1 Анализ нормативной законодательной базы


Законодательные меры по защите процессов переработки ин­формации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструк­ций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информа­ции, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.


Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.


Поскольку ИБ должна быть связующим звеном между полити­кой национальной безопасности и информационной политикой страны, то логично было бы проводить их по единым принци­пам, вьвделяя как общие положения и принадлежности для ин­формационной политики.


В Доктрине информационной безопасности Российской Фе­дерации раскрыто содержание следующих принципов, закреп­ленных в Федеральном законе «Об информации, информатиза­ции и защите информации» от 25.01.95 №
24-ФЗ:


1. законность (соблюдение Конституции РФ, законодательства Рос­сийской Федерации и норм международного права при осуществле­нии деятельности по обеспечению национальной безопасности);


2. соблюдение баланса жизненно важных интересов личности, общества игосударства (единство, взаимосвязь и
сбалансирован­ность всех видов безопасности, гибкое изменение их приоритет­ности в зависимости от ситуации);


3. недопустимость ограничения прав и свобод граждан, за исклю­чением случаев, прямо предусмотренных законом (уважение прав и свобод человека);


4. взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности;


5. приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал Рос­сии; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федера­тивным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федера­ции и органам местного самоуправления.


К основным задачам в сфере обеспечения ИБ РФ относятся:


1. формирование и реализация единой государственной полити­ки по обеспечению защиты национальных интересов от угроз винформационной сфере, реализации конституционных прав свобод граждан на информационную деятельность;


2. совершенствование законодательства Российской Федерация в сфере обеспечения ИБ;


3. определение полномочий органов государственной власти Рос­сийской Федерации, субъектов Российской Федерации и органош местного самоуправления в сфере обеспечения ИБ;


4. координация деятельности органов государственной власти па обеспечению ИБ;


5. создание условий для успешного развития негосударственного компонента в сфере обеспечения ИБ, осуществления эффектив­ного гражданского контроля за деятельностью органов Государ­ственной власти;


6. совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новый информационных тех­нологий и их широкое распространение, унификация средств поис­ка, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;


7. развитие стандартизации информационных систем на базе об­щепризнанных международных стандартов и их внедрение для всех видов информационных систем;


8. развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зару­бежными аналогами распространение на внутреннем рынке;


9. защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на пред­приятиях оборонного комплекса;


В Российской Федерации действуют девять государственных стандартов по защите информации: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ ,50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96.


1.2 Методы защиты информации


Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответ­ствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безо­пасности информации такая деятельность относится к организа­ционным методам защиты информации.


Организационные методы защиты информациивключают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности информации


Организационные методы зашиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерст­вах, ведомствах, на предприятиях (независимо от форм собствен­ности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Ру­ководители служб организуют создание и функционирование сис­тем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:


1) организация работ по разработке системы защиты инфор­мации;


2) ограничение доступа на объект и к ресурсам КС;


3) разграничение доступа к ресурсам КС;


4) планирование мероприятий;


5) разработка документации;


6) воспитание и обучение обслуживающего персонала ипользователей;


7) сертификация средств защиты информации;


8) лицензирование деятельности по защите информации;


9) аттестация объектов защиты;


10)совершенствование системы защиты информации;


11)оценка эффективности функционирования системы защи­ты информации;


12)контроль выполнения установленных правил работы в КС. Организационные методы являются стержнем комплексной


системы защиты иноформции в КС. Только с помощью этих ме­тодов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотре­нии парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изло­жении вопросов построения и организации функционирования комплексной системы защиты информации.


1.2.1 Классификация угроз информационной безопасности


С позиции обеспечения безопасности информации в КС такие системы целесообразно рассматривать в виде единства трех ком­понент, оказывающих взаимное влияние друг на друга:


♦ информация;


♦ технические и программные средства;


♦ обслуживающий персонал и пользователи.


В отношении приведенных компонент иногда используют и термин «информационные ресурсы», который в этом случае трак­туется значительно шире, чем в Федеральном законе РФ «Об ин­формации, информатизации и защите информации». Целью создания любой КС является удовлетворение потреб­ностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» в КС и выступает в виде центральной компоненты системы. Безопасность информации на уровне КС обеспечивают две другие компоненты системы. Причем эта задача должна решаться путем защиты от внешних и внутренних неразрешенных (несанкциони­рованных) воздействий. Особенности взаимодействия компонент заключаются в следующем. Внешние воздействия чаще всего ока­зывают несанкционированное влияние на информацию путем воздействия на другие компоненты системы. Следующей особен­ностью является возможность несанкционированных действий, вызываемых внутренними причинами, в отношении информации со стороны технических, программных средств, обслуживающего персонала и пользователей. В этом заключается основное проти­воречие взаимодействия этих компонент с информацией. Причем, обслуживающий персонал и пользователи могут сознательно осуществлять попытки несанкционированного воздействия на информацию. Таким образом, обеспечение безопасности информации в КС должно предусматривать защиту всех компонент от внешних и внутренних воздействий (угроз).


Под угрозой безопасности информации понимается потен­циально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциально­сти или доступности информации.


Все множество потенциальных угроз безопасности информа­ции в КС может быть разделено на два класса, которые представлены на рис. 1


Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.


Реализация угроз этого класса приводит к наибольшим поте­рям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостно­сти и доступности информации. Реже нарушается конфиденци­альность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. Этот вопрос актуален для любых КС, а тем более для сервера, на котором расположена информация, предназначенная для других конечных пользователей.



Рисунок 1 Угрозы безопасности в компьютерных системах


Стихийные бедствия и аварии чреваты наиболее разруши­тельными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.


Сбои и отказы сложных систем неизбежны. В результате сбо­ев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации.


Ошибки при разработке КС, алгоритмические и программ­ные ошибки приводят к последствиям, аналогичным последстви­ям сбоев и отказов технических средств. Кроме того, такие ошиб­ки могут быть использованы злоумышленниками для воздействия на ресурсы КС.


Второй класс угроз безопасности информации в КС составля­ют преднамеренно создаваемые угрозы.


В качестве источников нежелательного воздействия на ин­формационные ресурсы по-прежнему актуальны методы и сред­ства шпионажа и диверсий, которые использовались и исполь­зуются для добывания или уничтожения информации на объектах. Чаще всего они ис­пользуются для получения сведений о системе защиты с целью проникновения в КС, а также для хищения и уничтожения ин­формационных ресурсов. К методам шпионажа и диверсий относятся: подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов системы защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации, поджоги и т. д.


Термин «несанкционированный доступ к информации» (НСДИ) определен как доступ к информации, нарушающий пра­вила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.


Под правилами разграничения доступа понимается совокуп­ность положений, регламентирующих права доступа лиц или про­цессов (субъектов доступа) к единицам информации (объектам доступа).


Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обя­занностями. Процессы инициируются в КС в интересах опреде­ленных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.


Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигна­лов в линиях связи, сигнализации, заземлении и других проводни­ках. Они получили названия побочных электромагнитных излу­чений и наводок (ПЭМИН). С помощью специального оборудо­вания сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих уст­ройствах. Электромагнитные излучения используются злоумышленни­ками не только для получения информации, но и для ее уничто­жения. Электромагнитные импульсы способны уничтожить информацию на магнитных носителях.


Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, про­граммной и технической структур системы. Несанкциониро­ванная модификация структур может осуществляться на любом жизненном цикле КС. Несанкционированное изменение структу­ры КС на этапах разработки и модернизации получило название «закладка».


Одним из основных источников угроз безопасности информа­ции в КС является использование специальных программ, полу­чивших общее название «вредительские программы».


В зависимости от механизма действия вредительские про­граммы делятся на четыре класса:


♦ «логические бомбы»;


♦ «черви»;


♦ «троянские кони»;


♦ «компьютерные вирусы».


«Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и вы­полняемые только при соблюдении определенных условий.


«Червями» называются программы, которые выполняются ка­ждый раз при загрузке системы. Лавинообраз­ное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.


«Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские програм­мы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционирован­ные, измененные или какие-то новые функции.


«Компьютерные вирусы» - это небольшие программы, кото­рые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.


1.2.2 Классификация злоумышленников


Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отноше­нию к КС, web-сайту. Злоумышленником может быть:


♦ разработчик КС;


♦ сотрудник из числа обслуживающего персонала;


♦ пользователь;


♦ постороннее лицо.


Разработчик владеет наиболее полной информацией о про­граммных и аппаратных средствах КС и имеет возможность вне­дрения "закладок" на этапах создания и модернизации систем. Пользователь имеет общее представ­ление о структурах КС, о работе механизмов защиты информа­ции. Он может осуществлять сбор данных о системе защиты ин­формации методами традиционного шпионажа, а также предпри­нимать попытки несанкционированного доступа к информации. Постороннее лицо, не имеющее отношения к КС, находится в наименее выгодном положении по отношению к другим злоумышленникам. Если предположить, что он не имеет доступ на объект КС, то в его распоряжении имеются дистанционные ме­тоды традиционного шпионажа и возможность диверсионной дея­тельности. Он может осуществлять вредительские воздействия с использованием электромагнитных излучений и наводок, а также каналов связи, если КС является распределенной.


Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающиеэти сис­темы.
Причем, специалисты разных подразделений обладают различными потенциальными возможностями злоумышленных действий. Наибольший вред могут нанести* работники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.


На практике опасность злоумышленника зависит также от фи­нансовых, материально-технических возможностей и квалифика­ции злоумышленника.


2 анализ антивирусных средств защиты.


2.1
Классификация компьютерных вирусов


В настоящее время в мире насчитывается более 40 тысяч толь­ко зарегистрированных компьютерных вирусов. Так как подав­ляющее большинство современных вредительских программ об­ладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы последующим признакам :


1) по среде обитания;


2) по способу заражения;


3) по степени опасности деструктивных (вредительских)воздействий;


4) по алгоритму функционирования


По среде обитаниякомпьютерные вирусы делятся на:


1) сетевые;


2) файловые;


3) загрузочные;


4) комбинированные.


По способу заражения среды обитаниякомпьютерные виру­сы делятся на:


1) резидентные;


2) нерезидентные.


По степени опасности для информационных ресурсовполь­зователя компьютерные вирусы можно разделить на:


1) безвредные вирусы;


2) опасные вирусы;


3) очень опасные вирусы


В соответствии с особенностями алгоритма функциониро­ваниявирусы можно разделить на два класса:


1) вирусы, не изменяющие среду обитания (файлы и секто­ры) при распространении;


2) вирусы, изменяющие среду обитания при распростране­нии.


В свою очередь, вирусы, не изменяющие среду обитания,

могут быть разделены на две группы:


1) вирусы-«спутники» (companion);


2) вирусы-«черви» (worm).


По сложности, степени совершенства и особенностям маски­ровки алгоритмов вирусы, изменяющие среду обитания,

делятся на:


1) студенческие;


2) «стелес» - вирусы (вирусы-невидимки);


3) полиморфные.


2.2 Программные средства борьбы с вирусами


К настоящему Бремени разработана довольно широкая и пол­ная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).


Самыми популярными и эффективными антивирусными про­граммами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC скане­ры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повы­шает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.


Программы-фаги.
Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и си­стемной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вируеов используются маски или, как их еще называют, сищатуры-— некоторая посто­янная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. На­пример, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморф­ных вирусов.


Во многих полифагах используются алгоритмы эвристического сканирования, т. е. анализ последовательности команд в проверя­емом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.


К достоинствам сканеров относится их универсальность, к не­достаткам — низкая скорость сканирования, а также необходи­мость постоянного обновления антивирусных баз.


Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операцион­ная система гарантированно свободна от вируса, программа про­веряет дерево каталогов диска, логическое имя которого указыва­ется в виде параметра при запуске. При нахождении *.ехе или *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшает­ся на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.


Программы-ревизоры.
Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т.п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе дан­ных, не совпадает с реальными значениями, ревизоры сигнали­зируют о том, что файл был изменен или заражен вирусом.


Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их по­явления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры рас­познают наличие вируса в системе уже после его распростране­ния. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах дан­ных отсутствует информация об этих файлах. Периодически по­являются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остают­ся невидимыми.


Программы-мониторы.
Антивирусные мониторы — это резиден­тные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться рези­дентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.


К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К не­достаткам относятся существование путей обхода защиты мони­тора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том чи­сле встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в пор­ты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.


Программы-вакцины.
Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блоки­рующие заражение каким-либо типом вируса. Первые обычно за­писываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнару­жения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.


Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске заражен­ной программы, вирус распознает вакцину как свою резидент­скую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммуни­зировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного ви­руса вплоть до того момента, когда он будет детектироваться ан­тивирусными сканерами.


Антивирусные программные комплексы.
Всовременных условиях лишь они могут обеспечить надежную защиту от вирусных про­грамм, отличающихся большим разнообразием принципов пост­роения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, ска­нер, ревизор и планировщик.


Планировщик используется для координации работы разных компонентов антив

ирусного пакета и планирования антивирус­ных мероприятий в вычислительной системе.


Вакцина вследствие своей естественной ограниченности исполь­зования низкой универсальности в настоящее время практически не применяется.


2.
3 Обобщенная структура сети ЭВМ


Рассматривая использующиеся в настоящее время сети ЭВМ, можно выделить их обобщенную структуру (рис.2).


Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются между собой. Таким образом, через линии связи объе­диняются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значительные удаления.


Серверы локальной сети могут быть подключены к концентрато­ру сообщений, объединяющему потоки информации с нескольких локальных сетей и (или) изолированных абонентских пунктов. Объ­единенный концентратором сообщений информационный поток по­ступает на коммутационную машину (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в другие локальные сети, их объединения, кон­центраторы сообщений или изолированные абонентские пункты.








Абонентский Сервер Абонентский Абонентский Абонентский


пункт локальной пункт пункт пункт


сети


Коммутатор





Концентратор


сообщений


Абонентскийпункт












Сервер


Абонентский Сервер Абонентский Абонентский локальной


пункт локальной пункт пункт сети


сети Абонентски


пункт


Рисунок 2- Обобщенная структурк сети ЭВМ


Можно выделить следующие функционально законченные эле­менты сети:


локальные сегменты сети (с различной архитектурой). Их осо­бенностью является возможность использования удаленных ресур­сов файловых серверов или других рабочих станций, абонентских пунктов;


коммуникационные сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.


Как правило, рабочие станции не могут использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соеди­нений.


Для различных сегментов сети можно выделить следующие уг­розы безопасности информации:


перехват, искажение, навязывание информации со стороны фрагментов сети;


имитация посылки ложных сообщений на локальные фрагмен­ты сети;


имитация логического канала (удаленный доступ) к ресурсам локальных сегментов сети;


внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное воздействие на программ­ное обеспечение и информацию;


перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;


внедрение программных закладок в программное обеспечение рабочих станций или в общедоступные ресурсы (во внешней па­мяти файл-серверов) локальных сегментов сети.


По принципу действий программной закладки на компьютер­ную сеть можно выделить две основные группы.


1.Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программ­ного обеспечения. Закладки такого типа особенно опасны для або­нентских пунктов сети и рабочих станций локальных вычисли­тельных сетей. Они могут распространяться от одного абонентско­го пункта к другому с потоком передаваемых файлов или инфи­цировать программное обеспечение рабочей станции при исполь­зовании удаленных ресурсов (при запуске инфицированных про­грамм в оперативной памяти рабочей станции даже без экспортавыполняемого,модуля с файл-сервера).


2.В сетях могут функционировать специально написанные зак­ладки типа «троянркий конь» и «компьютерный червь». «Троян­ский конь» включается, и проявляет себя в определенных усло­виях (по времени, ключевым сообщениям и т.п.). «Троянскиекони» могут разрушать и (или) искажать информацию, копиро­вать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жест­ко функциональны и учитывают различные особенности и свой­ства программно-аппаратной среды, в которой работают. Инфор­мация для их работы доставляется закладками следующего типа — «компьютерный червь».


«Компьютерные черви» нацелены на проникновение в систе­мы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц уста­новления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.


Возможно создание закладок, объединяющих в себе черты и свойства как «троянских коней», так и «компьютерных червей».


Программные закладки представляют опасность как для або­нентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.


Возможны следующие пути проникновения (внедрения) про­граммных закладок в сеть:


заражение программного обеспечения абонентских пунктов ви­русами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных дей­ствий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);


умышленное внедрение в программное обеспечение абонент­ских пунктов закладок типа «компьютерных червей» путем их ас­социирования с выполняемыми модулями или программами на­чальной загрузки;


передача деструктивных программ и вирусов с пересылаемыми файлами на другой абонентский пункт и заражение его в резуль­тате пользования зараженными программами;


распространение вирусов внутри совокупности абонентских пун­ктов, объединенных в локальную сеть общего доступа;


внедрение в программное обеспечение абонентских пунктов ви­русов при запуске программ с удаленного терминала;


внедрение вирусов и закладок в пересылаемые файлы на ком­мутационной машине и (или) на сервере локальной сети.


Телекоммуникационные сети, как правило, имеют неоднород­ную операционную среду, поэтому передача вирусов по направ­лению абонентский пункт — коммутатор чрезвычайно затрудне­на: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информа­ция на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины. В этом случае заражение вирусами мо­жет наступать только при пользовании коммутационной маши­ной как обычной ЭВМ (для игр или выполнения нерегламенти­рованных работ). При этом возможны заражение коммуникацион­ного программного обеспечения и негативное влияние на целос­тность и достоверность передаваемых пакетов.


Исходя из перечисленных путей проникновения вирусов и воз­никновения угроз в сети можно детализировать вирусные угрозы.


Для абонентских пунктов:


искажение (разрушение) файлов и системных областей DOS;


уменьшение скорости работы, неадекватная реакция на коман­ды оператора и т.д.;


вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений;


блокирование принимаемых или передаваемых сообщений, их искажение;


имитация физических сбоев (потери линии) и т.д.;


имитация пользовательского интерфейса или приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);


накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;


копирование содержания оперативной памяти для выявления ключевых таблиц или фрагментов ценной информации;


искажение программ и данных в оперативной памяти абонен­тских пунктов.


Для серверов локальных сетей:


искажение проходящей через сервер информации (при обмене между абонентскими пунктами);


сохранение проходящей информации в скрытых областях внеш­ней памяти;


искажение или уничтожение собственной информации серве­ра (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;


внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.


Для коммутатора:


разрушение собственного программного обеспечения и вывод из строя коммутационного узла вместе со всеми присоединенны­ми абонентскими терминалами;


засылка пакетов не по адресу, потеря пакетов, неверная сбор­ка пакетов, подмена пакетов;


внедрение вирусов в (Коммутируемые пакеты; : контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются або­ненты.


3 Оценка рисков информационных угроз безопасности


Целью анализа является оценка рисков информационных угроз безо­пасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 2002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности на­несения ущерба и тяжести этого ущерба".


Вообще говоря, уязвимым является каждый компонент информационной системы – от сетевого кабеля, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки.


При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Эти особенности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера ущерба. Вероятность осуществления также оценивается по трехбалльной системе. Данный метод называется экспертной оценкой событий[4]. Риск для каждой угрозы оценивается путем умножения вероятности на ущерб.


В таблице 1 представлены возможные угрозы Web-серверу, данным подлежащим защите и организации в целом, а также вероятность их наступления и оценка причиненного ущерба в случае успешного осуществления атаки, несанкционированного доступа и т. д.


Таблица 1 Оценка рисков



















































































Наименование угрозы Вероятность наступления Ущерб от реализации Риск
1 Стихийные бедствия, аварии, пожары и пр. 1 3 3
2 Непреднамеренные ошибки пользователей 3 3 9
3 Перебои электропитания 3 2 6
4 НСД бывших и нынешних сотрудников 3 2 6
5 Кража оборудования 2 3 6
6 Отказ программ и аппаратного обеспечения 2 2 4
7 Вредоносное программное обеспечение 3 2 6
8 НСД сторонних лиц: хакеры, злоумышленники. 2 2 4
9 Фальсификация данных 2 3 6
10 Хищение информации и ее использование 2 3 6
11 Халатность пользователей 2 2 4
12 Нарушение авторского права 2 1 2
Сумма рисков: 62

На основе полученных данных можно выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.



Рисунок 4 Количество рисков по категориям


Как видно из диаграммы, организация остро нуждается в разработке и применении новой политики безопасности, которая позволит сократить риски.4 Совершенствование системы информацион­ной безопасности
сети


4.1
Организационно-технические меры защиты от угроз безопасности сети


Проанализировав возможные вирусные угрозы в сети и их по­следствия, можно предложить комплекс защитных мер, снижаю­щих вероятность проникновения и распространения деструктив­ных программ в сети, а также облегчающих локализацию и устра­нение негативных последствий их воздействия


Меры защиты нужно предусматривать как на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации.


Прежде всего на этапе разработки необходимо выявить в ис­ходных текстах программ те фрагменты или подпрограммы, ко­торые могут обеспечить доступ к данным по фиксированным па­ролям, беспарольный доступ понажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксирован­ными именами и реализацию тому подобных угроз. Наличие та­ких фрагментов фактически сведет на нет весь комплекс инфор­мационной безопасности сети, поскольку доступ через них воз­можен как человеком, так и программойи вирусом(закладкой).Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения. Для выявления подоб­ных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методи­кам; тестирование готового программного обеспечения в крити­ческих режимах эксплуатации (в период испытаний сети) с фик­сацией и устранением выявленных слабостей^и отклонений отнормальной работы.


Необходимо также обратить внимание на возможные конф­ликты прикладного программного обеспечения и средств защи­ты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиату­ры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.


Также на этапе разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке це­лостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.


На этапе штатной эксплуатации должны на регулярной основе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период повышения опас­ности информационного нападения, локализационно-восстано-вительные меры, применяемые в случае проникновения и обна­ружения закладок и причинения ими негативных последствий.


Сеть должна иметь общие средства и методы защиты. К ним относятся:


1.Ограничение физического доступа к абонентским термина­лам, серверам локальных сетей и коммутационному оборудова­нию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программ­ные средства ограничения доступа к ЭВМ.


2.
При активизации коммуникационного программного обес­печения контролируется его целостность и целостность областейDOS, BIOS и CMOS. Для такого контроля подсчитываются конт­рольные суммы и вычисляются хеш-функции, которые потом срав­ниваются с эталонными значениями для каждой ЭВМ.


3.Максимальное ограничение и контроль за передачей но сетиисполняемых файлов с расширениями типа *.ехе и *.com, *.sys и*.bin. При этом снижается вероятность распространения по сетифайловых вирусов, вирусов типа Driver и загрузочно-файловыхвирусов.


4.Организация выборочного и внезапного контроля работы опе­раторов для выявления фактов использования нерегламентиро-ванного программного обеспечения.


5.Сохранение архивных копий применяемого программногообеспечения на защищенных от записи магнитных носителях (дис­кетах), учет и надежное хранение архивных копий.


6.Немедленное уничтожение ценной и ограниченной для рас­пространения информации сразу по истечении потребности в ней(при снижении ее актуальности).


7.Периодическая оптимизация и дефрагментирование внешнихносителей (винчестеров) для выявления сбойных или псевдосбой­ных кластеров и затирания фрагментов конфиденциальной ин­формации при помощи средств типа SPEED DISK.


Проблема защиты от воздействий закладок имеет много обще­го с проблемой выявления и дезактивации компьютерных виру­сов. Она разрабйтана и изучена достаточно подробно . Методы борьбы с закладками сводятся к следующим.


4.2
Профилактика заражения вирусами компьютерных систем


Чтобы обезопасить ЭВМ от воздействия вирусов, пользова­тель, прежде всего, должен иметь представление о механизме действия вирусов, чтобы адекватно оценивать возможность и по­следствия заражения КС. Главным же условием безопасной рабо­ты в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.


Правило первое.
Использование программных продуктов, по­лученных законным официальным путем.


Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.


Правило второе.
Дублирование информации.


Прежде всего, необходимо сохранять дистрибутивные носите­ли программного обеспечения. При этом запись на носители, до­пускающие выполнение этой операции, должна быть, по возмож­ности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать ко­пии рабочих файлов на съемных машинных носителях информа­ции с защитой от записи. Если создается копия на несъемном но­сителе, то желательно ее создавать на других ВЗУ или ЭВМ. Копируется либо весь файл, либо только вносимые изменения. По­следний вариант применим, например, при работе с базами дан­ных.


Правило третье.
Регулярно использовать антивирусные средства. Перед началом работы целесообразно выполнять про­граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти­вирусные средства должны регулярно обновляться.


Правило четвертое.
Особую осторожность следует прояв­лять при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть прове­рены на отсутствие загрузочных и файловых вирусов, а получен­ные файлы — на наличие файловых вирусов. Проверка осуществ­ляется программами-сканерами и программами, осуществляющи­ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидент­ные сторожа. При работе с полученными документами и таблица­ми целесообразно запретить выполнение макрокоманд средства­ми, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.


Правило пятое.
При работе в распределенных системах или в системах коллективного пользования целесообразно новые смен­ные носители информации и вводимые в систему файлы прове­рять на специально выделенных для этой цели ЭВМ. Целесооб­разно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только пооле всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.


Правило шестое.
Если не предполагается осуществлять за­пись информации на носитель, то необходимо заблокировать вы­полнение этой операции. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.


Постоянное следование всем приведенным рекомендациям по­зволяет значительно уменьшить вероятность заражения про­граммными вирусами и защищает пользователя от безвозвратных потерь информации.


В особо ответственных системах для борьбы с вирусами необ­ходимо использовать аппаратно-программные средства (напри­мер, Sheriff).


4.3 Политика руководства организации в области защиты информации


Под политикой руководства организации понимается комплекс административных мер, направленных на снижение риска информационных угроз: разработка нормативно-правовых документов, проведение специализированных мероприятий, обучение персонала.


В качестве нормативно-правовых документов выступают: договор между руководством организации и сотрудником о со­хранении конфиденциальной информации, инструкция по обеспечению безопасности, документы, регламентирующие порядок допуска к сведениям, составляющим конфиденциальную информацию, обязанности сотрудников по обеспечению сохранности конфиденциальной информации.


Введение в делопроизводство данных документов, а также регулярное проведение специализированных мероприятий, направленных на сохранность информации позволит значительно снизить или даже предотвратить возможные угрозы.


4.4 Оценка рисков разработанной системы безопасности


После внедрения мер организующих комплексную защиту, конфиденциальной информации и всей информационной системы в целом, необходимо провести повторную оценку рисков. Известно, что перечень угроз останется тем же, а вот вероятность свершения некоторых из них снизится за счет применения тех или иных методов. Стоит отметить, что ущерб по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеописанные сведения для информационной среды предприятия после принятия мер по ее защите.


Таблица 2 Повторная оценка рисков



















































































Наименование угрозы Вероятность наступления Ущерб от реализации Риск
1 Стихийные бедствия, аварии, пожары и пр. 1 2 2
2 Непреднамеренные ошибки пользователей 1 3 3
3 Перебои электропитания 1 2 2
4 НСД бывших и нынешних сотрудников 1 2 2
5 Кража оборудования 1 2 2
6 Отказ программ и аппаратного обеспечения 1 2 2
7 Вредоносное программное обеспечение 2 2 4
8 НСД сторонних лиц: хакеры, злоумышленники. 1 2 2
9 Фальсификация данных 1 3 3
10 Хищение информации и ее использование 1 3 3
11 Халатность пользователей 1 2 2
12 Нарушение авторского права 1 1 1
Сумма рисков: 28

Известно, что принятие мер в ряде случаев все равно не даст стопроцентной гарантии защищенности, поэтому вероятность некоторых событий сведена к минимуму, а не исключена полностью. Уменьшение ущерба от реализации угрозы в рассматриваемом случае в большей части зависит от принятых мер по резервированию информации. Однако данный факт не имеет свое отражение в таблице, это связано с тем, что по данной методологии оценки рисков принята слишком узкая трехбалльная система, по которой на отдельный показатель существенным образом может повлиять только совокупность мер минимизации ущерба. На рисунке 6 представлена диаграмма количества рисков после принятия разработанной политики безопасности.



Рисунок 6 Количество рисков по категориям с разработанной политикой безопасности


Как видно из рисунка, риски с высокой вероятностью наступления в большей части переведены в категорию угроз с низкой вероятностью, что является приемлемым результатом. Минимизация ущерба от угроз с любой вероятностью риска может быть достигнута при использовании резервного сервера, на данном этапе деятельности предприятия это пока ненужно.


заключение


В результате анализа ранее существовавшей на предприятии информационной системы, с включенным в нее Web-сервером, были выявлены значительные недостатки ее защищенности. На основании этих данных было принято решение о разработке комплексной системы безопасности, направленной на снижение вероятности наиболее значимых и распространенных угроз.


В итоге была предложена качественно новая система безопасности, позволяющая защитить Web-ресурсы предприятия, локальную сеть, весь электронный документооборот, циркулирующий как во внешней, так и во внутренней сети. Стоит отметить, что произведенная работа позволила сократить риски на 45% от ранее существовавших. На рисунке 7 приведена диаграмма, показывающая уменьшение рисков.


н% от ранее существовавших.работа позволила сократить риски на й документооборот, циркулирующий как во внешней, так и собственн


Рисунок 7 Сокращение рисков информационной системы


Библиографический список


1. А.И. Куприянов, А.В. Сахаров, В.А.Шевцов Основы защиты информации.- М. : Издательский центр «Академия»,2007.-256с.


2. Ю.Н Сычев. Защита информации - М. Московский международный институт эконометрики, информатики, финансов и права. 2002. – 221 с.


3. В. И. Завгородний Комплексная защита информации в компьютерных системах: Учебное пособие – М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.- 264с.



4. В.П. Мельников, С.А. Клейменов, А.М. Петраков Информационная безопасность.- М.: Издательский центр «Академия», 2007.- 336с.


5. О.Ю. Гаценко. Защита информации. СПб.: Издательский дом «Сентябрь», 2001.-228с.

Сохранить в соц. сетях:
Обсуждение:
comments powered by Disqus

Название реферата: Анализ антивирусных средств защиты

Слов:6046
Символов:56080
Размер:109.53 Кб.