Интеллектуальные развлечения. Интересные иллюзии, логические игры и загадки.

Добро пожаловать В МИР ЗАГАДОК, ОПТИЧЕСКИХ
ИЛЛЮЗИЙ И ИНТЕЛЛЕКТУАЛЬНЫХ РАЗВЛЕЧЕНИЙ
Стоит ли доверять всему, что вы видите? Можно ли увидеть то, что никто не видел? Правда ли, что неподвижные предметы могут двигаться? Почему взрослые и дети видят один и тот же предмет по разному? На этом сайте вы найдете ответы на эти и многие другие вопросы.

Log-in.ru© - мир необычных и интеллектуальных развлечений. Интересные оптические иллюзии, обманы зрения, логические флеш-игры.

Привет! Хочешь стать одним из нас? Определись…    
Если ты уже один из нас, то вход тут.

 

 

Амнезия?   Я новичок 
Это факт...

Интересно

Между 1838 и 1960 годами на более чем половине фотографий фигурировали младенцы.

Еще   [X]

 0 

Безопасность информационных систем. Учебное пособие (Ерохин Виктор)

автор: Ерохин Виктор категория: ОС и Сети

В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем.

Год издания: 2015

Цена: 150 руб.



С книгой «Безопасность информационных систем. Учебное пособие» также читают:

Предпросмотр книги «Безопасность информационных систем. Учебное пособие»

Безопасность информационных систем. Учебное пособие

   В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем.
   Для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).


Виктор Викторович Ерохин, Дина Алексеевна Погонышева, Илья Геннадьевич Степченко Безопасность информационных систем

   Рецензенты:
   кафедра «Системы информационной безопасности» Брянского государственного технического университета;
   д-р техн. наук В.И. Аверченков

   Научный редактор Н.М. Горбов

Введение

   Информационная безопасность – это быстро развивающаяся область информационных технологий, которая должна обеспечивать состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
   С возрастанием роли информации и информационных потоков появилась проблема информационной безопасности. Основными объектами рассмотрения в пособии является изучение различных аспектов обеспечения безопасности в информационной сфере. В центре внимания – категории информационной безопасности: доступность, целостность и конфиденциальность. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. В связи с этим проводится анализ и классификация угроз нарушения доступности, целостности и конфиденциальности, рассматриваются основные стандарты и законодательные акты, а также механизмы обеспечения информационной безопасности и ее составляющих.
   Пособие состоит из пяти глав. В первой главе рассматриваются международные стандарты информационного обмена, угрозы безопасности информации, информационная безопасность в условиях функционирования в России глобальных сетей.
   Во второй главе излагаются общие подходы к изучению систем информационной безопасности. Описываются виды противников, приводятся понятия о видах электронных вирусов. Рассматриваются виды нарушений информационной системы и защита информационных систем.
   В третьей главе рассматриваются основные нормативные руководящие документы, касающиеся государственной тайны и нормативно-справочные документы в области информационной безопасности. Представлены назначение и задачи в сфере обеспечения информационной безопасности на уровне государства.
   Четвертая глава посвящена защите информации в компьютерных системах. Определены основные положения теории информационной безопасности информационных систем. Приведены модели безопасности и их применение. Рассмотрена таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование. Дан анализ способов нарушений информационной безопасности. Предлагаются основные положения использования программно-технических средств для защиты компьютерных систем. Описаны методы криптографии и принципы функционирования электронной цифровой подписи.
   В пятой главе рассматриваются вопросы построения защищенных экономических информационных систем. Изложены основные технологии построения защищенных экономических информационных систем. Раскрыто место информационной безопасности экономических систем в национальной безопасности страны. Представлена концепция информационной безопасности.
   По тематике настоящего учебного пособия имеется достаточно обширная литература, однако в них недостаточно изложены вопросы практического применения основных правил функционирования систем информационной безопасности. Это дает нам право предложить данное учебное пособие как основной систематизированный материал для более полного и достаточного изучения дисциплин в области управления системами информационной безопасности.
   Учебное пособие предназначено для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).

Глава 1
Стандарты и угрозы информационной безопасности

1.1. Международные стандарты информационного обмена

   Стандарты в области криптографии и Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России, ранее Государственная техническая комиссия при Президенте Российской Федерации) закреплены законодательно.
   Роль стандартов зафиксирована в основных понятиях закона РФ «О техническом регулировании» от 27 декабря 2002 г. под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 г.):
   • стандарт – документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;
   • стандартизация деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.
   Выделяют две группы стандартов и спецификаций в области ИБ:
   • оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
   • спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
   Оценочные стандарты описывают важнейшие понятия и аспекты информационных систем (ИС), играя роль организационных и архитектурных спецификаций.
   Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.
   К оценочным стандартам относятся:
   1. Стандарт МО США «Критерии оценки доверенных компьютерных сетей» (Department of Defense Trusted Computer System Evaliation Criteria, TCSEC), («Оранжевая книга») и его сетевая конфигурация «Гармонизированные критерии Европейских стран».
   2. Международный стандарт «Критерии оценки безопасности информационных технологий».
   3. Руководящие документы ФСТЭК России.
   4. Федеральный стандарт США «Требования безопасности для криптографических модулей».
   5. Международный стандарт ISO IES 15408:1999 «Критерии оценки безопасности информационных технологий» («Общие критерии»).
   Технические спецификации, применимые к современным распределенным ИС, создаются, «Тематической группой по технологии Internet» (Internet Engineering Task Force, IETF) и ее подразделением – рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Необходимо отметить, что Internet-сообщество уделяет должное внимание административному и процедурному уровням безопасности («Руководство по информационной безопасности предприятия», «Как выбирать поставщика Интернет-услуг», «Как реагировать на нарушения информационной безопасности»).
   Сетевая безопасность определяется спецификациями Х.800 «Архитектура безопасности для взаимодействия открытых систем», Х.500 «Служба директорий: обзор концепций, моделей и сервисов» и Х.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов».
   Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» предназначен для руководителей организаций и лиц, отвечающих за информационную безопасность, без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799.
   Общие сведения о стандартах и спецификациях в области информационной безопасности представлены ниже.

   «Оранжевая книга»
   В «Оранжевой книге» заложен понятийный базис ИБ:
   – безопасная и доверенная системы,
   – политика безопасности,
   – уровень гарантированности,
   – подотчетность,
   – доверенная вычислительная база,
   – монитор обращений,
   – ядро и периметр безопасности. Стандарт выделяет политику безопасности, как добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов.
   С концептуальной точки зрения наиболее значимый документ в ней – «Интерпретация “Оранжевой книги” для сетевых конфигураций» (Trusted Network Interpretation). Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
   Важнейшее понятие, введенное в первой части, – сетевая доверенная вычислительная база. Другой принципиальный аспект – учет динамичности сетевых конфигураций. Среди защитных механизмов выделена криптография, помогающая поддерживать как конфиденциальность, так и целостность.
   Также стандарт описывает достаточное условие корректности фрагментирования монитора обращений, являющееся теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.

   Гармонизированные критерии Европейских стран
   В этих критериях отсутствуют требования к условиям, в которых должна работать информационная система. Предполагается, что сначала формулируется цель оценки, затем орган сертификации определяет, насколько полно она достигается, т. е. в какой мере корректны и эффективны архитектура и реализация механизмов безопасности в конкретной ситуации. Чтобы облегчить формулировку цели оценки, стандарт содержит описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем.
   В «Гармонизированных критериях» подчеркивается различие между системами и продуктами информационных технологий, но для унификации требований вводится единое понятие – объект оценки.
   Важно указание и на различие между функциями (сервисами) безопасности и реализующими их механизмами, а также выделение двух аспектов гарантированности – эффективности и корректности средств безопасности.
   «Гармонизированные критерии» подготовили появление международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Evaluation criteria for IT security), в русскоязычной литературе именуемого «Общими критериями».
   На данный момент времени «Общие критерии» – самый полный и современный оценочный стандарт. Это стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; он не содержит предопределенных классов безопасности. Такие классы можно строить, опираясь на заданные требования.
   «Общие критерии» содержат два основных вида требований безопасности:
   • функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
   • требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации. Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки – аппаратно-программного продукта или информационной системы.
   Безопасность в «Общих критериях» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки.
   «Общие критерии» способствуют формированию двух базовых видов используемых на практике нормативных документов – это профиль защиты и задание по безопасности.
   Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса.
   Задание по безопасности содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности.

   Руководящие документы (РД) ФСТЭК России начали появляться несколько позже, уже после опубликования «Гармонизированных критериев», и, по аналогии с последними, подтверждают разницу между автоматизированными системами (АС) и продуктами (средствами вычислительной техники, СВТ).
   В 1997 г. был принят РД по отдельному сервису безопасности – межсетевым экранам (МЭ). Его основная идея состоит в классификации МЭ на основании осуществляющих фильтрацию потоков данных уровней эталонной семиуровневой модели – получила международное признание и продолжает оставаться актуальной.
   В 2002 г. Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий».

   Х.800 «Архитектура безопасности для взаимодействия открытых систем»
   Среди технических спецификаций основным документом является
   Х.800 «Архитектура безопасности для взаимодействия открытых систем». Здесь выделены важнейшие сетевые сервисы безопасности: аутентификация, управление доступом, обеспечение конфиденциальности и/или целостности данных, а также невозможность отказаться от совершенных действий. Для реализации сервисов предусмотрены следующие сетевые механизмы безопасности и их комбинации: шифрование, электронная цифровая подпись (ЭЦП), управление доступом, контроль целостности данных, аутентификация, дополнение трафика, управление маршрутизацией, нотаризация. Выбраны уровни эталонной семиуровневой модели, на которых могут быть реализованы сервисы и механизмы безопасности. Детально рассмотрены вопросы администрирования средств безопасности для распределенных конфигураций.

   Спецификация Internet-сообщества RFC 1510 «Сетевой сервис аутентификации Kerberos (V5)»
   Он относится к проблеме аутентификации в разнородной распределенной среде с поддержкой концепции единого входа в сеть. Сервер аутентификации Kerberos представляет собой доверенную третью сторону, владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

   Федеральный стандарт США FIPS 140-2 «Требования безопасности для криптографических модулей» (Security Requiremen ts for Cryptographic Modules)
   Он выполняет организующую функцию, описывая внешний интерфейс криптографического модуля, общие требования к подобным модулям и их окружению. Наличие такого стандарта упрощает разработку сервисов безопасности и профилей защиты для них.

   «Обобщенный прикладной программный интерфейс службы безопасности»
   Криптография как средство реализации сервисов безопасности имеет две стороны: алгоритмическую и интерфейсную. Интерфейсный аспект наряду со стандартом FIPS 140-2 предложило Internet-сообщество в виде технической спецификации «Обобщенный прикладной программный интерфейс службы безопасности» (Generic Security Service Application Program Interface, GSS-API).
   Интерфейс безопасности GSS-API предназначен для защиты коммуникаций между компонентами программных систем, построенных в архитектуре клиент/сервер. Он создает условия для взаимной аутентификации общающихся партнеров, контролирует целостность пересылаемых сообщений и служит гарантией их конфиденциальности. Пользователями интерфейса безопасности GSS-API являются коммуникационные протоколы (обычно прикладного уровня) или другие программные системы, самостоятельно выполняющие пересылку данных.

   Технические спецификации IPsec
   Они описывают полный набор средств обеспечения конфиденциальности и целостности на сетевом уровне. Для доминирующего в настоящее время протокола IP версии 4 они носят необязательный характер; в версии IPv6 их реализация обязательна. На основе IPsec строятся защитные механизмы протоколов более высокого уровня, вплоть до прикладного, а также законченные средства безопасности, в том числе виртуальные частные сети. IPsec существенным образом опирается на криптографические механизмы и ключевую инфраструктуру.

   TLS, средства безопасности транспортного уровня (Transport Layer Security, TLS)
   Спецификация TLS развивает и уточняет популярный протокол Secure Socket Layer (SSL), используемый в большом числе программных продуктов самого разного назначения.

   Х.500 «Служба директорий: обзор концепций, моделей и сервисов»
   В инфраструктурном плане очень важны рекомендации Х.500 «Служба директорий: обзор концепций, моделей и сервисов» (The Directory: Overview of concepts, models and services) и Х.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов» (The Directory: Public-key and attribute certificate frameworks). В рекомендациях Х.509 описан формат сертификатов открытых ключей и атрибутов – базовых элементов инфраструктур открытых ключей и управления привилегиями.

   Рекомендация Internet-сообщества «Руководство по информационной безопасности предприятия»
   Обеспечение информационной безопасности – проблема комплексная, требующая согласованного принятия мер на законодательном, административном, процедурном и программно-техническом уровнях. При разработке и реализации базового документа административного уровня (политики безопасности организации) может использоваться рекомендация Internet-сообщества «Руководство по информационной безопасности предприятия» (Site Security Handbook). В нем освещаются практические аспекты формирования политики и процедур безопасности, поясняются основные понятия административного и процедурного уровней, содержится мотивировка рекомендуемых действий, затрагиваются темы анализа рисков, реакции на нарушения информационной безопасности и действий после ликвидации нарушения. Более подробно последние вопросы рассмотрены в рекомендации «Как реагировать на нарушения информационной безопасности» (Expectations for Computer Security Incident Response). В этом документе можно найти и ссылки на информационные ресурсы, и практические советы процедурного уровня.

   Рекомендация «Как выбирать поставщика Internet-услуг»
   При развитии и реорганизации корпоративных информационных систем окажется полезной рекомендация «Как выбирать поставщика Internet-услуг» (Site Security Handbook Addendum for ISPs). В первую очередь ее положений необходимо придерживаться в ходе формирования организационной и архитектурной безопасности, на которой базируются прочие меры процедурного и программно-технического уровней.

   Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила»
   Для практического создания и поддержания режима информационной безопасности с помощью регуляторов административного и процедурного уровней необходимо использовать британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» (Code of practice for information security management) и его вторую часть BS 7799-2:2002 «Системы управления информационной безопасностью – спецификация с руководством по использованию» (Information security management systems – Specification with guidance for use). В нем разъясняются такие понятия и процедуры, как политика безопасности, общие принципы организации защиты, классификация ресурсов и управление ими, безопасность персонала, физическая безопасность, принципы администрирования систем и сетей, управление доступом, разработка и сопровождение ИС, планирование бесперебойной работы организации.

1.2. Угрозы безопасности информации

   Системная классификация угроз информации представлена в табл. 1.

   Таблица 1
   Системная классификация угроз информации 


   Случайная угроза – это угроза, обусловленная спонтанными и независящими от воли людей обстоятельствами, возникающими в системах обработки данных, принятия решений, ее функционирования и т. д.
   Отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.
   Сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.
   Ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния.
   Побочное влияние – негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
   Количественная недостаточность – физическая нехватка одного или несколько элементов системы, вызывающая нарушения технологического процесса функционирования системы.
   Качественная недостаточность – несовершенство конструкции (организации) элементов системы, вследствие чего могут появляться возможности случайного или преднамеренного негативного воздействия на информационные ресурсы.
   Деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами. К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и доброжелателей) и техническая, включающая радиоразведку (перехват радиосредствами информации, циркулирующей в радиоканалах систем связи), радиотехническую (регистрацию спецсредствами сигналов, излучаемых техническими системами) и космическую (использование космических кораблей и искусственных спутников для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и т. д.).
   Промышленный шпионаж – негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальных выгод.
   Злоумышленные действия уголовных элементов – хищение информационных ресурсов в целях наживы или их разрушения в интересах конкурентов.
   Злоумышленные действия недобросовестных сотрудников – хищение или уничтожение информационных ресурсов по эгоистическим или корыстным мотивам.
   При обработке информации средствами ЭВТ (электронно-вычислительной техники) возникают угрозы прямого несанкционированного доступа к информации (НСД), так и косвенного с использованием технических средств разведки. Для ЭВТ существует пять угроз:
   1. Хищение носителей информации.
   2. Запоминание или копирование информации.
   3. Несанкционированное подключение к аппаратуре.
   4. НСД к ресурсам ЭВТ.
   5. Перехват побочных излучений и наводок.
   Существует три типа средств получения информации: человек, аппаратура, программа. Угрозы со стороны человека – хищение носителей, чтение информации с экрана, чтение информации с распечаток. Угрозы, реализованные аппаратными средствами, – подключение к устройствам и перехват излучений. Угрозы, обусловленные программным обеспечением, – несанкционированный программный доступ, программное дешифрование зашифрованных данных, программное копирование информации с носителей, уничтожение (искажение) или регистрация защищаемой информации с помощью программных закладок, чтение остаточной информации из оперативного запоминающего устройства (ОЗУ).
   Также угрозы могут классифицироваться по их источнику:
   1. Природные (стихийные бедствия, магнитные бури, радиоактивное излучение и наводки).
   2. Технические (отключение или изменение характеристик электропитания, отказ и сбои аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи).
   3. Субъективные (преднамеренные и непреднамеренные). Угрозу для ЭВТ представляют специальные программы, скрытно и преднамеренно внедряемые в различные функциональные программные системы и которые после одного или нескольких запусков разрушают хранящуюся в них информацию. Это программы: электронные вирусы, троянские кони, компьютерные черви.
   Электронные вирусы – вредоносные программы, которые не только осуществляют несанкционированные действия, но обладают способностью к саморазмножению. Для размножения вирусов необходим носитель – файл, диск.
   Троянские кони – вредоносные программы, которые злоумышленно вводятся в состав программного обеспечения и в процессе обработки информации осуществляют несанкционированные процедуры.
   Компьютерные черви – вредоносные программы, подобные по своему воздействию электронным вирусам, но не требующие для своего размножения специального носителя.
   Статья 272 уголовного кодекса Российской Федерации (УК РФ) предусматривает ответственность за деяния, сопряженные с неправомерным доступом к компьютерной информации, повлекшим за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Статьей 273 УК РФ предусматривается ответственность за создание, использование или распространение программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к последствиям, описанным в статье 272 УК РФ. Такие последствия как уничтожение, блокирование, модификация либо копирование информации, нарушающие работу ЭВМ, системы ЭВМ или их сети в исследованиях по информационной безопасности, рассматриваются, как угрозы системе защиты информации и «расшифровываются» при помощи трех свойств защищаемой информации: конфиденциальности (неизвестности третьим лицам), целостности и доступности.
   С точки зрения информационной безопасности указанные действия считаются угрозой информационной безопасности только в том случае, если они производятся неавторизованным лицом, т. е. человеком, не имеющим права на их осуществление. Подобные действия считаются несанкционированными, только если доступ к данным во внутренней или внешней компьютерной памяти ограничен при помощи организационных, технических или программных мер и средств защиты.
   В противном случае в качестве злоумышленников фигурировали бы все системные администраторы, настраивающие системы, и авторизованные пользователи, которые могут ошибиться или просто быть слишком любопытными.
   «Взлом» компьютерной программы направлен на обход или преодоление встроенных в нее средств защиты авторских прав с целью бесплатного пользования «взломанной» программой. В принципе, это деяние является уголовно-наказуемым по статье 146 УК РФ, если ущерб от него превысит 50 000 рублей. Однако большинство «взламываемых» программ не превышает по стоимости 3000–6000 рублей, что делает «взломщиков» недосягаемыми для уголовного преследования. Для того, чтобы решить эту проблему, сотрудники управления «К» МВД РФ используют следующую логическую цепь:
   1. Программа для ЭВМ, записанная на машинный носитель, является компьютерной информацией, следовательно, доступ к программе на машинном носителе подпадает под определение доступа к «информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети».
   2. В результате запуска программы происходит ее воспроизведение, т. е. копирование информации, а при внесении изменений в двоичный код программы происходит модификация информации.
   3. Поскольку программа для ЭВМ является объектом авторского права, то исключительные права на ее воспроизведение и модификацию принадлежат автору.
   4. Без разрешения автора воспроизведение и модификация программы являются неправомерными.
   5. Следовательно, при воспроизведении и модификации программы для ЭВМ без санкции на это ее автора происходит неправомерный доступ к компьютерной информации, влекущий за собой модификацию и копирование информации.

1.3. Информационная безопасность в условиях функционирования в России глобальных сетей

   • доступность;
   • целостность;
   • конфиденциальность.
   Первый шаг при построении системы информационной безопасности организации – это ранжирование и детализация этих аспектов.
   Важность проблематики информационной безопасности объясняется двумя основными причинами:
   • ценностью накопленных информационных ресурсов;
   • критической зависимостью от информационных технологий.
   Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа – все это приводит к крупным материальным потерям, наносит ущерб репутации организации.
   Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Необходимо принимать во внимание чрезвычайно большие номенклатуры аппаратного и программного обеспечения, многочисленные связи между их компонентами.
   Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются собственные; получил широкое распространение «аутсорсинг», когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами.
   Подтверждением сложности проблематики информационной безопасности является параллельный рост затрат на защитные мероприятия и количества нарушений информационной безопасности в сочетании с ростом среднего ущерба от каждого нарушения.
   Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:
   • законодательного;
   • административного;
   • процедурного;
   • программно-технического.
   Проблема информационной безопасности не только техническая, но и законодательная. Без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить проблему информационной безопасности невозможно. Комплексность также усложняет проблематику информационной безопасности, т. е. требуется взаимодействие специалистов из разных областей.
   В качестве основного инструмента борьбы со сложностью используется объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации – все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.
   Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
   Российские правовые акты в большинстве своем имеют ограничительную направленность. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения информационной безопасности.
   Главная задача мер административного уровня – это сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
   Основой программы является политика безопасности, отража ющая подход организации к защите своих информационных активов.
   Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого является ознакомление с наиболее распространенными угрозами.
   Главные угрозы – это внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
   На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.
   Для подавляющего большинства организаций достаточно общего знакомства с рисками. Ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и материальных затратах.
   Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:
   • инициация;
   • закупка;
   • установка;
   • эксплуатация;
   • выведение из эксплуатации.
   Безопасность невозможно добавить к системе, ее нужно закладывать с самого начала и поддерживать до конца.
   Меры процедурного уровня ориентированы на людей, а не на технические средства, и подразделяются на следующие виды:
   • управление персоналом;
   • физическая защита;
   • поддержание работоспособности;
   • реагирование на нарушения режима безопасности;
   • планирование восстановительных работ.
   На этом уровне применимы важные принципы безопасности:
   • непрерывность защиты в пространстве и времени;
   • разделение обязанностей;
   • минимизация привилегий.
   Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает:
   • поддержку пользователей;
   • поддержку программного обеспечения;
   • конфигурационное управление;
   • резервное копирование;
   • управление носителями;
   • документирование;
   • регламентные работы.
   Элементом повседневной деятельности является отслеживание информации в области информационной безопасности. Администратор безопасности должен подписаться на список рассылки по новым проблемам в защите и своевременно знакомиться с поступающими сообщениями.
   Необходимо заранее готовиться к нарушениям информационной безопасности. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:
   • локализация инцидента и уменьшение наносимого вреда;
   • выявление нарушителя;
   • предупреждение повторных нарушений.
   Выявление нарушителя – сложный процесс, но первый и третий пункты необходимо тщательно продумывать и отрабатывать.
   В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:
   • выявление критически важных функций организации, установление приоритетов;
   • идентификация ресурсов, необходимых для выполнения критически важных функций;
   • определение перечня возможных аварий;
   • разработка стратегии восстановительных работ;
   • подготовка реализации выбранной стратегии;
   • проверка стратегии.
   Программно-технические меры, направленные на контроль компьютерных сущностей – это оборудование, программы и данные. Эти меры образуют последний и самый важный рубеж информационной безопасности. На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по информационной безопасности, но и у злоумышленников. Во-вторых, информационные системы постоянно модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.
   Меры безопасности делятся на следующие основные виды:
   • превентивные меры, которые препятствуют нарушениям информационной безопасности;
   • меры обнаружения нарушений;
   • локализующие меры, которые сужают зону воздействия нарушений;
   • меры по выявлению нарушителя;
   • меры восстановления режима безопасности.
   В продуманной архитектуре безопасности все указанные меры должны присутствовать.
   Важными также являются следующие принципы архитектурной безопасности:
   • непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
   • следование признанным стандартам, использование апробированных решений;
   • иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
   • усиление самого слабого звена;
   • невозможность перехода в небезопасное состояние;
   • минимизация привилегий;
   • разделение обязанностей;
   • многоуровневая оборона;
   • разнообразие защитных средств;
   • простота и управляемость информационной системы.
   Основным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:
   • идентификация и аутентификация;
   • управление доступом;
   • протоколирование и аудит;
   • шифрование;
   • контроль целостности;
   • экранирование;
   • анализ защищенности;
   • обеспечение отказоустойчивости;
   • обеспечение безопасного восстановления;
   • туннелирование;
   • управление.
   Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, т. е. быть устойчивыми к соответствующим угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/ аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.
   Основные моменты для каждого из перечисленных сервисов безопасности:
   1. Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде.
   2. При разграничении доступа должна учитываться семантика операций.
   3. Простота администрирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации.
   Протоколирование и аудит должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более высокий уровень. Это необходимое условие управляемости. Желательно применение средств активного аудита. Однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей многоуровневой обороны. Следует конфигурировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании.
   Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения. Данный сервис является инфраструктурным, его реализация должна присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого программного обеспечения.
   Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. К статической целостности есть и некриптографические подходы, основанные на использовании запоминающих устройств, данные на которых доступны только для чтения. Если в системе разделить статическую и динамическую составляющие и поместить первую в постоянное запоминающее устройство или на компакт-диск, можно в основном пресечь угрозы целостности. В этом случае наиболее рационально записывать регистрационную информацию на устройства с однократной записью.
   Экранирование является сервисом безопасности, который реализуется через межсетевые экраны, ограничивающие интерфейсы и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удобства использования и администрирования. В сетевой среде они являются первым и весьма эффективным рубежом защиты информации. Целесообразно применение всех видов межсетевых экранов от персональной до внешней корпоративной системы. Контролю должны подлежать действия внешних и внутренних пользователей.
   Анализ защищенности – это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость практически непрерывного обновления базы знаний. Анализ защищенности не самый надежный, но необходимый защитный рубеж, на котором можно расположить свободно распространяемый продукт.
   Обеспечение отказоустойчивости и безопасного восстановления – это аспекты высокой доступности. При их реализации решаются архитектурные вопросы, в первую очередь – внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом возможных угроз и соответствующих зон поражения.
   Безопасное восстановление – это последний уровень защиты, требующий особого внимания, тщательности при проектировании, реализации и сопровождении.
   Туннелирование – не основной, но необходимый элемент сервисов безопасности. Он важен в комбинации с шифрованием и экранированием для реализации виртуальных частных сетей.
   Управление – это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в ИС (а в идеале и получить прогноз развития ситуации). Наиболее практичным решением для большинства организаций является использование какого-либо свободно распространяемого программного или технического каркаса с постепенным дополнением на него собственных функций.
   В Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
   ФСТЭК России предполагает выполнение двух РД – Классификацию автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа к информации (НСД) и аналогичную классификацию межсетевых экранов (МЭ).
   Согласно первому из них устанавливается девять классов защищенности АС от НСД к информации.
   Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
   Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
   В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
   Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
   Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности.
   Группа содержит два класса – 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
   В табл. 2 приведены требования ко всем девяти классам защищенности АС.

   Таблица 2
   Требования к защищенности автоматизированных систем 



   Примечание к табл. 2: «—» нет требований к данному классу; «+» есть требования к данному классу; СЗИ НСД система защиты информации от несанкционированного доступа.

   По существу это минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступность (точнее, восстановление) предусмотрено только для самих средств защиты.
   В принципиально важном РД «Классификация межсетевых экранов» описываются сервисы безопасности относительно использования межсетевого разграничения доступа. Основным критерием классификации МЭ служит протокольный уровень (в соответствии с эталонной семиуровневой моделью), на котором осуществляется фильтрация информации. Чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию можно реализовать. Значительное внимание в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирования распределенных конфигураций.

Контрольные вопросы к главе 1

   2. Назовите общие сведения о стандартах и спецификациях в области информационной безопасности.
   3. Какова структура системной классификации угроз информации?
   4. Назовите основные составляющие информационной безопасности. 5. В чем важность и сложность проблемы информационной безопасности? 6. Дайте характеристику требованиям к защищенности автоматизированных систем.
   7. Сформулируйте источники, виды и методы дестабилизирующего воздействия на защищаемую информацию.
   8. Изложите особенности специфики проблемы компьютерной преступности в РФ.

Глава 2
Нарушение и защита информационных систем

2.1. Виды противников или «нарушителей»

   1. Компьютерные вирусы, способные размножаться, прикрепляться к программам, передаваться по линиям связи и сетям передачи данных, проникать в электронные телефонные станции и системы управления и выводить их из строя.
   2. Логические бомбы, так называемые программные закладные устройства, заранее внедряемые в информационно-управля– ющие центры военной и гражданской инфраструктуры, которые по сигналу или в установленное время приводятся в действие, уничтожая или искажая информацию или дезорганизуя работу программно-технических средств. Одна из разновидностей такой бомбы – «троянский конь» – программа, позволяющая осуществить скрытый НСД к информационным ресурсам противника для добывания разведывательной информации.
   3. Средства подавления информационного обмена в телекоммуникационных сетях, его фальсификация, передача по каналам государственного и военного управления, а также по каналам массовой информации нужной с позиции противодействующей стороны информации.
   4. Способы и средства, позволяющие внедрять компьютерные вирусы и логические бомбы в государственные и корпоративные информационные сети и системы и управлять ими на расстоянии (от внедрения микропроцессоров и других компонентов в электронную аппаратуру, продаваемую на мировом рынке, до создания международных информационных сетей и систем, курируемых НАТО и США).
   Средства ведения информационной войны предусматривают использование всего диапазона возможностей воздействия на информационные системы противника: проведение психологических операций, огневое уничтожение элементов инфраструктуры, активное подавление каналов связи, применение специальных средств воздействия на информационно-программный ресурс информационных систем.
   Основной проблемой защиты информации является полнота выявления угроз информации, потенциально возможных в автоматизированных системах обработки данных (АСОД). Даже один неучтенный (невыявленный или непринятый во внимание) дестабилизирующий фактор может в значительной мере снизить эффективность защиты.
   Причины нарушения целостности информации (ПНЦИ) – это дестабилизирующие факторы, следствием проявления которых может быть нарушение физической целостности информации, т. е. ее искажение или уничтожение.
   Каналы несанкционированного получения информации (КНПИ) – это дестабилизирующие факторы, следствием которых может быть получение (или опасность получения) защищаемой информации лицами или процессами, не имеющими на это законных полномочий.
   Сформированные перечни КНПИ представляются следующим образом.
   КНПИ 1-го класса – каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам ЭВТ:
   1) хищение носителей информации;
   2) подслушивание разговоров лиц, имеющих отношение к АСОД; 3) провоцирование на разговоры лиц, имеющих отношение к АСОД; 4) использование злоумышленником визуальных средств;
   5) использование злоумышленником оптических средств;
   6) использование злоумышленником акустических средств.
   КНПИ 2-го класса – каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АСОД:
   1) электромагнитные излучения устройств наглядного отображения; 2) электромагнитные излучения процессоров;
   3) электромагнитные излучения внешних запоминающих устройств; 4) электромагнитные излучения аппаратуры связи;
   5) электромагнитные излучения линий связи;
   6) электромагнитные излучения вспомогательной аппаратуры;
   7) электромагнитные излучения групповых устройств ввода-вывода информации;
   8) электромагнитные излучения устройств подготовки данных;
   9) паразитные наводки в коммуникациях водоснабжения;
   10) паразитные наводки в системах канализации;
   11) паразитные наводки в сетях теплоснабжения;
   12) паразитные наводки в системах вентиляции;
   13) паразитные наводки в шинах заземления;
   14) паразитные наводки в цепях часофикации;
   15) паразитные наводки в цепях радиофикации;
   16) паразитные наводки в цепях телефонизации;
   17) паразитные наводки в сетях питания по цепи 50 Гц;
   18) паразитные наводки в сетях питания по цепи 400 Гц;
   19) подключение генераторов помех;
   20) подключение регистрирующей аппаратуры;
   21) осмотр отходов производств, попадающих за пределы контролируемой зоны.
   КНПИ 3-го класса – каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АСОД, но без изменения последних:
   1) копирование бланков с исходными данными;
   2) копирование перфоносителей;
   3) копирование магнитных носителей;
   4) копирование с устройств отображения;
   5) копирование выходных документов;
   6) копирование других документов;
   7) хищение производственных отходов.
   КНПИ 4-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АСОД, но без изменения последних:
   1) запоминание информации на бланках с исходными данными; 2) запоминание информации с устройств наглядного отображения; 3) запоминание информации на выходных документах;
   4) запоминание служебных данных;
   5) копирование (фотографирование) информации в процессе обработки;
   6) изготовление дубликатов массивов и выходных документов;
   7) копирование распечатки массивов;
   8) использование программных закладок;
   9) маскировка под зарегистрированного пользователя;
   10) использование недостатков языков программирования;
   11) использование недостатков операционных систем;
   12) использование пораженности программного обеспечения вредоносными закладками.
   КНПИ 5-го класса – каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам ЭВТ с изменением последних:
   1) подмена или хищение бланков;
   2) подмена или хищение перфоносителей;
   3) подмена или хищение магнитных носителей;
   4) подмена или хищение выходных документов;
   5) подмена аппаратуры;
   7) подмена элементов программ;
   8) подмена элементов баз данных;
   9) хищение других документов;
   10) включение в программы блоков типа «троянский конь», «бомба» и т. п.;
   11) чтение остаточной информации в ОЗУ после выполнения санкционированных запросов.
   КНПИ 6-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам ЭВТ с изменением последних:
   1) незаконное подключение к аппаратуре;
   2) незаконное подключение к линиям связи;
   3) снятие информации на шинах питания устройств наглядного отображения;
   4) снятие информации на шинах питания процессора;
   5) снятие информации на шинах питания аппаратуры связи;
   6) снятие информации на шинах питания линий связи;
   7) снятие информации на шинах питания печатающих устройств; 8) снятие информации на шинах питания внешних запоминающих устройств;
   9) снятие информации на шинах питания вспомогательной аппаратуры.
   Мотивы совершения компьютерных преступлений распределяются следующим образом: корыстные соображения – 66 %; шпионаж, диверсия – 17 %; исследовательский интерес – 7 %; хулиганство – 5 %; месть – 5 %.
   Специфика проблемы компьютерной преступности в РФ характеризуется:
   1. Отсутствием отлаженной системы правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области информационной безопасности.
   2. Ограниченными возможностями бюджетного финансирования работ по созданию правовой, организационной и технической базы информационной безопасности.
   3. Недостаточным сознанием органами государственной власти на федеральном и региональном уровнях возможных политических, экономических, моральных и юридических последствий компьютерных преступлений.
   4. Слабостью координации усилий правоохранительных органов, органов суда и прокуратуры в борьбе с компьютерными правонарушениями и неподготовленностью их кадрового состава к эффективному предупреждению, выявлению и расследованию таких деяний.
   5. Неналаженностью системы единого учета правонарушений, совершаемых с использованием средств информатизации.
   6. Серьезным отставанием отечественной индустрии средств и технологий информатизации и ИБ от развитых стран мира.
   7. Ухудшением экономического положения научно-технической интеллигенции, непосредственно связанной с созданием информационных систем, что создает предпосылки для утечки научных кадров, осуществления разного рода информационных диверсий и т. д.
   К основным способам НСД относятся: 1. Непосредственное обращение к объектам доступа.
   2. Создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты.
   3. Модификация средств защиты, позволяющая осуществить НДС.
   4. Внедрение в технические средства СВТ и АС программных и технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
   Утечки информации могут быть связаны с работой персонала, имеющий непосредственный контакт с циркулирующей информацией, а также может быть организован путем проведения разведывательных мероприятий, реализующих съем информации с технических каналов утечки информации.
   Под техническим каналом понимают систему, в состав которой входят:
   1) объект разведки;
   2) техническое средство, используемое для НСД к информации; 3) физическая среда, в которой распространяется информационный сигнал.
   Объектом разведки могут быть помещение, группа помещений или здание с хранящимися материалами ограниченного пользования, технические каналы связи, используемые для передачи сведений, отнесенных к различным видам тайн.
   Технические средства по перехвату информации – это средства фото– и видеодокументирования, специальные микрофоны, стетоскопы и лазерные акустические системы, системы радиоперехвата, средства съема информации с проводных линий связи и др.
   Физическая среда – это строительные конструкции зданий и сооружений, токопроводящие линии, среда распространения акустических сигналов, электромагнитные поля, технические средства обработки информации (СВТ, автоматические телефонные станции, системы звукозаписи).
   Группы технических каналов утечки информации:
   1) электромагнитные;
   2) электрические;
   3) каналы утечки видовой информации;
   4) каналы утечки акустической информации.

   Электромагнитные каналы утечки информации
   К ним относятся каналы утечки информации, возникающие за счет побочных электромагнитных излучений технических средств обработки информации. Вся работающая аппаратура и электронные системы создают электромагнитные поля, называемые побочными электромагнитными излучениями. Они способны создавать электромагнитные наводки в расположенных рядом слаботочных, силовых и осветительных сетях, линиях и аппаратуре охранно-пожарной сигнализации, проводных линиях связи, различных приемниках электромагнитных излучений. Канал утечки основан на законе Ленца. В результате побочных электромагнитных излучений возникают каналы утечки информации. Специальные широкополосные приемники считывают электромагнитные излучения, а затем восстанавливают и отображают содержащуюся в них информацию.
   При обработке информации на ЭВМ диапазон побочных электромагнитных излучений доходит до нескольких гигагерц. Они возникают за счет работы монитора, дисководов (в меньшей степени), матричного принтера, за счет коротких фронтов импульсов, поступающих на электромагниты печатающей головки. Информативные сигналы могут быть считаны с кабелей компьютера, прежде всего с кабелей питания.
   Сравнительно мощные побочные электромагнитные излучения создаются монитором с электроннолучевой трубкой (ЭЛТ). Напряжение на втором аноде ЭЛТ составляет 27 000 В, что непосредственно определяет возникновение электростатического и электромагнитного полей. Электромагнитное излучение модулируется сигналами яркости и цветности, которые несут сведения об информации, обрабатываемой на ЭВМ и отображаемой на экране монитора. Максимальное излучение находится в диапазоне 100…350 МГц. Дальность перехвата до 150 м. При этом возможно считывание с нескольких одновременно работа ющих компьютеров. Даже проведение по существующим стандартам экранирование служебных помещений от электромагнитных излучений не исключает возможности такого перехвата и распознавания.

   Электрические каналы утечки информации
   Они могут возникать за счет: 1) наводок электромагнитных излучений технических средств обработки информации на коммутационные линии вспомогательных технических систем и средств;
   2) утечек информационных сигналов в цепях электропитания технических средств обработки информации;
   3) утечек информационных сигналов в цепь заземления электрических устройств.
   Например, работающая ЭВМ производит наводки на близко расположенные коммутационные линии вспомогательных технических систем и средств (охранно-пожарная сигнализация, телефонные провода, сети электропитания, металлические трубопроводы). Наводимая на них ЭДС существенна и распознаваема на частотах от десятков кГц до десятков МГц. В этом случае возможен съем информации путем подключения специальной аппаратуры к коммуникационным линиям за пределами контролируемой территории.
   Использование соответствующей измерительной аппаратуры, средств технической разведки позволяет несанкционированный перехват информационных сигналов от технических средств обработки информации, просачивающихся как в цепи электропитания, так и в разветвленную цепь заземления.

   Каналы утечки видовой информации
   Несанкционированное получение видовой или графической информации осуществляется путем наблюдения за объектом. При необходимости могут быть осуществлены фото– или видеосъемка. Технические средства: бинокли, приборы ночного видения, фото– и видео– техника.
   Метод съема информации. Миниатюрная аппаратура с дистанционным управлением для передачи как изображения, так и звука по радиоканалу в различных частотных диапазонах снимает видовую информацию. При этом технические средства позволяют осуществить маскировку амплитудно– и частотно-модулированных радиосигналов телевизионного изображения. В случае необходимости может быть осуществлена ретрансляция информационных сигналов либо их передача по проводным линиям.

   Каналы утечки акустической информации
   Они классифицируются на: 1) электроакустические;
   2) виброакустические;
   3) оптико-электронные;
   4) акустические;
   5) проводные;
   6) электромагнитные.

   Электроакустический канал утечки информации. Ряд элементов технических систем – громкоговорители трансляционных сетей, звонки телефонных аппаратов – меняют свои электрические параметры (емкость, индуктивность, сопротивление) под действием акустического сигнала. Изменение названных параметров вызывает модуляцию электрических токов. Такие электроакустические преобразователи получили название «микрофонного эффекта».
   Звонковая цепь телефонного аппарата при положенной на рычаг трубке обладает «микрофонным эффектом». Подвижные части звонка вибрируют под действием речевых сигналов, что приводит к появлению в нем электрического тока малой амплитуды. Это позволяет провести соответствующую обработку сигнала в цепи и выделить из него звуковую составляющую за пределами контролируемого помещения.
   Другим способом снятия информации с телефона является использование высокочастотного навязывания. К одному из проводов телефонной линии подключают высокочастотный генератор, работающий в диапазоне 50…300 кГц. Правильный подбор частоты генератора и частоты резонанса телефонного аппарата позволяет при положенной трубке добиться модуляции высокочастотных колебаний микрофоном, который улавливает звуковые сигналы в прослушиваемом помещении.
   Виброакустический канал несанкционированного снятия информации. Он реализуется путем использования электронных стетоскопов. Они снимают результаты воздействия акустических речевых сигналов на строительные конструкции и сооружения (панели перегородок стен, пол, потолок, воздуховоды, вентиляционные шахты, трубы и батареи отопления, оконные стекла и т. д.). Под воздействием акустических волн строительные конструкции подвергаются микродеформированию, в результате которого возникают упругие механические колебания, хорошо передающиеся в твердых однородных средах. Эти колебания воздействуют на чувствительный элемент электронного стетоскопа (вибродатчик) и преобразуются в электрический сигнал. Этот метод эффективен, так как не требует проникновения в контролируемые помещения. Электронный стетоскоп устанавливают за пределами контролируемой зоны – на элементы строительных конструкций, на трубы водоснабжения и отопления.
   Оптико-электронный канал утечки информации. Акустический контроль удаленных помещений, имеющих окна, может быть осуществлен с использованием оптико-электронных или лазерных систем (лазерных микрофонов). Лазерные системы позволяют прослушивать разговоры на расстоянии от 100 м до 1 км. Дальность действия зависит от качества оконного стекла (величины микронеровностей), а также от степени его загрязненности и состояния атмосферной среды. Для повышения дальности лазерного съема информации стекло покрывается специальным материалом либо на нем наклеиваются небольшие отражатели либо используются элементы интерьера и мебели – стеклянные поверхности и зеркала внутри помещения.
   Лазерные системы состоят из источника когерентного излучения и приемника отраженного луча. Передатчик формирует луч и направляет в определенную точку оконного стекла помещения. Отраженный луч модулируется речевым или акустическим сигналом, который возникает в помещении, улавливается приемником, демодулируется с последующим шумоподавлением и усилением. Процессу съема информации предшествует определенная работа по выбору наилучшего места установки системы, после чего проводится грубая и точная наводка передатчика и приемника.
   Недостаток данных систем является их зависимость от гидрометеорологических условий – дождь, снег, туман, порывистый ветер.
   Акустический канал утечки информации. Основывается на подслушивании переговоров. Неплотно прикрытая дверь в кабинеты должностного лица, обсуждение сведений ограниченного распространения в курительной комнате или за пределами служебных помещений, конфиденциальное совещание, проводимое в помещении с открытыми окнами – реальные каналы утечки информации. Если используются технические средства как направленный микрофон, портативный диктофон, тогда возможно зафиксировать контролиру емую беседу.
   Существуют четыре типа направленных микрофона: 1) параболические;
   2) трубчатые;
   3) плоские акустические фазированные решетки;
   4) градиентные. Параболический микрофон состоит из отражателя звука параболической формы, в фокусе которого расположен обычный микрофон. Звуковые волны, отражаясь от параболического зеркала, фокусируются на микрофоне. Чем больше диаметр зеркала, тем выше эффект усиления. Диаметр звукоулавливающего отражателя 200…500 мм и более.
   Трубчатые микрофоны (микрофон «бегущей волны») по размерам существенно меньше, более удобны при транспортировке и маскировке. Он основан на использовании звуковода диаметром 10…30 мм (жесткая полая трубка с щелевыми отверстиями). Длина микрофона 15…230 мм, реже до 1 м. Увеличение трубы подавляет боковые и тыльные помехи.
   В акустических фазированных решетках реализован принцип размещения на плоскости большого количества микрофонов или открытых торцов акустопроводов, звук от которых стекается к суммирующему микрофону. Такой микрофон хорошо маскируется.
   Все рассмотренные микрофоны имеют дальность приема до 100 м.
   Проводные каналы утечки акустической информации. В зданиях и сооружениях акустические каналы возникают как за счет имеющихся воздуховодов, вентиляционных шахт, некачественного строительства, так и за счет специально сделанных отверстий в потолках, стенах, полах.
   В этом случае для снятия акустической информации могут использоваться проводные микрофоны, которые через линии связи, силовую и осветительную сеть, оптический инфракрасный канал подключаются к звукоусилительной и звукозаписывающей аппаратуре.
   Электромагнитные каналы утечки акустической информации. Это каналы, основанные на использовании скрытно устанавливаемых акустических закладных устройств – радиомикрофонов. Они могут быть камуфлированными и без камуфляжа. Они скрытно устанавливаются как во вторичных технических средствах и системах, так и в технических средствах обработки информации. Местом для установки могут быть телефонный аппарат, электрические розетки и выключатели. Также осуществляется их маскировка в настольных предметах (пепельницы, письменные приборы, вазы для цветов), предметах мебели и интерьера, в элементах конструкции здания и др.
   Источники питания радиомикрофонов – электрический ток силовой, осветительной или телефонной сети за счет гальванического подключения или использования специальных блоков питания, а также детектора СВЧ-энергии, иметь независимый источник питания (химический, радиоизотопный, солнечная батарея и др.).
   Радиомикрофоны бывают непрерывного действия (постоянно включенные), дистанционно управляемые (включаются по команде оператора), а также с акустопуском (система VOX) – при появлении речевого сигнала в контролируемом помещении происходит самовключение устройства.
   Радиомикрофоны состоят из модулей – передатчика, микрофона, выносной антенны и блока питания. Часто используют электретные, малогабаритные микрофоны (размером 4 × 3 × 2,5 мм), как встроенные в блок передатчика, так и вынесенные на расстояние от нескольких миллиметров до нескольких метров.
   Чувствительность электретного микрофона позволяет оптимально контролировать акустику помещения площадью до 20 м2. При камуфлировании используется отверстие не менее 0,5мм. Для передачи сигнала используется диапазон 300…500 МГц.
   Выходная мощность передатчика выбирается из условий эксплуатации и требуемой дальности (табл. 3).

   Таблица 3 

   В радиомикрофонах используют гибкие внешние антенны в виде отрезка многожильного провода (длиной в четверть волны).
   Иногда применяют рамочные и направленные антенны, которые используются в составе сложных радиокомплексов и ретрансляторов. Достоинство рамочной антенны являются простота и малые габариты при двух недостатках: малая эффективность и направленность.
   Направленные антенны увеличивают дальность передачи сигнала без увеличения мощности излучения. Недостатки: сложность конструкции, высокая стоимость, узкая полоса сигнала, большие габариты.

2.2. Понятия о видах вирусов

   Начинка представляет собой дополнительное поведение вируса (помимо размножения) на зараженном компьютере.
   Все компьютерные вирусы могут быть классифицированы по следующим признакам:
   1) по среде обитания;
   2) по способу заражения;
   3) по степени опасности деструктивных (вредительских) воздействий; 4) по алгоритму функционирования.
   По среде обитания компьютерные вирусы делятся на:
   1) сетевые;
   2) файловые;
   3) загрузочные;
   4) комбинированные.
   Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах областях внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов являются загрузочно-файловые вирусы. Эти вирусы могут размещаться в загрузочных секторах накопителей на магнитных дисках и в теле загрузочных файлов.
   По способу заражения среды обитания компьютерные вирусы делятся на:
   1) резидентные;
   2) нерезидентные.
   Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, тогда такой вирус считается нерезидентным.
   По степени опасности для информационных ресурсов пользователя компьютерные вирусы делятся на:
   1) безвредные вирусы;
   2) опасные вирусы;
   3) очень опасные вирусы.
   Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам компьютерной системы. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т. п.
   Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб компьютерной системе. Во-первых, такие вирусы расходуют ресурсы компьютерной системы, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов компьютерных систем.
   Кроме того, при модернизации операционной системы или аппаратных средств компьютерной системы вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
   К опасным относятся вирусы, которые вызывают существенное снижение эффективности компьютерной системы, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
   Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.
   Некоторые вирусы, вызывают неисправности аппаратных средств. На резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
   Использование в современных ЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
   Возможны также воздействия на психику человека – оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне.
   В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса:
   1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;
   2) вирусы, изменяющие среду обитания при распространении. В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
   1) вирусы-«спутники» (companion);
   2) вирусы-«черви» (worm).
   Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MSDOS такие вирусы создают копии для файлов, имеющих расширение *.ЕХЕ.
   Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на *.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением *.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением *.ЕХЕ.
   Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие – размещаются только в оперативной памяти ЭВМ.
   По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
   1) студенческие;
   2) «стелс»-вирусы (вирусы-невидимки);
   3) полиморфные.
   К студенческим вирусам относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
   «Стелc»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
   «Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют операционной системе к незараженным участкам информации. Вирус является резидентным, маскируется под программы операционной системы, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы операционной системы, обрабатывающие эти прерывания. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
   Полиморфные вирусы не имеют постоянных опознавательных групп – сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
   Любой вирус независимо от принадлежности к определенным классам должен иметь три функциональных блока:
   1) блок заражения (распространения);
   2) блок маскирования;
   3) блок выполнения деструктивных действий.
   Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
   После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровывание тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, тогда они выполняются либо безусловно, либо при выполнении определенных условий.
   Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц операционной системы и др.
   Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ операционной системы.
   Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в оперативную память для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.

   Файловые вирусы
   Структура файлового вируса. Файловые вирусы могут внедряться только в исполняемые файлы:
   1) командные файлы (файлы, состоящие из команд операционной системы);
   2) саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды.
   Макрокоманды или макросы представляют собой исполняемые программы для автоматизации работы с документами (таблицами). Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл.
   Для IВМ и совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DОС, DOCX) с версии 6.0 и выше, таблицы ЕХСЕL (XLS, XLSX). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.
   Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.
   Независимо от места расположения вируса в теле зараженного файла, после передачи управления файлу первыми выполняются команды вируса.
   

комментариев нет  

Отпишись
Ваш лимит — 2000 букв

Включите отображение картинок в браузере  →