Разработчик: преподаватель Сериков Александр Алексеевич

Курс лекций

По разделу

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Разработчик: преподаватель Сериков Александр Алексеевич

 

Специальность

071901 Библиотековедение

Углубленная подготовка

Присваиваемая квалификация

БИБЛИОТЕКАРЬ, СПЕЦИАЛИСТ ПО ИНФОРМАЦИОННЫМ РЕСУРСАМ

Форма обучения очная

 

Челябинск 2014 г.

Содержание

Тема 1. Введение в информационную безопасность и защиту информации.
Тема 2. Правовое обеспечение информационной безопасности.
Тема 3. Организационное обеспечение информационной безопасности.
Тема 4. Программно-технические средства обеспечения информационной безопасности.
Тема 5. Общесистемные основы защиты информации и процесса ее обработки в вычислительных системах.
Тема 6. Предотвращение несанкционированного доступа к компьютерным ресурсам и защита программно-аппаратных средств.
Тема 7. Защита от компьютерных вирусов.
Тема 8. Защита от потери информации и отказов программно-аппаратных средств.
Тема 9. Защита информационно-программного обеспечения на уровне операционных систем.
Тема 10. Специфические особенности защиты информации в локальных и глобальных компьютерных сетях.

 

 

Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

· секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;

· физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

Рекомендации по практической реализации парольных систем

При построении системы парольной защиты необходимо учитывать спецификуАС и руководствоваться результатами проведённого анализа рисков. В то же время можнопривести следующие практические рекомендации:

 

· Установление минимальной длины пароля. Очевидно, что регламентация минимально допустимой длины пароля затрудняет для злоумышленника реализацию подбора пароля путём полного перебора.

· Увеличение мощности алфавита паролей. За счёт увеличения мощности (которое достигается, например, путём обязательного использования спецсимволов) также можно усложнить полный перебор.

· Проверка и отбраковка паролей по словарю. Данный механизм позволяет затруднить подбор паролей по словарю за счёт отбраковки заведомо легко подбираемых паролей.

· Установка максимального срока действия пароля. Срок действия пароля ограничивает промежуток времени, который злоумышленник может затратить на подбор пароля. Тем самым, сокращение срока действия пароля уменьшает вероятность его успешного подбора.

· Установка минимального срока действия пароля. Данный механизм предотвращает попытки пользователя незамедлительно сменить новый пароль на предыдущий.

· Отбраковка по журналу истории паролей. Механизм предотвращает повторное использование паролей– возможно, ранее скомпрометированных.

· Ограничение числа попыток ввода пароля. Соответствующий механизм затрудняет интерактивный подбор паролей.

· Принудительная смена пароля при первом входе пользователя в систему. В случае, если первичную генерацию паролей для всех пользователь осуществляет администратор, пользователю может быть предложено сменить первоначальный пароль при первом же входе в систему– в этом случае новый пароль не будет известен администратору.

· Задержка при вводе неправильного пароля. Механизм препятствует интерактивному подбору паролей.

· Запрет на выбор пароля пользователем и автоматическая генерация пароля. Данный механизм позволяет гарантировать стойкость сгенерированных паролей– однако не стоит забывать, что в этом случае у пользователей неминуемо возникнут проблемы с запоминанием паролей.

 

Методы хранения паролей

В общем случае возможны три механизма хранения паролей в АС:

1. В открытом виде. Безусловно, данный вариант не является оптимальным, поскольку автоматически создаёт множество каналов утечки парольной информации. Реальная необходимость хранения паролей в открытом виде встречается крайне редко, и обычно подобное решение является следствием некомпетентности разработчика.

2. В виде хэш-значения. Данный механизм удобен для проверки паролей, поскольку хэш-значения однозначно связаны с паролем, но при этом сами не представляют интереса для злоумышленника.

3. В зашифрованном виде. Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться:

· на одном из постоянных элементов системы;

· на некотором носителе (электронный ключ, смарт-карта и т.п.), предъявляемом при инициализации системы;

· ключ может генерироваться из некоторых других параметров безопасности АС– например, из пароля администратора при инициализации системы.

 

Передача паролей по сети

Наиболее распространены следующие варианты реализации:

1. Передача паролей в открытом виде. Подход крайне уязвим, поскольку пароли могут быть перехвачены в каналах связи. Несмотря на это, множество используемых на практике сетевых протоколов(например, FTP) предполагают передачу паролей в открытом виде.

2. Передача паролей в виде хэш-значений иногда встречается на практике, однако обычно не имеет смысла – хэши паролей могут быть перехвачены и повторно переданы злоумышленником по каналу связи.

3. Передача паролей в зашифрованном виде в большинстве является наиболее разумным и оправданным вариантом.

 

Локальный доступ

При наличии у злоумышленника локального доступа к АС и благоприятной для него обстановки он сможет обойти практически любую защиту. Для того чтобы значительно снизить шансы злоумышленника, имеющего локальный доступ к интересующей его АС, необходимо предпринять целый комплекс мер, как технического, так и организационного характера, начиная от проектирования архитектуры АС с учетом всех требований защиты и заканчивая установкой камер наблюдения, охранной сигнализации и организации специального режима доступа. Однако на практике в большинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения организаций, обрабатывающих в своих АС информацию с ограниченным доступом, которая может интересовать тех или иных злоумышленников.

 

Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.

Прежде всего, злоумышленник может воспользоваться одним из самых древних способов, против которого не сможет противостоять никакая АС, — хищением. Хищение информации, ее носителей, отдельных компонентов АС и, учитывая современные тенденции к миниатюризации СВТ, целых АС было и остается одним из самых распространенных способов несанкционированного получения информации. При этом квалификация лиц, участвующих в хищении может быть самой низкой, а правоохранительные органы, расследующие такие факты, да и зачастую сами подвергшиеся хищению организации, как правило, сосредотачивают основное внимание на осязаемых материальных ценностях. К хищению можно отнести и такие действия злоумышленников, когда компоненты АС просто подменяются на аналогичные. Например, сначала специалист высокой квалификации оказавшись под каким-то предлогом в офисе организации и используя благоприятную ситуацию, может за считанные секунды выяснить модель жесткого диска, причем все его действия будет контролировать легальный пользователь (типичная ситуация — любезное предложение помощи неопытному сотруднику, у которого “завис” компьютер и т.п.). Затем злоумышленникам остается лишь найти вышедший из строя жесткий диск аналогичной модели и, тайно проникнув в офис, заменить интересующий их жесткий диск неисправным. Если в организации не ведется строгого учета компонентов АС по серийным номерам (что, к сожалению, встречается сплошь и рядом), а злоумышленникам удастся скрыть факт проникновения в помещение (что также не очень большая проблема для опытных взломщиков), то такое происшествие не вызовет никакого подозрения.

Кроме того, к хищениям во многих случаях можно отнести прямое копирование всего жесткого диска на другой диск. Даже если исходный диск защищен, например, с помощью шифрования, злоумышленник средней квалификации может принести с собой другой жесткий диск большего объема и просто скопировать все содержимое исходного диска на свой диск, который впоследствии будет передан на исследование специалистам более высокой квалификации. В таком случае получение несанкционированного доступа к скопированной информации — всего лишь вопрос времени.

Наконец, следует знать, что часто хищение информации маскируется под хищение материальных ценностей. Например, злоумышленники могут похитить все офисное оборудование, хотя на самом деле их интересует лишь содержимое жесткого диска компьютера, стоявшего в кабинете руководителя. Часто оказывается, что руководители организаций, требуя от подчиненных соблюдения всех правил информационной безопасности, не распространяют на себя эти требования, хотя имеют доступ к любым файлам своих подчиненных. Например, большинство руководителей даже не подозревают, что все открываемые ими по сети файлы таких программ, как MicrosoftWord и других офисных приложений, копируются в папку для временных файлов Windows на локальном диске.

Вторым распространенным методом несанкционированного получения информации при локальном доступе к АС является использование открытого сеанса легального пользователя. Здесь возможности злоумышленника определяются лишь временем, на который он получает доступ к АС, полномочиями в АС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег.

Особая опасность этого метода заключается в том, что со стороны специалистов по защите информации действия злоумышленника, воспользовавшегося открытым сеансом легального пользователя, скорее всего, не вызовут никаких подозрений (в большинстве случаев на “своих” пользователей, особенно если они занимают в иерархии организации более высокое положение, администраторы безопасности обращают меньше всего внимания). Часто пользователи практически подталкивают посторонних к несанкционированному доступу к своим системам, размещая свои пароли “под рукой” прямо на рабочем месте (например, наклеивая листки для записей с паролями на монитор или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не отличается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользователя. Этот метод более “заметен” со стороны компонентов АС, обеспечивающих безопасность, однако также оказывается достаточно эффективным. Например, в организации может быть реализована жесткая политика по выбору паролей, обеспечивающая невозможность случайного подбора или угадывания паролей за 2–3 попытки с блокированием учетной записи при превышении количества попыток. При этом все пользователи организации, покидая рабочее место, должны временно блокировать доступ к своим системам так, чтобы блокировка снималась только при правильно введенном пароле. Однако некоторые пользователи могут установить полюбившиеся программы-заставки, в которых ввод пароля происходит в обход основной операционной системы. Часто оказывается, что такие пользователя в качестве пароля выбирают последовательности вида 1111 или user и т.п., что значительно облегчает задачу подбора пароля легального пользователя.

Часто для осуществления подбора пароля легального пользователя злоумышленники прибегают к использованию открытого сеанса этого же или другого пользователя с последующим копированием системных файлов. В частности, в системах Windows NT/2000/XP злоумышленник может скопировать файл SAM или его резервную копию SAM._, находящиеся в папке repair системной папки Windows, а затем попытаться установить хранящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наибольший интерес для злоумышленника представляют файлы /etc/passwd или shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обладая минимальной квалификацией, может за считанные минуты или даже секунды получить информацию о паролях легальных пользователей, хранящихся в этих файлах.

Еще одним методом локального несанкционированного доступа является использование учетной записи легального пользователя для расширения полномочий в АС. Он отличается от метода использования открытого сеанса легального пользователя тем, что в данном случае злоумышленнику не требуется выдавать себя за другого, поскольку он в силу тех или иных причин сам имеет доступ к АС. Например, во многих организациях сторонним пользователям, посетителям, представителям других организаций, временным сотрудникам и другим лицам, не являющимся сотрудниками организации, предоставляют так называемые гостевые учетные записи. Однако часто оказывается, что АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС организации, а действия сторонних пользователей, получающих гостевой доступ, практически никак не контролируются. Это позволяет злоумышленнику, воспользовавшись специальными программами взлома (exploit), расширить свои полномочия вплоть до получения полного доступа ко всем АС организации. В системах Windows NT/2000/XP, например, злоумышленник может воспользоваться такими программами взлома, как getadmin или main, а в Unix-подобных системах — многочисленными программами взлома командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного программного обеспечения Unix.

Наконец, часто злоумышленнику, имеющему локальный доступ кАС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к такому простому приему, как загрузка альтернативной операционной системы. Такая система может загружаться как с дискеты, так и с компакт-диска. (К особой разновидности этого метода является срабатывание функции автозапуска в Windows.Воспользовавшись этим изъяном, злоумышленник может запустить нужную ему программу даже на системе c Windows, защищенной с помощью экранной заставки с паролем). Например, с помощью простого командного файла, злоумышленник может в считанные минуты перезагрузить компьютер, работающий под управлением Windows 98/ME/2000/XP/7 и получить в свое распоряжение перечень всех файлов, а также файлы PWL и SAM, хранящиеся на дисках этого компьютера.

Удаленный доступ

В отличие от локального доступа, палитра методов и средств несанкционированного получения информации изАС при удаленном доступе значительно шире и достаточно сильно зависит от используемой операционной системы (ОС), настройки параметров безопасности и т.п. Как ни парадоксально, но наиболее защищенными (с некоторыми оговорками) при удаленном доступе являются АС, работающие под управлением операционных систем, которые наибольше всего уязвимы при локальном доступе, например Windows 98. Однако это противоречие только кажущееся. Действительно, системы типа MS DOS или Windows 98 изначально не проектировались для работы в сетях. Поэтому в них практически отсутствуют развитые средства удаленного доступа, а имеющиеся средства представляют собой внешние по отношению к ядру таких систем модули, слабо интегрированные с остальными компонентами подобных простейших ОС. Поэтому, если пользователь АС, работающей под управлением такой ОС, как Windows 98, соблюдает простейшие правила безопасности (например, не предоставляет доступ по сети к файлам и папкам своего компьютера), его система обладает высокой степенью устойчивости ко взлому.

С другой стороны, большинство Unix-подобных операционных систем изначально проектировались и развивались именно как сетевые операционные системы. Поэтому такие системы часто для обеспечения безопасной работы в сетях требуют тщательной настройки параметров безопасности.

Следует заметить, что за редким исключением (например, таким, как ОС OpenBSD), большинство современных ОС при настройке параметров, принятых по умолчанию, являются небезопасными с точки зрения работы в компьютерных сетях.

Сбор информации

На этапе сбора информации злоумышленник определяет пул IP-адресов АС организации, доступных из сети общего пользования. Строго говоря, этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получения доступа могут предприниматься не злоумышленниками, а обычными пользователями (хотя, конечно, трудно назвать “обычным” пользователя, который сканирует все открытые порты АС, чтобы всего-навсего отправить сообщение электронной почты). Только совокупность этих операций с соблюдением некоторых условий (например, массированное не неоднократное сканирование всего пула IP-адресов организации с попытками установления соединений на все открытые порты) может говорить о предпринимающихся попытках несанкционированного получения информации.

Каждая же из указанных операций сама по себе не является чем-то из ряда вон выходящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят инструментальные средства, призванные обеспечить выполнение соответствующих задач, в частности, сбора информации.

К таким средствам относятся стандартные утилиты Unixwhois, traceroute (в Windows — tracert), nslookup, host, и их аналоги, а также другие подобные средства, обладающие более дружественным интерфейсом (Web-ориентированные варианты whois, VisualRoute, SamSpade и т.п.).

С помощью таких вполне безобидных средств можно выяснить:

· тип сетевого подключения организации (единичный компьютер, сеть класса C, сеть класса B);

· имена и адреса серверов доменных имен (DNS — DomainNameSystem), обеспечивающих трансляцию символьных имен в IP-адреса по запросам АС организации;

· сеть, в которой установлены подключенные к Internet АС организации (сеть провайдера, прямое подключение и т.п.);

· схему подключения маршрутизаторов и брандмауэров;

· реальные имена, телефоны и адреса электронной почты администратора подключения;

· схему распределения IP-адресов внутри сети организации и имена отдельных узлов (с помощью так называемого переноса зоны с помощью утилиты nslookup).

Если сеть организации достаточно обширна и в ней имеется множество компьютеров, подключенных к Internet, тщательно проведенный сбор информации может дать много других интересных для злоумышленника сведений. Чем тщательнее проведен предварительный сбор информации, тем выше вероятность успешного проникновения вАС интересующей злоумышленника организации.

Сканирование

Составив предварительную схему сети и наметив предварительный перечень наиболее уязвимых ее узлов, злоумышленник, как правило, переходит к сканированию. Сканирование позволяет выявить реально работающие АС исследуемой организации, доступные по Internet, определить тип и версию ОС, под управлением которых они работают, а также получить перечни портов TCP и UDP, открытых на выявленных АС.

Для проведения сканирования в распоряжении злоумышленника имеется широкий спектр инструментальных средств, начиная от простейшей утилиты ping, входящей в комплект поставки всех современных ОС, и заканчивая специализированными хакерскими инструментами, такими, как fping, Pinger, icmpenum, nmap, strobe, netcat, NetScantToolsPro 2000, SuperScan, NTOScanner, WinScan, ipeye, Windows UDP PortScanner, Cheops и множеством других.

Вооружившись этими или подобными инструментами, злоумышленник может уточнить составленную на предыдущем этапе схему сети и выбрать АС, на которые следует обратить внимание в первую, вторую и т.д. очереди.

Получение доступа

Если принято решение о попытке проникновения, злоумышленник переходит к стадии активных действий, которые, как правило, выходят за рамки простого любопытствах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые деяния.

Целью операций, предпринимаемых на данном этапе, является получение доступа на уровне легального пользователя АС или ОС. К таким операциям относятся:

· перехват паролей;

· подбор паролей для доступа к совместно используемым сетевым ресурсам;

· получение файла паролей;

· использование программ взлома, обеспечивающих интерактивный доступ к АС путем перевода работающих на АС приложений в нештатный режим.

Часто для получения доступа злоумышленники прибегают к социальному инжинирингу, побуждая пользователей тем или иным способом установить на своих АС программные закладки, действующие по принципу “Троянского коня”. Если это им удается, например, путем установки таких закладок, как BackOrifice или SubSeven, дальнейшее получение доступа к таким АС для злоумышленников не составляет труда.

В тех случаях, когда злоумышленник по каким-то причинам не может или не намерен манипулировать пользователями, ему приходиться обеспечивать получение доступа самостоятельно. Для этого он может применить такие средства, как NAT, SMBGrind, L0phcrack, NT RAS, winhlp32, IISHack (Windows NT/2000/XP), Brutus, brute_web.c, pop.c, middlefinger, TeeNet (Unix) и множество специализированных программ взлома, рассчитанных на применения против конкретных приложений.

Если АС предоставляет удаленный доступ к системе, например, на гостевом уровне, злоумышленник может предпринять попытку применения методов и средств, используемых при локальном доступе (например, скопировать файл паролей из небрежно настроенной системы).

Однако в некоторых случаях злоумышленникам вообще не приходится что-либо предпринимать, а просто воспользоваться “любезностью” легального пользователя, непредусмотрительно установившего какую-либо систему удаленного доступа с настроенным по умолчанию паролем (или даже вообще без пароля), например pcAnywhere, VNC или RemotelyAnywhere.

В последнее время особенно часто жертвами злоумышленников становятся Web-серверы и работающие под их управлением приложения. Опытному взломщику Web-серверов достаточно провести несколько минут за исследованием Web-сервера, администраторы которого имеют поверхностное представление о безопасности, чтобы, не прибегая к особым ухищрением, получить доступ на уровне пользователя (а нередко и на системном или административном уровне), пользуясь одним лишь стандартным Web-клиентом.

Расширение полномочий

Если на предыдущем этапе злоумышленник получил несанкционированный доступ на гостевом или пользовательском уровне он, как правило, постарается расширить свои полномочия и получить, как минимум, административный уровень. Для этого в большинстве случаев применяются такие же средства взлома и подбора паролей, а также программы взлома, что и при доступе на локальном уровне.

Расширение полномочий позволяет злоумышленнику не только получить полный доступ к интересующей его АС, но и внести себя в список легальных администраторов, а также, возможно, сразу же получить административный доступ к другим АС организации.

Сокрытие следов

Получение административного доступа также может понадобиться злоумышленнику в том случае, если ему по каким-то причинам нужно скрыть следы проникновения. Часто для облегчения своей задачи в будущем злоумышленники оставляют на подвергшихся взлому АС утилиты, маскируя их под системные файлы. Однако к таким приемам прибегают только в тех случаях, когда вероятность обнаружения взлома оценивается злоумышленником как очень высокая. В большинстве же случаев после первого успешного проникновения вАС злоумышленник создает на ней тайные каналы доступа.

Создание тайных каналов

К методам создания тайных каналов, с помощью которых злоумышленник может получать многократный доступ к интересующей его АС, относятся:

· создание собственных учетных записей;

· создание заданий, автоматически запускаемых системным планировщиком (cron в Unix, AT в Windows NT/2000/XP);

· модификация файлов автозапуска (папка Startup, системный реестр в Windows, файлы rc в Unix);

· внедрение программных закладок, обеспечивающих удаленное управление взломанной АС (netcat, remote.exe, VNC, BackOrifice);

· внедрение программных закладок, перехватывающих нужную злоумышленнику информацию (регистраторы нажатия клавиш и т.п.)

· внедрение программных закладок, имитирующих работу полезных программ (например, окно входа в систему).

Блокирование

Иногда злоумышленники, не получив доступа к нужной им системе, прибегают к блокированию (DoS — DenialofService). В результате подвергнувшаяся блокированию АС перестает отвечать на запросы легальных пользователей, т.е. возникает состояние “отказ в обслуживании”. Причем далеко не всегда состояние DoS АС является самоцелью злоумышленников. Часто оно инициируется для того, чтобы вынудить администратора перезагрузить систему. Однако нередко это нужно злоумышленнику, чтобы выдать свою систему за систему, намеренно переведенную им в состояние DoS. Наконец, в последнее время состояние DoS, от которого не застрахована ни одна современная АС, подключенная к Internet, используется в качестве средства кибертерроризма.

Классификация

Методы и средства несанкционированного получения информации изАС можно классифицировать, исходя из разных признаков: по виду доступа, по уровню доступа, по характеру действий злоумышленника, по многократности доступа, по направленности действий злоумышленника, по тяжести последствий.

По виду доступа все методы и средства можно разделить на две большие группы. К первой группе относятся методы и средства, используемые при локальном (физическом) доступе к АС, а ко второй — методы и средства, используемые при удаленном доступе (по компьютерной сети). Как правило, любая, даже самая надежная АС при наличии у злоумышленника локального доступа, достаточных сил и средств и достаточного времени, не сможет обеспечить сохранности информации. При удаленном доступе АС может быть достаточно надежно защищена, но, с другой стороны, абсолютной безопасности АС, имеющей физическое подключение к сетям передачи данных, гарантировать также нельзя.

По уровню доступа методы и средства несанкционированного получения информации обычно разделяют на методы и средства гостевого, пользовательского, административного, системного и неограниченного уровня. Во многих современных операционных системах имеются встроенные учетные записи, предоставляющие их владельцами гостевой (Guest в системах Windows NT/2000/XP/7), административный (Administrator в Windows NT/2000/XP/7, root в Unix-системах), системный (SYSTEM в Windows 2000/XP/7) или неограниченный (администратор предприятия в Windows 2000/XP/7) доступ. При создании дополнительных учетных записей в большинстве современных операционных систем можно указать любой уровень доступа, но изменить его для встроенных учетных записей зачастую невозможно.

По характеру действий злоумышленника используемые им методы и средства могут быть направлены на копирование, модификацию, уничтожение или внедрение информации. В последнем случае проявляется особенность АС, отсутствующая у традиционных средств накопления информации, связанная с тем, что вАС хранятся не только данные, но и программные средства, обеспечивающие их обработку и обмен информацией. Эта особенность интенсивно используется злоумышленниками, которые часто стремятся получить доступ к той или иной АС не ради несанкционированного доступа к хранящейся в ней информации, а для внедрения программной закладки, т.е. для несанкционированного создания в АС новой информации, представляющей собой активный компонент самой АС, либо для скрытного хранения собственной информации без ведома владельца АС.

В настоящее время существуют следующие пути несанкционированного получения информации (каналы утечки информации):

· применение подслушивающих устройств;

· дистанционное фотографирование;

· перехват электромагнитных излучений;

· хищение носителей информации и производственных отходов;

· считывание данных в массивах других пользователей;

· копирование носителей информации;

· несанкционированное использование терминалов;

· маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;

· использование программных ловушек;

· получение защищаемых данных с помощью серии разрешенных запросов;

· использование недостатков языков программирования и операционных систем;

· преднамеренное включение в библиотеки программ специальных блоков типа “троянских коней”;

· незаконное подключение к аппаратуре или линиям связи вычислительной системы;

· злоумышленный вывод из строя механизмов защиты

 

Работа антивируса

 

Говоря о системах Майкрософт, обычно антивирус действует по схеме: - поиск, в базе данных антивирусного ПО, сигнатур вирусов - если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется - зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.

 

 

Виды резервного копирования

Полное резервирование (Fullbackup). Полное резервирование обычно затрагивает всю вашу систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное резервирование должно быть полным резервированием, обычно выполняемым по пятницам или в течение выходных, в течение которого копируются все желаемые файлы. Последующие резервирования, выполняемые с понедельника по четверг до следующего полного резервирования, могут быть добавочными или дифференциальными, главным образом для того, чтобы сохранить время и место на носителе. Полное резервирование следует проводить, по крайней мере, еженедельно.

Одноразовое копирование

Простейшая схема, не предусматривающая ротации носителей. Все операции проводятся вручную. Перед копированием администратор задает время начала резервирования, перечисляет файловые системы или каталоги, которые нужно копировать. Эту информацию можно сохранить в базе данных, чтобы её можно было использовать снова. При одноразовом копировании чаще всего применяется полное копирование.

Архивация файловых данных

Программа архивации помогает защитить данные от случайной утери в случае, если в системе возникнет сбой оборудования или носителя. С помощью программы архивации можно создать резервную копию данных на жестком диске, а затем создать архив на другом устройстве хранения данных. Носителем архива может быть логический диск (жесткий диск), отдельное устройство (съемный диск, флешка) или целая библиотека дисков или лент. При случайном удалении или замене исходных данных на жестком диске из-за его сбоя данные могут быть легко восстановлены из архива.

Двумя наиболее распространенными задачами являются архивация и восстановление файлов на диск или на ленту.

Программы контроля

Основное назначение программы контроля состоит в контроле состояния основных компонентов механизма защиты, соблюдение правил использования защищаемых данных и соблюдение правил использования механизма защиты.

Контроль состояния компонентов механизма защиты заключается в проверке их исправности и способности выполнять свои функции. В простейшем случае программы контроля представляют собой обычные диагностические программы, с помощью которых проверяется работоспособность технических и программных средств защиты. В развитых вариантах для контроля разрабатывается специальный пакет программ.

Под регистрацией в современных системах обеспечения безопасности информации понимают совокупность средств и методов, используемых для регулярного сбора, фиксации, обработки выдачи сведений о всех запросах, содержащих обращение к защищаемым данным. Наиболее распространенной формой регистрации является программное ведение специальных регистрационных журналов. В регистрационном журнале рекомендуется фиксировать время поступления запроса, имя терминала, с которого поступил запрос, и т.п. события. Однако, если не принять специальных мер, то при систематическом сборе остаточной информации из журналов можно непосредственно получить защищаемую информацию, а считав пароли, можно замаскироваться под зарегистрированного пользователя и получить несанкционированный доступ к данным в соответствии с его полномочиями. Поэтому надежная ЗИ невозможна без принятия мер для своевременного уничтожения остаточной информации. Такое уничтожение может быть надежно осуществлено двух-, трехкратной записью в соответствующих областях памяти произвольной комбинацией нулей и единиц.

Под аварийным уничтожением информации понимают такое ее уничтожение, которое осуществляется по специальным командам в тех случаях, когда обнаруживается неотвратимая опасность несанкционированного доступа. Осуществляется оно программными средствами путем посылки в соответствующие области памяти комбинаций нулей и единиц.