Глава 8ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦ..


Глава 8. Организация защиты информации в информационных технологиях
Перед изучением данной главы внимательно прослушайте введение к главе. Затем изучите последовательно материалы параграфов главы, обращаясь по мере необходимости к объектам «Видеоматериалы», «Глоссарий», «Персоналии». После изучения каждого параграфа рекомендуется выполнить тренировочные задания.
Особое внимание при изучении главы обратите на содержание видеолекции «Методы и средства обеспечения безопасности информации». После изучения всех параграфов прослушайте основные выводы по главе. Затем проверьте свои знания по главе, выполнив контрольные задания.
8.1. Угрозы безопасности информации, их виды
Автоматизированные информационные технологии позволили перейти на новый уровень в проблеме обработки и передачи информации. В частности, автоматизация решения задач и технология электронных телекоммуникаций позволили решить многие задачи повышения эффективности процессов обработки и передачи данных на предприятиях и в организациях.
Однако наряду с интенсивным развитием вычислительной техники и систем передачи информации все более актуальной становится проблема обеспечения безопасности и защиты данных в информационных технологиях.
Развитие средств, методов и форм автоматизации процессов хранения и обработки информации, массовое применение персональных компьютеров, внедрение информационных технологий на экономических объектах делают информацию гораздо более уязвимой. Информация, циркулирующая в ИТ, может быть незаконно изменена, похищена или уничтожена. Основными факторами, способствующими повышению ее уязвимости, являются следующие:
 увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
 сосредоточение в автоматизированных банках данных и локальных базах данных информации различного назначения и принадлежности;
 расширение круга пользователей, имеющих непосредственный доступ к ресурсам информационной технологии и информационной базы;
 усложнение режимов работы технических средств вычислительных систем;
 автоматизация коммуникационного обмена информацией, в том числе на большие расстояния.
Публикации в зарубежной печати последних лет показывают, что возможности злоупотребления информацией, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения. Уже в 19741975 гг. в правительственных кругах США было раскрыто около 70 случаев несанкционированного проникновения в ЭВМ, которые нанесли ущерб в размере 32 млн долл. Важность решения проблемы по обеспечению защиты информации подтверждается затратами на защитные мероприятия. По опубликованным данным объем продаж средств физического контроля и регулирования в автоматизированных технологиях обработки информации в США в 1985 г. составлял более 570 млн долл; западногерманские эксперты по электронике определили, что в 1987 г. в Западной Европе промышленными фирмами, правительственными учреждениями и учебными заведениями было истрачено почти 1,7 млрд марок на обеспечение безопасности своих компьютеров.
Учитывая, что для построения надежной системы защиты данных в информационных технологиях требуются значительные материальные и финансовые затраты, необходимо не просто разрабатывать частные механизмы защиты информации, а использовать целый комплекс мер, т. е. использовать специальные средства, методы и мероприятия с целью предотвращения потери данных. Таким образом, сегодня рождается новая современная технология  технология защиты информации в ИТ и в сетях передачи данных.
Технология защиты информации в ИТ включает в себя решение следующих проблем:
 обеспечение физической целостности информации, т. е. предотвращение искажения или уничтожения элементов информации;
 предотвращение подмены (модификации) элементов информации при сохранении ее целостности;
 предотвращение несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
 использование передаваемых данных только в соответствии с обговоренными сторонами условиями.
Несмотря на предпринимаемые дорогостоящие меры, функционирование автоматизированных информационных технологий на различных предприятиях и в организациях выявило наличие слабых мест в защите информации. Для того, чтобы принятые меры оказались эффективными, необходимо определить:
 что такое угроза безопасности информации;
 выявить каналы утечки данных и пути несанкционированного доступа к защищаемой информации;
 определить потенциального нарушителя;
 построить эффективную систему защиты данных в информационных технологиях.
Угрозы безопасности делятся на случайные (непреднамеренные) и умышленные.
Источником случайных (непреднамеренных) угроз могут быть:
 отказы и сбои аппаратных средств в случае их некачественного исполнения и физического старения;
 помехи в каналах и на линиях связи от воздействия внешней среды;
 форсмажорные ситуации (пожар, выход из строя электропитания и т. д.);
 схемные системотехнические ошибки и просчеты разработчиков и производителей технических средств;
 алгоритмические и программные ошибки;
 неумышленные действия пользователей, приводящие к частичному или полному отказу технологии или разрушению аппаратных, программных, информационных ресурсов (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т. д.);
 неправомерное включение оборудования или изменение режимов работы устройств и программ;
 неумышленная порча носителей информации;
 запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в информационной технологии (форматирование или реструктуризация носителей информации, удаление данных и т. д.);
 нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях информации и т. д.);
 заражение компьютерными вирусами;
 неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;
 разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. д.);
 проектирование архитектуры технологии, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности информационной технологии и безопасности информации;
 вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных носителей информации и т. д.);
 некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности экономического объекта;
 пересылка данных по ошибочному адресу абонента или устройства;
 ввод ошибочных данных;
 неумышленное повреждение каналов связи и т. д.
Меры защиты от таких угроз носят в основном организационный характер.
Злоумышленные или преднамеренные угрозы  результат активного воздействия человека на объекты и процессы с целью умышленной дезорганизации функционирования информационной технологии, вывода ее из строя, проникновения в систему и несанкционированного доступа к информации.
Умышленные угрозы, в свою очередь, делятся на следующие виды:

К пассивной угрозе относится, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.
К активным угрозам относятся, например, разрушение или радиоэлектронное подавление каналов связи, вывод из строя рабочих станций сети, искажение сведений в базах данных либо в системной информации в информационных технологиях и т. д.
Умышленные угрозы подразделяются также на следующие виды:

По данным зарубежных источников, в настоящее время широкое распространение получил промышленный шпионаж, наносящий ущерб владельцу коммерческой тайны. В процессе промышленного шпионажа выполняются незаконные сборы, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
Практика функционирования информационных технологий показывает, что в настоящее время существует большое количество угроз безопасности информации. К основным угрозам безопасности информации и нормального функционирования информационной технологии относятся большое количество различных угроз, которые могут иметь локальный характер или интегрированный, т. е. совмещаться, комбинироваться или совпадать по своим действиям с другими видами угроз безопасности.
В целом можно выделить следующие умышленные угрозы безопасности данных в информационных технологиях (включая активные, пассивные, внутренние и внешние), представленные на рис. 8.1.

Рис. 8.1. Основные угрозы безопасности в информационных технологиях
1. Раскрытие конфиденциальной информации  это бесконтрольный выход конфиденциальной информации за пределы информационной технологии или круга лиц, которым она была доверена по службе или стала известна в процессе работы.
Раскрытие конфиденциальной информации может быть следствием:
 разглашения конфиденциальной информации;
 утечки информации по различным, главным образом техническим, каналам (по визуально-оптическим, акустическим, электромагнитным и др.);
 несанкционированного доступа к конфиденциальной информации различными способами.
Иногда выделяют разглашение информации ее владельцем или обладателем путем умышленных или неосторожных действий должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ними лиц, не допущенных к этим сведениям.
2. Несанкционированный доступ к информации выражается в противоправном преднамеренном овладении конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.
Наиболее распространенными путями несанкционированного доступа к информации являются:
 перехват электронных излучений;
 принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
 применение подслушивающих устройств (закладок);
 дистанционное фотографирование;
 перехват акустических излучений и восстановление текста принтера;
 чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
 копирование носителей информации с преодолением мер защиты;
 маскировка под зарегистрированного пользователя («маскарад»);
 использование недостатков языков программирования и операционных систем;
 маскировка под запросы системы;
 использование программных ловушек;
 незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
 злоумышленный вывод из строя механизмов защиты;
 расшифровка специальными программами зашифрованной информации;
 информационные инфекции.
Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки  это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации  канал несанкционированного доступа.
Возможные пути утечки информации при обработке и передаче данных в автоматизированной информационной технологии представлены на рис. 8.2.
Однако есть и достаточно примитивные пути несанкционированного доступа:
 хищение носителей информации и документальных отходов;
 инициативное сотрудничество;
 склонение к сотрудничеству со стороны взломщика;
 выпытывание;
 подслушивание;
 наблюдение и другие пути.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует информационная технология, так и для ее пользователей.
3. Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.
4. Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода информационной технологии из строя) или ее абонентам.

Рис. 8.2. Возможные пути утечки информации при обработкеи передаче данных в информационной технологии
5. Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. Это позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.
6. Нарушение информационного обслуживания представляет собой весьма существенную и распространенную угрозу, источником которой является сама автоматизированная информационная технология. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.
7. Незаконное использование привилегий. Любая защищенная технология содержит средства, используемые в чрезвычайных ситуациях, или средства, которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.
Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы  максимальный.
Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности, при небрежном пользовании привилегиями.
Строгое соблюдение правил управления системой защиты, а также принципа минимума привилегий позволяет избежать таких нарушений.
Большинство из перечисленных технических путей утечки информации поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
8. «Взлом системы»  умышленное проникновение в информационную технологию, когда взломщик не имеет санкционированных параметров для входа. Способы взлома могут быть различными, и при некоторых из них происходит совпадение с ранее описанными угрозами. Например, использование пароля пользователя информационной технологии, который может быть вскрыт, например, путем перебора возможных паролей.
Следует отметить, что основную нагрузку защиты системы от взлома несет программа входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок. Противостоять взлому системы поможет, например, ограничение попыток неправильного ввода пароля (т. е. исключить достаточно большой перебор) с последующей блокировкой персонального компьютера (рабочей станции) и уведомлением администратора в случае нарушения. Кроме того, администратор безопасности должен постоянно контролировать активных пользователей системы: их имена, характер работы, время входа и выхода и т. д. Такие действия помогут своевременно установить факт взлома и предпринять необходимые действия.
Реализация угроз безопасности информации в информационных технологиях приводит к различным видам прямых или косвенных потерь. Потери могут быть связаны с материальным ущербом:
 стоимость компенсации, возмещение другого косвенно утраченного имущества;
 стоимость ремонтно-восстановительных работ;
 расходы на анализ, исследование причин и величины ущерба;
 дополнительные расходы на восстановление информации, связанные с восстановлением работы и контролем данных и т. д.
Потери могут выражаться в ущемлении интересов экономического объекта, финансовых издержках или в потере клиентуры.
Специалистам информационных технологий следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей предприятий и организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:
 недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;
 использование неаттестованных технических средств обработки конфиденциальной информации;
 слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
 текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;
 организационные недоработки, в результате которых виновниками утечки информации являются люди  сотрудники информационных технологий.
Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов и вредоносных программ, т. к. эффективной защиты против них разработать не удалось.
Этот вид угроз может быть непосредственно связан с понятием «атака», который в настоящее время широко используется нарушителями против информационных технологий различных экономических объектов.
Например, атакой является применение любой из вредоносных программ. Среди атак на информационные технологии часто выделяют «маскарад» и «взлом системы», которые могут быть результатом реализации разнообразных угроз (или комплекса угроз).
В этой связи важно определить характеристику человека, который может реализовать угрозы безопасности информации в информационных технологиях.
Субъекты, совершившие противоправные действия по отношению к информации в информационных технологиях, называются нарушителями. Нарушителями в информационных технологиях экономического объекта являются, прежде всего, пользователи и работники ИТ, имеющие доступ к информации. По данным некоторых исследований, 81,7% нарушений совершается служащими организации, имеющими доступ к информационным технологиям, и только 17,3%  лицами со стороны (в том числе 1% приходится на случайных лиц).
Для определения потенциального нарушителя следует определить:
1. Предполагаемую категорию лиц, к которым может принадлежать нарушитель.
2. Мотивы действий нарушителей (цели, которые нарушители преследуют).
3. Квалификацию нарушителей и их техническую оснащенность (методы и средства, используемые для совершения нарушений).
1. Предполагаемая категория лиц. По отношению к информационной технологии нарушители могут быть внутренними (из числа персонала информационной технологии) или внешними (посторонние лица).
Внутренними нарушителями могут быть лица из следующих категорий персонала:
 специалисты (пользователи) информационной технологии;
 сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;
 персонал, обслуживающий технические средства (инженерные работники информационной технологии);
 другие сотрудники, имеющие санкционированный доступ к ресурсам информационной технологии (в том числе подсобные рабочие, уборщицы, электрики, сантехники и т. д.);
 сотрудники службы безопасности информационной технологии;
 руководители различного уровня управления.
Доступ к ресурсам информационной технологии других посторонних лиц, не принадлежащих к указанным категориям, может быть ограничен организационно-режимными мерами. Однако следует также учитывать следующие категории посторонних лиц:
 посетители (лица, приглашенные по какому-либо поводу);
 клиенты (представители сторонних организаций или граждане, с которыми работают специалисты организации);
 представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности экономического объекта (энерго-, водо-, теплоснабжения и т. д.);
 представители конкурирующих организаций, иностранных спецслужб, лиц, действующих по их заданию и т. д.;
 лица, случайно или умышленно нарушившие пропускной режим (даже без цели нарушения безопасности ИТ);
 любые лица за пределами контролируемой территории.
2. Мотивы действий нарушителей. Можно выделить три основных мотива нарушений:

3. Квалификация нарушителей и их уровень технической оснащенности. По уровню квалификации всех нарушителей можно классифицировать по четырем классификационным признакам:
1. По уровню знаний об информационной технологии различают нарушителей:
 знающих функциональные особенности информационной технологии, умеющих пользоваться штатными средствами;
 обладающих высоким уровнем знаний и опытом работы с техническими средствами информационной технологии и их обслуживания;
 обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации информационных технологий;
 знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровню возможностей нарушителями могут быть:
 применяющие агентурные методы получения сведений;
 применяющие пассивные средства (технические средства перехвата без модификации компонентов информационной технологии);
 использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные машинные носители информации, которые могут быть скрытно пронесены через посты охраны;
 применяющие методы и средства активного воздействия (модификация и подключение дополнительных устройств, внедрение программных «закладок» и т. д.).
3. По времени действия различают нарушителей действующих:
 в процессе функционирования информационной технологии (во время работы компонентов системы);
 в нерабочее время, во время плановых перерывов в работе информационной технологии, перерывов для обслуживания и ремонта и т. д.;
 как в процессе функционирования информационной технологии, так и в нерабочее время.
4. По месту действия нарушители могут быть:
 имеющие доступ в зону управления средствами обеспечения безопасности ИТ;
 имеющие доступ в зону данных;
 действующие с автоматизированных рабочих мест (рабочих станций);
 действующие внутри помещений, но не имеющие доступа к техническим средствам информационной технологии;
 действующие с контролируемой территории без доступа в здания и сооружения;
 не имеющие доступа на контролируемую территорию организации.
Определение конкретных значений характеристик потенциальных нарушителей в значительной степени субъективно. Поэтому все выше указанные характеристики рассматриваются в комплексе с учетом тщательной проверки каждой.
8.2. Система защиты данных в информационных технологиях
На современном этапе существуют следующие предпосылки сложившейся кризисной ситуации обеспечения безопасности информационных технологий:
 современные ПК за последние годы приобрели большую вычислительную мощность, но одновременно с этим стали гораздо проще в эксплуатации;
 прогресс в области аппаратных средств сочетается с еще более бурным развитием ПО;
 развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов;
 несоответствие бурного развития средств обработки информации и медленной проработки теории информационной безопасности привело к появлению существенного разрыва между теоретическими моделями безопасности, оперирующими абстрактными понятиями типа «объект», «субъект» и реальными категориями современных информационных технологий;
 необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовали разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты.
Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных информационных технологий, предназначенных для обработки конфиденциальной информации, стоят следующие задачи, требующие немедленного и эффективного решения:
 обеспечение безопасности новых типов информационных ресурсов;
 организация доверенного взаимодействия сторон (взаимной идентификации / аутентификации) в информационном пространстве;
 защита от автоматических средств нападения;
 интеграция в качестве обязательного элемента защиты информации в процессе автоматизации ее обработки.
Таким образом, организация информационной технологии требует решения проблем по защите информации, составляющей коммерческую или государственную тайну, а также безопасности самой информационной технологии.
Современные автоматизированные информационные технологии обладают следующими основными признаками:
1. Наличие информации различной степени конфиденциальности;
2. Необходимость криптографической защиты информации различной степени конфиденциальности при передаче данных между различными подразделениями или уровнями управления;
3. Иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам, необходимость оперативного изменения этих полномочий;
4. Организация обработки информации в интерактивном (диалоговом) режиме, в режиме разделения времени между пользователями и в режиме реального времени;
5. Обязательное управление потоками информации как в локальных вычислительных сетях, так и при передаче данных на большие расстояния;
6. Необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
7. Обязательное обеспечение целостности программного обеспечения и информации в автоматизированных информационных технологиях;
8. Наличие средств восстановления системы защиты информации;
9. Обязательный учет магнитных носителей информации;
10. Наличие физической охраны средств вычислительной техники и магнитных носителей.
В этих условиях проблема создания системы защиты информации в информационных технологиях включает в себя две взаимодополняющие задачи:
1. Разработка системы защиты информации (ее синтез).
2. Оценка разработанной системы защиты информации путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.
Вторая задача является задачей классификации, которая в настоящее время решается практически исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Создание базовой системы защиты информации в организациях и на предприятиях основывается на следующих принципах, представленных на рис. 8.3.

Рис. 8.3. Основные принципы создания базовой системы защиты информациив информационных технологиях
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программно-аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Специалистам экономического объекта предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
3. Полнота контроля и регистрация попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого специалиста и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.
4. Обеспечение надежности системы защиты, т. е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок специалистов экономического объекта и обслуживающего персонала.
5. Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.
6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и специалистов экономического объекта.
7. Экономическая целесообразность использования системы защиты. Она выражается в том, что стоимость разработки и эксплуатации системы защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации информационной технологии без системы защиты информации.
В процессе организации системы защиты информации в информационных технологиях решаются следующие вопросы:
 устанавливается наличие конфиденциальной информации, оценивается уровень конфиденциальности и объемы такой информации;
 определяются режимы обработки информации (интерактивный, реального времени и т. д.), состав комплекса технических средств, общесистемные программные средства и т. д.;
 анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
 определяется степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
 вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.
Важным организационным мероприятием по обеспечению безопасности информации является охрана объекта, на котором расположена защищаемая автоматизированная информационная технология (территория здания, помещения, хранилища информационных ресурсов). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к автоматизированным информационным технологиям и каналам связи.
Функционирование системы защиты информации от несанкционированного доступа предусматривает:
 учет, хранение и выдачу специалистам организации или предприятия информационных носителей, паролей, ключей;
 ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
 оперативный контроль за функционированием системы защиты секретной и конфиденциальной информации;
 контроль соответствия общесистемной программной среды эталону;
 приемку и карантин включаемых в информационные технологии новых программных средств;
 контроль за ходом технологического процесса обработки информации путем регистрации анализа действий специалистов экономического объекта;
 сигнализацию в случаях возникновения опасных событий и т. д.
8.3. Методы и средства обеспечения безопасности информации
Методы и средства обеспечения безопасности информации в автоматизированных информационных технологиях представлены на рис. 8.4. К ним относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.

Рис. 8.4. Методы и средства обеспечения безопасности информациив информационных технологиях
Методы защиты информации представляют собой основу механизмов защиты.
Препятствие  метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).
Управление доступом  метод защиты информации с помощью использования всех ресурсов информационной технологии. Управление доступом включает следующие функции защиты:
 идентификация специалистов, персонала и ресурсов информационной технологии (присвоение каждому объекту персонального идентификатора);
 опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
 проверка полномочий (соответствие дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
 разрешение и создание условий работы в пределах установленного регламента;
 регистрация (протоколирование) обращений к защищаемым ресурсам;
 реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.
Маскировка  метод защиты информации путем ее криптографического закрытия. Этот метод сейчас широко применяется как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.
Регламентация  метод защиты информации, создающий по регламенту в информационных технологиях такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение  метод защиты, когда специалисты и персонал информационной технологии вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение  метод защиты, побуждающий специалистов и персонал автоматизированной информационной технологии не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Рассмотренные методы обеспечения безопасности в информационных технологиях реализуются на практике за счет применения различных средств защиты.
Все средства защиты информации делятся на следующие виды:

К основным формальным средствам защиты, которые используются в информационных технологиях для создания механизмов защиты, относятся следующие:
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Все технические средства делятся на следующие виды:

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.
К основным неформальным средствам защиты относятся:
Организационные средства. Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных технологиях. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной технологии, монтаж и наладка оборудования, испытания, эксплуатация и т. д.).
Морально-этические средства. Реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет к утечке информации и нарушению секретности.
Законодательные средства определяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.
8.4. Механизмы безопасности информации, их виды
Для реализации средств безопасности в информационных технологиях от несанкционированных воздействий, оказываемых на вычислительную технику и каналы связи (прочтение информации в сетевых пакетах, изменение содержания полей данных в сетевых пакетах, подмена отправителя / получателя), наибольшее распространение получили криптографические средства защиты.
Механизм криптографической защиты на сетевом уровне корпоративной вычислительной сети строится на сертифицированных ФАПСИ (Федеральное агентство правительственной связи и информации)  аппаратно-программных комплексах, которые обеспечивают защиту информации.
Сущность криптографии заключается в следующем.
Готовое к передаче сообщение (данные, речь или графическое сообщение того или иного документа) обычно называется открытым, исходным или незащищенным текстом или сообщением. В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено заинтересованным лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.
Метод преобразования в криптографической системе определяется используемым специальным алгоритмом. Работа такого алгоритма определяется уникальным числом или битовой последовательностью, обычно называемой шифрующим ключом.
Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может представлять собой либо набор инструкций, команд, либо часть или узел аппаратуры (hardware), либо компьютерную программу (software), либо все эти модули одновременно. Однако в любом случае процесс шифрования / дешифрования единственным образом определяется выбранным специальным ключом. Таким образом, чтобы обмен зашифрованными сообщениями в информационных технологиях проходил успешно, отправителю и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.
Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети так, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом случае криптографические системы также помогают решить проблему аутентификации принятой информации, т. к. подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом.
В то же время истинный получатель, приняв сообщение, закрытое известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
В информационных технологиях используются различные типы шифрования:

Наряду с шифрованием в информационных технологиях используются следующие механизмы безопасности, представленные на рис. 8.5:

Рис. 8.5. Механизм безопасности в информационных технологиях
1. Механизм цифровой (электронной) подписи в информационных технологиях основывается на алгоритмах ассиметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя.
2. Механизмы контроля доступа осуществляют проверку полномочий объектов информационной технологии (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной технологии к защищаемой информации.
Реализация систем разграничения доступа представляет собой программу, которая ложится всем своим телом на операционную систему и должна закрыть при этом все входы в операционную систему, как стандартные, так и всевозможные нестандартные. Запуск системы разграничения доступа осуществляется на стадии загрузки операционной системы, после чего вход в систему и доступ к ресурсам возможен только через систему разграничения доступа. Кроме этого, система разграничения доступа содержит ряд автономных утилит, которые позволяют настраивать систему и управлять процессом разграничения доступа.
Система разграничения доступа контролирует действия субъектов доступа по отношению к объектам доступа и, на основании правил разграничения доступа, может разрешать и запрещать требуемые действия.
Для успешного функционирования системы разграничения доступа в информационных технологиях решаются следующие задачи:
 невозможность обхода системы разграничения доступа действиями, находящимися в рамках выбранной модели;
 гарантированная идентификация специалиста информационной технологии, осуществляющего доступ к данным (аутентификация пользователя).
3. Система регистрации и учета информации является одним из эффективных методов увеличения безопасности в информационных технологиях. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.
В регистрационном журнале ведется список всех контролируемых запросов, осуществляемых специалистами ИТ, а также учет всех защищаемых носителей информации с помощью их маркировки, с регистрацией их выдачи и приема.
4. Механизмы обеспечения целостности информации применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока данных, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
5. Механизмы аутентификации подразделяются на одностороннюю и взаимную аутентификацию. При использовании односторонней аутентификации в ИТ один из взаимодействующих объектов проверяет подлинность другого. Во втором случае  проверка является взаимной.
6. Механизмы подстановки трафика или подстановки текста используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами ИТ фиктивных блоков, их шифровании и организации передачи по каналам связи. Тем самым нейтрализуется возможность получения информации об информационной технологии и обслуживаемых ее пользователей посредством наблюдения за внешними характеристиками потоков информации, циркулирующих по каналам связи.
7. Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам.
8. Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами информационных технологий, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.
8.5. Основные меры и способы защиты информации в информационных технологиях
В практической деятельности в информационных технологиях применение мер и способов защиты информации включает следующие самостоятельные направления, представленные на рис. 8.6.

Рис. 8.6. Меры и способы защиты, используемыев информационных технологиях
Для каждого направления определены основные цели и задачи.
1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач  защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.
Требования по защите информации от несанкционированного доступа в информационных технологиях направлены на достижение трех основных свойств защищаемой информации:

В части технической реализации защита от несанкционированного доступа в информационных технологиях сводится к задаче разграничения функциональных полномочий и доступа к данным с целью не только использования информационных ресурсов, но и их модификации.
2. Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления экономическим объектом или внешними органами. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.
3. Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных), должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты ИТ экономического объекта.
4. Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории экономического объекта. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования персональных компьютеров и каналов связи.
В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств промышленного шпионажа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.
5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращениям к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочего персонального компьютера по его уникальным характеристикам и т. д.), которая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.
Общим свойством средств защиты программ и баз данных в ИТ от несанкционированного копирования является ограниченная стойкость такой защиты, т. к. в конечном случае исполнимый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снижает потребительских свойств средств защиты до минимума, т. к. основная цель их применения  максимально затруднить, хотя бы временно, возможность несанкционированного копирования ценной информации.
8.6. Понятие и виды вредоносных программ
Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычислительных систем, появились в начале 80-х гг. Название «компьютерные вирусы» произошло, вероятно, по причине сходства с биологическим прототипом, с точки зрения возможности самостоятельного размножения. В новую компьютерную область были перенесены и некоторые другие медико-биологические термины, например такие, как мутация, штамм, вакцина и др.
Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, например, после определенного числа запусков разрушают хранящуюся в системе информацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведению, появились значительно раньше. По аналогии с персонажем известного древнегреческого мифа такие программы получили название «троянских коней».
Кроме таких программ в настоящее время выделяют целый ряд разновидностей вредоносных программ и компьютерных вирусов, которые являются существенной угрозой безопасности информации в информационных технологиях.
Выделяют следующие классы вредоносных программ, включая компьютерные вирусы, представленные на рис. 8.7.

Рис. 8.7. Основные виды вредоносных программ
1. Люк. Условием, способствующим реализации многих видов угроз безопасности информации в информационных технологиях, является наличие «люков».
Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо.
Наличие люка позволяет вызывать программу нестандартным образом, что может отразиться на состоянии системы защиты. Люки могут остаться в программе по разным причинам:
 их могли забыть убрать;
 оставили для дальнейшей отладки;
 оставили для обеспечения поддержки готовой программы;
 оставили для реализации тайного доступа к данной программе после ее установки.
Большая опасность люков компенсируется высокой сложностью их обнаружения (если, конечно, не знать заранее об их наличии), т. к. обнаружение люков  результат случайного и трудоемкого поиска. Защита от люков одна  не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.
2. Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Логическую бомбу иногда вставляют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово).
Манипуляциями с логическими бомбами занимаются также чем-то недовольные служащие, собирающиеся покинуть организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. п.
Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.
3. Троянский конь  программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправданна  и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИТ. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИТ в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.
Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.
Для защиты от этой угрозы желательно, чтобы привилегированные и непривилегированные пользователи работали с различными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. А радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.
4. Червь  программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе.
Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса  вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя  принятие мер предосторожности против несанкционированного доступа к сети.
5. Захватчик паролей  это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к рабочей станции информационной технологии на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей  необходимое условие надежной защиты.
6. Бактерии (bacteria). Этот термин вошел в употребление недавно и обозначает программу, которая делает копии самой себя и становится паразитом, перегружая память и микропроцессор персонального компьютера или рабочей станции сети.
7. Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т. е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области персонального компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.
8.8. Защита от компьютерных вирусов
Имеющиеся в настоящее время средства противодействия компьютерным вирусам достаточны для того, чтобы предотвратить серьезный ущерб от их воздействия. Однако это возможно только при внимательном отношении к данной проблеме. За последнее время большинство вирусных эпидемий возникало в среде малоквалифицированных пользователей.
Для противодействия компьютерным вирусам и другим типам вредоносных программ в ИТ применяется комплекс мер и средств защиты, среди которых можно выделить следующие виды, представленные на рис. 8.10.

Рис. 8.10. Меры и средства защиты от компьютерных вирусов
1. Юридические меры защиты от компьютерных вирусов.
Для успешной борьбы с распространением вирусов и других типов вредоносных программ в нашей стране необходимо совершенствовать отечественное законодательство в этой области.
2. Административные и организационные меры защиты от компьютерных вирусов на современном этапе являются более действенными. Они заключаются в составлении четких планов профилактических мероприятий и планов действия на случай возникновения заражений.
В подразделениях предприятий и организаций, связанных с эксплуатацией (использованием) программного обеспечения, применяются более жесткие административные и организационные меры по сравнению с подразделениями, занятыми разработкой приложений и прикладных программных продуктов для ИТ. Это чаще всего оказывается возможным, т. к. в эксплуатирующих подразделениях предприятий и организаций собственная разработка программного обеспечения не производится и все новые программы они получают от разработчиков или вышестоящих организаций через специальные подразделения, адаптирующие программные средства к реальным условиям экономического объекта.
С другой стороны, наличие вируса, «троянского коня» или другой вредоносной программы в ИТ зачастую приводит к гораздо более тяжелым последствиям, т. к. они имеют дело с реальной экономической, производственной или иной информацией.
Для подразделений, занятых разработкой специальных вспомогательных программ, по сравнению с эксплуатирующими, административные и организационные меры должны быть более мягкими. Платой за чрезмерное администрирование является существенное снижение темпов и качества разработки программных продуктов.
Возможны четыре способа проникновения вируса или другого типа вредоносной программы в эксплуатируемую систему:
 вирус или другая вредоносная программа поступает вместе с программным обеспечением, предназначенным для последующего использования в работе;
 вирус или другой тип вредоносной программы поступает в систему при приеме сообщений по сети;
 вирус или другая вредоносная программа приносятся персоналом с программами, не относящимися к эксплуатируемой системе;
 вирус или другой тип вредоносной программы преднамеренно создаются обслуживающим персоналом.
Источник вируса легко выявляется, если в эксплуатируемой ИТ производится разграничение доступа пользователей к привилегированным функциям и оборудованию, присутствуют надежные средства регистрации процесса всего технологического цикла, включая регистрацию внутримашинных процессов. Особенно важными являются меры разграничения доступа в вычислительных сетях.
3. Программно-аппаратные меры защиты основаны на использовании программных антивирусных средств и специальных аппаратных средств (специальных плат), с помощью которых производится контроль зараженности вычислительной системы, контроль доступа, шифрование данных и регистрация попыток обращения к данным.
Наиболее часто в ИТ используются два метода защиты от вирусов с помощью использования специального программного обеспечения:
1. Применение «иммуностойких» программных средств, защищенных от возможности несанкционированной модификации (разграничение доступа, методы самоконтроля и самовосстановления).
2. Применение специальных антивирусных программных средств, осуществляющих:
 постоянный контроль возникновения отклонений в деятельности прикладных программ;
 периодическую проверку наличия других возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения);
 входной контроль новых программ и файлов перед их использованием (по характерным признакам наличия в их теле вирусных образований);
 удаление вирусов и по возможности восстановление пораженных файлов.
В настоящее время на рынке программных продуктов имеется довольно большое число специальных антивирусных программ. В основе работы большинства их лежит принцип поиска сигнатуры вирусов.
Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыскивая соответствие с сигнатурами в базе данных. Когда программа находит соответствие, она пытается убрать обнаруженный вирус.
По методу работы антивирусные программы подразделяются на следующие основные виды, представленные на рис. 8.11.

Рис.8.11. Программные антивирусные средства
1. Вирус-фильтр (сторож)  это резидентная программа, обнаруживающая свойственные для вирусов действия и требующая от пользователя подтверждения на их выполнение. В качестве проверяемых действий выступают:
 обновление программных файлов и системной области диска;
 форматирование диска;
 резидентное размещение программы в оперативной памяти и т. д.
Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней вирус-фильтра, являются главными недостатками этих программ. К тому же эти программы не лечат файлы или диски, для этого необходимо использовать другие антивирусные программы.
Однако вирус-фильтры позволяют обеспечить определенный уровень защиты персонального компьютера от деструктивных действий вирусов.
2. Детектор (сканер)  это специальные программы, предназначенные для просмотра всех возможных мест нахождения вирусов (файлы, операционная система, внутренняя память и т. д.) и сигнализирующие об их наличии.
3. Дезинфектор (доктор)  это программа, осуществляющая удаление вируса из программного файла или памяти ПК. Если это возможно, то дезинфектор восстанавливает нормальное функционирование ПК. Однако ряд вирусов искажает систему так, что ее исходное состояние дезинфектор восстановить не может.
4. Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.
5. Полидетектор-дезинфектор  это интегрированные программы, позволяющие выявить вирусы в персональном компьютере, обезвредить их и по возможности восстановить пораженные файлы и программы. В некоторых случаях программы этого семейства позволяют блокировать зараженный файл от открытия и перезаписи.
Однако, несмотря на все меры антивирусной защиты, стопроцентной гарантии от вирусов в настоящее время не существует.
Поэтому в целях защиты информационной технологии от компьютерных вирусов необходимо соблюдать следующие правила:
Правило первое. Следует осторожно относиться к программам и документам, полученным из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ, базу данных и прочее, необходимо в обязательном порядке проверить их на наличие вирусов.
Правило второе. Для уменьшения риска заразить файл на сервере локальной вычислительной сети следует активно использовать стандартные возможности защиты сетей:
 ограничение прав пользователей;
 установку атрибутов «только для чтения» или «только на запуск» для выполняемых файлов;
 скрытие (закрытие) важных разделов диска и директорий.
В локальных вычислительных сетях следует использовать специализированные антивирусные средства, проверяющие все файлы, к которым идет обращение. Если это по каким-либо причинам невозможно, необходимо регулярно проверять сервер обычными антивирусными средствами. Необходимо также перед тем, как запустить новое программное обеспечение, проверить его на тестовом персональном компьютере, не подключенном к общей сети.
Правило третье. Следует приобретать дистрибутивные копии программных продуктов у официальных поставщиков. При этом значительно снижается вероятность заражения.
Правило четвертое. Следует хранить дистрибутивные копии программного обеспечения (в том числе копии операционной системы), причем копии желательно хранить на защищенных от записи машинных носителях.
Следует пользоваться только хорошо зарекомендовавшими себя источниками программного обеспечения.
Правило пятое. Не следует запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно следует проверять их одним или несколькими антивирусными средствами.
Правило шестое. Необходимо пользоваться утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах. Следует периодически сравнивать информацию, хранящуюся в подобной базе данных, с информацией, записанной на винчестере. Любое несоответствие может служить сигналом о появлении вируса.
Правило седьмое. Следует периодически сохранять на внешнем носителе файлы, с которыми ведется работа.
Для эффективности защиты информации от компьютерных вирусов необходимо использовать комплекс всех известных способов и средств, выполняя мероприятия непрерывно.

Приложенные файлы

  • docx 26448002
    Размер файла: 427 kB Загрузок: 0

Добавить комментарий