Исследование проблем защиты информации ( ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ )
Содержание:
ВВЕДЕНИЕ
В 19-м веке магнат Натан Ротшильд произнес фразу: «Кто владеет информацией, тот владеет миром». И ведь действительно, информация в 21-м веке – это самая большая ценность, которая играет существенную роль. Мог ли он предположить, произнося столь мудрую мысль, что настанет «информационный взрыв» во всем мире, что из океана информации каждому придется выбирать лишь нужную крупицу?
В данный момент у нас есть доступ к разнообразной информации: зайдя в Интернет, на его просторах, мы можем найти познавательные статьи, зайти в электронную библиотечную систему, прочитать новости, посмотреть видеоролики.
Успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем больше информации нас окружает, тем актуальнее становится вопрос ее защиты.
Данная работа состоит из 2-х глав, в которых будут рассмотрены: проблемы защиты информации и средства защиты информации.
ГЛАВА 1. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.
Если говорить про защиту, то необходимо определить следующие вопросы: кто, как, что и от кого защищает.
Безопасность информационной системы – защищенность системы от случайного или преднамеренного воздействия естественного или искусственного характера в штатный процесс ее деятельности, от попыток несанкционированного получения информации, модификации или физического разрушения ее компонентов. Следовательно, это способность информационной системы противостоять различным возмущающим воздействиям.
Угроза безопасности информации – это события или действия, которые могут привести к искажению, несанкционированному использованию или даже к выходу из строя не только программных и аппаратных средств, но и информационных ресурсов управляемой системы в целом.
Человека, пытающегося получить несанкционированный доступ к информации, чаще всего называют «компьютерным взломщиком» или хакером. В своих противоправных действиях, направленных на завладение информацией, взломщики стремятся найти такие способы, которые позволяют получить наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение.
Таким образом, в настоящее время, для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, который включает в себя целый комплекс взаимосвязанных мер: использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов и так далее.
Реализация мер по защите информации требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз безопасности информации.
1.1 Виды угроз безопасности информации.
Угрозы, направленные на несанкционированное использование информационных ресурсов и не влияющие на их функционирование, называют пассивными. К таким угрозам можно отнести прослушивание каналов связи или несанкционированный доступ к базам данных.
Активные угрозы воздействуют на компоненты информационной системы с целью нарушения нормального функционирования. Примерами активных угроз являются вывод из строя компьютера или его операционной системы, разрушение программного обеспечения, нарушение работы линий связи. Источником активных угроз могут быть действия компьютерных взломщиков и вредоносные программы.
Умышленные угрозы подразделяются также на внутренние, возникающие внутри организации, и внешние.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями или обстоятельствами неодолимой силы (например, стихийными бедствиями).
К основным угрозам безопасности информации относятся:
– угрозы конфиденциальности (неправомерный доступ к информации);
– угрозы целостности (неправомерное изменение данных);
– угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).
Угрозы конфиденциальной информации – потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Получение злоумышленником охраняемых сведений называют утечкой. Одновременно с этим в законодательных актах, законах, кодексах, официальных материалах используются такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.
Утечка информации – это неконтролируемое распространение информации за пределы помещения, здания, территории, организации, а также определенного круга лиц, которые имеют доступ к этой информации. Если обнаружена утечка информации – её необходимо ликвидировать в самые сжатые сроки, а лучше всего принять превентивные меры по защите информации с ограниченным доступом.
Причиной утечки информации может стать использование ошибочных норм защиты информации, их нарушение или же полное несоблюдение. Любые игнорирования правил работы с критически важными документами, техникой, продукцией и прочими конфиденциальными материалами чреваты возникновением канала утечки информации ограниченного доступа.
Канал утечки информации – это путь информации, который она проходит от источника информации до приемника или получателя в процессе случайной утечки или целенаправленного несанкционированного получения закрытой информации. Если меры по защите информации не были приняты заранее, то могут быть задействованы любые каналы утечки. Если же защита информации предусмотрена – то будет задействован наиболее слабозащищенный канал.
В природе существуют только четыре средства переноса информации – это световые лучи, звуковые волны, электромагнитные волны, а также материальные носители (бумажные, магнитные, цифровые и т.д.). Эти средства являются составляющими любой системы связи, в которой помимо них обязательно присутствуют: источник информации, передатчик, канал передачи информации, приемник, получатель сведений.
Непосредственно сам человек может стать инициатором (намеренным или случайным) утечки информации, используя одно или несколько вышеназванных средств переноса информации. Поэтому работу некоторых систем связи необходимо контролировать, чтобы, с одной стороны, обеспечить безопасную, надежную и точную передачу информации, а с другой, защитить ее от незаконного доступа. И если канал должным образом не защищен и передача информации из исходной точки в другую происходит без ведома источника, то такой канал можно называть каналом утечки информации.
Разглашение конфиденциальной информации подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. Например, это может быть единовременная передача конфиденциальной информации за определённое вознаграждение, или предоставление доступа к закрытым данным злоумышленнику. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям. Также к разглашению информации может привести излишняя разговорчивость работника, в результате чего секретные данные становятся известны окружающим. Кроме единовременной передачи информации это может быть и регулярное тайное хищение закрытых сведений с целью их продажи.
Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Стоит отметить, что несанкционированный доступ может привести к утечке информации.
Наиболее распространенными путями несанкционированного доступа к информации являются:
– ошибки конфигурации программ (интерфейсов, брандмауэров, прав доступа);
– слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников);
– ошибки в программном обеспечении;
– злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние и физические носители при праве доступа к информации);
– потенциальные угрозы безопасности информации в локально-вычислительных сетях;
– использование троянов и вирусов.
Ошибки конфигурации программ – некорректная настройка программного обеспечения, в результате чего информационная система или данные могут быть скомпрометированы. Важнейшим этапом при создании любого программного продукта является его настройка под определенные задачи для корректной работы с ними. Злоумышленники используют подобные нестыковки в собственных целях. Независимо от характера, любой сбой приводит к ослаблению встроенных защитных механизмов и делает информационную систему уязвимой перед атаками.
Авторизация – процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Следовательно, необходимо четко определить требования к безопасности, чтобы принимать решения о соответствующих границах авторизации. Аутентификация – проверка подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь именно тот, кем себя объявляет. При проведении аутентификации проверяющая сторона должна убедиться в подлинности проверяемой стороны, при этом проверяемая сторона также активно участвует в процессе обмена информацией. Обычно пользователь, подтверждая свою идентификацию, вводит в систему уникальную, неизвестную другим пользователям информацию о себе (пароль, сертификат). Соответственно, необходимо определить требования к безопасности паролей и сертификатов.
Программная ошибка – ошибка в программе или информационной системе, из-за которой выдается неожиданное поведение и, как следствие, результат. Программные ошибки не что иное, как результат создания и корректировки программного обеспечения. Они могут не проявляться, если входные данные не инициируют выполнение тех участков программ, в которых содержатся ошибки. В отличие от технических средств некоторые входные потоки данных могут привести к частым ошибкам, в то время как другие потоки могут вообще не привести к ошибкам. Такие «баги» злоумышленник может применить для несанкционированного использования компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокировать систему для отказа в обслуживании другим пользователям. Чтобы реализовать негативное воздействие, часто используются так называемые «жадные программы» - программы, способные захватить монопольно определенный ресурс системы. Но при исправлении обнаруженной ошибки производитель программного обеспечения может внести новые ошибки, которые могут со временем проявиться при определенном наборе входных данных.
Если в качестве потенциальных злоумышленников рассматривать сотрудника компании, который для выполнения своих обязанностей имеет доступ к конфиденциальной информации, возможны следующие варианты утечки:
– несанкционированное копирование конфиденциальной информации на оптические носители (CD, DVD, Blu-Ray диски) или электро-магнитные носители (Flash-диски, внешние HDD с USB-интерфейсом, карты памяти), либо хищение таких накопителей информации, и вынос её за пределы территории предприятия;
– вывод на печать либо создание ксерокопий конфиденциальной информации, и вынос распечатанных документов. Важно отметить, что в данном случае могут использоваться как локальные, так и сетевые принтеры или многофункциональные устройства, которые используются непосредственно на территории организации;
– несанкционированная передача конфиденциальной информации по сети на удаленные компьютеры, либо файловые хостинги, расположенные за пределами территории предприятия. Затем, находясь в дома или в любом другом месте, загрузить её оттуда. Для передачи информации нарушитель может использовать сетевые протоколы, в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в информационной системе. Также для передачи данных могут использоваться такие личные средства связи, как смартфон или планшетный компьютер. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию или передать её под видом стандартных графических или видеофайлов.
При использовании локально-вычислительных сетей в организации появляется целый спектр потенциальных возможностей несанкционированного доступа к конфиденциальной информации. Это может быть вызвано большим количеством возможных каналов преднамеренного несанкционированного доступа к информации, либо доступом со стороны кабельных линий связи. В таких случаях нарушитель выполняет подключение к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, выполняется сеанс связи, и данные могут быть получены под видом легального пользователя. Нельзя исключать возможности выполнения злоумышленником анализа трафика – для этого анализируются частоты сигналов в сети, а также способы авторизации пользователей в системе. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт под видом авторизованного пользователя. Также причиной несанкционированного доступа может являться возможность использования автоматизированного рабочего места (включая серверы) по каналам несанкционированного доступа к информации самого автоматизированного рабочего места, так и доступ со стороны штатного пользователя-нарушителя при обращении к информации. Ещё одной причиной может выступить возможность подключения постороннего персонального компьютера (ноутбука) или оргтехники к локально-вычислительной сети, либо к рабочему месту специалиста.
К отдельной категории электронных методов воздействия относят компьютерные вирусы и прочие вредоносные программы. Основы теории самовоспроизводящихся механизмов заложил известный математик Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. Первые рабочие примеры таких программ датируются 1961 годом. В повседневной жизни «вирусами» называют всё вредоносное программное обеспечение, но на самом деле это лишь одна из его разновидностей. Компьютерный вирус – вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи. На сегодняшний день существует множество видов вирусов, которые различаются по способу распространения и функциональности. Изначально вирусы распространялись на дискетах и других носителях информации, то сейчас основными источниками распространения вирусов являются локальные и глобальные (Интернет) сети. Расширяется функциональность вирусов, которую они перенимают от других видов программ. По состоянию на сегодняшний день нет единой системы классификации и именования вирусов, хотя такие попытки предпринимались. Принято разделять вирусы:
– по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы);
– по поражаемым операционным системам и платформам (DOS, Windows, NIX-системы, мобильные операционные системы);
– по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
– по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык);
– по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, боты, рекламное программное обеспечение).
Для своего размножения файловый вирус использует файловую систему, внедряясь в исполняемые файлы практически любой ОС. По механизму заражения разделяются следующим образом: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.
Компьютерный вирус, записывающийся в первый жёсткого диска (или дискеты) и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела называется загрузочным. К ним также относятся руткиты. Перехватывая обращения к дискам, данный тип вирусов либо продолжает загрузку операционной системы, либо нет (MBR-Locker).
Сценарные (скриптовые) вирусы написаны на скриптовых языках Visual Basic Script, Visual Basic for Applications, Java Script, Jscript. Данный тип вредоносных программ чаще всего внедряется в уязвимое место программы, заставляя совершать несвойственные для неё действия.
Под многие операционные системы, которые используются на автоматизированных рабочих местах и серверах, существуют вирусы. Справедливо заметить, чем более распространена система, тем чаще для неё встречается вредоносное программное обеспечение, и наоборот. Общая доля систем Windows для настольных систем составляет 87,79%, а затем следуют MacOS и Linux с 9,95% и 1,93% соответственно. Как следствие, большинство из известного на сегодняшний день вредоносного программного обеспечения ориентировано на операционные системы от Microsoft. Не избежали данной участи и мобильные устройства – смартфоны и планшеты, основной целью злоумышленников является наиболее распространенная операционная система Android.
Полиморфизм компьютерного вируса – техника, позволяющая затруднить обнаружение компьютерного вируса с помощью сканирования и эвристики. Вирус, использующий такую технику, называется полиморфным.
Стелс-вирус – вирус, который полностью или частично умеет скрывать своё присутствие в системе, перехватывая обращения к операционной системе, осуществляющие чтение, запись, чтение дополнительной информации о зараженных объектах.
Бэкдор – вредоносное программное обеспечение, которое злоумышленник устанавливает на атакуемом им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. Незаметно управляя компьютером, бэкдор позволяет копировать файлы с контролируемого злоумышленником компьютера и наоборот, передавать на поражённый компьютер файлы и программы.
Кейлоггер (клавиатурный шпион) – данный вид программного обеспечения позволяет злоумышленникам получать любую вводимую с клавиатуры или мыши информацию. Кроме того, кейлоггеры могут делать скриншоты либо видеозаписи, и передавать их по сети на удаленный сервер либо почту. Таким образом злоумышленник может завладеть практически любой конфиденциальной информацией.
Скрытно установленная на автоматизированное рабочее место с целью получения информации о его конфигурации, несанкционированного копирования информации из памяти устройства либо копирования пользовательских данных без согласия пользователя, называется программой-шпионом.
Бот – автономное программным обеспечением, которое скрытно устанавливается на устройство жертвы и позволяющее злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Чаще всего киберпреступники объединяют такие зараженные устройства в сеть, которой можно управлять удаленно. Эти сети могут использоваться для осуществления атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS), крупномасштабных кампаний по рассылке спама и других типов кибератак.
Рекламное программное обеспечение – это нежелательная программа, написанная для того, чтобы забрасывать экран компьютера рекламными сообщениями. Проникнув в систему, данный вид программ способен выполнять все виды нежелательных действий с устройством, вплоть до полной его блокировки.
Вирусы представляют собой реальную опасность для современных отраслей экономики, широко использующие локально-вычислительные сети, а также сервисы и службы, предоставляемые посредством Интернета. Проникновение вредоносного программного обеспечения на узел сети предприятия может привести к нарушению функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. При проникновении в корпоративную сеть вирусные программы могут предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
Глава 2. Методы защиты информации.
Средства защиты информации – комплекс инженерно-технических, электрических, электронных, оптических приборов и технических систем, а также прочих элементов, используемых для решения разнообразных вопросов по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. Если в системе поддерживается заданный уровень конфиденциальности информационных ресурсов (невозможности несанкционированного доступа к информации), целостности (невозможности несанкционированного или случайного её изменения) и доступности (возможности в разумные сроки получить необходимую информацию), то можно считать, что обеспечена информационная безопасность. При этом должна рассматриваться не только возможность нарушения любого из параметров безопасности в результате умышленных либо неумышленных действий пользователей, но и вероятность выхода из стоя каких-либо узлов информационной системы. В этом смысле средства повышения надежности также входят в комплекс информационной безопасности предприятия.
Согласно общепринятой практике, средства защиты информации подразделяются на следующие классы:
– организационные средства;
– технические и программно-аппаратные средства;
– криптографические средства;
– нормативно-правовые средства;
– социально-психологические средства[1].
2.1 Организационные средства.
Под организационными средствами понимают совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Другими словами, данные документы являются политикой безопасности предприятия. Это тот инструментарий, при помощи которого организована работа в автоматизированной информационной системе. В рамках этих мер на предприятии должны быть разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, модели угроз, которые с ними связаны, а также перечень тех мероприятий, которые должны быть реализованы для противодействия указанным угрозам. Примерами таких организационных документов могут являться концепция и политика информационной безопасности, должностные инструкции сотрудников компании.
Время от времени политика безопасности должна корректироваться, обеспечивая соответствие текущим потребностям предприятия. Документ политики должен быть составлен таким образом, чтобы она не была привязана к набору конкретных технологий, в этом случае её не потребуется изменять слишком часто. Политика безопасности в виде документа включает в себя следующие разделы: проблемные области, сфера применения, позиция организации, распределение ролей и обязанностей. За реализацию целей, определённых в политике, отвечают должностные лица и пользователи вычислительной сети.
Руководство отделов отвечает за ознакомление с положениями политики безопасности пользователями. Системные администраторы обеспечивают непрерывную работу сети и отвечают за исполнение мер, необходимых для осуществления политик безопасности. Сервисные администраторы выполняют построение защиты в соответствии с общей политикой безопасности. Пользователи работают с информационной системой в соответствии с политикой безопасности, выполняют распоряжения ответственных за различные аспекты безопасности лиц, а также извещают руководство обо всех нештатных ситуациях. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения[2]. Таким образом, содержание политики безопасности организации зависит от её масштаба и задач. В дополнении к организационным средствам защиты должны применяться технические (в том числе и программно-аппаратные) решения, предназначенные для блокирования перечисленных выше каналов утечки конфиденциальной информации[3].
2.2 Технические и программно-аппаратные средства.
К данному виду средств относятся межсетевые экраны (файрволы, брандмауэры), антивирусы, прикладное программное обеспечение для контроля за рабочими станциями, встроенные средства операционной системы.
Межсетевой экран – программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. Основной задачей для файрволов является защита сети или отдельных устройств от несанкционированного доступа с использованием слабых мест протоколов сетевой модели или программного обеспечения. Используя набор правил, заданный сетевым администратором, межсетевой экран пропускает или запрещает трафик.
Чаще всего брандмауэр устанавливают на границе периметра локальной сети, чтобы защитить внутренние устройства от внешних угроз. Возможна такая ситуация, когда внутренние узлы будут являться источниками атак – тогда подверженное атаке устройство будет расположено внутри сети и трафик не выйдет за пределы сетевого периметра, соответственно межсетевой экран не выполнит фильтрацию трафика согласно установленным шаблонам. Поэтому межсетевые экраны могут быть размещены между различными участками внутренней сети, чтобы обеспечивать больший уровень безопасности.
Для обработки трафика возможны два варианта настройки файрвола. Первый – всё, что не запрещено, то разрешено. В данном случае пакеты, не попадающие ни под один шаблон, передаются межсетевым экраном дальше. Противоположная ситуация: всё, что не разрешено – запрещено. При таком варианте настроек межсетевой экран обеспечивает большую безопасность, потому что блокируется весь трафик, который не одобрен правилами. Недостатком данного варианта является дополнительная нагрузка на системного администратора.
По исполнению межсетевые экраны подразделяются на программные и программно-аппаратные. В свою очередь программно-аппаратные вариант имеют две разновидности – отдельный модуль в маршрутизаторе или в виде аппаратного решения специального назначения.
Достаточно часто используются программные решения, потому что для их применения необходимо приобрести (либо использовать бесплатный) межсетевой экран и установить его на свободный, подходящий по системным требованиям компьютер. Если на предприятии свободного компьютера нет, его необходимо приобрести. После этого необходимо выполнить установку и настройку операционной системы, а также самого межсетевого экрана. Однако всё большее распространение получают специализированные устройства защиты (безопасности) – security appliance, работающие на базе NIX-систем (например FreeBSD) или собственных версиях операционных систем, оптимизированных для выполнения только необходимых функций.
У межсетевых экранов есть свои недостатки. Например, он может фильтровать только тот трафик, который способен распознать. Существуют протоколы, использующие криптографию, чтобы содержимое невозможно было прочитать, как следствие трафик не может быть распознан. Существуют протоколы, которые шифруют данные прикладного уровня, как следствие фильтрация трафика, которая содержится на данном сетевом уровне, становится невозможной. Также у традиционных межсетевых экранов отсутствуют встроенные механизмы антивирусной защиты, они не обеспечивают защиту пользователей, которые могут загрузить вирусы из Интернета, так как они могут быть зашифрованы или сжаты разнообразными способами.
Чтобы обеспечить защиту информационных ресурсов в локальной сети организации, важно использование комплексного подхода к обеспечению информационной безопасности для достижения максимальной эффективности сильных сторон межсетевого экрана, а также компенсировать их недостатки с помощью других средств безопасности.
Для защиты от вирусов используются специальные программные средства – антивирусы, а также резервное копирование информации. Резервное копирование информации выступает как страховка от некорректных действий пользователя, физической порчи носителей информации, а также воздействия вредоносного программного обеспечения.
Антивирусная программа (антивирус) – любая программа для обнаружения компьютерных вирусов, а также считающихся вредоносными программ и восстановления зараженных или модифицированных такими программами файлов. Кроме того антивирусы применяются для профилактики, чтобы предотвратить заражение системы вредоносным кодом.
К основным симптомам заражения системы вирусами относятся следующие события:
– отображение на экране посторонних сообщений или изображений – так себя проявляет рекламное программное обеспечение;
– изменение размера файла, даты и времени его модификации, а также искажение или пропажа каталогов и файлов – возможное воздействие файловых вирусов;
– частые сбои в работе компьютера, низкая скорость работы, вызванная снижением размера свободной оперативной памяти и высокой загрузкой процессора;
– проблемы с загрузкой операционной системы – возможное воздействие буткитов, руткитов или файловых вирусов.
Стоит отметить, что данные события могут быть вызваны не только появлением в системе вредоносного программного обеспечения, но и являться следствием других причин. Поэтому правильная диагностика состояния компьютера всегда затруднена и обычно требует привлечения специализированных программ[4].
На сегодняшний день существует большое количество антивирусных программ, различающихся как по модели распространения (бесплатные или платные), так и по заложенному в них функционалу. Для выполнения своих задач обычно используются следующие методы:
– анализ содержимого файлов – в данный метод включают сканирование сигнатур вирусов, проверку целостности и наличие подозрительных команд;
– отслеживание подозрительного поведения программ при их выполнении.
Сигнатурный анализ основывается на поиске сигнатур. Сигнатура – уникальная последовательность байтов в файлах, специфичная для каждого вируса. Для каждого нового вируса разработчиками антивирусных программ выполняется анализ вредоносного кода, после чего определяется его сигнатура. Полученный результат помещают в базу данных вирусных сигнатур, с которой работает антивирусная программа. Преимуществом данного метода является достаточно низкий процент ложных срабатываний. Главный недостаток – невозможность обнаружения новых версий вредоносного программного обеспечения из-за отсутствия сигнатур в базе данных антивирусной программы (так называемые угрозы нулевого дня). Соответственно, необходимо как можно чаще обновлять антивирусные базы.
Метод контроля целостности основан на том, что любое внезапное изменение данных на носителях информации это подозрительное событие, которому требуется внимание антивирусной программы. Чаще всего вредоносное программное обеспечение оставляет следы своей деятельности – модификация существующих, особенно системных или исполняемых файлов, а также появление новых файлов. Факт нарушения целостности устанавливается путем сравнения контрольной суммы, подсчитанной для первичного состояния проверяемого кода, и контрольной суммы актуального состояния исследуемого кода. Если выявлены различия, из этого следует, что целостность нарушена и необходимо провести дополнительную проверку путём сканирования вирусных сигнатур. Данный способ выполняется быстрее, чем сигнатурный анализ, так как расчёт контрольных сумм и ведение специального журнала расходует меньше вычислений, чем операция побайтового сравнения программного кода. Также он позволяет обнаружить результаты воздействия неизвестных вирусов, у которых еще нет сигнатур в базах.
Эвристическое эвристический метод (метод сканирования подозрительных команд) – выявляет в проверяемом файле наличие подозрительных команд или признаки странных последовательностей программного кода (шифрование файлов, форматирование жесткого диска или внедрение в выполняемый программный код). Модуль эвристики содержит список типичных действий вредоносного программного обеспечения и во время проверки системы пытается обнаружить характерный для него код. На основании выполненного анализа программа делает предположение о вредоносности проверенного файла и принимает решение о необходимости дополнительной проверки. Этот метод обладает хорошим быстродействием, к тому же позволяет распознавать новые вирусы. Наличие модуля эвристического анализа неотъемлемая часть современных антивирусных программ.
Метод отслеживания подозрительного поведения программ – технология проактивной защиты, построенная на анализе поведения. Также данный метод имеет следующие названия: HIPS, Host-based Intrusion Prevention System, система предотвращения вторжений. Ввиду того, что принцип действия HIPS основан на проактивных технологиях защиты, программные решения данного класса не используют базы данных сигнатур вирусов и не выполняют их обнаружение. Проактивные технологии – множество технологий, которые используются в антивирусном программном обеспечении, главной задачей которых, в отличии от сигнатурных технологий, является предотвращение заражения системы вредоносным программным обеспечением, а не его поиск в системе. К проактивным технологиям относят: эвристический анализ, эмуляцию кода, анализ поведения и метод под названием «песочница». HIPS-продукты выполняют изучение активности не только выполняемых программ, но и модулей системы, и блокируют нежелательные действия в системе пользователя. Изучение активности выполняется путем перехвата системных функций, что обеспечивает достаточно высокую эффективность. С другой стороны программы данного типа требуют от пользователя постоянного участия и определенного уровня знаний для грамотной настройки антивируса. К серьезным недостаткам системы предотвращения вторжений относят возможное блокирование легитимных программ – так называемые ложные срабатывания и снижение уровня внимания пользователя ввиду возможного частого срабатывания HIPS-модуля.
Метод эмуляции кода позволяет выполнять приложения в отдельной области памяти, в которой эмулируются функции операционной системы. В данном режиме приложение не может причинить ущерб системе пользователя, так как нежелательные действия будут обнаружены эмулятором. К сожалению, данный метод имеет существенный недостаток – для его функционирования требуется достаточно количество ресурсов рабочей станции, что в свою очередь негативно сказывается на производительности при обработке повседневных задач.
Ещё одна проактивная технология – sandbox или песочница. Песочница – специально выделенный набор системных ресурсов для безопасного запуска программного обеспечения, который ограничивает возможные угрозы таким образом, чтобы они не нанесли ущерба. При выполнении приложения в песочнице у него нет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Данная технология достаточно эффективна для противодействия современным угрозам, но точно так же имеет недостатки, как и метод эмуляции: высокая нагрузка на систему и определенный уровень знаний пользователя.
Антивирусная защита предприятия – один из самых важных вопросов информационной безопасности ресурсов организации. Это объясняется стремительным ростом числа компьютерных вирусов и относительно низким уровнем компьютерной грамотности. Информационные технологии находятся в постоянном развитии, одновременно с ними растет число угроз информационной безопасности.
Небольшие организации, использующие не более 10 узлов, чаще всего используют антивирусные решения с графическим интерфейсом и возможностью локальных настроек. Крупные предприятия используют более продвинутые корпоративные решения антивирусной защиты, в которых реализованы консоли управления и подчиняющиеся единому центру. Такие решения позволяют обеспечить оперативное централизованное управление локальными антивирусными клиентами и дают возможность при необходимости интегрироваться с другими решениями в области безопасности корпоративных сетей[5].
Системы активного мониторинга (DLP-системы, системы предотвращение утечек) – технологии, предназначенные для предотвращения утечек конфиденциальной информации из информационной системы за пределы заданного периметра. Также данные системы включают в себя активные компоненты (программные или программно-аппаратные) для предотвращения утечек. Если рассмотренные выше средства защиты в основном обеспечивают защиту от внешних угроз, то DLP-системы обеспечивают защиту от внутренних.
Системы предотвращения утечек обычно включают в себя элементы сетевого уровня и локальные модули. Сетевые элементы обеспечивают контроль трафика, который пересекает периметр информационной системы. Типичным местом установки являются сервера разных типов (прокси-сервера, почтовые). Локальные компоненты устанавливаются на рабочих местах сотрудников и позволяют контролировать запись информации на внешние носители информации либо её вывод на печать. DLP-система должна иметь компоненты обоих указанных типов, а также модуль для централизованного управления.
Преимуществом этого метода защиты информации является возможность создания виртуальной изолированной среды обработки конфиденциальной информации без физического выделения отдельной информационной системы для работы с данными ограниченного доступа. Кроме того, системы этого типа позволяют программно ограничить вывод информации на внешние носители, что избавляет от необходимости физического удаления из компьютеров устройств записи информации, а также опечатывания портов и системных блоков. Однако применение систем активного мониторинга влечёт за собой установку дополнительного программного обеспечения на каждую рабочую станцию, что потенциально может привести к увеличению сложности администрирования информационной системы, но и к возможным конфликтам в работе программ системы.
Чтобы предотвратить утечки конфиденциальных данных, могут применяться средства криптографической защиты информации.
Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства[6]. Криптография известна с древних времён, её история насчитывает несколько тысяч лет.
В основе криптографии лежат методы шифрования и расшифровывания. Шифрование – это преобразование информации, делающее ее нечитаемой для посторонних. Соответственно, расшифровывание – процесс, обратный шифрованию, в ходе которого зашифрованные данные преобразуются в открытые при помощи ключа. Ключ шифрования – секретный набор символов, используемый криптографическим алгоритмом для шифрования (расшифровывания) сообщения, использования и проверки цифровой подписи, вычисления кодов аутентичности. Криптография и алгоритмы шифрования данных используются в условиях, когда отправитель и получатель не могут быть уверены в том, что передаваемые данные не будут перехвачены неавторизованным лицом. В таком случае секретность данных будет обеспечена, несмотря на перехват, без расшифровки прочитать их невозможно.
Криптографические алгоритмы делятся на бесключевые, одноключевые и двухключевые. Как следует из названий, бесключевые алгоритмы не используют ключей шифрования, одноключевой использует один ключ, двухключевой – два ключа соответственно. Для реализации бесключевых алгоритмов чаще всего используют хэширование. Хеш-функция – функция, которая преобразует произвольное сообщение в число фиксированной длины. Своё широкое распространение данный способ получил из-за сравнительной простоты и низкой нагрузки на вычислительные ресурсы. Для криптографической хеш-функции достаточно трудно рассчитать обратную функцию, чаще всего используется для подтверждения целостности данных. Наиболее распространены следующие хэш-функции: MD5, SHA-1, SHA-2, ГОСТ Р 34.11-2012.
Одноключевые криптографические системы для операций по шифрованию и расшифровке информации используют одинаковый секретный ключ. Таким образом, сохранение данного ключа в тайне позволит предотвратить несанкционированный доступ к конфиденциальным данным. Объем информации в ключе обычно измеряется в битах. Для современных симметричных алгоритмов шифрование с длиной ключа от 128 бит и выше считается стойким, расшифровка информации без ключа даже и использованием суперкомпьютеров может занять годы. Для асимметричных алгоритмов минимальная надёжная длина ключа в настоящее время от 191 бита и выше, в зависимости от того, на каком методе они основаны.
Современные одноключевые криптографические системы используют симметричные схемы (также их могут называть традиционными или шифрование с секретным ключом), которые в свою очередь подразделяются на блочные и поточные. Блочный шифр – одна из разновидностей симметричного шифра, оперирующего блоками фиксированной длины размером от 64 до 256 бит. Данная технология является важной составляющей многих криптографических систем и достаточно часто её используют для защиты данных при передаче по сети. Подлинность данных обеспечивается тем, что достаточно сложно произвести изменение и подмену зашифрованного сообщения без его предварительной расшифровки. Ложное сообщение также невозможно корректно зашифровать, не зная секретного ключа. Целостность данных в свою очередь обеспечивает имитовставка – специальный код, вырабатываемый при помощи секретного ключа. Несомненным достоинством является сходство процессов шифрования и расшифровывания, что упрощает создание устройств шифрования. Блочные шифры также используются для построения других криптографических технологий: имитовставки и поточного шифра.
Потоковый (поточный) шифр – это симметричный шифр, в котором каждый символ открытого текста преобразуется в символ шифрованного текста в зависимости не только от используемого ключа, но и от его расположения в потоке открытого текста.
Самое важное преимущество поточного шифра перед блочным – очень высокая скорость шифрования данных, которая позволяет обеспечивать шифрование входной информации в режиме реального времени, причем не важен ни объем, ни разрядность потока входных данных. Существенными недостатками данного метода являются следующие пункты:
– проблема безопасного распространения секретных ключей – существует проблема выбора безопасного механизма, чтобы отправитель и получатель могли тайно от всех выбрать ключ;
– необходимость хранения отдельного секретного ключа для всех адресатов;
– так как оба пользователя пользуются одним и тем же ключом при использовании симметричного шифрования, возникает проблема удостоверить личность отправителя.
Основными видами симметричных шифров на сегодня являются: AES, ГОСТ 28147-89, DES, 3DES, RC2, RC4, RC5.
Двухключевые криптографические системы так называются, потому что в своей работе используют набор из двух ключей – открытого и закрытого. При этом для их функционирования используются ассиметричные алгоритмы шифрования. Ассиметричные ключи, используемые в ассиметричных алгоритмах, нашли свое применение при использовании электронных цифровых подписей.
Открытый ключ – может быть использован для проверки подлинности подписанного документа, а также для выявления случаев мошенничества. Открытый ключ подписи является значением функции закрытого ключа, но сам открытый ключ не может дать возможность узнать значение закрытого ключа.
Закрытый ключ известен только своему владельцу. Неразглашение пользователем закрытого ключа обеспечивает невозможность подделки злоумышленником документа и цифровой подписи от имени авторизованного лица.
К преимуществам двухключевых криптографических систем относят:
– отсутствие необходимости в защищенном канале связи;
– пропорциональность количества ключей количеству узлов в сети обмена сообщениями;
– возможность держать в секрете ключ только у одного пользователя.
Недостатками двухключевых криптосистем являются:
– более низкая скорость шифрования, чем у одноключевых криптографических систем;
– необходимость использования ключей большей длины, чем одноключевые криптосистемы;
– более сложные для анализа алгоритмы.
Основными видами ассиметричных шифров на сегодня являются: ГОСТ Р 34.10-2012, RSA, DSA, обмен ключами Диффи — Хелмана.
Для зашифрованного послания остаётся некоторая вероятность искажения исходного сообщения или его замены на другое. Возможным решением данного вопроса является контрольная сумма. Методы вычисления контрольных сумм выполнены так, чтобы поддерживалась их уникальность для каждого сообщения. Как следствие, возможность замены сообщения другим с сохранением одинакового значения контрольной суммы, устраняется. Еще одна задача при использовании контрольных сумм – передача их адресату. Путём решения данной проблемы становится включение контрольной суммы в электронную подпись.
Электронная подпись – это реквизит электронного документа, полученный после шифрования, который позволяет идентифицировать его автора, определить неизменность документа после подписания защитить от подделки и несанкционированного просмотра.
Важной проблемой систем электронной подписи является управление открытыми ключами. Доступность открытого ключа всем пользователям порождает необходимость механизма проверки принадлежности именно своему владельцу. Задача обеспечения доступа каждого участника к подлинному открытому ключу другого пользователя и защиты этих ключей от подмены злоумышленником, а также в случае его компрометации выполнить отзыв.
Решением задачи подмены ключей являются сертификаты. Данные о владельце, а также открытый ключ можно удостоверить при помощи сертификатов. Системы сертификатов подразделяются на централизованные и децентрализованные. Децентрализованных системы основаны на перекрёстном подписывании сертификатов доверенных людей каждым пользователем – таким образом строится сеть доверия. Отличием централизованных систем является использование центров сертификации.
Центр сертификации выпускает свой собственный сертификат и закрытый ключ, выпускает сертификат конечного пользователя, а также их своей цифровой подписью. Если необходимо, центр выполняет отзыв сертификатов с истекшим сроком использования, скомпрометированных сертификатов и выполняет учёт выданных и отозванных сертификатов.
Слабым звеном цифровой подписи является закрытый ключ. Завладев закрытым ключом пользователя, злоумышленник, может подписать любой электронный документ от лица авторизованного пользователя. Необходимо уделять особое внимание сохранности закрытого ключа.
В настоящее время существуют следующие устройства хранения закрытого ключа: USB-накопители, смарт-карты, реестр. Хищение или утеря носителя информации с закрытым ключом может быть обнаружена пользователем, после чего скомпрометированный сертификат необходимо немедленно отозвать.
К нормативно-правовым средствам обеспечения информационной безопасности можно отнести международные договора о защите информации и государственной тайны, к которым присоединилось наше государство, чтобы обеспечить надежную информационную безопасность Российской Федерации. Правовое обеспечение информационной безопасности нашей страны регламентируется доктриной информационной безопасности. Также правовую защиту информации обеспечивают указы Президента РФ и постановления Правительства, ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Кроме того информационную безопасность обеспечивают разнообразные локальные нормативные акты и инструкции.
ЗАКЛЮЧЕНИЕ
В данной курсовой работе рассмотрены основные виды угроз безопасности информации, а также способы ее защиты.
Ввиду стремительного развития информационных технологий также стремительно растет и уязвимость автоматизированных информационных систем, поэтому на первое место выходит вопрос обеспечения информационной безопасности. Решением данной задачи занимаются не только лучшие специалисты в области компьютерных технологий, представители сферы электронной коммерции.
Без высококвалифицированных знаний и грамотного использования средств защиты информации невозможно гарантировать высокой степени защищенности информационных систем. Тем не менее, нужно понимать, что идеальной защиты не существует, невозможно реализовать максимальную надежность и безопасность информационной системы. Однако, реализуя комплексный подход к обеспечению защиты информации можно минимизировать риски, связанные информационной безопасностью.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Алехина, Г.В. Информатика и информационно-коммуникационные технологии [Электронный ресурс]. /Г.В. Алехина, М.В. Козлов, В.В. Надолинный, П.Г. Пронкин, Н.Я. Спивакова. – http://e-biblio.ru/book/bib/01_informatika/informatica/sg/sg_part2.html#_Toc271190056
2. Галатенко, В.А. Информационная безопасность [Электронный ресурс]. – https://www.osp.ru/os/1996/01/178790
3. Алехина, Г.В. Информатика и информационно-коммуникационные технологии [Электронный ресурс]. /Г.В. Алехина, М.В. Козлов, В.В. Надолинный, П.Г. Пронкин, Н.Я. Спивакова. – http://e-biblio.ru/book/bib/01_informatika/informatica/sg/sg_part2.html#_Toc271190056
4. Акиншин, Р. Н. Передача и защита информации в каналах связи распределенных информационных систем: [монография] / Р. Н. Акиншин, А. А. Бирюков, А. В. Сушков; [рецензенты: Ф. А. Басалов, Л. Н. Толкалин]; Федер. агентство по образованию, ТулГУ. - Тула: Изд-во ТулГУ, 2007. - 270 с.
5. Васильков, А.В. Безопасность и управление доступом в информационных системах: учебное пособие для студентов образовательных учреждений среднего профессионального образования / А. В. Васильков, И. А. Васильков. - Москва: Форум, 2010. - 367 с.
6. Википедия [Электронный ресурс]. – https://ru.wikipedia.org/wiki/Криптография
7. Шнайер, Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си [Текст]/ Б. Шнайер – М.: Триумф, 2002. – 816 с.
8. Шнайер, Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си [Текст]/ Б. Шнайер – М.: Триумф, 2002. – 816 с.
- Проектирование реализации операций бизнес-процесса «Запасы-склад (приходование товара)»(Выбор комплекса задач автоматизации.)
- Методика защиты информации в системах электронного документооборота ( ПОСТРОЕНИЕ ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА НА ПРЕДПРИЯТИИ )
- Директ-костинг (Бухгалтерский учет, анализ и аудит)
- Годовая бухгалтерская отчетность организации: состав, характеристика и взаимосвязь форм отчетности
- Нотариат в Российской Федерации(Краткая история развития нотариального дела)
- Общая характеристика оперативно-розыскных мероприятий ( ПОНЯТИЕ ОПЕРАТИВНО-РОЗЫСКНОГО МЕРОПРИЯТИЯ )
- Разработка регламента выполнения процесса «Учет реализации лекарственных препаратов через аптечную сеть» (Анализ предметной области)
- Понятие правонарушения ( Юридический состав правонарушения)
- Органы исполнительной власти»
- Изучение понятия и основ оперативно-розыскной деятельности
- Выбор стиля руководства организации(Теоретические аспекты стилей руководства в организации)
- Роль мотивации в поведение организации (Мотивация в современных условиях)