Уничтожение остаточной информации

Контроль целостности

Для организации доверенной загрузки дополнительно применяется процедура проверка целостности ПО и аппаратуры. СЗИ позволяет администратору безопасности назначить на его взгляд критчные составляющие аппаратной части системы. Спец ПО должно проверить состав АС на предмет штатной комплектности, наличие чужих комплектующих. Кроме того администратор безопасности может назначить для проверки целостности критичные файлы системного ПО. Их неизменность с момента последней доверенной загрузки вычисляется с помощью вычисления контрольных сумм. Организация контроля целостности, как правило входит в аппаратную часть СЗИ, которая имеет свой вычислитель, память и вкл в работу до обращения ПК к жёсткому диску.

При контроле целостности файлов учитываются: наличие файла, его размер, дата и время последней модификации, а так же контрольная сумма данных содержащихся в файле. При нарушении какого либо параметра в журнале регистрации событий фиксируется факт нарушения целостности и дальнейшая загрузка системы блокир с разрешением входа только админ. безопасности.

 

 

Средства защиты сетевого действия

Сетевая защита в комп системах реализуется 2-мя основными способами:

· с использованием межсетевых экранов

· путём организации виртуальных частных сетей

VPN это технология объединяющая доверенные сети,узлы и пользователей через открытые сети к которым нет доверия.

СЗИ сетевого действия программные и прогр.-аппаратные устанавливаются на тех ПК в составе ЛВС обмен информации между которые в открытом режиме нецелесообразен. СЗИ этого класса основывается на криптометодах ЗИ. Если ПК работает не в защищенном режиме, то в сотаве ЛВС он присутствует как полноправная рабочая станция. Перевод ПК в защищ режим означает шифрование всего входящго и и исход трафика включая адресную и служебную информацию или только пакетированные данные. ПЭВМ на которых не установл соотв ПО просто не видят в сети станции, работающие под управлением сетевой СЗИ. Классическим примером комплексного ЗИ включ функцию VPN явл отечественное аппарано-програмное средство зациты ВиПиНет. Сетерые решения и технологии данного ПО позволяют:

1. защищать передачу данных, переговоров, видео информацию, инф ресурсы пользователей и корпоративной сети при работе с любыми приложениями Internet и Ethernet.

 

Антивирусные средства

Антивирусная защита - это защита информации, компонентов инф системы от вредоносных комп программ(вирусов). Под антивирусной защитой понимается обнаружение вредоносного ПО и блокирование и изолирование заражённых объектов, а так же удаление вирусов из заражённых объектов(лечение)

База данных признаков вредоносных комп программ- это составная часть средст антивирусной защиты (САВЗ), содерж информацию о вредоносных комп программ(вирусов) – сигнатуры, использ для обнаружения вредоносных комп программ и их обработки (антивир. базы)

Средство антивирусной защиты - это программное средство, реализ функции обнаружения комп программ, либо иной комп информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования комп информации или нейтрализации средств защиты информации, а так же реагирование на обнаружение этих программ и информации.

 

Требования к средствам антивирусной защиты

Требования к САВЗ приведены:

1. 1 требования к средствам антивир защиты(утверждены ВСТЭК РФ №28 от 20.03.12, вступаютв действия с 01.09.12)

2. информационное сообщение ФСТЭК РФ «Об утверждении требований к средствам антивирусной защиты №240 / /////от 20июня 2012г

Требования к САВЗ вкл общие требования к САВЗ и требования к функциям безопасности САВЗ.

Для дифференциации требований к функциям безопасности САВЗ установлено 6 классов защиты САВЗ(самый низкий 6, самый высокий 1).

САВЗ соотв 6 классу применяются в ИСПДН (инф сист персон данных) 3 и 4 класса.

САВЗ 5– ИСПДН 2

САВЗ 4– применяется в гос инф системах, в которых обрабатывается инф ограниченного доступа, не содерж сведений, составляющих ГТ, а так же в ИСПДН 1 класса и в ИС общего пользования 2 класса (ИСПДН- (документ №1 «порядок проведени классификации инф систем перональных данных», утверждён приказом «3-х»: ФСБ ФСТЭК Мин №55/86/20от 13 февраля 2008г) ИС-(Док №2 «Требования к ЗИ, содерж в инф системах общего пользования» утверждено приказом ФСБ РФ и ФСТЭК РФ №416/489от 31авг2010г))

САВЗ 3,2,1 –применяется в ИС, в которых обрабатыв информ,содержащая сведения составл ГТ.

Выделяют следующие типы антивир защиты:

· А –это средства антивир защиты, предназначенные для централизованного администрирования САВЗ, с установленные на компоненты ИС

· Б- это средства антивир защиты, предназначенные для применения на серверах ИС

· В- это средства антивир защиты, предназначенных для применения на автоматизированных местах ИС

· Г- это средства антивир защиты, предназ для применения на автономных рабочих станциях

САВЗ типа А не применяется на ОС самостоятельно, а предназначен только для использования совместно с средствами антивирусной защиты типа Б, В.

 

С 1авг 2012г сертификация средст ЗИ, реализующих функции антивирусной защиты в системе сертификации ФСТЭК РФ проводится на соответствии док№1

 

Лекция 03.11.12

Функции антивирусов:

Цель любой антивирусной программы- обнаружить вирусы и устранить возможные опасные последствия.

В антивир прогр можно выявить 3 основные функции:

1- обнаружение вирусов: (состоит в выявлении заражённого объекта, решение что делать с заражённым объектом, как правило, должен принять пользователь)

2- Удаление вирусов: (состоит в отключении активного вируса, блокировании средств его запуска, удаление вируса из ОЗУ, возможна так же корректировка файлов, используемых при загрузке системы, а так же переноска зараженных файлов в отдельный каталог «карантин». В «карантин» как правило помещаются файлы если вирус обнаружен в момент копирования этих файлов на ПК, и этот файл в дальнейшем не может быть запущен случайно или автоматически)

3- Восстановление заражённых объектов(лечение): (при лечении вирус уничтожается и восстанавливается прежняя работа системы или программы. Это возможно потому что вирус не вносит координальных изменений в заражённую программу, поэтому в файле зараженным вирусом остаётся всё необходимое для его восстановления)

 

Защита от проникновения вирусов(известный тип)

Обнаружение основанное на сигнатурах- это метод работы антивирусов, при котором программа, рассматривая файл или пакет, обращается к словарю с известными вирусами, составленными авторами программы. В случае соответствия какого либо участка кода в рассматриваемой программе известного кода в вирусном словаре, программа антивирус может перейти к выполнению одного из следующих действий:

1- Удаление заражённого файла

2- Помещение файла в карантин

3- Антивир прогр может попытаться восстановить файлы, т.е. произвести процедуру лечения.

Для получении наилучших результатов при использ антивируса необходимо периодически пополнять словарь известных вирусов новыми записями(on-line режим через Internet). Антивир ПО, созданные на основе этого метода обычно просматривают файлы, когда комп система создаёт, открывает, закрывает, посылает файлы. Т.О. вирус можно обнаружить сразу же после занесения в ПК и до того,как они смогут причинить какой то вред.

Хотя антивирусные программы созданные на основе этого метода (поиск в словаре) при обычных обстоятельствах могут хорошо защитить ПК, авторы вирусов стараются держаться впереди на пол шага от этих программ, создавая вирусы в которых некоторые части кода перезаписываются, модифицируются, шифруются и искажаются так, чтобы невозможно было обнаружить совпадение с записью в словаре.

Сигнатуры антивирусов создаются в результате анализа нескольких копий файлов, принадлежащих одному вирусу. Сигнатура должна содержать только уникальные стоки из этого файла, настолько характерные, ч то могут гарантировать должное срабатывание. Разработка сигнатур - это ручной процесс трудно поддающийся автоматизации. Базы сигнатур должны пополняться регулярно, тк большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец антивируса зависимого от сигнатур, обречён на их регулярное обновление, что составляет основу бизнес моделей производителей антивирусов.

В большинстве антивирусного ПО база сигнатур явл ядром продукта- наиболее трудоёмкой и ценной частью. Поэтому большинство производителей держат сигнатуры закрытыми. Проблемы разработки сигнатур и слабого распределения некоторых представителей вредоносного по, приводит к тому, что разработанные в разных компаниях сигнатуры содержат определение для разных подмножеств вирусов.

Недостатки и достоинства сигнатурного сканирования:

1- позволяет определять конкретную атаку с высокой точностью и малой долей ложных вызовов (+)

2- неспособны выявить новые атаки(-)

3- беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса(-)

4- требуют регулярного и оперативного обновления(-)

5- требуют ручного анализа вируса (-)

 

 

Углубленный анализ на наличие вирусов(лингвистический метод)

 

Лингвистическое сканирование- это совокупность функций антивируса нацеленных на обнаружение вирусов, которых нет в базе. Метод лингвистического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. Практически все современные антивирусы применяют технологию лингвистического анализа программного кода. Эта методика позволяет обнаруживать ранее неизвестные инфекции, однако лечение в таких случаях практически всегда оказывается невозможным. методы лингвистического сканирования не обеспечивают какой-либо гарантированной защиты от новых отсутствующих в сигнатурном наборе вирусов. Что обусловлено в качестве объекта анализа сигнатур ранее известных вирусов, а качестве правил лингвистической проверки- знаний о полиморфизме сигнатур. Полностью исключить ложное срабатывание этого метода нельзя.

 

Недостатки лингвистического сканирования:

1- чрезмерная подозрительность анализатора может вызывать ложное срабатывание, при наличии в программе фрагментов кода, выполняющего действие или последовательность, которые свойственны некоторым вирусам.

2- наличие простых методик обмана лингвистического анализатора.

Несмотря на заявления и рекламный проспект разработчиков антивирусного ПО относительно совершенствования лингвистических механизмов – лингвистическое сканирование далеко от совершенства. (По данным тестов 40 -50 %) Даже при при успешном определении, лечение неизвестного вируса явл невозможным.

 

Защита от диструктивных воздействий при размножении вируса.(про-активная защита)

Про-активная технологии – совокупность технологий и методов, используемых в антивирусном ПО основной целью которых, в отличие от сигнатурных технологий, явл предотвращение заражение пользователей, а не поиск известного вредоносного ПО.

Технологии про-активной защиты.

1- Лингвистич анализ –позволяет на основе анализа кода выполняего приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность. Эффективность данной технологии не явл высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а так же большим набором техник авторов вредоносного ПО для обхода лингвистического компонента вредоносного ПО

2- Эмуляция кода – технология эмуляции может запускать приложение имитируя варианты работы ЦП. выполнение приложения в режиме эмуляции не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.

НЕДОСТАТКИ:

-эмуляция занимает много времени и ресурсов ПК пользователя

- современное вредоносного ПО может определить, что оно выполняется в эмулированной среде и прекратить свою работу.

3- Анализ поведения- технология основывается на перехвате всех важных системных функций или установки мини фильтров, что позволяет отслеживать всю активность в системе пользователя. Позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействий вирусным угрозам.

4- Песочника – ограничение привилегий выполнения. Эта технология работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. Ограничение активности достигается за счёт выполнения неизвестных приложений в ограниченной среде- песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации.

5- Виртуализация рабочего окружения- технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жёсткий диск, вместо выполнения записи на реальный жёсткий диск выполняет запись на специальную дисковую область. ТО даже в том случае если пользователь запустит вредоносное ПО оно проживёт не далее, чем до очистки буфера, которое по умолчанию выполняется после отключения ПК.

Лекция 10.11.12

…………………..

 

…………………………

 

………………………….

 

В настоящее время анализ трафика пакетов производится и на транспортном уровне. Каждый IP исследуется на соответствие множеству правил. Эти правила устанавливают разрешения связей на заголовках сетевого и транспортного уровней моделей ТСП\ИП, а так же анализируется направление передвижения пакета. Фильтры пакетов контролируют

1- физический интерфейс откуда пришёл пакет

2- IP адрес источника

3- IP адрес назначения

4- тип транспортного уровня (TCP, UDP,ICMP) TCP-гарантированная доставка, в отличие от UDP

5- транспортные порты источника и назначения

Схема архитектуры фильтрации пакетов

 

 

уровень прикладной

-------------------------------

 

область ядра отфильтр.пакеты

сет.стек

 

вхпакет----àбуферàПФ список правил

 

 

 

Процесс фильтрации пакетов

При фильтрации пакетов, если пакет не удовлетворяет правилам, то он перемещается по сетевому стэку для дальнейшей обработки и передачи. Все пакеты обрабатываются на соответствие.пакет уничтожается или разрешается в сетевой стэк для доставки. В такой архитектуре применяется ограниченное множество команд для анализа одного или нескольких сетевых протоколов. фильтр пакетов не разбирает какой прикладной протокл будет использоваться. Правило содержит 2 списка: запрещения (denied) и список разрешения(permit).

Сетевой пакет проходит проверку на оба списка.

Лекция 15.12.12

.

.

.

.

.

.

Лекция 08.12.12

 

Системы обнаружения вторжений (СОВ)

Используется на ПК подключённых к Internet

Требования:( приведены в след документах):

1- информационное письмо ФСТЭК РФ №240 от марта 2012г «об утверждении требований системам обнаружения вторжений»

2- «Требования к системам обнаружения вторжений». Утверждены приказом ФСТЭК РФ от 06.12.11г. №638

 

Требования к СОВ применяется к программно-техническим средствам, используемых в целя обеспечения защиты(некриптографическим методом) к инф содержащую сведения ГТ и иной информации с ограниченным доступом.

Установлено 6 классов защит СОВ. Самый низкий – 6-ой класс, самый высокий 1-ый. СОВ соотв 6-му классу защиты применяется в ИСПДН 3,4-ого класса. СОВ соотв 5-ому классу – ИСПДН 2-ого класса. СОВ соотв 4-му классу применяется в гос инф системах, в кот обрабатывается информация ограниченного доступа, не содержащая сведения, составл ГТ¸ в ИСПДН 1-ого класса, а так же в ИС общего пользования 2-ого класса. СОВ, соотв 3,2,1-ому классу прим в ИС, в которых обрабатывается информация, составляющая ГТ

(Уровни защиты, новая классификация с ноября 2012г) по ФСТЭК- доп вопрос на экз.

Системы обнаружения вторжений(IDS –intragent detection system) – один из важнейших компонентов любого предприятия. СОВ называет множество программных и аппаратных средств, объединяемых одним общим свойством: занимаются анализом использования веленым им ресурсов и в случае обнаружения каких либо подозрительных или просто нетипичных событий способны предпринимать действия по обнаружению, идентификации и устранению их причин.

 

 

Классификация СОВ

1- по способу реагирования

а) статические –делают снимки системы и осуществляют их анализ, разыскивая уязвимое ПО, ошибки в конфигурации итд. Статический СОВ проверяет версии работающих в системы программ на наличие уязвимостей и слабых паролей, проверяет содержимом спец файлов в директориях пользователей или проверяет конфигурацию открытых сетевых сервисов. Статические СОВ обнаруживают следы вторжения

б) динамические СОВ – осуществляет мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени. Реализует анализ в реальном времени, позволяет постоянно следить за безопасностью системы.

 

2- по способу сбора информации

а) Сетевый (NIDS) – контролирует пакеты сетевого окружения, и позволяют предотвратить проникновения злоумышленников в систему или реализовать отказ системы (DDOS). Контролирует большое количество запросов TCP/IP, со многими портами на выбранном ПК, обнаруживая,ч то кто-то пытается произвести сканирование TCP портов. Может запускаться либо на отдельном ПК, который контролирует свой собственный трафик, либо на выделенном ПК, прозрачно просматривающим весь трафик в сети. Сетевые СОВ контролируют много ПК, когда как другие только один

б) Системные (хостовые) – назыв СОВ, который устанавл на хосте и обнаруживают злонамеренные действия на нём. Примером СОВ может быть система контроля целостностности файлов, которая проверяет системные файлы на то, когда в них были внесены изменения.

 

3- по методам анализа.

а) СОВ, которое сравнивает информацию с предустановленной базой сигнатур. анализ сигнатур- 1-й метод применённый для обнаружения вторжений. Он базируется на простом понятии совпадения последовательности с образцом. в входящем пакете осматривается байт за байтом и сравнивается с сигнатурой. Такая сигнатура может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено- объявляется тревога.

б) СОВ, контролирующий частоту событий или обнаружение статистических аномалий- этот метод состоит в рассмотрении сторого форматированных данных трафика сети (протоколов). Каждый пакет сопровождаете различными протоколами. Авторы СОВ, зная это, внедрили инструменты, которые разворачиваю и рассматривают эти протоколы согласно стандартам. Каждый протокол имеет несколько полей с ожидаемыми или нормальными значениями. Если что-нибудь нарушает эти стандарты, то вероятно выполнение злонамеренных действий. СОВ просматривает каждое поле всех протоколов пакета (ip, tcp, udp) и если имеется нарушение например он содержит неожиданное значение в одном из полей, объявляете тревога.

 

 

Лекция 15.12.12

.

.

.

.

.

.

Контроль целостности

Для организации доверенной загрузки дополнительно применяется процедура проверка целостности ПО и аппаратуры. СЗИ позволяет администратору безопасности назначить на его взгляд критчные составляющие аппаратной части системы. Спец ПО должно проверить состав АС на предмет штатной комплектности, наличие чужих комплектующих. Кроме того администратор безопасности может назначить для проверки целостности критичные файлы системного ПО. Их неизменность с момента последней доверенной загрузки вычисляется с помощью вычисления контрольных сумм. Организация контроля целостности, как правило входит в аппаратную часть СЗИ, которая имеет свой вычислитель, память и вкл в работу до обращения ПК к жёсткому диску.

При контроле целостности файлов учитываются: наличие файла, его размер, дата и время последней модификации, а так же контрольная сумма данных содержащихся в файле. При нарушении какого либо параметра в журнале регистрации событий фиксируется факт нарушения целостности и дальнейшая загрузка системы блокир с разрешением входа только админ. безопасности.

 

 

Уничтожение остаточной информации

В процессе управленя ПЭВМ связ с обработкой пользователей конфиденциальной информации в оперативной памяти и на его магнитых носителях остаются следы именуемые технолог. мусором.

Защищ. комп. системы должны быть предусмотрены контроль и своевременная очистка областей операт. памяти, связ с конф. информацией. СЗИ должно контролировать и управлять всеми обращениями всеми обращениями конф. процесса в внешним носителям и жёсткому диску.

Согласно руководящему документу, в зависимости от класса СВТ система должна затруднять доступ пользователя к остаточной инф. при первоначальном обращении и при распределении внешней памяти, а так же осуществлять очистку оперативной и внешней памяти.

Причины образования технологич мусора:

· особенности организации файловой структуры и хранение файлов на жёстком диске

· резервирование информации на случай порчи и сбоя работы АС, временные файлы и файлы автосохранения

· создание буферных и теневых областей памяти

· механизм образования виртуальной памяти, расшир объём оперативной защёт внешней

· обеспечение удобства пользователю (недавние документы, программы, часто использ программы итд)

· использование буфера обмена данными между приложениями

Исходя из причин образования остаточной информации, объектам подлежащим контролю со стороны ЗСИ относят:

1- отдельные удаляемые файлы

2- временные файлы

3- свободную область диска

4- неиспользуемые элементы каталогов

5- хвосты файлов

6- файлы виртуальной памяти

Для борьбы с остаточной информации СЗИ имеет ряд спец утилит, которые по запросу пользователя осуществляют очистку всех свободных областей НЖМД, хвостов файлов и не используемых каталогов. Так же может автоматически очищаться файл подкачки. Особая функция ЗСИ- гарантируемое удаление данных. Надёжное стирание критичных файлов 3-х и более кратной записи случайных символов в область данных, где ранее размещался удаляемый файл.

СЗИ могут предложить организацию специального зашифрованного каталога для временного расположения временных вспомогательных файлов, при этом ОС польз. этим каталогом работающим в режиме прозрачного шифрования и вся остаточная инф., размещаемая на жёстком диске, оказывается закодированной.

 

Лекция 20.10.12

при шифровании информации в СКЗИ применяют встроенные в ОС алгоритмы криптопреобразования, или имеющиеся в составе самого средства стандартные алгоритмы шифрования. Так же СКЗИ позволяет пользователю подключать внешние программные модули.

Типичными представителями СКЗИ явл: StrongDisk, Sekret Disk. Они предназначены для создания локальной раб. станции или сервера защищенных дисков с ограниченным доступом. СКЗИ StrongDisk позволяет пользователю шифровать данные на лету с использованием виртуального диска. В состав средства входят легко встраиваемые в оболочку Win утилиты очистки остаточной информации(безлопастное удаление файлов, очистки неиспользуемых областей жёстких дисков, очистки хвостов файлов, очистка файлов подкачки. StrongDisk предлагает расширенные возможности при возникновении форс-мажорных ситуаций, так же одна из версий использует криптограф. зи на КПК. СКЗИ StrongDisk ориентирован на многопользовательский режим обработки конф. данных, хранящихся на зажифрованных вирт. дисках или на разделах НЖМД.

Так же StrongDisk реализует ролевую модель разграничения доступа, те средство позволяет зашифровывать по требованию отдельные каталоги и документы. StrongDisk имеет свой собственный встроенный алгоритм шифрования, а так же позволяет подключать внешние криптомодули. Ключи зашифр и расшифров данных в СКЗИ формируются только при подключении виртуального диска на основе пароля вводимого пользователем и ключевой информации, хранящейся на внешнем носителе(напр таблетки итд). Ключ шифрования хранится только в оперативной памяти ПЭвм и некогда не выгружается в устройства постоянной памяти. СКЗИ зашифровывает разделы жёсткого диска целиком или организовывает виртуальные логические диски в виде непрерывного файла –образа. Прочитать файловую структуру тких дисков не вводя ключевую информацию невозможно, поэтому как правило СКЗИ не скрывает своего присутствия в ОС, но обеспечивает сокрытие в ней конфиденциальных данных.