Практические занятия №4, 5, 6.

Программные средства защиты информации.

План.

1. Классификация программных средств защиты информации

2. Защита информации от несанкционированных действий

3. Программные средства идентификации

4. Защита информации во время сеанса использования ЭВМ

5. Защита от копирования

6. Защита информации от разрушения. Антивирусные средства.

1 Классификация программных средств защиты информации

Направления использования программ для обеспечения безопасности конфиденциальной информации. Общая технология защиты программного обеспечения.

Системы защиты информации в компьютере от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы как:

- средства собственной защиты, предусмотренные общим программным обеспечением (ПО) (элементы, присущие самому ПО или сопровождающие его продажу и препятствующие незаконным действиям);

- средства защиты в составе вычислительной системы (защита аппаратуры, дисков и устройств с помощью операционной среды);

- средства защиты с запросом информации (требуют ввода дополнительной информации для идентификации пользователя);

- средства активной защиты (инициируются при возникновении особых обстоятельств неправомерного доступа);

- средства пассивной защиты (направлены на предостережение, контроль, накопление улик и др.).

Основными направлениями использования широко распространенных программ для обеспечения безопасности конфиденциальной информации являются:

- защита информации от несанкционированного доступа;

- защита информации от копирования;

- защита программ от вирусов;

- программная защита каналов связи.

Программные средства защиты имеют следующие разновидности специальных программ:

- идентификации технических средств, файлов и аутентификации пользователей;

- регистрации и контроля работы технических средств и пользователей;

- обслуживания режимов обработки информации ограниченного пользования;

- защиты операционных средств ЭВМ и прикладных программ пользователей;

- уничтожения информации в ЗУ после использования;

- сигнализирующих о нарушениях в использовании ресурсов;

- криптографического преобразования;

- вспомогательного назначения (контроль механизма защиты, автоматическое проставление грифа).

2 Защита информации от несанкционированных действий

Защита информации от копирования, разглашения (передачи, утечки), нарушений в системе хранения.

Защита информации от несанкционированных действий осуществляется на основе управления доступом. На практике широкое применение нашли следующие формы контроля и разграничения доступа:

1. Предотвращение доступа (к жесткому диску, к отдельным разделам, к файлам, к каталогам к гибким дискам и другим сменным носителям);

2. Установка привилегий доступа к группе файлов;

3. Защита от модификации файлов и каталогов;

4. Защита от уничтожения файлов и каталогов;

5. Предотвращение копирования файлов, каталогов, прикладных программ;

6. Затемнение экрана по истечении времени, установленного пользователем.

Идентификация технических средств и файлов, производимая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.

Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе секретного пароля и последующих процедур аутентификации (идентификации). Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими содержание заданий, динамику работы пользователя, параметры программных и технических средств, устройств памяти и др.

Поступающие в систему конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы. Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора безопасности информационной сети.

Для разграничения обращений отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В ней же записывается идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых разрешен доступ к файлу, идентификаторов пользователей, которым разрешен доступ к каждому файлу, а также их полномочия на пользование файлом (чтение, редактирование, стирание, обновление, исполнение и т.д.) Важно не допускать взаимовлияния пользователей в процессе обращения к файлам. Если одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его вариант реакции (делается несколько копий записей с целью возможного анализа и установления полномочий).

3. Программные средства идентификации

Идентификация технических средств и аутентификация пользователей.

Для защиты информации от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

- идентификация субъектов и объектов;

- разграничение доступа к вычислительным ресурсам и информации;

- контроль и регистрация действий с информацией и программами.

Проверки идентификации пользователей могут быть одноразовыми или периодическими (особенно в случаях длительных сеансов работы). В процедурах идентификации используются различные методы:

- простые, сложные или одноразовый пароли;

- обмен вопросами и ответами с администратором;

- ключи, магнитные карты, жетоны;

- средства анализа индивидуальных характеристик субъекта;

- специальные идентификаторы или контрольные суммы для аппаратуры, программ, данных.

Наиболее распространенным методом является парольная идентификация.

Для обеспечения надежности защиты с помощью паролей работа систем защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим. Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в котором система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая более высокую надежность защиты.

Как показывает практика, пароль является слабым местом, так как его можно подслушать, подсмотреть, перехватить или угадать. Для защиты самого пароля выработаны специальные рекомендации, делающие его более надежным:

- пароль должен содержать не менее 8 символов. Чем меньше символов, тем легче его подобрать;

- не используйте в качестве пароля очевидный набор символов (имя, номер телефона, дату рождения и т.п.) Лучше взять малоизвестную формулу или цитату;

- если криптографическая программа позволяет, введите в пароль хотя бы один пробел, небуквенный символ или прописную букву;

- не называйте пароль и не записывайте его;

- меняйте пароль как можно чаще;

- не вводите пароль в процедуру установления диалога или макрокоманду.

Помните, что набранный на клавиатуре пароль часто сохраняется в последовательности команд автоматического входа в систему.

Для идентификации программ и данных часто прибегают к подсчету контрольных сумм, однако, как и при парольной идентификации, важно исключить возможность подделки при сохранении контрольной суммы. Это достигается путем использования сложных методов контрольного суммирования на основе криптографических алгоритмов. Обеспечить защиту данных от подделки можно, применяя различные методы шифрования и методы цифровой подписи на основе криптографических систем с открытым ключом. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма нормируются ГОСТ Р 34.10 – 94. Он предусматривает сочетание функции хэширования с перемешивающим преобразованием, причем в алгоритме используются случайные числа и ключ.

4 Защита информации во время сеанса использования ЭВМ

После выполнения процедур идентификации и установления подлинности подписи пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: аппаратуры, ПО и данных.

Защита на уровне аппаратуры и ПО предусматривает управление доступом к вычислительным ресурсам (отдельным устройствам, оперативной памяти, операционной системе, специальным служебным или личным программам пользователя).Защита на уровне данных направлена:

- на защиту информации при обращении к ней в процессе работы на ПЭВМ и выполнения только разрешенных операций над ними;

- на защиту информации при ее передаче по каналам связи между различными ЭВМ.

Управление доступом к информации позволяет ответить на вопросы:

- кто может выполнять и какие операции;

- над какими данными разрешается выполнять операции.

Объектом, доступ к которому контролируется может быть файл, запись в файле или отдельное поле записи, а в качестве факторов, определяющих порядок доступа, - определенное событие, значения данных, состояние системы, полномочия пользователя, предыстория обращения и др. данные.

Доступ, устанавливаемый событием, предусматривает блокировку обращения пользователя (в определенное время, с определенного терминала). Доступ, зависящий от состояния, осуществляется в зависимости от текущего состояния вычислительной системы, управляющих программ и систем защиты. Доступ, зависящий от полномочий, предусматривает обращение к программам и данным в зависимости от предоставленного режима.

В основе большинства средств контроля доступа лежит представление матрицы доступа.

Другой подход к построению средств защиты доступа основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы конфиденциальности.

Средства регистрации, как и средства контроля доступа, относятся к эффективным мерам защиты от НСД. Однако, если средства контроля предназначены для предотвращения таких действий, то задача регистрации – обнаружить уже совершенные действия или их попытки.

В общем, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется следующими действиями:

- управлением доступом;

- регистрацией и учетом;

- обеспечением целостности информации;

- криптографическим кодированием.

Можно отметить следующие формы контроля и разграничения доступа, нашедшие широкое применение на практике:

1. Предотвращение доступа:

- к жесткому диску;

- к отдельным разделам;

- к отдельным файлам;

- к каталогам;

- к гибким дискам и другим сменным носителям информации.

2. Установка привилегий доступа к группе файлов.

3. Защита от модификации:

- файлов;

- каталогов.

4. Защита от уничтожения:

- файлов;

- каталогов.

5. Предотвращение копирования:

- файлов;

- каталогов;

- прикладных программ.

6. Затемнение экрана по истечении времени, установленного пользователем.

5 Защита от копирования

Антивирусные средства: аппаратно-программный контроль, сканеры, резидентные сторожа, программы-ревизоры, вакцинирование. Меры по защите программ от компьютерных вирусов

Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно ?надежным? средством как защищающим авторское право программистов-разработчиков, так и стимулирующим развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (ключом) может быть дискета, определенная часть компьютера или специальное устройство, подключенное к ЭВМ. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты:

- идентификация среды, из которой запущена программа;

- реакция на запуск из несанкционированной среды;

- регистрация санкционированного копирования;

- противодействие изучению алгоритмов работы системы.

Под средой, из которой будет запускаться программа, подразумевается либо дискета, либо ПЭВМ (если установка происходит на винчестер). Идентификация среды заключается в том, чтобы некоторым образом поименовать среду с целью дальнейшей ее аутентификации. Идентифицировать среду – значит закрепить за ней некоторые специально созданные или измеренные редко повторяющиеся и трудно подделываемые характеристики – идентификаторы.

Идентификация дискет (оптических дисков) может быть проведена двумя способами. Первый основан на нанесении на некоторую часть поверхности диска повреждений. Распространенный способ такой идентификации – «лазерная дыра». Дискета прожигается в некотором месте лазерным лучом. Очевидно, что сделать точно такую же дырку в диске-копии и в том же самом месте, как и на оригинале, достаточно сложно. Второй способ идентификации основан на нестандартном форматировании дискеты.

Реакция на запуск из несанкционированной среды обычно сводится к отказу программы от выполнения полного набора функций и к выводу на экран соответствующего сообщения.

6 Защита информации от разрушения. Антивирусные средства

Аппаратно-программный контроль, сканеры, резидентные сторожа, программы-ревизоры, вакцинирование. Меры по защите программ от компьютерных вирусов.

Одной из задач обеспечения безопасности для всех случаев пользования ПЭВМ является защита информации от разрушения, которое может произойти при подготовке и осуществлении различных восстановительных мероприятий (резервировании, создании и обновлении страховочного фонда, ведении архивов информации, обмене данными и др.). Так как причины разрушения весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и др.), то проведение страховочных мероприятий обязательно для всех, кто пользуется персональными ЭВМ.

Необходимо особо отметить опасность компьютерных вирусов, о которых все пользователи ПЭВМ хорошо осведомлены. Проведение испытаний программных средств на наличие компьютерных вирусов нормируется ГОСТ Р 51188 – 98.

Компьютерный вирус (КВ) – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. КВ относится к вредоносным программам. Обычно это небольшая по размерам, достаточно сложно и тщательно составленная программа, которая создается для нарушения нормальной работы компьютера разными способами – от «безобидной» выдачи сообщения до стирания системных областей, разрушения файлов. Вирусы создаются преимущественно с целью зарабатывания денег на продаже антивирусных программ. Антивирус – программа обнаруживающая (и уничтожающая) КВ.

Испытания программных средств на наличие вирусов следует проводить на специально оборудованном аппаратно- программном испытательном стенде, в состав которого должны входить совместимые ПЭВМ, необходимые элементы телекоммуникационных сетей, каналы связи. Конкретный набор технических компонентов стенда должен быть таким, чтобы обеспечить условия воспроизведения всех необходимых внешних воздействий на ПО в процессе испытаний. В состав стенда могут входить и соответствующие аппаратные антивирусные средства, к которым относятся:

- компьютеры специальной конструкции, благодаря которой НСД к данным и заражение файлов КВ могут быть существенно затруднены;

- специальные платы, подключаемые к одному из разъемов ПЭВМ и выполняющие функции защиты информации;

- многофункциональные электронные ключи защиты информации.

Программные средства, входящие в состав испытательного стенда должны обеспечивать:

- регулярное ведение архивов измененных файлов;

- контрольную проверку соответствия длины и значений контрольных сумм, указанных в сертификате и полученных программах;

- систематическое обнуление первых трех байтов сектора начальной загрузки на полученных несистемных дискетах;

- другие виды контроля целостности программ перед считыванием с дискеты;

- проверку программ на наличие известных видов КВ;

- обнаружение попыток несанкционированного доступа к испытательным и (или) испытуемым программам и данным;

- вакцинирование файлов, дисков, каталогов с использованием резидентных программ-вакцин, создающих при функционировании условия для обнаружения КВ данного вида;

- автоконтроль целостности программ перед их запуском;

- удаление обнаруженного КВ из зараженных программ или данных и восстановление их первоначального состояния.

Состав работ по подготовке и проведению испытаний ПО на наличие КВ в общем случае следующий:

- ознакомление с документацией ПО;

- выбор методов проверки ПО на наличие КВ;

- определение конфигурации программных и аппаратных средств испытательного стенда;

- подготовка стенда к проведению испытаний;

- организация и проведение испытаний;

- оформление протокола проверки ПО и передача проверенных программ заказчику (на дискетах);

- установление порядка гарантийного сопровождения проверенного ПО.

Проверка ПО на наличие КВ в общем случае включает в себя:

- поиск вирусоподобных фрагментов кодов ПО;

- моделирование ситуаций, предположительно способных вызвать активацию КВ;

- анализ особенностей взаимодействия компонентов ПО окружающей операционной средой;

- отражение результатов проверки в документации (в том числе на магнитных носителях).

При испытаниях ПО н наличие КВ используют две основные группы методов обнаружения КВ и защиты программ от них – программные и аппаратно-программные. При значительном разнообразии вирусов требуется такое же многообразие антивирусов.

Антивирусные программы бывают специализированными или универсальными.

К специализированным методам относится прежде всего сканирование, реализованное в большинстве популярных программ (AIDSTEST, VDEATH,SCAN, DrWeb).Метод сканирования заключается в том, что антивирусная программа (сканер), последовательно просматривая проверяемые файлы на наличие сигнатур (уникальных последовательностей байтов, характерных для данного вируса) известных КВ, которые не встречаются в других программах. То есть такая программа-полифаг будет распознавать и удалять все изученные КВ. При этом в базе данных достаточно хранить не все сигнатуры известных КВ, а только их контрольные суммы. Для успешного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая последние версии.

Универсальные антивирусы предназначены для борьбы с целыми классами вирусов. Их в свою очередь можно разделить на несколько классов.

Метод обнаружения изменений основан на использовании программ-ревизоров, которые запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов, логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска, т.е. те области, которые могут подвергнуться нападению КВ, а затем происходит их периодическая проверка. Если изменение характеристик обнаружено, значит в компьютер попал КВ. Могут проверяться также и другие общие характеристики компьютера: объем установленной оперативной памяти, количество и параметры подключенных к компьютеру дисков. Программы-ревизоры потенциально могут обнаружить любые, даже ранее неизвестные КВ. Однако следует учитывать, что не все изменения вызваны вторжением КВ. Так загрузочная запись изменяется при смене версии операционной системы, а некоторые программы записывают изменяемые данные внутри своего выполнимого файла. Командные файлы (например, autoexec.bat) изменяются еще чаще (при установке нового ПО). Программы-ревизоры не помогают, если пользователь записывает новую зараженную программу. КВ будет распознан только после того, как он заразит другие программы. Дополнительной возможностью ревизоров является способность восстановить измененные (зараженные) файлы и загрузочные секторы на основании ранее запомненной информации. Антивирусные программы-ревизоры нельзя использовать для обнаружения КВ в файлах документов, так как эти файлы постоянно меняются: здесь следует применять сканеры или эвристический анализ.

Эвристический анализ реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для КВ., например, можно обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти. Так можно обнаружить и ранее неизвестные КВ, причем для этого не нужно предварительно собирать данные о системе. К основным недостаткам эвристического метода относятся следующие: -принципиально не могут быть обнаружены все КВ; -возможно появление ложных сигналов в программах, использующих вирусоподобные технологии (в т.ч. в антивирусах).

В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл. Большинство таких программ автоматически проверяют все запускаемые программы на заражение известными КВ. Такая проверка замедляет загрузку программы, но пользователь будет уверен в том, что известные КВ не смогут активизироваться на его компьютере. Резидентные сторожа имеют много недостатков, которые делают этот класс программ малопригодным для использования. Например, обычная команда LABEL изменяет загрузочный сектор, а, значит, вызовет ложное срабатывание резидентного сторожа. В условиях большого числа ложных срабатываний, когда пользователь должен сам решать, вызвано ли данное предупреждение реальным КВ, он неизбежно вынужден отключить резидентный сторож. Другим важным недостатком является то, что резидентная программа должна быть постоянно загружена, а , следовательно, уменьшать объем памяти, доступный другим программам.

Вакцинирование устанавливает способ защиты любой конкретной программы от КВ, при котором к этой программе присоединяется специальный защитный модуль контроля, следящий за ее целостностью через проверку контрольной суммы программы или какие-либо её характеристики. Зараженная программа сразу же будет распознана. Основным недостатком вакцинирования является возможность обхода такой защиты при использовании КВ так называемой «стелс-технологии», а также необходимость изменения кода программ из-за чего программа начинает работать некорректно или теряет работоспособность.

Аппаратно-программные средства защиты ПО от КВ реализуются с помощью специализированного контроллера, вставляемого в один из слотов материнской платы и специального ПО, управляющего работой контроллера и реализующего один или несколько методов, рассмотренных выше. Эта технология является одним из самых надежных способов защиты от КВ. Так как контроллер подключен к системной шине, он отслеживает все обращения к дисковой подсистеме компьютера. ПО аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Пользователь может защитить главную загрузочную запись, загрузочные секторы, выполнимые файлы, файлы конфигурации и т.д. Если обнаруживается, что программа пытается нарушить установленную защиту, контроллер не только сообщает об этом, но может и блокировать работу компьютера. Как только КВ проявит себя, он будет обнаружен независимо от способов его доступа к дискам. Аппаратно-программные средства позволяют не только защитить компьютер от КВ, но и пресечь выполнение программ, нацеленных на разрушение файловой систем компьютера, в том числе действий, возникающих из-за неквалифицированного пользователя. Недостатком аппаратно-программных методов является принципиальная возможность пропустить КВ, если он не пытается изменить защищенные файлы и системны области.

Меры по защите программ от заражения КВ могут включать в себя:

- разработку и выполнение комплекса мероприятий по профилактике, ревизии и вакцинированию используемых программных средств;

- подготовку должностных лиц, отвечающих за проведение испытаний ПО;

- взаимодействие организаций, , заказывающих и проводящих испытания ПО;

- контроль за испытаниями и оценку эффективности антивирусных средств;

- установление административной ответственности должностных лиц за выполнение требований защиты от КВ;

- назначение ответственных должностных лиц, и определение их полномочий по организации и проведению мероприятий по защите ПО от КВ.

Для защиты информации от разрушения целесообразно, а иногда и более важно, чем антивирусные программы, применять простые организационные меры безопасности:

1. Информировать всех сотрудников предприятия об опасности и возможном ущербе от вирусных атак.

2. Не осуществлять официальные связи с другими предприятиями по обмену (получению) программ. Запретить сотрудникам приносить программы «со стороны» для их установки в системы обработки информации. Должны использоваться только официально распространяемые программы.

3. Запретить сотрудникам использовать компьютерные игры на ПЭВМ, обрабатывающих конфиденциальную информацию.

4. Для выхода в сторонние информационные сети выделять отдельное рабочее место.

5. Создавать архив копий программ и данных.

6. Периодически проводить проверку контрольным суммированием по сравнению с чистыми программами, применять антивирусные средства.

7. Установить системы защиты информации на особо важных компьютерах.

Не нашли, что искали? Воспользуйтесь поиском по сайту: