Учебная работа. Реферат: Анализ антивирусных средств защиты

Учебная работа. Реферат: Анализ антивирусных средств защиты

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ. 4

1 анализ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ.. 5

1.1 Анализ нормативной законодательной базы.. 5

1.2 способы защиты инфы. 7

1.2.1 Систематизация угроз информационной сохранности. 9

1.2.2 систематизация злоумышленников. 14

2 анализ антивирусных средств защиты.. 4

2.1систематизация компьютерных вирусов. 4

2.2Програмные средства борьбы с вирусами. 4

2.3Обобщенная структура сети ЭВМ .. 20

3 Оценка рисков информационных угроз сохранности.. 4

4 Улучшение системы информационной сохранности организации.. 4

4.1Организационно-технические меры защиты от угроз сохранности сети. 4

4.2Профилактика инфецирования вирусами компьютерных систем. 4

4.3Политика управления организации в области защиты инфы. 4

4.4 Оценка рисков разработанной системы сохранности. 4

заключение. 4

Библиографический перечень.. 4

ВВЕДЕНИЕ

Вредительские программки и, до этого всего, вирусы представ­ляют весьма суровую опасность для инфы в КС. Недо­оценка данной для нас угрозы может иметь суровые последствия для инфы юзеров. Вредит использованию всех возмож­ностей КС и чрезмерное преувеличение угрозы вирусов. Зна­ние устройств деяния вирусов, способов и средств борьбы с ними дозволяет отлично организовать противодействие виру­сам, свести к минимуму возможность инфецирования и утрат от их действия.

термин «компьютерный вирус» был введен сравнимо не­издавна — посреди 80-х годов. Малые размеры, способность бы­стро распространяться, размножаясь и внедряясь в объекты (зара­жая их), негативнее действие на систему — все эти признаки био вирусов присуши и вредительским программкам, получившим по данной для нас причине заглавие «компьютерные вирусы» совместно с термином «вирус» при работе с компьютерными виру­сами употребляются и остальные мед определения: «инфецирование», «сфера обитания», «профилактика» и др.

«Компьютерные вирусы» — это маленькие исполняемые либо интерпретируемые программки, владеющие свойством распро­странения и самовоспроизведения (репликации) в КС. Вирусы могут делать изменение либо ликвидирование программного обеспечения либо данных , хранящихся в КС. В процессе распространения вирусы могут себя видоизменять.

В рамках данного курсового проекта будетрассмотрен анализ антивирусных средств защиты.

1 АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ЗАЩИТЫ инфы

1.1 анализ нормативной законодательной базы

Законодательные меры по защите действий переработки ин­формации заключаются в выполнении имеющихся в стране либо внедрении новейших законов, положений, постановлений и инструк­ций, регулирующих юридическую ответственность должностных лиц — юзеров и обслуживающего технического персонала за утечку, утрату либо модификацию доверенной ему информа­ции, подлежащей защите, в том числе за пробы выполнить подобные деяния за пределами собственных возможностей, также ответственности сторонних лиц за попытку намеренного несанкционированного доступа к аппаратуре и инфы.

Цель законодательных мер — предупреждение и сдерживание возможных нарушителей.

Так как ИБ обязана быть связывающим звеном меж полити­кой государственной сохранности и информационной политикой страны, то разумно было бы проводить их по единым принци­пам, вьвделяя как общие положения и принадлежности для ин­формационной политики.

В Доктрине информационной сохранности Русской Фе­дерации раскрыто содержание последующих принципов, закреп­ленных в Федеральном законе «О инфы, информатиза­ции и защите инфы» от 25.01.95
24-ФЗ:

1. Законность (соблюдение Конституции РФ

2. соблюдение баланса актуально принципиальных интересов личности, общества игосударства (единство, связь
сбалансирован­ность всех видов сохранности, гибкое изменение их ценность­ности зависимо от ситуации);

3. недопустимость ограничения прав и свобод людей, за исклю­чением случаев, прямо предусмотренных законом (почтение прав и свобод человека);

4. обоюдная ответственность личности, общества и страны по обеспечению сохранности; Интеграция с международными системами сохранности;

5. ценность политических и экономических мер обеспечения государственной сохранности с опорой на военный потенциал Рос­сии; сочетание централизованного управления силами и средствами обеспечения сохранности с передачей в согласовании с федера­тивным устройством Рф части возможностей в данной для нас области органам гос власти субъектов Русской Федера­ции и органам местного самоуправления.

К главным задачкам в сфере обеспечения ИБ РФ

2. улучшение законодательства Русской Федерация в сфере обеспечения ИБ;

3. определение возможностей органов гос власти Рос­сийской Федерации, субъектов Русской Федерации и органош местного самоуправления в сфере обеспечения ИБ;

4. регулирование деятель органов гос власти па обеспечению ИБ;

5. создание критерий для удачного развития негосударственного компонента в сфере обеспечения ИБ, воплощения эффектив­ного штатского контроля за Деятельностью органов Государ­ственной власти;

6. улучшение и защита российскей информационной инфраструктуры, убыстрение развития новейший информационных тех­нологий и их обширное распространение, унификация средств поис­ка, сбора, хранения, обработки и анализа инфы с учетом вхождения Рф в глобальную информационную инфраструктуру;

7. развитие стандартизации информационных систем на базе о­щепризнанных интернациональных эталонов и их внедрение для всех видов информационных систем;

8. развитие российскей промышленности телекоммуникационных и информационных средств, их приоритетное по сопоставлению с зару­бежными аналогами распространение на внутреннем рынке;

9. защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти, на пред­приятиях оборонного комплекса;

В Русской Федерации действуют девять муниципальных эталонов по защите инфы: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ ,50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96.

1.2 способы защиты инфы

законы и нормативные акты исполняются лишь в том случае, если они подкрепляются организаторской деятельностью соответ­ствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросцев безо­пасности инфы таковая деятельность относится к организа­ционным способам защиты инфы.

Организационные способы защиты информациивключают меры, мероприятия и деяния, которые должны производить должностные лица в процессе сотворения и эксплуатации КС для обеспечения данного уровня сохранности инфы

Организационные способы зашиты инфы тесновато соединены с правовым регулированием в области сохранности инфы. В согласовании с законами и нормативными актами в министерст­вах, ведомствах, на предприятиях (независимо от форм собствен­ности) для защиты инфы создаются особые службы сохранности (на практике они могут называться и по другому). Эти службы подчиняются, как правило, управлению учреждения. Ру­ководители служб организуют создание и функционирование сис­тем защиты инфы. На организационном уровне решаются последующие задачки обеспечения сохранности инфы в КС:

1) организация работ по разработке системы защиты инфор­
мации;

2) ограничение доступа на объект и к ресурсам КС;

3) разграничение доступа к ресурсам КС;

4) планирование мероприятий;

5) разработка документации;

6) воспитание и обучение обслуживающего персонала и
юзеров;

7) сертификация средств защиты инфы;

8) лицензирование деятель по защите инфы;

9) аттестация объектов защиты;

10)улучшение системы защиты инфы;

11)оценка эффективности функционирования системы защи­ты инфы;

12)контроль выполнения установленных правил работы в КС.
Организационные способы являются стержнем всеохватывающей

системы защиты иноформции в КС. Лишь при помощи этих ме­тодов может быть объединение на правовой базе технических, программных и криптографических средств защиты инфы в единую всеохватывающую систему. Определенные организационные способы защиты инфы будут приводиться при рассмотре­нии парирования угроз сохранности инфы. Наибольшее внимание организационным мероприятиям уделяется при изло­жении вопросцев построения и организации функционирования всеохватывающей системы защиты инфы.

1.2.1 Систематизация угроз информационной сохранности

С позиции обеспечения сохранности инфы в КС такие системы целенаправлено разглядывать в виде единства 3-х ком­понент, оказывающих обоюдное воздействие друг на друга:

♦ информация;

♦ технические и программные средства;

♦ обслуживающий персонал и юзеры.

В отношении приведенных компонент время от времени употребляют и термин «информационные ресурсы», который в этом случае трак­туется существенно обширнее, чем в Федеральном законе РФ

Под опасностью сохранности инфы понимается потен­циально вероятное событие, процесс либо явление, которые могут привести к уничтожению, утрате целостности, секретно­сти либо доступности инфы.

Все огромное количество возможных угроз сохранности информа­ции в КС быть может разбито на два класса, которые представлены на рис. 1

Опасности, которые не соединены с намеренными действиями злоумышленников и реализуются в случайные моменты времени, именуют случайными либо ненамеренными.

Реализация угроз этого класса приводит к большим поте­рям инфы (по статистическим данным — до 80% от вреда, наносимого информационным ресурсам КС хоть какими опасностями). При всем этом могут происходить ликвидирование, нарушение целостно­сти и доступности инфы. Пореже нарушается конфиденци­альность инфы, но при всем этом создаются предпосылки для злоумышленного действия на информацию. Этот вопросец животрепещущ для всех КС, а тем наиболее для сервера, на котором размещена информация, созданная для остальных конечных юзеров.

Стихийные бедствия и трагедии чреваты более разруши­тельными последствиями для КС, т.к. крайние подвергаются физическому разрушению, информация теряется либо доступ к ней становится неосуществим.

Сбои и отказы сложных систем неминуемы. В итоге сбо­ев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программки, нарушается метод работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности инфы.

Ошибки при разработке КС, алгоритмические и программ­ные ошибки приводят к последствиям, аналогичным последстви­ям сбоев и отказов технических средств. Не считая того, такие ошиб­ки могут быть применены злодеями для действия на ресурсы КС.

2-ой класс угроз сохранности инфы в КС составля­ют целенаправленно создаваемые опасности.

В качестве источников ненужного действия на ин­формационные ресурсы как и раньше животрепещущи способы и сред­ства шпионажа и диверсий, которые использовались и исполь­зуются для добывания либо ликвидирования инфы на объектах. Почаще всего они ис­пользуются для получения сведений о системе защиты с целью проникания в КС, также для хищения и ликвидирования ин­формационных ресурсов. К способам шпионажа и диверсий относятся: подслушивание, зрительное наблюдение, хищение документов и машинных носителей инфы, хищение программ и атрибутов системы защиты, подкуп и шантаж служащих, сбор и анализ отходов машинных носителей инфы, поджоги и т. д.

термин «несанкционированный доступ к инфы» (НСДИ) определен как доступ к инфы, нарушающий пра­вила разграничения доступа с внедрением штатных средств вычислительной техники либо автоматических систем.

Под правилами разграничения доступа понимается совокуп­ность положений, регламентирующих права доступа лиц либо про­цессов (субъектов доступа) к единицам инфы (объектам доступа).

Право доступа к ресурсам КС определяется управлением для всякого сотрудника в согласовании с его многофункциональными обя­занностями. Процессы инициируются в КС в интересах опреде­ленных лиц, потому и на их накладываются ограничения по доступу к ресурсам.

процесс обработки и передачи инфы техническими средствами КС сопровождается электромагнитными излучениями в окружающее место и наведением электронных сигна­лов в линиях связи, сигнализации, заземлении и остальных проводни­ках. Они получили наименования побочных электромагнитных излу­чений и наводок (ПЭМИН). При помощи специального оборудо­вания сигналы принимаются, выделяются, усиливаются и могут или просматриваться, или записываться в запоминающих уст­ройствах. Электромагнитные излучения употребляются злоумышленни­ками не только лишь для получения инфы, да и для ее уничто­жения. Электромагнитные импульсы способны убить информацию на магнитных носителях.

Огромную опасность сохранности инфы в КС представляет несанкционированная модификация алгоритмической, про­граммной и технической структур системы. Несанкциониро­ванная модификация структур может осуществляться на любом актуальном цикле КС. Несанкционированное изменение структу­ры КС на шагах разработки и модернизации получило заглавие «закладка».

Одним из главных источников угроз сохранности информа­ции в КС является внедрение особых программ, полу­чивших общее заглавие «вредительские программки».

Зависимо от механизма деяния вредительские про­гр делятся на четыре класса:

♦ «логические бомбы»;

♦ «червяки»;

♦ «троянские жеребцы»;

♦ «компьютерные вирусы».

«Логические бомбы» — это программки либо их части, повсевременно находящиеся в ЭВМ либо вычислительных системах (ВС) и вы­полняемые лишь при соблюдении определенных критерий.

«Червяками» именуются программки, которые производятся ка­ждый раз при загрузке системы. Лавинообраз­ное размножение программ приводит к перегрузке каналов связи, памяти и, в итоге, к блокировке системы.

«Троянские жеребцы» — это программки, приобретенные методом очевидного конфигурации либо прибавления установок в пользовательские програм­мы. При следующем выполнении пользовательских программ вместе с данными функциями производятся несанкционирован­ные, модифицированные либо какие-то новейшие функции.

«Компьютерные вирусы» — это маленькие программки, кото­рые опосля внедрения в ЭВМ без помощи других распространяются методом сотворения собственных копий, а при выполнении определенных критерий оказывают негативное действие на КС.

1.2.2 систематизация злоумышленников

Способности воплощения вредительских действий в большенный степени зависят от статуса злодея по отноше­нию к КС, web-веб-сайту. Злоумышленником быть может:

♦ разраб КС;

♦ сотрудник из числа обслуживающего персонала;

♦ юзер;

♦ стороннее лицо.

Разраб обладает более полной информацией о про­граммных и аппаратных средствах КС и имеет возможность вне­дрения «закладок» на шагах сотворения и модернизации систем. юзер имеет общее представ­ление о структурах КС, о работе устройств защиты информа­ции. Он может производить сбор данных о системе защиты ин­формации способами обычного шпионажа, также предпри­нимать пробы несанкционированного доступа к инфы. Стороннее лицо, не имеющее дела к КС, находится в менее удачном положении по отношению к остальным злодеям. Если представить, что он не имеет доступ на объект КС, то в его распоряжении имеются дистанционные ме­тоды обычного шпионажа и возможность диверсионной дея­тельности. Он может производить вредительские действия с внедрением электромагнитных излучений и наводок, также каналов связи, если КС является распределенной.

Огромные способности оказания вредительских действий на информацию КС имеют спецы, обслуживающиеэти сис­темы
При этом, спецы различных подразделений владеют разными возможными способностями злоумышленных действий. Больший вред могут нанести* работники службы сохранности инфы. Дальше идут системные программеры, прикладные программеры и инженерно-технический персонал.

На практике опасность злодея зависит также от фи­нансовых, материально-технических способностей и квалифика­ции злодея.

2 анализ антивирусных средств защиты.

2.1

Систематизация компьютерных вирусов

В истинное время в мире насчитывается наиболее 40 тыщ толь­ко зарегистрированных компьютерных вирусов. Потому что подав­ляющее большая часть современных вредительских программ о­ладают способностью к саморазмножению, то нередко их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы следующим признакам :

1) по среде обитания;

2) по способу инфецирования;

3) по степени угрозы деструктивных (вредительских)
действий;

4) по методу функционирования

По среде обитаниякомпьютерные вирусы делятся на:

1) сетевые;

2) файловые;

3) загрузочные;

4) комбинированные.

По способу инфецирования среды обитаниякомпьютерные виру­сы делятся на:

1) резидентные;

2) нерезидентные.

По степени угрозы для информационных ресурсовполь­зователя компьютерные вирусы можно поделить на:

1) безобидные вирусы;

2) небезопасные вирусы;

3) весьма небезопасные вирусы

В согласовании с чертами метода функциониро­ваниявирусы можно поделить на два класса:

1) вирусы, не изменяющие среду обитания (файлы и секто­ры) при распространении;

2) вирусы, изменяющие среду обитания при распростране­нии.

В свою очередь, вирусы, не изменяющие среду обитания

могут быть разбиты на две группы:

1) вирусы-«спутники» (companion);

2) вирусы-«червяки» (worm).

По трудности, степени совершенства и особенностям маски­ровки алгоритмов вирусы, изменяющие среду обитания

делятся на:

1) студенческие;

2) «стелес» — вирусы (вирусы-невидимки);

3) полиморфные.

2.2 Программные средства борьбы с вирусами

К истинному Бремени разработана достаточно широкая и пол­ная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).

Самыми пользующимися популярностью и действенными антивирусными про­гр числятся антивирусные фаги (по другому эти программки именуются сканерами либо полифагами) и ревизоры (CRC скане­ры). Нередко обе приведенные разновидности соединяются воединыжды в одну всепригодную антивирусную программку, что существенно повы­шает ее мощность. Пореже употребляют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, но, подразумевать, что, в принципе, недозволено сделать всепригодное и полностью надежное средство борьбы со всеми существующими и будущими вирусами.

Программки-фаги.
Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и си­стемной памяти и поиске в их узнаваемых и новейших (неведомых сканеру) вирусов. Для поиска узнаваемых вируеов употребляются маски либо, как их еще именуют, сищатуры-— некая посто­янная последовательность кода, специфичная для определенного вируса. Если вирус не содержит неизменной маски либо длина данной для нас маски недостаточно велика, то употребляются остальные способы. На­пример, перебор всех вероятных вариантов кода вирусов. Этот метод отлично употребляется для детектирования полиморф­ных вирусов.

В почти всех полифагах употребляются методы эвристического сканирования, т. е. анализ последовательности установок в проверя­емом объекте, набор некой статистики и принятие мягенького решения («может быть, заражен» либо «не заражен») для всякого проверяемого объекта.

К плюсам сканеров относится их универсальность, к не­достаткам — низкая скорость сканирования, также необходи­мость неизменного обновления антивирусных баз.

Принцип работы обычного метода сканирования сводится к последующему. Опосля загрузки с дискеты, на которой операцион­ная система гарантированно свободна от вируса, программка про­веряет дерево каталогов диска, логическое имя которого указыва­ется в виде параметра при запуске. При нахождении *.ехе либо *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программки ищется сигнатура вируса по соответственному смещению. Если вирус найден, восстанавливаются сокрытые в теле вируса байты начала модуля, опосля чего же длина файла уменьшает­ся на длину вируса и вирус удаляется из зараженного модуля. Опосля этого восстанавливаются начальные время и дата сотворения файла.

Программки-ревизоры.
Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса совместно с некой иной информацией: размерами файлов, датами их крайней модификации и т.п. При следующем запуске ревизоры сверяют данные, находящиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе дан­ных, не совпадает с настоящими значениями, ревизоры сигнали­зируют о том, что файл был изменен либо заражен вирусом.

Ревизоры, использующие антиСТЕЛС методы, являются достаточно мощным орудием против вирусов: фактически 100 % вирусов оказываются найденными практически сходу опосля их по­явления в компе. Значимым недочетом таковых средств борьбы с вирусами будет то, что программы-ревизоры рас­узнаютт наличие вируса в системе уже опосля его распростране­ния. Не считая того, они не распознают вирусы в новейших, лишь что приобретенных либо записанных файлах, так как в их базах дан­ных отсутствует информация о этих файлах. Временами по­являются вирусы, которые употребляют эту слабость ревизоров, заражая лишь вновь создаваемые файлы. Такие вирусы остают­ся невидимыми.

Программки-мониторы.
Антивирусные мониторы — это резиден­тные программки, перехватывающие вирусоопасные ситуации и сообщающие о их появлении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, пробы программ остаться рези­дентно. По другому говоря, вызовы генерируются вирусами в моменты их размножения.

К плюсам программ-мониторов относится их способность обнаруживать и перекрыть вирус на самой ранешней стадии его размножения, что бывает весьма полезно в вариантах, когда издавна узнаваемый вирус повсевременно «выползает непонятно откуда». К не­достаткам относятся существование путей обхода защиты мони­тора и огромное количество неверных срабатываний. Есть аппаратные реализации неких функций мониторов, в том чи­сле интегрированные в ==BIOS. Но, как и в случае с программными мониторами, такую защиту просто обойти прямой записью в пор­ты контроллера диска, а пуск DOS утилиты FDISK немедля вызывает неверное срабатывание защиты.

Программки-вакцины.
Антивирусные вакцины (иммунизаторы) разделяются на два типа: сообщающие о инфецировании и блоки­рующие инфецирование любым типом вируса. 1-ые обычно за­писываются в конец файлов (по принципу файлового вируса), и при запуске файла всякий раз инспектируют его на предмет обнару­жения конфигураций. Недочет у таковых вакцин один, но он смертелен: абсолютная неспособность вакцины сказать о инфецировании СТЕЛСвирусом. Потому такие иммунизаторы, как и мониторы, в истинное время фактически не употребляются.

2-ой тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таковым образом, что вирус воспринимает их за уже зараженными. Для защиты от резидентного вируса в память компа заносится программка, имитирующая копию вируса. При запуске заражен­ной программки, вирус распознает вакцину как свою резидент­скую копию и не активируется. Таковой тип вакцинации не быть может всепригодным, так как при его помощи недозволено иммуни­зировать файлы от всех узнаваемых вирусов. Но невзирая на это подобные программные средства в качестве полумеры могут полностью накрепко защитить комп от новейшего неведомого ви­руса прямо до того момента, когда он будет детектироваться ан­тивирусными сканерами.

Антивирусные программные комплексы.
Всовременных критериях только они могут обеспечить надежную защиту от вирусных про­гр, различающихся огромным многообразием принципов пост­роения и функционирования. Обычно современные антивирусные программные комплексы включают в собственный состав монитор, ска­нер, ревизор и планировщик.

Планировщик употребляется для координации работы различных компонент антивирусного пакета и планирования антивирус­ных мероприятий в вычислительной системе.

Вакцина вследствие собственной естественной ограниченности исполь­зования низкой универсальности в истинное время фактически не применяется.

2.

3 Обобщенная структура сети ЭВМ

Рассматривая использующиеся в истинное время сети ЭВМ , можно выделить их обобщенную структуру (рис.2).

Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются меж собой. Таковым образом, через полосы связи объе­диняются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значимые удаления.

Серверы локальной сети могут быть подключены к концентрато­ру сообщений, объединяющему потоки инфы с нескольких локальных сетей и (либо) изолированных абонентских пт. Объ­единенный концентратором сообщений информационный поток по­ступает на коммутационную машинку (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в остальные локальные сети, их объединения, кон­центраторы сообщений либо изолированные абонентские пункты.

Абонентский Абонентский Абонентский Абонентский

пункт локальной пункт пункт пункт

сети

Коммутатор

Концентратор

сообщений

Абонентскийпункт

Абонентский Абонентский Абонентский локальной

пункт локальной пункт пункт сети

сети Абонентски

пункт

Набросок 2- Обобщенная структурк сети ЭВМ

Можно выделить последующие функционально законченные эле­менты сети:

локальные сегменты сети (с различной архитектурой). Их осо­бенностью является возможность использования удаленных ресур­сов файловых серверов либо остальных рабочих станций, абонентских пт;

коммуникационные сегменты сети, которые создают фрагментирование и объединение пакетов данных, их коммутацию и фактически передачу.

Как правило, рабочие станции не могут употребляться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений либо установления логических соеди­нений.

Для разных частей сети можно выделить последующие уг­розы сохранности инфы:

перехват, искажение, навязывание инфы со стороны фрагментов сети;

имитация посылки неверных сообщений на локальные фрагмен­ты сети;

имитация логического канала (удаленный доступ) к ресурсам локальных частей сети;

внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное действие на программ­ное обеспечение и информацию;

перехват, навязывание, искажение инфы при передаче по своим линиям связи локальных частей сети;

внедрение программных закладок в программное обеспечение рабочих станций либо в общедоступные ресурсы (во наружной па­мяти файл-серверов) локальных частей сети.

По принципу действий программной закладки на комп­ную сеть можно выделить две главные группы.

1.Есть закладки вирусного типа, которые способны уничтожать либо искажать информацию, нарушать работу программ­ного обеспечения. Закладки такового типа в особенности небезопасны для або­нентских пт сети и рабочих станций локальных вычисли­тельных сетей. Они могут распространяться от 1-го абонентско­го пт к другому с потоком передаваемых файлов либо инфи­цировать программное обеспечение рабочей станции при исполь­зовании удаленных ресурсов (при запуске инфицированных про­гр в оперативки рабочей станции даже без экспорта
выполняемого,модуля с файл-сервера).

2.В сетях могут работать специально написанные зак­
ладки типа «троянркий жеребец» и «компьютерный червяк». «Троян­ский жеребец» врубается, и проявляет себя в определенных усло­
виях (по времени, главным сообщениям и т.п.). «Троянские
жеребцы» могут разрушать и (либо) искажать информацию, копиро­вать фрагменты секретной инфы либо пароли (ключи), засылать сообщения не по адресу либо перекрыть прием (отправку) сообщений. Закладки этого типа, как правило, жест­ко функциональны и учитывают разные индивидуальности и собственный­
ства программно-аппаратной среды, в какой работают. Инфор­мация для их работы доставляется закладками последующего типа — «компьютерный червяк».

«Компьютерные червяки» нацелены на проникновение в систе­мы разграничения доступа юзеров к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц уста­новления возможностей юзеров, нарушению работы всей сети в целом и системы разграничения доступа а именно. Примером закладки этого типа является узнаваемый репликатор Морриса.

Может быть создание закладок, объединяющих внутри себя черты и характеристики как «троянских жеребцов», так и «компьютерных червяков».

Программные закладки представляют опасность как для або­нентских пт с их программным обеспечением, так и для коммутационной машинки и серверов локальных сетей.

Вероятны последующие пути проникания (внедрения) про­граммных закладок в сеть:

инфецирование программного обеспечения абонентских пт ви­русами и деструктивными программками типа «троянских жеребцов» и «компьютерных червяков» вследствие нерегламентированных дей­ствий юзеров (пуска сторонних программ, игр, других снаружи симпатичных программных средств — архиваторов, ускорителей и т.п.);

предумышленное внедрение в программное обеспечение абонент­ских пт закладок типа «компьютерных червяков» методом их ас­социирования с выполняемыми модулями либо программками на­чальной загрузки;

передача деструктивных программ и вирусов с пересылаемыми файлами на иной абонентский пункт и инфецирование его в резуль­тате использования зараженными программками;

распространение вирусов снутри совокупы абонентских пун­ктов, объединенных в локальную сеть общего доступа;

внедрение в программное обеспечение абонентских пт ви­русов при запуске программ с удаленного терминала;

внедрение вирусов и закладок в пересылаемые файлы на ком­мутационной машине и (либо) на сервере локальной сети.

Телекоммуникационные сети, как правило, имеют неоднород­ную операционную среду, потому передача вирусов по направ­лению абонентский пункт — коммутатор очень затрудне­на: юзеры с абонентских пт не могут получить доступ к программному обеспечению коммутатора, так как информа­ция на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машинки. В этом случае инфецирование вирусами мо­жет наступать лишь при использовании коммутационной маши­ной как обыкновенной ЭВМ (для игр либо выполнения нерегламенти­рованных работ). При всем этом вероятны инфецирование коммуникацион­ного программного обеспечения и негативное воздействие на целос­тность и достоверность передаваемых пакетов.

Исходя из перечисленных путей проникания вирусов и воз­никновения угроз в сети можно детализировать вирусные опасности.

Для абонентских пт:

искажение (разрушение) файлов и системных областей DOS;

уменьшение скорости работы, неадекватная реакция на коман­ды оператора и т.д.;

вмешательство в процесс обмена сообщениями по сети методом непрерывной посылки хаотических сообщений;

блокирование принимаемых либо передаваемых сообщений, их искажение;

имитация физических сбоев (утраты полосы) и т.д.;

имитация пользовательского интерфейса либо приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);

скопление обрабатываемой секретной инфы в укрытых областях наружной памяти;

копирование содержания оперативки для выявления главных таблиц либо фрагментов ценной инфы;

искажение программ и данных в оперативки абонен­тских пт.

Для серверов локальных сетей:

искажение проходящей через инфы (при обмене меж абонентскими пт);

сохранение проходящей инфы в укрытых областях внеш­ней памяти;

искажение либо ликвидирование своей инфы серве­ра (а именно, работы локальной сети;

внедрение вирусов в файлы, пересылаемые снутри локальной сети либо на удаленные абонентские терминалы.

Для коммутатора:

разрушение собственного программного обеспечения и вывод из строя коммутационного узла совместно со всеми присоединенны­ми абонентскими терминалами;

засылка пакетов не по адресу, утрата пакетов, неправильная сбор­ка пакетов, замена пакетов;

внедрение вирусов в (Коммутируемые пакеты; : контроль активности абонентов сети для получения косвенной инфы о нраве данных, которыми обмениваются або­ненты.

3 Оценка рисков информационных угроз сохранности

Целью анализа является оценка рисков информационных угроз безо­пасности объекта. понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 — 2002 «Менеджмент риска. Определения и определение». Согласно определению это — «сочетание вероятности на­несения вреда и тяжести этого вреда».

Совершенно говоря, уязвимым является любой компонент информационной системы – от сетевого кабеля, до базы данных, которая быть может разрушена из-за неискусных действий админа. Как правило, в сферу анализа нереально включить любой винтик и любой б. Приходится останавливаться на неком уровне детализации, снова-таки отдавая для себя отчет в приближенности оценки.

При идентификации активов, другими словами тех ресурсов и ценностей, которые организация пробует защитить, следует, учесть не только лишь составляющие информационной системы, да и поддерживающую инфраструктуру, персонал, также нематериальные ценности, такие как репутация организации. Эти индивидуальности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера вреда. Возможность воплощения также оценивается по трехбалльной системе. Данный способ именуется экспертной оценкой событий[4]. Риск для каждой опасности оценивается методом умножения вероятности на вред.

В таблице 1 представлены вероятные опасности Web-серверу, данным подлежащим защите и организации в целом, также возможность их пришествия и оценка причиненного вреда в случае удачного воплощения атаки, несанкционированного доступа и т. д.

Таблица 1 Оценка рисков

№
Наименование опасности
Возможность пришествия
Вред от реализации
Риск

1
Стихийные бедствия, трагедии, пожары и пр.
1
3
3

2
Ненамеренные ошибки юзеров
3
3
9

3
Перебои электропитания
3
2
6

4
НСД бывших и сегодняшних служащих
3
2
6

5
Кража оборудования
2
3
6

6
Отказ программ и аппаратного обеспечения
2
2
4

7
Вредное программное обеспечение
3
2
6

8
НСД посторониих лиц: хакеры, злоумышленники.
2
2
4

9
Фальсификация данных
2
3
6

10
Хищение инфы и ее внедрение
2
3
6

11
Халатность юзеров
2
2
4

12
Нарушение авторского права
2
1
2

Сумма рисков:
62

На базе приобретенных данных можно выделить три типа риска: маленький (1,2), средний (3,4), высочайший (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.

Как видно из диаграммы, организация остро нуждается в разработке и применении новейшей политики сохранности, которая дозволит уменьшить опасности.
4 Улучшение системы информацион­ной сохранности
сети

4.1

Организационно-технические меры защиты от угроз сохранности сети

Проанализировав вероятные вирусные опасности в сети и их по­следствия, можно предложить комплекс защитных мер, снижаю­щих возможность проникания и распространения деструктив­ных программ в сети, также облегчающих локализацию и устра­нение негативных последствий их действия

Меры защиты необходимо предугадывать как на шаге разработки программного обеспечения сети, так и на шаге ее эксплуатации.

До этого всего на шаге разработки нужно выявить в ис­ходных текстах программ те фрагменты либо подпрограммы, ко­торые могут обеспечить доступ к данным по фиксированным па­ролям, беспарольный доступ понажатию неких кнопок либо их сочетаний, обход регистрации юзеров с фиксирован­ными именами и реализацию тому схожих угроз. наличие та­ких фрагментов практически сведет на нет весь комплекс инфор­мационной сохранности сети, так как доступ через их воз­можен как человеком, так и программойи вирусом(закладкой).
Присутствие таковых фрагментов не постоянно является результатом злого умысла. Часто подобные фрагменты употребляется для тестирования программного обеспечения. Для выявления подоб­ных фрагментов быть может произведено сквозное тестирование начальных текстов программного обеспечения независящими профессионалами по обычным, нормативно утвержденным методи­кам; тестирование готового программного обеспечения в крити­ческих режимах эксплуатации (в период испытаний сети) с фик­сацией и устранением выявленных слабостей^и отклонений отнормальной работы.

Нужно также направить внимание на вероятные конф­ликты прикладного программного обеспечения и средств защи­ты. Такие конфликты могут появиться вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиату­ры и т.д.). Эти моменты, как правило, можно выявить только в период испытаний.

Также на шаге разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке це­лостности хранимых на наружных носителях программных средств зашиты, контроль целостности их в оперативки и т.д.

На шаге штатной эксплуатации должны на постоянной базе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период увеличения опас­ности информационного нападения, локализационно-восстано-вительные меры, используемые в случае проникания и обна­ружения закладок и причинения ими негативных последствий.

сеть обязана иметь общие средства и способы защиты. К ним относятся:

1.Ограничение физического доступа к абонентским термина­лам, серверам локальных сетей и коммутационному оборудова­нию. Для такового ограничения устанавливается соответственный организационный режим и используются аппаратные и программ­ные средства ограничения доступа к ЭВМ .

При активизации коммуникационного программного обес­печения контролируется его целостность и целостность областейDOS, ==BIOS и CMOS. Для такового контроля подсчитываются конт­рольные суммы и рассчитываются хеш-функции, которые позже срав­ниваются с эталонными значениями для каждой ЭВМ .

3.Наибольшее ограничение и контроль за передачей но сети
исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и
*.bin. При всем этом понижается возможность распространения по сети
файловых вирусов, вирусов типа Driver и загрузочно-файловых
вирусов.

4.Организация выборочного и неожиданного контроля работы опе­раторов для выявления фактов использования нерегламентиро-ванного программного обеспечения.

5.Сохранение архивных копий используемого программного
обеспечения на защищенных от записи магнитных носителях (дис­
кетах), учет и надежное хранение архивных копий.

6.Незамедлительное ликвидирование ценной и ограниченной для рас­пространения инфы сходу по истечении потребности в ней
(при понижении ее актуальности).

7.Повторяющаяся оптимизация и дефрагментирование наружных
носителей (винчестеров) для выявления сбойных либо псевдосбой­ных кластеров и затирания фрагментов секретной ин­формации с помощью средств типа SPEED DISK.

неувязка защиты от действий закладок имеет много обще­го с неувязкой выявления и дезактивации компьютерных виру­сов. Она разрабйтана и исследована довольно тщательно . способы борьбы с закладками сводятся к последующим.

4.2

Профилактика инфецирования вирусами компьютерных систем

Чтоб обезопасить ЭВМ от действия вирусов, пользова­тель, до этого всего, обязан иметь правило 1-ое.
Внедрение программных товаров, по­лученных легитимным официальным методом.

Возможность наличия вируса в пиратской копии во много раз выше, чем в официально приобретенном программном обеспечении.

Дублирование инфы.

До этого всего, нужно сохранять дистрибутивные носите­ли программного обеспечения. При всем этом запись на носители, до­пускающие выполнение данной для нас операции, обязана быть, по возмож­ности, заблокирована. Следует особо позаботиться о сохранении рабочей инфы. лучше часто создавать ко­пии рабочих файлов на съемных машинных носителях информа­ции с защитой от записи. Если создается копия на несъемном но­сителе, то лучше ее создавать на остальных ВЗУ либо ЭВМ . Копируется или весь файл, или лишь вносимые конфигурации. По­следний вариант применим, к примеру, при работе с базами дан­ных.

Часто применять антивирусные средства. Перед началом работы целенаправлено делать про­граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти­вирусные средства должны часто обновляться.

Необыкновенную осторожность следует прояв­лять при использовании новейших съемных носителей инфы и новейших файлов. Новейшие дискеты непременно должны быть прове­рены на отсутствие загрузочных и файловых вирусов, а получен­ные файлы — на наличие файловых вирусов. Проверка осуществ­ляется программами-сканерами и программками, осуществляющи­ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла употребляются резидент­ные охранника. При работе с приобретенными документами и таблица­ми целенаправлено запретить выполнение макрокоманд средства­ми, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до окончания полной проверки этих файлов.

При работе в распределенных системах либо в системах коллективного использования целенаправлено новейшие смен­ные носители инфы и вводимые в систему файлы прове­рять на специально выделенных для данной для нас цели ЭВМ . Целесооб­разно для этого применять автоматическое рабочее пространство админа системы либо лица, отвечающего за сохранность инфы. Лишь пооле всесторонней антивирусной проверки дисков и файлов они могут передаваться юзерам системы.

Если не предполагается производить за­пись инфы на носитель, то нужно заблокировать вы­полнение данной для нас операции. На магнитных дискетах 3,5 дюйма для этого довольно открыть квадратное отверстие.

Неизменное следование всем приведенным советам по­зволяет существенно уменьшить возможность инфецирования про­граммными вирусами и защищает юзера от невозвратных утрат инфы.

В особо ответственных системах для борьбы с вирусами необ­ходимо применять аппаратно-программные средства (напри­мер, Sheriff).

4.3 Политика управления организации в области защиты инфы

Под политикой управления организации понимается комплекс административных мер, направленных на понижение риска информационных угроз: разработка нормативно-правовых документов, проведение специализированных мероприятий, обучение персонала.

В качестве нормативно-правовых документов выступают: контракт меж управлением организации и сотрудником о со­хранении секретной инфы, инструкция по обеспечению сохранности, документы, регламентирующие порядок допуска к сведениям, составляющим секретную информацию, обязанности служащих по обеспечению сохранности секретной инфы.

Введение в делопроизводство данных документов, также постоянное проведение специализированных мероприятий, направленных на сохранность инфы дозволит существенно понизить либо даже предупредить вероятные опасности.

4.4 Оценка рисков разработанной системы сохранности

Опосля внедрения мер организующих всеохватывающую защиту, секретной инфы и всей информационной системы в целом, нужно провести повторную оценку рисков. Понятно, что список угроз остается этим же, а вот возможность свершения неких из их снизится за счет внедрения тех либо других способов. Необходимо отметить, что вред по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеперечисленные сведения для информационной среды компании опосля принятия мер по ее защите.

Таблица 2 Повторная оценка рисков

№
Наименование опасности
Возможность пришествия
Вред от реализации
Риск

1
Стихийные бедствия, трагедии, пожары и пр.
1
2
2

2
Ненамеренные ошибки юзеров
1
3
3

3
Перебои электропитания
1
2
2

4
НСД бывших и сегодняшних служащих
1
2
2

5
Кража оборудования
1
2
2

6
Отказ программ и аппаратного обеспечения
1
2
2

7
Вредное программное обеспечение
2
2
4

8
НСД посторониих лиц: хакеры, злоумышленники.
1
2
2

9
Фальсификация данных
1
3
3

10
Хищение инфы и ее внедрение
1
3
3

11
Халатность юзеров
1
2
2

12
Нарушение авторского права
1
1
1

Сумма рисков:
28

Понятно, что принятие мер в ряде всевозможных случаев все равно не даст стопроцентной гарантии защищенности, потому возможность неких событий сведена к минимуму, а не исключена на сто процентов. Уменьшение вреда от реализации опасности в рассматриваемом случае в большей части зависит от принятых мер по резервированию инфы. Но этот факт не имеет свое отражение в таблице, это соединено с тем, что по данной методологии оценки рисков принята очень узенькая трехбалльная система, по которой на отдельный показатель значимым образом может воздействовать лишь совокупа мер минимизации вреда. На рисунке 6 представлена диаграмма количества рисков опосля принятия разработанной политики сохранности.

Как видно из рисунка, опасности с высочайшей вероятностью пришествия в большей части переведены в категорию угроз с низкой вероятностью, что является применимым результатом. Минимизация вреда от угроз с хоть какой вероятностью риска быть может достигнута при использовании запасного сервера, на данном шаге деятель компании это пока ненужно.

заключение

В итоге анализа ранее существовавшей на предприятии информационной системы, с включенным в нее Web-сервером, были выявлены значимые недочеты ее защищенности. На основании этих данных было принято решение о разработке всеохватывающей системы сохранности, направленной на понижение вероятности более важных и всераспространенных угроз.

В итоге была предложена отменно новенькая система сохранности, позволяющая защитить Web-ресурсы компании, локальную сеть, весь электрический документооборот, циркулирующий как во наружной, так и во внутренней сети. Необходимо отметить, что произведенная работа дозволила уменьшить опасности на 45% от ранее существовавших. На рисунке 7 приведена диаграмма, показывающая уменьшение рисков.

н% от ранее существовавших.работа дозволила уменьшить опасности на й документооборот, циркулирующий как во наружной, так и собственн

Библиографический перечень

1. А.И. Куприянов, А.В. Сахаров, В.А.Шевцов Базы защиты инфы.- М. : Издательский центр «Академия»,2007.-256с.

2. Ю.Н Сычев. защита инфы — М. Столичный интернациональный институт эконометрики, информатики, денег и права. 2002. – 221 с.

3. В. И. Завгородний Всеохватывающая защита инфы в компьютерных системах: Учебное пособие – М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.- 264с.

4. В.П. Мельников, С.А. Клейменов, А.М. Петраков Информационная сохранность.- М.: Издательский центр «Академия», 2007.- 336с.

5. О.Ю. Гаценко. защита инфы. СПб.: Издательский дом «Сентябрь», 2001.-228с.

]]>