Программные средства обеспечения защиты информации. Типовые программно-технические средства защиты информации К программным средствам защиты информации относятся

Министерство образования Саратовской области

Дипломная работа

Программные и аппаратные средства защиты информации

г. Энгельс, 2014 г.

Введение

Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

· доступность (возможность за разумное время получить требуемую информационную услугу);

· целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

· конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.

1. Программные средства защиты информации

Программными называются средства защиты данных, функционирующие в составе программного обеспечения. Среди них можно выделить следующие:

средства архивации данных

антивирусные программы

криптографические средства

средства идентификации и аутентификации пользователей

средства управления доступом

протоколирование и аудит

Как примеры комбинаций вышеперечисленных мер можно привести:

защиту баз данных

защиту информации при работе в компьютерных сетях.

1 Средства архивации информации

Иногда резервные копии информации приходится выполнять при общей ограниченности ресурсов размещения данных, например владельцам персональных компьютеров.

В этих случаях используют программную архивацию. Архивация это слияние нескольких файлов и даже каталогов в единый файл - архив, одновременно с сокращением общего объема исходных файлов путем устранения избыточности, но без потерь информации, т. е. с возможностью точного восстановления исходных файлов.

Действие большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг.

Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы:

ZIP (рис. 1.1), ARJ для операционных систем DOS и Windows,

TAR для операционной системы Unix,

межплатформный формат JAR (Java ARchive),

Рис. 1.1. Общий вид архиватора WinZip.

RAR (рис. 1.2) используется в операционных системах DOS, Windows и Unix.

Рис. 1.2. Общий вид архиватора WinRar.

Пользователю следует лишь выбрать для себя подходящую программу, обеспечивающую работу с выбранным форматом, путем оценки ее характеристик - быстродействия, степени сжатия, совместимости с большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.

Также очень важно установить постоянный график проведения таких работ по архивации данных или выполнять их после большого обновления данных.

2 Антивирусные программы

2.1 Компьютерные вирусы

Неискушенные пользователи обычно считают, что компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять нежелательные различные действия на компьютере. Специалисты по компьютерной вирусологии определяют, что свойством вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить, что это условие не является достаточным т.е. окончательным. Вот почему точного определения вируса нет до сих пор, и вряд ли оно появится в обозримом будущем.

Следовательно, нет точно определенного закона, по которому "хорошие" файлы можно отличить от "вирусов". Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.

По среде обитания вирусы можно разделить на:

файловые;

загрузочные;

макровирусы;

Файловые вирусы (рис. 1.3) либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Рис. 1.3. Вирус в файле MOUSE.COM.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

Загрузочные вирусы (рис. 1.4) заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска.

Рис. 1.4. Вирус в загрузочной записи.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора, загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла. Пример сетевых вирусов - так называемые IRC-черви.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Кроме вирусов принято выделять еще несколько видов вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы, и т. д.

По основному назначению троянские программы (рис.1.5) совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

Рис. 1.5. Троянская прогамма в Windows.

Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных. Можно, скажем, создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных.

Широко известная программа-червь была написана студентом Корнельского университета Робертом Моррисом. Червь Морриса был запущен в Интернет 2 ноября 1988 г. и за 5 часов смог проникнуть более чем на 6000 компьютеров.

Некоторые вирусы-черви (например, Code Red) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.

2.2 Методы обнаружения и удаления компьютерных вирусов

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Профилактика заражения компьютера.

Восстановление пораженных объектов.

Антивирусные программы.

2.2.1 Профилактика заражения компьютера

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Выводы - следует избегать контактов с подозрительными источниками информации и пользоваться только законными (лицензионными) программными продуктами. К сожалению, в нашей стране это не всегда возможно.

2.2.2 Восстановление пораженных объектов

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно - несколько дней или недель) получить лекарство - "апдейт" против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно. Для большинства пользователей необходимо иметь резервные копии своей информации.

2.2.3 Классификация антивирусных программ

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры. Следом за ними по эффективности и популярности следуют CRC-сканеры. Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

2.2.4 Антивирусные сканеры

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы.

Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на "резидентные" (мониторы, сторожа), производящие сканирование "на-лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам - относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы:

AVP - Касперского (рис. 1.6),

Рис. 1.6. Антивирус Касперского 2010.

Dr.Weber - Данилова,

Norton Antivirus фирмы Semantic.

1.2.2.5 CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту "слабость" CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVP Inspector.

2.2.6 Блокировщики

Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда". К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ.

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера ("железа"). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание" защиты.

3 Криптографические методы защиты

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный)

Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. (Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.)

Электронная подпись (рис.1.7). Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Рис. 1.7. Электронно-цифровая подпись.

Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

4 Идентификация и аутентификация

Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:

нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения,

нечто, ассоциированное с ним, например координаты

Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи.

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

управление сроком действия паролей, их периодическая смена;

ограничение доступа к файлу паролей;

ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;

обучение и воспитание пользователей;

использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен (рис. 1.8) - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

По принципу действия интеллектуальные токены можно разделить на следующие категории.

Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.

Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.

5 Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа - какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска(объект), право доступа на модификацию данных в каком-то каталоге(объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.

архивация информация защита антивирусный

2. Аппаратные средства защиты информации

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

· специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

· устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации.

1 Аппаратные ключи защиты

Уже много лет на рынке средств защиты программ от несанкционированного тиражирования присутствуют так называемые аппаратные ключи защиты (Dongles). Разумеется, компании, продающие такие устройства, представляют их если не как панацею, то уж как надежное средство противодействия компьютерному пиратству. Но насколько серьезным препятствием могут служить аппаратные ключи? Аппаратные ключи защиты можно пытаться классифицировать по нескольким признакам. Если рассматривать возможные типы подключения, то бывают, например, ключи на порт принтера (LPT), последовательный порт (СОМ), USB-порт и ключи, подключаемые к специальной плате, вставляемой внутрь компьютера.

Можно при сравнении ключей анализировать удобство и функциональность сопутствующего программного обеспечения. Например, для некоторых семейств аппаратных ключей разработаны автоматические протекторы, позволяющие защитить программу "за один клик", а для некоторых такие протекторы отсутствуют.

Ключи с памятью. Это, наверное, самый простой тип ключей. Ключи с памятью имеют определенное число ячеек, из которых разрешено считывание. В некоторые из этих ячеек также может производиться запись. Обычно в ячейках, недоступных для записи, хранится уникальный идентификатор ключа.

Когда-то давно существовали ключи, в которых перезаписываемой памяти не было вообще, а программисту для считывания был доступен только идентификатор ключа. Но очевидно, что на ключах с такой функциональностью построить серьезную защиту просто невозможно. Правда, и ключи с памятью не способны противостоять эмуляции. Достаточно один раз прочитать всю память и сохранить ее в эмуляторе. После этого правильно эмулировать ответы на все запросы к ключу не составит большого труда.

Таким образом, аппаратные ключи с памятью в заданных условиях не способны дать никаких преимуществ по сравнению с чисто программными системами.

Ключи с неизвестным алгоритмом. Многие современные аппаратные ключи содержат секретную функцию преобразования данных, на которой и основывается секретность ключа. Иногда программисту предоставляется возможность выбрать константы, являющиеся параметрами преобразования, но сам алгоритм остается неизвестным.

Проверка наличия ключа должна выполняться следующим образом. При разработке защиты программист делает несколько запросов к алгоритму и запоминает полученные ответы. Эти ответы в какой-то форме кодируются в программе. Во время выполнения программа повторяет те же запросы и сравнивает полученные ответы с сохраненными значениями. Если обнаруживается несовпадение, значит, программа получает ответ не от оригинального ключа.

Эта схема имеет один существенный недостаток. Так как защищенная программа имеет конечный размер, то количество правильных ответов, которые она может хранить, также является конечным. А это значит, что существует возможность построения табличного эмулятора, который будет знать правильные ответы на все запросы, результат которых может проверить программа.

Ключи с таймером. Некоторые производители аппаратных ключей предлагают модели, имеющие встроенный таймер. Но для того, чтобы таймер мог работать в то время, когда ключ не подключен к компьютеру, необходим встроенный источник питания. Среднее время жизни батареи, питающей таймер, составляет 4 года, и после ее разрядки ключ перестанет правильно функционировать. Возможно, именно из-за сравнительно короткого времени жизни ключи с таймером применяются довольно редко. Но как таймер может помочь усилить защищенность?

Ключи HASP Time предоставляют возможность узнавать текущее время, установленное на встроенных в ключ часах. И защищенная программа может использовать ключ для того, чтобы отследить окончание тестового периода. Но очевидно, что эмулятор позволяет возвращать любые показания таймера, т. е. аппаратная часть никак не повышает стойкость защиты. Хорошей комбинацией является алгоритм, связанный с таймером. Если алгоритм может быть деактивирован в определенный день и час, очень легко будет реализовывать демонстрационные версии программ, ограниченные по времени.

Но, к сожалению, ни один из двух самых популярных в России разработчиков аппаратных ключей не предоставляет такой возможности. Ключи HASP, производимые компанией Aladdin, не поддерживают активацию и деактивацию алгоритмов. А ключи Sentinel SuperPro, разработанные в Rainbow Technologies, не содержат таймера.

Ключи с известным алгоритмом. В некоторых ключах программисту, реализующему защиту, предоставляется возможность выбрать из множества возможных преобразований данных, реализуемых ключом, одно конкретное преобразование. Причем подразумевается, что программист знает все детали выбранного преобразования и может повторить обратное преобразование в чисто программной системе. Например, аппаратный ключ реализует симметричный алгоритм шифрования, а программист имеет возможность выбирать используемый ключ шифрования. Разумеется, ни у кого не должно быть возможности прочитать значение ключа шифрования из аппаратного ключа.

В такой схеме программа может передавать данные на вход аппаратного ключа и получать в ответ результат шифрования на выбранном ключе. Но тут возникает дилемма. Если в программе отсутствует ключ шифрования, то возвращаемые данные можно проверять только табличным способом, а значит, в ограниченном объеме. Фактически имеем аппаратный ключ с неизвестным программе алгоритмом. Если же ключ шифрования известен программе, то можно проверить правильность обработки любого объема данных, но при этом существует возможность извлечения ключа шифрования и построения эмулятора. А если такая возможность существует, противник обязательно попытается ею воспользоваться.

Ключи с программируемым алгоритмом. Очень интересным решением с точки зрения стойкости защиты являются аппаратные ключи, в которых может быть реализован произвольный алгоритм. Сложность алгоритма ограничивается только объемом памяти и системой команд ключа. В этом случае для защиты программы важная часть вычислений переносится в ключ, и у противника не будет возможности запротоколировать правильные ответы на все запросы или восстановить алгоритм по функции проверки. Ведь проверка, как таковая, может вообще не выполняться - результаты, возвращаемые ключом, являются промежуточными величинами в вычислении какой-то сложной функции, а подаваемые на вход значения зависят не от программы, а от обрабатываемых данных.

Главное - это реализовать в ключе такую функцию, чтобы противник не смог по контексту догадаться, какие именно операции производятся в ключе.

2.2 Биометрические средства защиты

Биометрика - это научная дисциплина, изучающая способы измерения различных параметров человека с целью установления сходства или различий между людьми и выделения одного конкретного человека из множества других людей, или, другими словами, - наука, изучающая методики распознавания конкретного человека по его индивидуальным параметрам.

Современные биометрические технологии могут применяться и применяются не только в серьезных режимных учреждениях, но и в повседневной жизни. Зачем нужны смарт-карты, ключи, пароли и другие подобные вещи, если они могут быть украдены, потеряны, забыты? Новое информационное общество требует от нас запоминания множества пин-кодов, паролей, номеров для электронной почты, доступа в Интернет, к сайту, к телефону… Список можно продолжать практически бесконечно. На помощь, пожалуй, сможет прийти только ваш уникальный личный биометрический пропуск - палец, рука или глаз. А во многих странах - и идентификатор личности, т. е. чип с вашими индивидуальными биометрическими параметрами, уже зашитый в документах, удостоверяющих личность.

Биометрическая система, независимо от того, на какой из технологий она построена, работает по следующему принципу: сначала записывается образец биометрической характеристики человека, для большей точности часто делается несколько образцов. Собранные данные обрабатываются, переводятся в цифровой код.

При идентификации и верификации в систему вводятся характеристики проверяемого человека. Далее они оцифровываются, а затем сравниваются с сохраненными образцами. По некоторому алгоритму система выявляет, совпадают они или нет, и выносит решение о том, удалось ли идентифицировать человека по предъявленным данным или нет.

В биометрических системах могут быть использованы физиологические или поведенческие характеристики. К физиологическим относятся отпечатки пальцев, форма кисти руки, характеристики лица, рисунок радужной оболочки глаза. К поведенческим характеристикам можно отнести особенности или характерные черты поведения человека, приобретенные или появившиеся со временем, это могут быть динамика подписи, тембр голоса, динамика нажатия на клавиши и даже походка человека. Биометрические системы оценивают по двум основным параметрам: ошибкам первого рода - вероятность допуска "чужого" и второго рода - вероятность в отказе "своему". Современные системы могут обеспечивать вероятность ошибки первого рода в районе 0,001%, второго - около 1-5%.

Одним из важнейших критериев наряду с точностью идентификации и верификации при разработке систем является "дружелюбность" каждой из технологий. Процесс должен быть быстрым и простым: например, встать перед видеокамерой, сказать несколько слов в микрофон или дотронуться до сканера отпечатков пальцев. Основным преимуществом биометрических технологий является быстрая и простая идентификация без причинения особых неудобств человеку.

Идентификация по отпечаткам пальцев - наиболее распространенная и развитая биометрическая технология. До 60% биометрических приборов используют именно ее. Плюсы здесь очевидны: отпечатки пальцев каждого человека уникальны по своему рисунку, даже у близнецов они не совпадают. Сканеры последних поколений стали надежны, компактны и весьма доступны по цене. Для снятия отпечатка и дальнейшего распознавания образца используются три основные технологии: оптическая, полупроводниковая и ультразвуковая.

2.2.1 Оптические сканеры

В основе их работы лежат оптические методы получения изображения. - FTIR-сканеры (рис. 2.1) используют эффект нарушенного полного внутреннего отражения. При этом палец просвечивается, а для приема световой картинки используется специальная камера.

Рис. 2.1. FTIR-сканеры.

Оптоволоконные сканеры представляют оптоволоконную матрицу, каждое волокно которой снабжено фотоэлементом. Принцип получения рисунка - фиксация остаточного света, проходящего через палец к поверхности сканера.

Электрооптические сканеры (рис. 2.2). Специальный электрооптический полимер с помощью светоизлучающего слоя высвечивает отпечаток пальца, который фиксируется с помощью специальной камеры.

Рис. 2.2. Электрооптические сканеры.

Бесконтактные сканеры (рис. 2.3). Палец прикладывается к специальному отверстию в сканере, несколько источников света его подсвечивают снизу. Отраженный свет через собирательную линзу проецируется на камеру. Контакта с поверхностью считывающего устройства не происходит.

Рис. 2.3. Бесконтактные сканеры.

Роликовые сканеры (Roller-Style Scanners). При сканировании пользователь пальцем прокатывает небольшой прозрачный цилиндр. Внутри него размещены статический источник света, линза и камера. Во время движения пальца производится серия снимков папиллярного узора, соприкасающегося с поверхностью.

2.2 Полупроводниковые сканеры

В основе их действия лежит использование свойств полупроводников, изменяющихся в местах контакта с гребнями папиллярного узора. Во всех полупроводниковых сканерах применяется матрица чувствительных микроэлементов.

Емкостные сканеры (рис. 2.4) построены на эффекте изменения емкости pn-перехода полупроводникового прибора при контакте гребня папиллярного узора и элемента полупроводниковой матрицы.

Рис. 2.4. Емкостные сканеры.

Чувствительные к давлению сканеры (pressure scanners). При прикладывании пальца к сканирующей поверхности выступы папиллярного узора оказывают давление на ряд сенсоров матрицы из пьезоэлементов, соответственно впадины никакого давления не оказывают. Матрица полученных напряжений преобразуется в изображение поверхности пальца.

Термо-сканеры (thermal scanners) - используются сенсоры, состоящие из пироэлектрических элементов, позволяющих фиксировать разницу температуры и преобразовывать ее в напряжение. При прикладывании пальца к сенсору по разнице температуры выступов папиллярного узора и температуры воздуха, находящегося во впадинах, строится температурная карта поверхности пальца, которая преобразуется в цифровое изображение.

Радиочастотные сканеры (рис. 2.5) - используется матрица чувствительных элементов, каждый из которых работает как маленькая антенна. Слабый радиосигнал направляется на сканируемую поверхность пальца, каждый из чувствительных элементов матрицы принимает отраженный от папиллярного узора сигнал. Величина наведенной в каждой микроантенне ЭДС зависит от наличия или отсутствия вблизи нее гребня папиллярного узора. Полученная таким образом матрица напряжений преобразуется в цифровое изображение отпечатка пальца.

Рис. 2.5. Радиочастотные сканеры

3. Защита информации при работе в сетях

В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей.

1 Межсетевые экраны и требования к ним

Межсетевые экраны (рис. 3.1) можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия "внутри" и "снаружи", причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.

Рис. 3.1. Межсетевой экран.

При конфигурировании межсетевых экранов основные конструктивные решения заранее задаются политикой безопасности, принятой в организации. В описываемом случае необходимо рассмотреть два аспекта политики безопасности: политику доступа к сетевым сервисам и политику межсетевого экрана. При формировании политики доступа к сетевым сервисам должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. База правил для пользователей описывает когда, какой пользователь (группа пользователей) каким сервисом и на каком компьютере может воспользоваться. Отдельно определяются условия работы пользователей вне локальной сети организации равно как и условия их аутентификации. База правил для сервисов описывает набор сервисов, проходящих через сетевой экран, а также допустимые адреса клиентов серверов для каждого сервиса (группы сервисов). В политике, регламентирующей работу межсетевого экрана, решения могут быть приняты как в пользу безопасности в ущерб легкости использования, так и наоборот. Есть два основных:

Все, что не разрешено, то запрещено. Все, что не запрещено, то разрешено.

В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать все, а его работа должна быть упорядочена на основе тщательного анализа опасности и риска. Это напрямую отражается на пользователях и они, вообще говоря, могут рассматривать экран просто как помеху. Такая ситуация заставляет накладывать повышенные требования на производительность экранирующих систем и повышает актуальность такого свойства, как "прозрачность" работы межсетевого экрана с точки зрения пользователей. Первый подход является более безопасным, поскольку предполагается, что администратор не знает, какие сервисы или порты безопасны, и какие "дыры" могут существовать в ядре или приложении разработчика программного обеспечения. Ввиду того, что многие производители программного обеспечения не спешат публиковать обнаруженные недостатки, существенные для информационной безопасности (что характерно для производителей так называемого "закрытого" программного обеспечения, крупнейшим из которых является Microsoft), этот подход является, несомненно, более консервативным. В сущности, он является признанием факта, что незнание может причинить вред. Во втором случае, системный администратор работает в режиме реагирования, предсказывая, какие действия, отрицательно воздействующие на безопасность, могут совершить пользователи либо нарушители, и готовит защиту против таких действий. Это существенно восстанавливает администратора firewall против пользователей в бесконечных "гонках вооружений", которые могут оказаться весьма изматывающими. Пользователь может нарушить безопасность информационной системы, если не будет уверен в необходимости мер, направленных на обеспечение безопасности

Но в любом случае хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

Особенности современных межсетевых экранов и их сравнительная характеристика представлены в приложении 1.

Заключение

Нужно четко представлять себе, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в любой организации. В то же время можно существенно уменьшить риск потерь при комплексном подходе к вопросам безопасности. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока специалистами не произведен соответствующий анализ. Анализ должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь и др.) и предоставить информацию для определения подходящих средств защиты - административных, аппаратных, программных и прочих.

Так же стоит большое внимание уделять и внутренним угрозам. Даже самый честный и преданный сотрудник может оказаться средством утечки информации.

В своей работе я рассмотрела основные программные и аппаратные средства защиты информации, их технические характеристики. Кроме того, проведем сравнительный анализ межсетевых экранов.

Список литературы

1. Галатенко В.А. "Стандарты информационной безопасности. 2-е изд. Курс лекций. Учебное пособие", издательство: ИНТУИТ.РУ, 2009 г.

Цирлов Валентин "Основы информационной безопасности", издательство: Феникс, 2008 г.

Анин Б. Защита компьютерной информации. Серия "Мастер". - СПб.: БХВ-Петербург, 2009 г.

Скляров Д.В. Аппаратные ключи защиты // Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2009 г.

Хорев П.Б. "Программно-аппаратная защита информации. Учебное пособие", издательство: ФОРУМ, 2009 г.

Ворона В.А., Тихонов В.А., "Системы контроля и управления доступом", издательство: Политехника, 2009 г.

Кухарев Г.А., "Методы и средства идентификации личности человека", издательство: Политехника, 2008 г.

Терехов А.А. Криптографическая защита информации, издательство феникс, 2009 г.

Рябко Б.Я., Фионов А.Н. - Криптографические методы защиты информации, издательство: Горячая линия - Телеком, 2008 г.

Бабаш А.В., Шанкин Г.Л. Криптография. - М.: Изд-во "СОЛОН-Пресс", 2009 г.

Лапонина О.Р. Криптографические основы безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2008 г.

Http://www.biometrics.ru

Http://ru.wikipedia.org

14. Влад Максимов. Межсетевые экраны. Способы организации защиты.

Приложение

Таблица 1.

Особенности межсетевых экранов

Таблица 2.

Сравнительные характеристики современных межсетевых экранов

Программные средства защиты информации — это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе.

Программные средства включают программы для идентификации пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и другие. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.

Недостатки - использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

К программным средствам защиты программного обеспечения относятся:

· встроенные средства защиты информации - это средства, реализующие авторизацию и аутентификацию пользователей (вход в систему с использованием пароля), разграничение прав доступа, защиту ПО от копирования, корректность ввода данных в соответствии с заданным форматом и так далее.

Кроме того, к данной группе средств относятся встроенные средства операционной системы по защите от влияния работы одной программы на работу другой программы при работе компьютера в мультипрограммном режиме, когда в его памяти может одновременно находиться в стадии выполнения несколько программ, попеременно получающих управление в результате возникающих прерываний. В каждой из таких программ вероятны отказы (ошибки), которые могут повлиять на выполнение функций другими программами. Операционная система занимается обработкой прерываний и управлением мультипрограммным режимом. Поэтому операционная система должна обеспечить защиту себя и других программ от такого влияния, используя, например, механизм защиты памяти и распределение выполнения программ в привилегированном или пользовательском режиме;

· управление системой защиты.

Для того чтобы сформировать оптимальный комплекс программно-технических средств защиты информации, необходимо пройти следующие этапы:

· определение информационных и технических ресурсов, подлежащих защите;

· выявление полного множества потенциально возможных угроз и каналов утечки информации;

· проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

· определение требований к системе защиты;

· осуществление выбора средств защиты информации и их характеристик;

· внедрение и организация использования выбранных мер, способов и средств защиты;

· осуществление контроля целостности и управление системой защиты.

Информация сегодня стоит дорого и её необходимо охранять. Информацией владеют и используют все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим. Для предотвращения потери информации и разрабатываются различные способы ее технической защиты, которые используются на всех этапах работы с ней, защищая от повреждений и внешних воздействий.

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

• * программы идентификации и аутентификации пользователей КС;
• * программы разграничения доступа пользователей к ресурсам КС;
• * программы шифрования информации;
• * программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Надо понимать, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта)5.

Также к программным средствам защиты информации относятся:

• * программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
• * программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
• * программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
• * программы тестового контроля защищенности КС и др.

К преимуществам программных средств защиты информации относятся:

• * простота тиражирования;
• * гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
• * простота применения -- одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни каких новых (по сравнению с другими программами) навыков;
• * практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.

Рис. 4

Рис. 5

К недостаткам программных средств защиты информации относятся:

• * снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирование программ защиты;
• * более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
• * пристыкованность многих программных средств защиты (а не их устроенность в программное обеспечение КС, рис. 4 и 5), что создает для нарушителя принципиальную возможность их обхода;
• * возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.

Безопасность на уровне операционной системы

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы .

Семейство операционных систем Windows 2000, Millenium - это клоны, изначально ориентированные на работу в домашних ЭВМ. Эти операционные системы используют уровни привилегий защищенного режима, но не делают никаких дополнительных проверок и не поддерживают системы дескрипторов безопасности. В результате этого любое приложение может получить доступ ко всему объему доступной оперативной памяти как с правами чтения, так и с правами записи. Меры сетевой безопасности присутствуют, однако, их реализация не на высоте. Более того, в версии Windows XP была допущена основательная ошибка, позволяющая удаленно буквально за несколько пакетов приводить к "зависанию" ЭВМ, что также значительно подорвало репутацию ОС, в последующих версиях было сделано много шагов по улучшению сетевой безопасности этого клона6.

Поколение операционных систем Windows Vista, 7 уже значительно более надежная разработка компании MicroSoft. Они являются действительно многопользовательскими системами, надежно защищающими файлы различных пользователей на жестком диске (правда, шифрование данных все же не производится и файлы можно без проблем прочитать, загрузившись с диска другой операционной системы - например, MS-DOS). Данные ОС активно используют возможности защищенного режима процессоров Intel, и могут надежно защитить данные и код процесса от других программ, если только он сам не захочет предоставлять к ним дополнительного доступа извне процесса.

За долгое время разработки было учтено множество различных сетевых атак и ошибок в системе безопасности. Исправления к ним выходили в виде блоков обновлений (англ. service pack).

Другая ветвь клонов растет от операционной системы UNIX. Эта ОС изначально разрабатывалась как сетевая и многопользовательская, а потому сразу же содержала в себе средства информационной безопасности. Практически все широко распространенные клоны UNIX прошли долгий путь разработки и по мере модификации учли все открытые за это время способы атак. Достаточно себя зарекомендовали: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Естественно все сказанное относится к последним версиям этих операционных систем. Основные ошибки в этих системах относятся уже не к ядру, которое работает безукоризненно, а к системным и прикладным утилитам. Наличие ошибок в них часто приводит к потере всего запаса прочности системы.

Основные компоненты:

Локальный администратор безопасности - несет ответственность за несанкционированный доступ, проверяет полномочия пользователя на вход в систему, поддерживает:

Аудит - проверка правильности выполнения действий пользователя

Диспетчер учетных записей - поддержка БД пользователей их действий и взаимодействия с системой.

Монитор безопасности - проверяет имеет ли пользователь достаточные права доступа на объект

Журнал аудита - содержит информацию о входах пользователей, фиксирует работы с файлами, папками.

Пакет проверки подлинности - анализирует системные файлы, на предмет того, что они не заменены. MSV10 - пакет по умолчанию.

Windows XP дополнена:

можно назначать пароли для архивных копий

средства защиты от замены файлов

система разграничения … путем ввода пароля и создания учета записей пользователя. Архивацию может проводить пользователь, у которого есть такие права.

NTFS: контроль доступа к файлам и папкам

В XP и 2000 - более полное и глубокое дифференцирование прав доступа пользователя.

EFS - обеспечивает шифрование и дешифрование информации (файлы и папки) для ограничения доступа к данным.

Криптографические методы защиты

Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.

Криптография занимается поиском и исследованием математических методов преобразования информации (7).

Современная криптография включает в себя четыре крупных раздела:

симметричные криптосистемы;

криптосистемы с открытым ключом;

системы электронной подписи;

управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Шифрование дисков

Зашифрованный диск - это файл-контейнер, внутри которого могут находиться любые другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру - тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».

На сегодняшний день наиболее распространенные программы для создания зашифрованных дисков - DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.

Общие черты программ: (8)

• - все изменения информации в файле-контейнере происходят сначала в оперативной памяти, т.е. жесткий диск всегда остается зашифрованным. Даже в случае зависания компьютера секретные данные так и остаются зашифрованными;
• - программы могут блокировать скрытый логический диск по истечении определенного промежутка времени;
• - все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл. Очень эффективный метод скрытия информации, хранящейся в своп-файле - это вообще отключить его, при этом не забыв нарастить оперативную память компьютера;
• - физика жесткого диска такова, что даже если поверх одних данных записать другие, то предыдущая запись полностью не сотрется. С помощью современных средств магнитной микроскопии (Magnetic Force Microscopy - MFM) их все равно можно восстановить. С помощью этих программ можно надежно удалять файлы с жесткого диска, не оставляя никаких следов их существования;
• - все три программы сохраняют конфиденциальные данные в надежно зашифрованном виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой прикладной программы;
• - они защищают зашифрованные файлы-контейнеры от случайного удаления;
• - отлично справляются с троянскими приложениями и вирусами.

Способы идентификации пользователя

Прежде чем получить доступ к ВС, пользователь должен идентифицировать себя, а механизмы защиты сети затем подтверждают подлинность пользователя, т. е. проверяют, является ли пользователь действительно тем, за кого он себя выдает. В соответствии с логической моделью механизма защиты ВС размещены на рабочей ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным способом. Поэтому процедуры идентификации, подтверждения подлинности и наделения полномочиями выполняются в начале сеанса на местной рабочей ЭВМ.

В дальнейшем, когда устанавливаются различные сетевые протоколы и до получения доступа к сетевым ресурсам, процедуры идентификации, подтверждения подлинности и наделения полномочиями могут быть активизированы вновь на некоторых удаленных рабочих ЭВМ с целью размещения требуемых ресурсов или сетевых услуг.

Когда пользователь начинает работу в вычислительной системе, используя терминал, система запрашивает его имя и идентификационный номер. В соответствии с ответами пользователя вычислительная система производит его идентификацию. В сети более естественно для объектов, устанавливающих взаимную связь, идентифицировать друг друга.

Пароли - это лишь один из способов подтверждения подлинности. Существуют другие способы:

• 1. Предопределенная информация, находящаяся в распоряжении пользователя: пароль, личный идентификационный номер, соглашение об использовании специальных закодированных фраз.
• 2. Элементы аппаратного обеспечения, находящиеся в распоряжении пользователя: ключи, магнитные карточки, микросхемы и т.п..
• 3. Характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства.
• 4. Характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать манипуляторы и т.д.
• 5. Привычки: использование специфических компьютерных заготовок.
• 6. Навыки и знания пользователя, обусловленные образованием, культурой, обучением, предысторией, воспитанием, привычками и т.п.

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычислительной системы. Если процедура установления подлинности является односторонней, такую процедуру называют одностороннего подтверждения подлинности объекта (9).

Специализированные программные средства защиты информации.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

Firewalls - брандмауэры (дословно firewall -- огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью -- попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 6). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис. 7).

Рис. 7

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

Архитектурные аспекты безопасности

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника. Последней - если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.

Межсетевой экран - идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (см. рис. 8). Первичная фильтрация (например, блокирование пакетов управляющего протокола SNMP, опасного атаками на доступность, или пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором (см. также следующий раздел), за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации - Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

Рис. 8

Вообще говоря, и внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным МЭ (или их компонентами) являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.

При развертывании межсетевых экранов следует соблюдать рассмотренные нами ранее принципы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об эшелонированности обороны, а также о невозможности перехода в небезопасное состояние. Кроме того, следует принимать во внимание не только внешние, но и внутренние угрозы.

Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один - два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Redundant Arrays of Inexpensive Disks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в "горячем" режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные технические решения, реализованные на нескольких уровнях:

RAID уровеня 0 предусматривает простое разделение потока данных между двумя или несколькими дисками. Преимущество подобного решения заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков.

RAID уровня 1 заключается в организации так называемых "зеркальных" дисков. Во время записи данных информация основного диска системы дублируется на зеркальном диске, а при выходе из строя основного диска в работу тут же включается "зеркальный".

RAID уровни 2 и 3 предусматривают создание параллельных дисковых массивов, при записи на которые данные распределяются по дискам на битовом уровне.

RAID уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива.

Повышение надежности и защита данных в сети, основанная на использовании избыточной информации, реализуются не только на уровне отдельных элементов сети, например дисковых массивов, но и на уровне сетевых ОС. Например, компания Novell реализует отказоустойчивые версии операционной системы Netware - SFT (System Fault Tolerance):

• - SFT Level I. Первый уровень предусматривает,создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска.
• - SFT Level II содержала дополнительно возможности создания "зеркальных" дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
• - Версия SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является "главным", а второй, содержащий копию всей информации, вступает в работу в случае выхода "главного" сервера из строя.

Анализ защищенности

Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а "оперативные" бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.

Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Соответственно, ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практически постоянной актуализации.

В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д. Однако наиболее эффективными являются сетевые сканеры (очевидно, в силу доминирования семейства протоколов TCP/IP), а также антивирусные средства (10). Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности.

Сканеры могут выявлять уязвимые места как путем пассивного анализа, то есть изучения конфигурационных файлов, задействованных портов и т.п., так и путем имитации действий атакующего. Некоторые найденные уязвимые места могут устраняться автоматически (например, лечение зараженных файлов), о других сообщается администратору.

Контроль, обеспечиваемый системами анализа защищенности, носит реактивный, запаздывающий характер, он не защищает от новых атак, однако следует помнить, что оборона должна быть эшелонированной, и в качестве одного из рубежей контроль защищенности вполне адекватен. Известно, что подавляющее большинство атак носит рутинный характер; они возможны только потому, что известные бреши в защите годами остаются неустраненными.

Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

• - средства собственной защиты, предусмотренные общим программным обеспечением;
• - средства защиты в составе вычислительной системы;
• - средства защиты с запросом информации;
• - средства активной защиты;
• - средства пассивной защиты и др.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности, такие:

• - защита информации от несанкционированного доступа;
• - защита информации от копирования;
• - защита программ от копирования;
• - защита программ от вирусов;
• - защита информации от вирусов;
• - программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

идентификации технических средств, файлов и аутентификации пользователей;

регистрации и контроля работы технических средств и пользователей;

обслуживания режимов обработки информации ограниченного пользования;

защиты операционных средств ПК и прикладных программ пользователей;

уничтожения информации в ЗУ после использования;

сигнализирующих нарушения использования ресурсов;

вспомогательных программ защиты различного назначения

Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.

Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим.

Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты.

Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные

особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти и др.

Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети.

Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и др.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его ’ вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).

Требования к программно-техническим средствам защиты информации сформулированы в руководящих документах ФСТЭК России. В приказе ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" представлены меры по обеспечению безопасности персональных данных при их обработке в информационных системах. Это защита от неправомерного или случайного доступа к данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора.

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Межсетевой экран

Межсетевой экран – это комплекс аппаратных и (или) программных мер, осуществляющих фильтрацию проходящих через него сетевых пакетов. Его основной задачей является защита компьютерных сетей или отдельных устройств от несанкционированного доступа.

Например, новая сертифицированная версия интернет- шлюза – межсетевого экрана Интернет Контроль Сервер (ИКС) – предназначена для защиты конфиденциальной информации и персональных данных. Имеет сертификат ФСТЭК от 19 апреля 2012 г. № 2623. Основные характеристики экрана:

• соответствует требованиям РД "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" по 4-му классу защищенности;
• пользователи И КС могут иметь 4-й, 3-й и 2-й классы ИСПДн (информационной системы персональных данных);
• может быть использован в составе информационных систем персональных данных до класса защищенности КЗ включительно;
• возможность восстановления свойств межсетевого экрана в случае сбоя или отказа оборудования;
• возможность проверки подлинности сетевых адресов, благодаря фильтрации с учетом входного и выходного сетевого интерфейса;
• возможность фильтрации с учетом любых значимых полей сетевых пакетов;
• независимая фильтрация каждого сетевого пакета;
• организация контроля целостности информационной и программной частей;
• фильтрация пакетов служебных протоколов, использующихся для диагностики и регулирования работ сетевых устройств;
• аутентификация и идентификация администратора в случае его локальных запросов на доступ;
• осуществление контроля HTTP-трафика и реализация политики доступа на основании URL и REG-EXP посредством сертифицированного прокси-сервера;
• система журналирования заблокированного сетевого трафика;
• целостность программной части продукта осуществляется системой контроля с использованием контрольных сумм;
• при необходимости: возможность покупки сертифицированного аппаратного межсетевого экрана.

Что же такое межсетевой экран (брандмауэр)?

Брандмауэр – это совокупность аппаратных средств и программного обеспечения, которая связывает две и большее число сетей и одновременно является центральным пунктом управления безопасностью. Брандмауэры могут реализовываться как программно, так и аппаратно-программно. В начале XXI в. все большее внимание уделяется вопросам применения аппаратных брандмауэров. Они являются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой операционной системой, адаптированной под выполняемые функции.

Обычно брандмауэр устанавливается между корпоративной сетью организации и Интернетом как способ закрыть доступ остальному миру к корпоративной сети. Сразу следует сказать, что брандмауэр не может защитить корпоративную ееть от вирусов – для этой цели служат специальные антивирусные программы.

Для удовлетворения потребностей широкого диапазона пользователей имеются три типа брандмауэров: сетевого уровня, уровня приложения и уровня соединения. В брандмауэрах каждого типа используется несколько различных подходов для защиты корпоративных сетей. Сделав наиболее оптимальный выбор, можно лучше разработать брандмауэр.

Брандмауэр сетевого уровня – это обычно маршрутизатор или специальный компьютер, который исследует адреса пакетов и затем решает, передать ли пакет в (из) корпоративную сеть или отклонить его. Как известно, пакеты, наряду с другой информацией, содержат IP-адреса отправителя и получателя. Можно было бы, например, сконфигурировать свой брандмауэр сетевого уровня так, чтобы он блокировал все сообщения из того или иного узла. Обычно пакеты блокируются с помощью файла, который содержит набор IP-адресов некоторых узлов. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как адреса отправителя или получателя. Обнаружив пакет, который содержит подобный IP-адрес, маршрутизатор отклонит его, не позволяя попасть в корпоративную сеть. Подобное блокирование конкретных узлов иногда называется занесением в черный список. Обычно программное обеспечение маршрутизатора позволяет помещать в черный список весь узел, но не конкретного пользователя.

Пакет, пришедший на маршрутизатор, может содержать сообщение электронной почты, запрос на услугу типа HTTP (доступ к веб-странице), ftp (возможность пересылки или загрузки файла) или даже запрос telnet на вход в корпоративную систему (удаленный доступ к компьютеру). Маршрутизатор сетевого уровня распознает каждый тип запроса и выполняет конкретные ответные действия. Так, можно запрограммировать маршрутизатор, разрешив пользователям Интернета просматривать веб-страницы организации, но не позволять им использовать ftp, чтобы передавать файлы на корпоративный сервер или из него.

Правильно установленный и сконфигурированный брандмауэр сетевого уровня будет очень быстродействующим и "прозрачным" для пользователей. Конечно, для пользователей, помещенных в черный список, маршрутизатор оправдает свое название (брандмауэр) с точки зрения эффективности задержания нежелательных посетителей.

Как правило, маршрутизаторы поставляются с соответствующим программным обеспечением. Для программирования маршрутизатора в специализированный файл вводятся соответствующие правила, которые указывают маршрутизатору, как обрабатывать каждый входящий пакет.

В качестве брандмауэра уровня приложения обычно используется главный компьютер сети, выполняющий программное обеспечение, известное как сервер-посредник (proxy-, или прокси-сервер). Сервер-посредник – это программа, управляющая трафиком между двумя сетями. При использовании брандмауэра уровня приложения корпоративная сеть и Интернет физически не соединены. Трафик одной сети никогда не смешивается с трафиком другой, потому что их кабели разъединены. Работа прокси-сервера заключается в передаче изолированных копий пакетов из одной сети в другую. Этот тип брандмауэра эффективно маскирует происхождение инициализации соединения и защищает корпоративную сеть от пользователей Интернета, пытающихся раздобыть информацию из этой сети.

Прокси-серверы понимают сетевые протоколы, поэтому можно конфигурировать такой сервер и установить набор услуг, предоставляемых корпоративной сетью.

При установке прокси-сервера уровня приложения пользователи должны применять клиентские программы, которые поддерживают режим посредника.

Таким образом, брандмауэры уровня приложения позволяют контролировать тип и объем трафика, поступающего на узел. Они обеспечивают надежный физический барьер между корпоративной сетью и Интернетом и потому являются хорошим вариантом в ситуациях, когда требуется повышенная безопасность. Однако поскольку программа должна анализировать пакеты и принимать решения по управлению доступом, брандмауэры уровня приложения могут уменьшать эффективность сети. Если планируется использовать такой брандмауэр, то для установки прокси-сервера необходимо использовать самый быстродействующий компьютер.

Брандмауэр уровня соединения подобен брандмауэру уровня приложения – оба они являются серверами-посредниками. Однако для брандмауэра уровня соединения не нужно использовать специальные приложения, поддерживающие режим посредника для клиента.

Брандмауэр уровня соединения устанавливает связь между клиентом и сервером, не требуя, чтобы каждое приложение знало что-либо о сервисе.

Преимущество брандмауэра уровня соединения заключается в том, что он обеспечивает сервис для широкого класса протоколов, в то время как брандмауэр уровня приложения требует посредника этого уровня для всех и каждого вида сервиса. Так, используя брандмауэр уровня соединения для HTTP, ftp или, например, telnet, нет необходимости принимать какие-либо специальные меры или вносить изменения в приложения – можно просто использовать существующее программное обеспечение. Другая полезная особенность брандмауэров уровня соединения связана с тем, что можно работать только с одним сервером-посредником, что проще, чем регистрировать и контролировать несколько серверов.

Создавая брандмауэр, необходимо определить, какой трафик надо пропустить через свою корпоративную сеть. Как отмечалось выше, можно выбрать маршрутизатор, который будет фильтровать выбранные пакеты, или использовать некоторый тип программы посредника, которая будет выполняться на главном компьютере сети. В свою очередь, архитектура брандмауэра может включать обе эти конфигурации. Другими словами, можно максимально повысить безопасность корпоративной сети, объединяя в брандмауэре и маршрутизатор, и сервер-посредник.

Существуют три наиболее популярные типа архитектуры брандмауэра:

• двусторонний главный брандмауэр;
• фильтрующий главный брандмауэр;
• фильтрующий брандмауэр подсети.

В фильтрующем главном брандмауэре и фильтрующем брандмауэре подсети используется комбинация маршрутизатора и сервера-посредника.

Двусторонний главный брандмауэр – это простая, но обеспечивающая очень высокую степень безопасности конфигурация, в которой один главный компьютер играет роль разделительной линии между корпоративной сетью и Интернетом. В главном компьютере используются две отдельные сетевые платы для соединения с каждой сетью. Используя двусторонний главный брандмауэр, необходимо блокировать возможности маршрутизации компьютера, потому что он не соединяет две сети. Один из недостатков этой конфигурации заключается в том, что можно просто по неосторожности разрешить доступ к внутренней сети.

Двусторонний главный брандмауэр работает, выполняя программу сервера-посредника уровня приложения либо уровня соединения. Как уже говорилось, программа-посредник управляет передачей пакетов из одной сети в другую. Будучи двусторонним (соединенным с двумя сетями), главный компьютер брандмауэра видит пакеты в обеих сетях, что позволяет ему выполнять программу-посредник и управлять трафиком между сетями.

Фильтрующий главный брандмауэр обеспечивает более высокую степень безопасности, чем двусторонний. Добавляя маршрутизатор и помещая этим главный компьютер дальше от Интернета, можно получить очень эффективный и простой в работе брандмауэр. Маршрутизатор соединяет Интернет с корпоративной сетью и одновременно фильтрует типы проходящих через него пакетов. Можно конфигурировать маршрутизатор так, чтобы он видел только один главный компьютер. Пользователи корпоративной сети, желающие соединиться с Интернетом, должны делать это только через главный компьютер. Таким образом, для внутренних пользователей имеется прямой доступ в Интернет, но доступ внешних пользователей ограничен главным компьютером.

Фильтрующий брандмауэр подсети еще более изолирует корпоративную сеть от Интернета, включая между ними промежуточную периферийную сеть. В фильтрующем брандмауэре подсети главный компьютер помещается на этой периферийной сети, к которой пользователи имеют доступ через два отдельных маршрутизатора. Один из них управляет трафиком корпоративной сети, а второй – трафиком Интернета.

Фильтрующий брандмауэр подсети обеспечивает чрезвычайно эффективную защиту от нападения. Он изолирует главный компьютер в отдельной сети, что уменьшает вероятность успешного нападения на главный компьютер и дополнительно понижает шансы нанесения ущерба корпоративной сети.

Из всего вышесказанного можно сделать следующие выводы.

• 1. Брандмауэр может быть весьма простым – единственным маршрутизатором, или же весьма сложным – системой маршрутизаторов и хорошо защищенных главных компьютеров.
• 2. Можно установить брандмауэры внутри корпоративной сети, чтобы усилить меры безопасности для отдельных ее сегментов.
• 3. Кроме обеспечения безопасности, необходимо обнаруживать и предотвращать проникновение компьютерных вирусов. Брандмауэры этого делать не могут.

Применяя межсетевые экраны, нельзя недооценивать возможности защиты, предоставляемые системным программным обеспечением. Например, операционная система (ОС) "Фебос" реализует следующие функции:

• идентификацию и аутентификацию пользователя на основе пароля с последующим предоставлением доступа к информационным ресурсам в соответствии с его полномочиями;
• контроль и управление доступом к информационным ресурсам в соответствии с дискреционной и мандатной политикой безопасности;
• регистрацию и аудит всех общественных событий, критических ситуаций, успешных и неуспешных попыток идентификации и аутентификации, осуществленных и отвергнутых операций доступа к информационным ресурсам, изменений атрибутов безопасности субъектов и объектов;
• локальное и удаленное администрирование, управление полномочиями пользователей в соответствии с политикой безопасности;
• контроль целостности средств защиты и системных компонентов защищенной ОС "Фебос".

Криптография

Криптография, ранее являвшаяся стратегической технологией, теперь благодаря быстрому развитию корпоративных сетей и Интернета проникла в широкие сферы деятельности и стала применяться большим количеством пользователей.

Технология криптографии и протоколы шифрования данных специально созданы для применения в условиях, когда принимающая и передающая стороны не уверены в том, что переданная информация не будет перехвачена третьей стороной. Конфиденциальность переданной информации будет обеспечена, т. к. хотя она и перехвачена, но без расшифровки использовать ее невозможно.

Рассмотрим основные понятия шифрования, применяемые для защиты данных при их передаче в корпоративных сетях, в электронных и цифровых платежных системах Интернета.

Шифрование закрытым ключом. Шифрование по какому-либо алгоритму означает преобразование исходного сообщения в зашифрованное. Это подразумевает создание секретного ключа – пароля, без которого невозможно раскодировать сообщение.

Такой ключ должен быть засекречен, иначе сообщение легко будет прочитано нежелательными лицами.

Наиболее известные и применяемые в США и Европе криптографические алгоритмы шифрования данных закрытым ключом – DES, IDEA, RC2 – RC5.

Шифрование открытым ключом. Шифрование сообщения открытым ключом подразумевает создание двух полностью независимых друг от друга ключей – открытого и закрытого. С помощью открытого ключа можно зашифровать сообщение, но расшифровать его возможно, только применяя закрытый ключ. Свободно распространяя открытый ключ, вы даете возможность шифровать и посылать вам шифрованные сообщения, которые кроме вас никто расшифровать не сможет.

Для осуществления двусторонней коммуникации стороны создают каждая свою пару ключей и затем обмениваются открытыми ключами. Передаваемые сообщения шифруются каждой стороной с применением открытых ключей партнера, а расшифровка производится при использовании своих собственных закрытых ключей.

Алгоритм открытого распределения ключей. Другой вариант работы с открытыми ключами – алгоритм открытого распределения ключей (алгоритм Диффи – Хеллмана). Он позволяет сформировать один общий секретный ключ для шифрования данных без передачи его по каналу связи.

Этот алгоритм также основан на использовании пары ключей (открытый/закрытый) и формируется следующим образом:

• обе стороны создают свои пары ключей;
• после этого они обмениваются открытыми ключами;
• из комбинации двух ключей – свой (закрытый) и чужой (открытый), применяя данный алгоритм, генерируется одинаковый и единственный для двух сторон закрытый (секретный) ключ;
• после этого сообщения шифруются и расшифровываются единственным закрытым ключом.

Технология цифровой подписи. Цифровая подпись введена в практику на основании Федерального закона от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи". Этот закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.

Технология цифровой подписи позволяет однозначно определить владельца передаваемой информации. Это необходимо в электронных и цифровых платежных системах и применяется в электронной коммерции.

Для создания цифровой подписи применяется алгоритм хеширования – специальный математический алгоритм, используя который, формируют из какого-либо файла другой небольшой хеш-файл.

После этого осуществляются следующие действия:

• полученный хеш-файл шифруется с помощью закрытого ключа и полученное зашифрованное сообщение является цифровой подписью;
• исходный незашифрованный файл вместе с цифровой подписью отсылается другой стороне.

Теперь принимающая сторона может проверить подлинность принимаемого сообщения и передающую сторону. Это можно сделать следующим образом:

• с помощью открытого ключа получатель расшифровывает цифровую подпись, восстанавливает хеш-файл;
• используя алгоритм хеширования, получатель создает свой хеш-файл из исходного полученного файла;
• получатель сравнивает две копии хеш-файлов. Совпадение этих файлов означает подлинность передающей стороны и полученной информации.

Слепая подпись (blind signature). Этот важный алгоритм применяется в системах электронных платежей и является разновидностью цифровой подписи.

Данный алгоритм подразумевает обмен сообщениями таким образом, что принимающая сторона не может расшифровать полученное сообщение, но может быть вполне уверена, с кем имеет дело. Например, клиенту электронного магазина нежелательно передавать свой номер кредитной карты, а продавцу необходимо точно знать, с кем он имеет дело. Посредником в коммерческих операциях выступает банк, который проверяет подлинность и продавца, и покупателя и затем производит перевод денег со счета клиента па счет продавца.

Соответствующие протоколы шифрования и интерфейсы прикладного программирования входят в состав системного программного обеспечения компьютерных сетей.

Защита от компьютерных вирусов

Компьютерные вирусы и черви – это небольшие программы, которые разработаны для распространения от одного компьютера к другому и вмешательства в работу компьютера. Компьютерные вирусы часто распространяются во вложенных файлах в сообщениях электронной почты или мгновенных сообщениях. Поэтому никогда не стоит открывать вложения в электронных письмах, если вы не знаете, от кого оно, и не ожидаете его. Вирусы могут прилагаться в виде забавных изображений, поздравительных открыток. Компьютерные вирусы также распространяются путем загрузки из Интернета. Они могут скрываться в незаконном программном обеспечении или других файлах или программах, которые вы можете загрузить.

Проблема возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети "вируса Морриса" фактически началось более-менее целенаправленное развитие антивирусных средств.

Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово "вирус" латинского происхождения и означает "яд". Компьютерный вирус – это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование.

Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкционированные пользователем действия.

Способ функционирования большинства вирусов – это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один момент, когда происходит некоторое "событие вызова".

При разработке современных компьютерных вирусов используется много технических новшеств, однако бо́льшая часть вирусов является имитацией и модификацией нескольких классических схем.

Вирусы можно классифицировать по типу поведения следующим образом .

Загрузочные вирусы проникают в загрузочные сектора устройств хранения данных (жесткие диски, дискеты, переносные запоминающие устройства). При загрузке операционной системы с зараженного диска происходит активация вируса. Его действия могут состоять в нарушении работы загрузчика операционной системы, что приводит к невозможности ее работы, либо изменении файловой таблицы, что делает недоступным определенные файлы.

Файловые вирусы чаще всего внедряются в исполнительные модули программ (файлы, с помощью которых производится запуск той или иной программы), что позволяет им активироваться в момент запуска программы, влияя на ее функциональность. Реже файловые вирусы могут внедряться в библиотеки операционной системы или прикладного ПО, исполнительные пакетные файлы, файлы реестра Windows, файлы сценариев, файлы драйверов. Внедрение может проводиться либо изменением кода атакуемого файла, либо созданием его модифицированной копии. Таким образом, вирус, находясь в файле, активируется при доступе к этому файлу, инициируемому пользователем или самой ОС. Файловые вирусы – наиболее распространенный вид компьютерных вирусов.

Файлово-загрузочные вирусы объединяют в себе возможности двух предыдущих групп, что позволяет им представлять серьезную угрозу работе компьютера.

Сетевые вирусы распространяются посредством сетевых служб и протоколов, таких как рассылка почты, доступ к файлам по FTP, доступ к файлам через службы локальных сетей. Это делает их очень опасными, так как заражение не остается в пределах одного компьютера или даже одной локальной сети, а начинает распространяться по разнообразным каналам связи.

Документные вирусы (их часто называют макровирусами) заражают файлы современных офисных систем (Microsoft Office, Open Office,...) через возможность использования в этих системах макросов. Макрос – это заранее определенный набор действий, микропрограмма, встроенная в документ и вызываемая непосредственно из него для модификации этого документа или других функций. Именно макрос и является целью макровирусов.

Наилучший способ защитить свою систему от вирусов – регулярно использовать антивирусные программы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сигнатура – это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов.

При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.

В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатурами в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован.

Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет.

Имеется три основных метода поиска вирусов с помощью антивирусных программ.

В первом методе поиск вируса производится при начальной загрузке. При этом команду запуска антивирусной программы включают в файл AUTOEXEC.BAT.

Бесспорно, этот метод эффективен, но при его использовании увеличивается время начальной загрузки компьютера, и многим пользователям он может показаться слишком обременительным. Преимущество же его в том, что просмотр при загрузке происходит автоматически.

Второй метод заключается в том, что пользователь вручную выполняет сканирование системы с помощью антивирусной программы. Этот метод может быть столь же эффективным, как и первый, если он выполняется добросовестно, как и резервное копирование. Недостатком этого метода является то, что могут пройти недели, а то и месяцы, пока небрежный пользователь удосужится провести проверку.

Третий метод поиска вирусной инфекции заключается в просмотре каждого загружаемого файла, при этом не придется слишком часто проверять всю систему.

Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их активизацией (у вирусов имеется некоторый инкубационный период, и они некоторое время скрываются, прежде чем активизироваться и распространиться на другие диски и системы).

Поэтому следует обращать внимание на следующее.

• 1. Изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМ или EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой.
• 2. Необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен находиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выполнения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обнаружили ее уменьшение, необходимо также запустить антивирусную программу.
• 3. Необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением времени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу.

Если вы обнаружили в компьютере какой-либо из указанных выше симптомов, а антивирусная программа не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу – она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу.

• URL: avdesk.kiev.ua/virus/83-virus.html.