Компьютерное делопроизводство - Учебное пособие (Громов Е.С.)

8        необходимость защиты информации в сетях

 

Безопасности информации в сетях угрожает:

Возможность раскрытия содержания передаваемых сообщений;

Возможность определения принадлежности отправителя и получателя данных;

Возможность изменения потока сообщений;

Возможность отказа в предоставлении услуг и др.

Причинами потерь информации в сетях являются:

Отказы и сбои аппаратуры и передающих устройств;

Структурные, программные и алгоритмические ошибки;

Аварийные ситуации;

Ошибки человека;

Ошибки разработчиков и т. п.

К ошибкам человека можно отнести неправильные действия человека-оператора или ошибки человека как звена, принимающего решения. Причинами ошибок человека могут быть утомляемость, чувствительность к изменениям окружающей среды, эмоциональность, зависимость качества работы от физического состояния и другие. Преднамеренными угрозами, связанными с действиями человека, могут быть: материальный интерес или простое развлечение, недовольство своей жизненной ситуацией и т. д.

При отсутствии защиты в информационной системе человек-нарушитель может использовать каналы несанкционированного доступа в вычислительной системе, получить доступ к аппаратуре и программному обеспечению, осуществить разрушение, модификацию информации, ознакомление и ее хищение. В частности, он может:

Выдать себя за другого пользователя;

Утверждать факт отправки информации, которая на самом деле не посылалась;

Отказаться от факта получения информации, которая на самом деле была получена;

Незаконно расширить свои полномочия или изменить полномочия других пользователей по доступу к информации и ее обработке;

Скрыть факт наличия некоторой информации;

Подключиться к линии связи между другими пользователями.

 

Направления защиты информации в сетях

 

Идентификация предполагает присвоение какому-либо объекту или субъекту уникального образа имени или числа. Цель идентификации - установление подлинности объекта в вычислительной системе, допуск его к информации ограниченного пользования.

Объектами идентификации и установления подлинности в вычислительной системе могут быть: человек (оператор, пользователь, должностное лицо); технические средства (дисплей, ЭВМ); документы (распечатки, листинги программ); носители информации (магнитные диски, ленты); информация на дисплее, табло.

Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, вычислительной системой и т. д.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов и паролей, которые записываются на специальные носители (электронные ключи или карточки).

Защита информации от преднамеренного доступа предполагает:

Ограничение доступа;

Разграничение доступа;

Распределение доступа (привилегий);

Криптографическое преобразование информации;

Контроль и учет доступа;

Законодательные меры.

Ограничение доступа заключается в создании некоторой физической замкнутой преграды вокруг объекта защиты с организацией контрольного доступа лиц, связанных с объектом по своим функциональным обязанностям. Задача средств ограничения доступа - исключить случайный и преднамеренный доступ посторонних лиц к комплексам средств автоматизации. В целях контроля доступа к внутреннему монтажу, линиям связи и технологическим органам управления используется аппаратура контроля вскрытия устройств.

Разграничение доступа в вычислительной системе заключается в разделении информации на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Разграничение доступа пользователей может осуществляться по следующим параметрам:

По виду, назначению, степени важности, секретности информации;

По способу ее обработки;

По времени обработки и др.

Распределение привилегий на доступ к информации заключается в предоставлении доступа только при одновременном предъявлении полномочий должностного лица. Задача этого метода - существенно затруднить преднамеренный перехват информации нарушителем, предусмотреть механизм разделения привилегий при доступе к особо важным данным с помощью кодов и паролей.

Криптография является методом, значительно повышающим безопасность передачи данных в сетях ЭВМ, данных, хранящихся в удаленных устройствах памяти, и при обмене информацией между удаленными объектами. Защита информации этим методом заключается в преобразовании ее составных частей (слов, букв, цифр, слогов) с помощью специальных алгоритмов и аппаратных решений. Для преобразования информации используется некоторый алгоритм или устройство, реализующее этот алгоритм.

Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Для ознакомления с шифрованной информацией применяется процесс декодирования информации.

Законодательные меры предполагают исполнение существующих в стране или введение новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц. Цель законодательных мер - предупреждение и сдерживание потенциальных нарушителей, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Выбор конкретных средств защиты зависит от требований, предъявляемых к защите информации, ее целостности и важности, сроков хранения и действия.

 

Компьютерные вирусы

 

Массовое использование компьютеров в автономном режиме и в сети породило проблему заражения их компьютерными вирусами.

Компьютерным вирусом принято называть специально написанную, небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам, создавать свои копии, внедрять их в файлы, системные области компьютера и в другие, объединенные с ним компьютеры, с целью нарушения их работы и порчи информации.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Для маскировки вируса, действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное. К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например формируют весь жесткий диск на компьютере. Бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Признаками появления вируса являются:

Замедление работы компьютера;

Невозможность загрузки операционной системы;

Частые зависания и сбои в работе компьютера;

Увеличение количества файлов на диске и их размеров;

Изменение времени и даты создания файлов;

Периодическое появление на экране монитора неуместных сообщений и т. п.

Действия «хакеров» или компьютерных хулиганов могут наносить большой вред владельцам компьютеров. Основными источниками заражения компьютеров являются съемные диски (дискеты и CD-ROM) и компьютерные сети.

 

Классификация компьютерных вирусов

 

По среде обитания различаются:

загрузочные вирусы (внедряются в сектор, содержащий программу загрузки системного диска);

файловые вирусы (внедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ);

сетевые вирусы (обитают в компьютерных сетях);

системные вирусы (проникают в системные модули, поражают программы-интерпретаторы).

По степени воздействия вирусы подразделяются на:

Неопасные вирусы - они не разрушают файлы, но могут переполнять оперативную и дисковую память, выводить на экран различные графические эффекты;

Опасные вирусы - приводят к различным нарушениям в работе компьютера;

Очень опасные вирусы - это вирусы разрушительные, они приводят к стиранию информации, полному или частичному нарушению работы прикладных программ.

По способу заражения вирусы подразделяются на:

Резидентные вирусы - при заражении компьютера они оставляют в оперативной памяти свою резидентную часть, которая затем при каждом обращении к операционной системе и к другим объектам внедряется в них и выполняет свои разрушительные действия до выключения или перезагрузки компьютера;

Нерезидентные вирусы - не заражают оперативную память.

По алгоритмической сущности вирусы подразделяются на:

Вирусы-«черви» - распространены в компьютерных сетях;

Вирусы-невидимки - перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо них незараженные объекты;

Вирусы-мутанты - самовоспроизводясь, воссоздают копии, явно отличающиеся от оригинала;

Вирус «троянский конь» - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о которых пользователь не догадывается.

 

Способы защиты от компьютерных вирусов

 

Способы обеспечения сохранности информации

 

Для надежного хранения информации на дисках необходимо соблюдать следующие правила:

Оснастить компьютер современными антивирусными программами, например Aidstest, Doctor Web и постоянно возобновлять их версии;

Перед считыванием информации с гибких дискет всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы;

При переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

Периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты;

Защищать гибкие дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

Делать архивные копии информации на дискетах;

Не оставлять в дисководе дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

Использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.

 

Классификация и особенности антивирусных программ

 

Широкое распространение компьютерных вирусов вызвало необходимость разработки антивирусных программ, позволяющих обнаруживать, уничтожать вирусы, «лечить» зараженные ресурсы. Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя:

Копирование информации - создание копий файлов и системных областей дисков;

Разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

Специализированные программы для защиты от вирусов.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов:

Программы-фильтры или сторожа;

Программы-ревизоры;

Программы-доктора или фаги;

Программы-детекторы;

Программы-вакцины или иммунизаторы.

Программы-фильтры, постоянно находятся в оперативной памяти компьютера и выполняют защитные функции. Они перехватывают все запросы к операционной системе на выполнение «подозрительных» действий: попытки изменения атрибутов файлов, коррекции исполняемых файлов и другие действия, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-ревизоры являются надежным средством защиты от вирусов. Они запоминают исходное состояние программ, каталогов и т. д. (предполагается, что в этот момент программы и системные области дисков не заражены), а затем периодически сравнивают их текущее состояние с исходным. При выявлении каких-либо несоответствий сообщение об этом выдается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл Autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными» - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы «Диалог-Наука», все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Другие программы часто используют различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла Autoexec.bat, надеясь работать на «чистом» компьютере, и т.д. Однако против некоторых «хитрых» вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

Программы-доктора не только обнаруживают, но и «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса.

Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы «Диалог-МГУ».

Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчиками программ вирусами. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекторы, например Norton AntiVirus или AVSP, могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых «хитрых» вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с «чистой», защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Большинство программ-детекторов имеют функцию «доктора», т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние, а файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней может сидеть какой-нибудь новый вирус или слегка модифицированная версия старого, неизвестные программам-детекторам.

Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программы, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая оборона. Средствам разведки соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении. Это неформальное описание позволяет лучше понять методику применения антивирусных средств.

 

Действия при заражении вирусом

 

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать 4-е правила:

Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.

Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с операционной системой (обязательное правило).

Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.