В любом обществе циркулируют потоки информации разной степени секретности: государственная тайна, ведомственная тайна, служебная тайна, коммерческая тайна, личная тайна и информация, предназначенная для общего пользования. Все виды информации в той или иной степени обрабатываются на ПЭВМ. Следовательно, ПЭВМ может стать источником утечки информации из организации, предприятия.
Каналами утечки информации являются:
• несанкционированный просмотр (фотографирование) информации на дисплее, принтере, графопостроителе;
• хищение результатов регистрации информации;
• хищение съемных машинных носителей информации;
• электромагнитные излучения;
• акустические излучения;
• радиозакладки, устанавливаемые для получения обрабатываемой на ПЭВМ информации и настраиваемые на определенные излучения;
• наводки в сети питания, контуре заземления, каналах связи, системе охранной и пожарной сигнализации, в системах тепло-, водо- и газоснабжения.
Многообразие каналов утечки информации требует очень внимательного подхода к решению задачи по защите информации в компьютерных сетях.
Безопасность работы в сети Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят социальные и формальные меры защиты.
Социальные меры требуют целенаправленной деятельности людей на основе государственных, ведомственных и внутрифирменных законов, положений, нормативных актов, уставов, инструкций и др.
К социальным мерам защиты относятся законодательные, административные, финансовые и морально-этические меры. Законодательные меры защиты используют пять общепринятых юридических понятий защиты информации: патент, авторское право, товарный знак, знак обслуживания и коммерческая тайна.
Административные меры защиты включают организацию службы безопасности фирмы, пропускного режима, работы с документами и сотрудниками фирмы. При организации обработки закрытой информации на ПЭВМ целесообразно выполнение следующих мероприятий:
• сокращение до минимума числа ПЭВМ, обрабатывающих закрытую информацию;
• выделение специальных ПЭВМ для выхода в компьютерные сети;
• применение жидкокристаллических и газопламенных дисплеев, имеющих низкий уровень электромагнитных излучений, и безударных принтеров;
• установка клавиатур и ударных принтеров на мягкие прокладки;
• организация электропитания от отдельного блока;
• размещение ПЭВМ на расстоянии не менее трех метров от средств и линий связи, радио- и телевизионной аппаратуры, охранной и пожарной сигнализации, водопроводных, отопительных и газовых труб.
К финансовым методам защиты относятся:
• благоприятная финансовая политика государства в сфере защиты информации;
• льготное налогообложение фирм, разрабатывающих и поставляющих средства защиты информации;
• страховая защита информации.
Морально-этические меры защиты делятся на две группы:
• регламентированные: предписания, инструкции, правила поведения сотрудников по отношению к коммерческой тайне фирмы, несоблюдение которых влечет применение внутрифирменных административных взысканий к сотрудникам;
• формальные методы и средства выполняют свои функции по определенным правилам без непосредственного участия людей. Формальные меры включают физические, технические, аппаратные и программные способы.
Физические средства защиты включают:
• строительные конструкции и механические устройства, препятствующие проникновению нежелательных лиц в закрытые зоны фирмы и хищению документов и устройств;
• средства против подслушивания и подсматривания; средства перекрытия побочных технических каналов утечки информации.
К техническим средствам защиты относятся различные электромеханические, электрические, электронные и оптические системы наблюдения, охранной и пожарной сигнализации, системы обнаружения средств разведки конкурентов, средства защиты документов и изделий при их транспортировке.
Аппаратные средства защиты встраиваются в блоки ПЭВМ или выполняются в виде отдельных устройств, сопрягаемых с ПЭВМ. Аппаратные средства могут решать следующие задачи:
• запрет несанкционированного доступа к ресурсам ПЭВМ;
• защиту от компьютерных вирусов;
• защиту информации при аварийном отключении электропитания.
Борьба с вирусами в сети Компьютерный вирус - это небольшая программа, которая может сама себя дописывать к другим программам («заражать» их). При запуске зараженной программы вирус начинает действовать, причем эти действия могут быть весьма разнообразными. Есть вирусы, которые портят программы на диске, меняя местами их куски. Другие вирусы портят файлы операционной системы, после чего она престает загружаться.
Раньше считалось, что вирусы могут приписываться только к исполнимым (СОМ, ЕХЕ) файлам, но появились вирусы, переносимые даже БОС-файлами.
По способу активации вирусы подразделяют на резидентные и нерезидентные. Резидентные вирусы при заражении оставляют в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения - файлам, загрузочным секторам и т. п., и внедряются в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.
По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные и очень опасные.
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты.
Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию или к неправильной печати документа.
Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.
По особенностям алгоритмов различают вирусы: спутники, черви, или репликаторы, паразитические, невидимки или стелс-вирусы, призраки или мутанты.
Вирусы-спутники файлы не изменяют, а для выполнимых программ создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров и создают там свои копии.
Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются.
Стелс-вирусы (название происходит от STEALTH - названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют не-зараженные участки диска, затрудняя тем самым их обнаружение.
Вирусы-призраки представляют собой трудно обнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).
Антивирусными называются программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов. Различают следующие разновидности антивирусных программ: фильтры или сторожа, детекторы; доктора, полифаги; ревизоры; иммуни-заторы или вакцины.
Фильтр представляет собой резидентную программу, которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся следующие: изменение файлов выполняемых программ; размещение резидентной программы; прямая запись на диск по абсолютному адресу; запись в загрузочные секторы диска; форматирование диска.
Достоинством программ-фильтров является постоянное отслеживание ими опасных действий, повышающее вероятность обнаружения вирусов на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов на выполнение подозрительных операций.
Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может восстанавливаться или не восстанавливаться. Программы-доктора, позволяющие отыскивать и обезвреживать большое число вирусов, называют полифагами. К их числу принадлежат получившие широкое распространение программы Aidstest, Doctor Web и Norton Antivirus.
Ревизор представляет собой программу, запоминающую исходное состояние программ, каталогов и системных областей и периодически сравнивающую текущее состояние с исходным. Сравнение может выполняться по ряду параметров, таких как длина и контрольная сумма файла, дата и время изменения и т. п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы и вносимые вирусами изменения в программы. К числу ревизоров относится хорошо известная программа ADinf.
Иммунизаторы представляют собой программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и, в то же время, вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.
Среди широкого множества антивирусных программ у отечественного пользователя наибольшую популярность приобрели программы-полифаги Aidstest и Doctor Web, входящие в состав комплекта АО «Диалог-Наука». Причем, предпочтение, в большей степени, отдается программе Doctor Web, позволяющей обнаруживать и обезвреживать вирусы-мутанты, с которыми Aidstest справиться не в состоянии. Однако названные программы работают на разных наборах вирусов и дублирования проверки не происходит, поэтому для надежности целесообразно использовать их совместно. В состав комплекта АО «Диалог-Наука» входят также ревизор диска ADinf и лечащий блок ADinf Cure Module.
Определенным недостатком применения программ Aidstest и Doctor Web является необходимость их принудительного запуска для проведения антивирусной проверки дисков и оперативной памяти компьютера. В этом смысле большие гарантии и удобства предоставляет использование программы-полифага Norton Antivirus, которая может быть установлена резидентно. По своим возможностям обнаружения вирусов она сопоставима с программой Doctor Web. Определенными накладными расходами резидентной установки программы Norton Antivirus является естественное замедление в работе компьютера.
Программа Doctor Web предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.
Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.
Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы Doctor Web включают в меню пользователя оболочки Norton Commander или в командный файл.
Программой отслеживаются вирусоподобные изменения и выдаются предупреждающие сообщения. Кроме того, отслеживаются создание и удаление каталогов, создание, удаление и перемещение файлов, появление сбойных кластеров, сохранность загрузочных секторов и др. Программа обеспечивает высокую скорость проверки дисков и возможность обнаружения маскирующихся стелс-вирусов на основе использования прямого обращения к секторам дисков с помощью BIOS, минуя DOS.
Программа Norton Antivirus фирмы Semantec предназначена для выполнения антивирусной проверки и обезвреживания вирусов при работе в среде Windows. Программа имеет удобный интерфейс, способна обнаруживать и уничтожать свыше 12 тысяч вирусов. Пользователь может устанавливать разнообразные настройки программы, например, задание периодической еженедельной проверки компьютера, режим автоматической проверки, указание перечня контролируемых объектов и др. В случае полной установки Norton Antivirus компьютер защищен от проникновения вирусов через жесткие и гибкие диски, через локальную сеть или Internet.
С помощью Norton Antivirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.
Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вируса информация о нем (сигнатура) заносится в файлы описания вирусов. Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.
Во время проверки дисков и файлов (в ручном или запланированном режиме) Norton Antivirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то Norton Antivirus можег устранить заражение автоматически.
Борьбу с вирусами Norton Antivirus ведет следующим образом.
Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита). Преграждает вирусам путь в систему (автозащита и вакцинация). Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика). Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется ком пьютер, можно усилить или ослабить меры защиты путем настройки различных параметров Norton Antivirus.
Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.
Norton Antivirus выдает сигналы тревоги при обнаружении: известного или неизвестного вируса; вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов); изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).
Norton Antivirus может исправить большинство зараженных файлов. Однако, если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.
Существует два способа уничтожения вирусов:
• исправление зараженного файла, загрузочной записи или главной загрузочной записи;
• удаление зараженного файла с диска и последующая замена его незараженной копией.
При проверке программных файлов Norton Antivirus просматривает также документы и шаблоны Microsoft Word и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.
Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят социальные и формальные меры защиты.
Формальные методы и средства выполняют свои функции по определенным правилам без непосредственного участия людей. Формальные меры включают физические, технические, аппаратные и программные способы, а также программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов.
⇐Компьютерные сети | Информационные технологии управления | Информационные процессы в управлении организацией⇒