Khorev Anatolij Anatoljevič,
Doktor tehničkih znanosti, prof.
Moskovski državni institut za elektroničku tehnologiju
(tehničko sveučilište), Moskva

Tehnički kanali curenje informacija obrađenih računalnom tehnologijom.

7. Terminologija u području informacijske sigurnosti: Priručnik. M .: VNII Standard, 1993. 110 str.

8. Tehnička zaštita informacija. Osnovni pojmovi i definicije: preporuke za standardizaciju R 50.1.056-2005: odobreno. Naredbom Rostekhregulirovanie od 29. prosinca 2005. br. 479-st. - Uvesti. 01.06.2006. - M .: Standardinform, 2006 .-- 16 str.

9. Khorev A.A. Tehnička informacijska sigurnost: udžbenik. priručnik za sveučilišne studente. U 3 sv. V. 1. Tehnički kanali curenja informacija. M .: NPTs "Analytica", 2008. - 436 str.

10. Antiteroristička oprema: katalog.- Njemačka: PKI Electronic Intelligence, 2008. - 116r. + http://www.pki-electronic.com

11. Nadgledanje tipkovnice računala: asortiman proizvoda.- Italija, Torino, B.E.A. S.r.l., 2007. -P. 35-37 (prikaz, stručni).

12. KeyDevil Keylogger. [Elektronski izvor]. - Način pristupa: http://www.keydevil.com/secure-purchase.html.

13. Kuhn Markus G. Kompromitirajuće emanacije: rizici prisluškivanja računalnih zaslona.[Elektronski izvor]. - Način pristupa: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html .

14. Proizvodi za sigurnost i nadzor.[Elektronski izvor]. - Način pristupa: http://endoacustica.com/index_en.htm.

15. Bežično kontrolirani keylogger.[Elektronski izvor]. - Način pristupa:

Inženjerski podsustav tehnička zaštita informacije od curenja osmišljene su kako bi se smanjio rizik (vjerojatnost) neovlaštenog širenja informacija iz izvora koji se nalazi unutar kontroliranog područja do napadača na prihvatljive vrijednosti. Za postizanje tog cilja sustav mora imati mehanizme (snage i sredstva) za otkrivanje i neutralizaciju prijetnji prisluškivanja, nadzora, presretanja i curenja informacija kroz materijalni kanal.

Sukladno klasifikaciji metoda inženjersko-tehničke zaštite informacija koja je razmatrana u drugom dijelu, osnovu za funkcioniranje sustava inženjersko-tehničke zaštite informacija od curenja čine metode prostorne, vremenske, strukturne i energetske skrivanje.

Kako bi osigurao prostornu skrivenost, sustav mora imati skrivene lokacije za izvore informacija, poznate samo osobama koje s njim izravno rade. Vrlo ograničen krug ljudi ima pristup prostorijama u kojima se čuvaju tajni dokumenti. Glave privatnih struktura često se koriste za pohranu posebno vrijedne dokumente skrovišta u obliku sefa ugrađenog u zid i prekrivenog slikom, pa čak i zasebna prostorija s kamufliranim vratima.

Za provedbu privremenog prikrivanja, sustav zaštite mora imati mehanizam za određivanje vremena nastanka prijetnje. V opći slučaj ovo vrijeme se može predvidjeti, ali s velikom greškom. Ali u nekim slučajevima se utvrđuje s dovoljnom točnošću. Takvi slučajevi uključuju vrijeme:

§ letenje iznad objekta zaštite izviđačke letjelice;

§ rad radioelektroničkog uređaja ili električnog uređaja kao izvora opasnih signala;

§ biti u za to određenoj prostoriji posjetitelja.

Sposobnost preciznog određivanja položaja izviđačke letjelice (SC) u svemiru omogućuje organiziranje učinkovite privremene tajnosti zaštićenog objekta. Ovo vrijeme izračunava se prema parametrima orbite lansirane letjelice posebna služba, koja obavještava zainteresirane organizacije o rasporedu svog leta. Uključivanje nije prošlo posebna provjera radioelektronički uređaj i električni uređaj stvaraju potencijalnu prijetnju govornim informacijama u prostoriji u kojoj je ovaj alat ili uređaj instaliran. Stoga su razgovori o zatvorenim temama s uključenim neprovjerenim ili nezaštićenim radioelektroničkim sredstvima i uređajima zabranjeni. Također, dolazak posjetitelja u dodijeljenu prostoriju treba smatrati pojavom prijetnje od curenja informacija. Stoga su u njegovoj prisutnosti isključeni razgovori i izlaganje alata i materijala koji nisu vezani uz predmet rješavanja pitanja s posjetiteljem. Kako bi se izbjeglo curenje informacija preko posjetitelja, pregovori s njima, osim u slučajevima kada je u raspravi potrebno demonstrirati rad fondova, održavaju se u posebnoj prostoriji za pregovore,

nalazi se na minimalnoj udaljenosti od kontrolne točke.

Strukturna i energetska sredstva prikrivanja značajno se razlikuju ovisno o prijetnjama. Stoga je u općem slučaju preporučljivo podsustav inženjersko-tehničke zaštite od curenja informacija podijeliti u komplekse, od kojih svaki kombinira snage i sredstva za sprječavanje jedne od prijetnji curenja informacija (slika 19.7).

Zaštićene informacije su u vlasništvu i zaštićene su od pravnih dokumenata. Prilikom provođenja mjera zaštite nedržavnih informacijskih resursa koji su bankovna ili poslovna tajna, zahtjevi regulatornih dokumenata su savjetodavne prirode. Režime zaštite informacija za nedržavne tajne utvrđuje vlasnik podataka.

Radnje zaštite povjerljivih podataka od curenja tehničkim kanalima jedan su od dijelova mjera u poduzeću za osiguranje informacijske sigurnosti. Organizacijske radnje za zaštitu informacija od curenja putem tehničkih kanala temelje se na nizu preporuka pri odabiru prostora u kojima će se obavljati radovi na očuvanju i obradi povjerljivih informacija. Također, pri odabiru tehničkih sredstava zaštite morate se prije svega osloniti na certificirane proizvode.

Prilikom organiziranja mjera zaštite od curenja tehničkih informacijskih kanala na štićenom objektu mogu se razmotriti sljedeće faze:

• Pripremni, predprojektni
• STZI dizajn
• Faza puštanja u rad zaštićenog objekta i sustava tehničke zaštite informacija

Prva faza uključuje pripremu za stvaranje sustava tehničke zaštite informacija na zaštićenim objektima. Prilikom ispitivanja mogućih tehničkih tokova curenja u objektu, proučava se sljedeće:

• Plan susjednog prostora uz zgradu u radijusu od 300 m.
• Plan svake etaže zgrade sa studijom karakteristika zidova, završnih obrada, prozora, vrata itd.
• Shematski dijagram sustava uzemljenja za elektroničke objekte
• Raspored komunikacija cijele zgrade, zajedno s ventilacijskim sustavom
• Plan napajanja zgrade s prikazom svih panela i položaja transformatora
• Plan-dijagram
• Shematski dijagram protupožarnih i protuprovalnih alarma s indikacijom svih senzora

Saznavši curenje informacija kao nekontrolirani izlazak povjerljivih podataka izvan granica kruga osoba ili organizacije, razmislimo kako se takvo curenje provodi. U središtu takvog curenja je nekontrolirano uklanjanje povjerljivih podataka pomoću svjetlosnih, akustičkih, elektromagnetskih ili drugih polja ili materijalnih nosača. Bez obzira na različite razloge curenja, oni imaju mnogo zajedničkog. U pravilu, razlozi su povezani s prazninama u normama očuvanja informacija i kršenjem tih normi.

Informacije se mogu prenijeti ili putem tvari ili polja. Osoba se ne smatra nositeljem, ona je izvor ili subjekt odnosa. Slika 1 prikazuje način prijenosa informacija. Osoba iskorištava različite fizička polja koji stvaraju komunikacijske sustave. Svaki takav sustav ima komponente: izvor, odašiljač, dalekovod, prijemnik i prijemnik. Takvi se sustavi svakodnevno koriste u skladu s namjenom i službeno su sredstvo razmjene podataka. Takvi kanali pružaju i kontroliraju tu svrhu sigurna razmjena informacija. No, postoje i kanali koji su skriveni od znatiželjnih očiju, a preko njih mogu prenositi podatke koji se ne smiju prenositi trećim osobama. Takvi kanali se nazivaju kanali curenja. Slika 2 prikazuje shematski dijagram kanala za curenje.

Slika 1

Crtež - 2

Za stvaranje kanala curenja potrebni su određeni vremenski, energetski i prostorni uvjeti koji olakšavaju prijem podataka na strani napadača. Kanali propuštanja mogu se podijeliti na:

• akustični
• vizualno-optički
• elektromagnetski
• materijal

Vizualni optički kanali

Ovi kanali su obično daljinski nadzor. Informacija djeluje kao svjetlo koje dolazi iz izvora informacija. Klasifikacija takvih kanala prikazana je na slici 3. Metode zaštite od vizualnih kanala propuštanja:

• smanjiti reflektirajuća svojstva štićenog objekta
• posložiti predmete na način da se isključi odraz sa strane potencijalnog mjesta napadača
• smanjiti osvjetljenje objekta
• primjenjivati ​​metode maskiranja i druge kako bi doveli napadača u zabludu
• koristiti barijere

Slika - 3

Akustični kanali

U takvim kanalima, nosač ima zvuk koji leži u ultra rasponu (više od 20.000 Hz). Kanal se ostvaruje distribucijom akustični val u svim pravcima. Čim se na putu vala nađe prepreka, on aktivira oscilatorni mod prepreke, a zvuk se može očitati s prepreke. Zvuk se širi na različite načine u različitim medijima za širenje. Razlike su prikazane na slici 4. Slika 5. prikazan je dijagram vibracijskih i akustičkih kanala curenja informacija.

Slika - 4

Slika - 5

Zaštita od akustičnih kanala prvenstveno je organizacijska mjera. Oni podrazumijevaju provedbu arhitektonsko-planskih, režimskih i prostornih mjera te organizacijsko-tehničkih aktivnih i pasivnih mjera. Takve metode prikazane su na slici 6. Arhitektonsko-planske mjere ispunjavaju određene zahtjeve u fazi projektiranja zgrade. Organizacijske i tehničke metode podrazumijevaju primjenu sredstava za upijanje zvuka. Primjeri su materijali kao što su pamučna vuna, tepisi, pjenasti beton itd. Imaju puno poroznih praznina koje dovode do puno refleksije i apsorpcije zvučnih valova. Također koriste posebne hermetičke akustične ploče. Vrijednost apsorpcije zvuka A određena je koeficijentima apsorpcije zvuka i dimenzijama površine na kojoj je apsorpcija zvuka: A = Σα * S. Vrijednosti koeficijenata su poznate, za porozne materijale je 0,2 - 0.8. Za beton ili ciglu, to je 0,01 - 0,03. Na primjer, kod obrade zidova α = 0,03 poroznom žbukom α = 0,3, zvučni se tlak smanjuje za 10 dB.

Slika - 6

Mjerači razine zvuka koriste se za točno određivanje učinkovitosti zaštite od zvučne izolacije. Mjerač razine zvuka je uređaj koji mijenja fluktuacije zvučnog tlaka u očitanja. Shema rada prikazana je na slici 7. Elektronički stetoskopi koriste se za procjenu karakteristika zaštite zgrada od propuštanja kroz vibracijske i akustične kanale. Slušaju zvuk kroz podove, zidove, sustave grijanja, stropove itd. Osjetljivost stetoskopa u rasponu od 0,3 do 1,5 v / dB. Pri razini zvuka od 34 - 60 dB, takvi stetoskopi mogu slušati kroz konstrukcije debljine do 1,5 m. Ako pasivne mjere zaštite ne pomognu, mogu se koristiti generatori buke. Postavljaju se po obodu prostorije kako bi stvorili vlastite vibracijske valove na strukturi.

Slika - 7

Elektromagnetski kanali

Za takve kanale nosilac ima elektromagnetske valove u rasponu od 10.000 m (frekvencija< 30 Гц) до волн длиной 1 — 0,1 мм (частота 300 — 3000 Гц). Классификация электромагнитных каналов утечек информации показана на рис.8.

Slika - 8

Poznati su kanali elektromagnetskog curenja:

Uz pomoć projektantskih i tehničkih mjera moguće je lokalizirati neke kanale propuštanja pomoću:

• slabljenje induktivne, elektromagnetske sprege između elemenata
• zaklon jedinica i elemenata opreme
• filtriranje signala u strujnim ili uzemljenim krugovima

Organizacijske mjere za uklanjanje kanala elektromagnetskog curenja prikazane su na slici 9.

Slika - 9

Svaka elektronička jedinica pod utjecajem visokofrekventnog elektromagnetskog polja postaje re-emiter, sekundarni izvor zračenja. To se zove intermodulacijska radijacija. Za zaštitu od takvog kanala curenja potrebno je spriječiti prolaz visokofrekventne struje kroz mikrofon. Ostvaruje se paralelnim spajanjem kondenzatora kapaciteta 0,01 - 0,05 μF na mikrofon.

Materijalni kanali

Takvi kanali nastaju u čvrstom, plinovitom ili tekućem stanju. To je često otpad poduzeća. Klasifikacija kanala materijal-materijala prikazana je na slici 10.

Slika - 10

Zaštita od takvih kanala je čitav niz mjera za kontrolu odlaska povjerljivih informacija u obliku industrijskog ili proizvodnog otpada.

zaključke

Curenje podataka je nekontrolirani bijeg informacija izvan fizičkih granica ili kruga osoba. Za prepoznavanje curenja podataka potrebno je sustavno praćenje. Lokalizacija kanala propuštanja provodi se organizacijskim i tehničkim sredstvima.

Stabilnost primanja informacija, implicitnog, skrivenog od vlasnika, oblika dohvaćanja informacija obrađenih tehničkim sredstvima, dovela je do neumoljivog interesa za kanal curenja koji proizlazi iz bočnih elektromagnetskih zračenja i smetnji (PEMIN) koje prate rad ovog uređaja. oprema.

U nastavku je opisani kanali curenja, opisana je metodologija i metode zaštite informacija od curenja zbog PEMIN-a. Razmatraju se načini implementacije i karakteristike suvremenih sredstava aktivne zaštite - generatora buke, daju se preporuke za njihovu primjenu.

Karakteristike kanala curenja informacija zbog PEMIN-a

Frekvencijski raspon lažnog elektromagnetskog zračenja koji prati informativne signale proteže se od jedinica kiloherca do gigaherca i više i određen je taktnom frekvencijom korištenih sredstava za obradu informacija (SOI). Dakle, za standard monitor računala presretanje informacija moguće je na frekvencijama do 50. harmonika taktne frekvencije, a razina zračenja koja u bližoj zoni iznosi i do desetaka dB omogućuje primanje signala na udaljenosti do nekoliko stotina metara.

Osim elektromagnetskog zračenja, oko objekata za obradu informacija postoje kvazistatična informacijska električna i magnetska polja koja uzrokuju smetnje blisko raspoređenim kabelima, telefonskim žicama, linijama sigurnosni i protupožarni alarm, električna mreža itd. Intenzitet polja u frekvencijskom području od jedinica kiloherca do desetaka megaherca je takav da se prijem signala može obavljati izvan kontroliranog područja (SC) kada je izravno spojen na te dalekovode.

Metodologija zaštite informacija od curenja zbog PEMIN-a

Ovisno o mediju širenja informativnih signala, razmatraju se dva moguća kanala propuštanja: zbog samog PEMIN-a i komunikacije.

Prema načinu formiranja, klasificiraju se četiri vrste kanala za curenje:

Kanal elektromagnetskog zračenja (EMR), formiran poljima koja proizlaze iz prolaska informacija kroz krugove SOI;

Kanal nasumičnih antena (SA), koji nastaje zbog induciranog EMF-a u vodljivim komunikacijama, galvanski nije povezan s SDI i ima izlaz izvan kontroliranog područja (SC);

Kanal odlaznih komunikacija, galvanski povezan sa SOI;

Kanal neravnomjerne potrošnje struje (UCT), nastao zbog amplitudne modulacije struje aktiviranjem SDI elemenata tijekom obrade informacija.

EMP kanal karakterizira veličina EMP zone - udaljenost između SOI i opreme za presretanje antene, izvan koje je nemoguće učinkovit prijem zbog prirodnog smanjenja razine emitiranog signala.

Kanal nasumičnih antena karakterizira veličina njihove površine za lumped random antene (LAC) i distribuirane nasumične antene (SAR). Zbrojene nasumične antene uključuju sva tehnička sredstva koja nadilaze kontrolirano područje. Distribuirane nasumične antene uključuju žice, kabele, građevinske strukturne elemente itd. Udaljenost između SDI i CA, na kojoj je učinkovito presretanje nemoguće, određuje veličinu CA zone.

Kanal odlaznih komunikacija karakterizira najveća dopuštena vrijednost omjera snaga informativnog signala i normalizirane smetnje, pri kojoj je učinkovit prijem nemoguć.

NPT kanal karakterizira najveća dopuštena vrijednost omjera veličine promjene struje koja dolazi iz izvora tijekom obrade informacija i prosječne vrijednosti potrošnje struje. Ako navedeni omjer ne prelazi graničnu vrijednost, učinkovit prijem preko NPT kanala je nemoguć. Trenutačno, s obzirom na praktičnu odsutnost uređaja male brzine u SVT-u (frekvencijski raspon ovog kanala uzet je od 0 do 30 Hz), ovaj kanal je malo relevantan.

Uzimajući u obzir gore navedeno, moguće je formulirati kriterij za zaštitu SDI-a od curenja kroz PEMI i podizanja: SDI se smatra zaštićenim ako:

Polumjer zone elektromagnetskog zračenja ne prelazi minimalnu dopuštenu udaljenost od SOI do granice SC;

Omjer snage informativnog signala normalizirane smetnje u svim SA ne prelazi najveću dopuštenu vrijednost na granici kratkog spoja;

Omjer snage informativnog signala normalizirane smetnje u svim odlaznim komunikacijama na granici kratkog spoja ne prelazi najveću dopuštenu vrijednost;

Omjer veličine promjene struje "obrade" i prosječne vrijednosti potrošnje struje iz mreže na granici kratkog spoja ne prelazi najveću dopuštenu vrijednost.

Glavni zadaci i načela zaštite SVT-a

Za zaštitu informacijskih signala SVT-a od mogućeg curenja informacija, slijedeći načine i aktivnosti:

Organizacijski;

Tehnički.

Tehničke mjere zaštite informacija u SVT-u uključuju mjere i sredstva koja utječu ili na razinu PEMIN-a, ili na razinu elektromagnetskog šuma. Na primjer, elektromagnetska zaštita - učinkovita metoda zaštita informacija, međutim, zahtijeva značajne ekonomske troškove i redovito praćenje učinkovitosti zaštite. Osim toga, potpuna elektromagnetska zaštita donosi neugodu u radu servisnog osoblja.

Modifikacija CBT-a može značajno smanjiti razinu informacijskog zračenja, ali ih se ne može potpuno eliminirati. U suvremenim uvjetima usavršavanje SVT opreme svodi se na odabir komponenti SVT, budući da u Ruskoj Federaciji ne postoje vlastiti razvoji elektroničkih računala, a montaža osobnog računala izrađena je od stranih komponenti. Prilikom odabira komponenti u montažnim tvrtkama (crvena montaža), pozornost se posvećuje matičnoj ploči, strukturnom dizajnu kućišta (kućišta), video kartici (video kontroler), vrsti zaslona itd.

Aktivna radio kamuflaža, buka - korištenje širokopojasnih generatora buke.

Generatori buke mogu biti hardverski i objektni. Glavni zadatak bučnog zraka je podizanje razine elektromagnetske buke i na taj način spriječiti radio presretanje informacijskih signala SVT-a. Pokazatelji intenziteta smetnje opstruktivne buke (šum s normalnom raspodjelom trenutnih vrijednosti amplituda) je zona buke R w. Tehnička sredstva SVT-a bit će zaštićena ako I w> I 2.

Metodologija izvođenja posebnih studija tehničkih sredstava elektroničke opreme

Osnovni zahtjevi za uvjete mjerenja.

Identifikacija opasnih signala iz općeg skupa signala i mjerenje njihove razine provodi se u posebno organiziranim ispitnim režimima tehničkih sredstava (TS), u kojima trajanje i amplituda informacijskih impulsa ostaju isti kao u radnom načinu, ali se koristi periodični slijed impulsa u obliku paketa. Ovaj zahtjev je zbog činjenice da se u usvojenoj metodi za izračunavanje rezultata SI, vrijednosti zbrojnog pojasa frekvencijskih komponenti i taktna frekvencija informacijski impulsi moraju biti konstanti. Inače, izračun rezultata postaje nemoguć.

Osim toga, cikličko ponavljanje istih "paketa" informacija znatno olakšava prepoznavanje i mjerenje vrijednosti "opasnih" signala u pozadini buke i smetnji.

Detekcija signala se provodi sa svih strana tehničkog objekta. Signal se mjeri u vršnom (kvazi-vršnom) načinu rada iz smjera maksimalnog zračenja, gdje se detektira opasan signal. Za otkrivanje ispitnih signala i njihovo identificiranje iz ukupnog skupa primljenih signala, koriste se takvi znakovi kao podudarnost frekvencija detektiranih harmonika i intervala između njih s izračunatim vrijednostima, razdoblje i trajanje rafala, promjena u valni oblik na izlazu prijemnika pri promjeni parametara ispitnog signala itd. str.

Prilikom mjerenja potrebno je:

Istražiti tehnički opis i shematski dijagrami vozila;

Proučiti moguće načine rada vozila;

Pripremite mjernu opremu za rad.

Mjerenje parametara lažnog elektromagnetskog zračenja i interferencije vozila provodi se u svim režimima njegova rada. Uzemljenje i napajanje vozila moraju se izvesti u skladu s pravilima rada ovog vozila. Prije početka mjerenja vozila se provjeravaju ispravnosti u skladu s uputama za uporabu.

Prostorija u kojoj se provode mjerenja parametara opasnog signalnog polja mora imati veličinu prostorije od najmanje 6x6 m (36 m 2);

U blizini mjerenog tehničkog uređaja (bliže 2,5 m), koji se postavlja u sredini prostorije, ne bi smjeli biti glomazni metalni predmeti (sefovi, ormarići i sl.) koji mogu narušiti TEM I sliku;

Podovi u prostoriji mogu biti drveni (parket) ili metalni;

Moraju se poštivati ​​zakoni smanjenja polja u certificiranoj prostoriji standardna funkcija slabljenje polja unutar 2 ... 2,5 m od vozila u smjeru ugradnje mjerne antene.

Tehnički uređaj je postavljen na rotacijsko postolje visine 0,8 ... 1,0 m, napajanje se napaja vozilom kroz vlakno za zaštitu od buke tipa FP ili drugog tipa, s prigušenjem od najmanje 40 .. . 60 dB.

Ova se jednadžba zona rješava grafičkom analitičkom metodom ili na računalu.

Organizacija zaštite računala od neovlaštenog pristupa

Trenutno, u vezi s brzim razvojem računalne tehnologije i pojavom novih informacijskih tehnologija, pojavio se novi smjer dobivanja kategoriziranih informacija usko vezan uz računalni kriminal i neovlašteni pristup (NSD) ograničenim informacijama. Razvoj lokalnog i globalnog računalne mreže dovelo do potrebe da se zatvori neovlašteni pristup informacijama pohranjenim u automatiziranim sustavima.

Ciljevi zaštite informacija su: sprječavanje štete, čiji je nastanak moguć kao posljedica gubitka (krađa, gubitak, izobličenje, krivotvorenje) informacija u bilo kojem njegovom pojavnom obliku.

Svako moderno poduzeće danas ne može uspješno funkcionirati bez stvaranja pouzdanog sustava za zaštitu svojih informacija, uključujući ne samo organizacijske i regulatorne mjere, već i tehnički softver i hardver, organizirajući kontrolu sigurnosti informacija tijekom njihove obrade, pohrane i prijenosa u automatiziranim sustavima (AS).

Praksa organiziranja zaštite informacija od neovlaštenog pristupa tijekom njihove obrade i pohrane u automatiziranim sustavima treba uzeti u obzir sljedeća načela i pravila za osiguranje informacijske sigurnosti:

1. Usklađenost razine informacijske sigurnosti sa zakonskim odredbama i regulatornim zahtjevima za zaštitu informacija koje se štite od strane važeće zakonodavstvo, uklj. izbor klase sigurnosti nuklearne elektrane u skladu s karakteristikama obrade informacija (tehnologija obrade, specifični uvjeti rada nuklearne elektrane) i stupnjem njezine povjerljivosti.

2. Identifikacija povjerljivih (zaštićenih) informacija i njihove dokumentacije u obliku popisa informacija koje treba zaštititi, njihovo pravovremeno ispravljanje.

3. Većina važne odluke o zaštiti informacija treba prihvatiti uprava poduzeća ili vlasnik AU.

4. Utvrđivanje postupka utvrđivanja razine ovlaštenja korisnika, kao i kruga osoba koje imaju to pravo (administratori informacijske sigurnosti).

5. Uspostavljanje i izvršavanje pravila kontrole pristupa

(PRD), tj. skup pravila koja reguliraju prava pristupa subjekata pristupa objektima pristupa.

6. Utvrđivanje osobne odgovornosti korisnika za održavanje razine sigurnosti AU-a prilikom obrade informacija koje treba zaštititi.

7. Osigurati fizičku sigurnost objekta na kojem se nalazi zaštićena nuklearna elektrana (teritorij, zgrade, prostori, skladište nositelja informacija), uspostavljanjem odgovarajućih mjesta, tehničkih sredstava zaštite ili na bilo koji drugi način koji sprječava ili značajno otežava rad. krađa računalne opreme (SVT), nosača informacija, kao i NSD do SVT i komunikacijskih linija.

8. Organizacija službe informacijske sigurnosti (odgovorne osobe, administrator IS-a), koja evidentira, pohranjuje i izdaje nositelje informacija, lozinke, ključeve, održava servisne informacije ISS NSD-a (generiranje lozinki, ključeva, održavanje pravila kontrole pristupa), prihvaćanje novog softvera uključenog u AS fondove, kao i kontrolu nad tečajem tehnološki proces obrada povjerljivih informacija itd.

9. Sustavna i operativna kontrola razine sigurnosti zaštićenih informacija u skladu s važećim smjernicama o informacijskoj sigurnosti, uklj. provjera zaštitnih funkcija alata za informacijsku sigurnost.

Sredstva za zaštitu informacija moraju imati certifikat koji potvrđuje njihovu usklađenost sa zahtjevima informacijske sigurnosti.

Analiza iskustva rada u vezi s obradom i pohranom informacija pomoću računalne tehnologije omogućila je izvođenje zaključaka i sažetak popisa moguće prijetnje informacija. Uvjetno se mogu podijeliti u tri vrste:

Kršenje povjerljivosti informacija;

Kršenje integriteta informacija;

Kršenje dostupnosti informacija.

Na temelju toga gradi se sustav za zaštitu automatiziranih sustava i osobnih računala od neovlaštenog pristupa.

Izgradnja sustava zaštite

Izgradnja zaštitnog sustava temeljenog na softversko-hardverskom kompleksu sredstava za zaštitu informacija od neovlaštenog pristupa i njegova interakcija sa softverom i hardverom osobnog računala općenito prikazani su na Sl. 4.13.

Riža. 4.13. Izgradnja sustava zaštite na temelju hardversko-softverskog kompleksa

Zaštita informacija korištenjem hardvera i softvera kompleksa protiv neovlaštenog pristupa temelji se na obradi događaja koji nastaju kada primijenjeni programi ili sistemski softver (softver) pristupe resursima računala. U tom slučaju, sredstva kompleksa presreću odgovarajuće softverske i/ili hardverske prekide (zahtjeve za izvođenje operacija na hardverskim i/ili softverskim resursima računala). U slučaju kontroliranog događaja (zahtjev za prekid), zahtjev se analizira, a ovisno o korespondenciji ovlasti subjekta pristupa (njegova primijenjena zadaća), postavlja administrator sigurnosti PRD-a, omogućite ili onemogućite rukovanje tim prekidima.

U općem slučaju, sustav zaštite sastoji se od stvarnih sredstava zaštite od neovlaštenog učitavanja OS-a i sredstava za razgraničenje pristupa informacijskim resursima, koji se uvjetno mogu predstaviti u obliku četiri međusobno povezana podsustava informacijske sigurnosti (slika 4.14).

Podsustav kontrole pristupa

Podsustav kontrole pristupa dizajniran je za sigurnost. Osobna računala od neovlaštenih korisnika, kontrola pristupa objektima i organizacija njihovog zajedničkog korištenja od strane registriranih korisnika u skladu s utvrđenim pravilima kontrole pristupa.

Pod, ispod od strane autsajdera označava sve osobe koje nisu registrirane u sustavu (koje nemaju osobni identifikator registriran u pojedinom PC-u). DC zaštita

Riža. 4.14. Podsustavi za zaštitu podataka korisnika trećih strana osiguravaju se postupcima identifikacije (usporedba prikazanog identifikatora s popisom registriranih na osobnom računalu) i autentifikacije (potvrde autentičnosti), koja se obično provodi unošenjem lozinke određene dužine. Za identifikaciju korisnika u sustavima protiv neovlaštenog pristupa najčešće se koriste osobni identifikatori kao što je Touch Memory (Ibutton) DS 199X, koji se odlikuju visokom pouzdanošću, jedinstvenošću, brzom memorijom, jednostavnošću korištenja, prihvatljivim karakteristikama težine i veličine te niskim cijena.

U kompleksima zaštite od neovlaštenog pristupa mogu se implementirati dva principa kontrole pristupa zaštićenim resursima: diskrecijsko i obvezno.

Diskrecijski princip kontrole pristupa. Svakom registriranom korisniku dodjeljuju se prava pristupa prema principu dodjele specificiranih pristupnih karakteristika svakom paru "subjekt-objekt", koji su registrirani u DRP-u. Kada korisnik zatraži pristup, osigurava se nedvosmislena interpretacija utvrđenih pravila prijenosa i, ovisno o razini ovlasti korisnika, zatražena vrsta pristupa se dopušta ili odbija.

Ova opcija kontrole pristupa omogućuje svakom korisniku sustava stvaranje izoliranog softverskog okruženja (ISS), tj. ograničiti njegovu mogućnost pokretanja programa, navodeći kao dopušteno pokretanje samo onih programa koji su stvarno potrebni korisniku za obavljanje svojih službenih dužnosti. Stoga korisnik neće moći pokretati programe koji nisu uključeni u ovaj popis.

Obvezno načelo kontrole pristupa. Načelo kontrole pristupa resursima računala (hardveru i softveru),

na temelju usporedbe razine povjerljivosti dodijeljene svakom resursu i ovlasti određenog registriranog korisnika za pristup PC resursima s danom razinom povjerljivosti.

Za organiziranje obvezne kontrole pristupa za svakog korisnika sustava postavlja se određena razina pristupa povjerljivim informacijama, a svakom resursu (direktoriji, datoteke, hardver) dodjeljuje se tzv. oznaka povjerljivosti.

U ovom slučaju, razlikovanje pristupa povjerljivim imenicima i datotekama provodi se uspoređivanjem razine pristupa korisnika i oznake povjerljivosti resursa te donošenjem odluke o odobravanju ili nedopuštanju pristupa resursu.

Registracijski i računovodstveni podsustav

Registracijski i računovodstveni podsustav namijenjen je za upis različitih događaja koji se događaju tijekom rada osobnog računala u sustavskom dnevniku, koji je posebna datoteka koja se nalazi na tvrdom disku osobnog računala. Prilikom registracije događaja u zapisnik sustava, bilježi se sljedeće:

Datum i vrijeme događaja;

Ime i identifikator korisnika koji obavlja registriranu radnju;

Radnje korisnika (informacije o korisnikovom ulasku/izlasku u/iz sustava, pokretanju programa, neovlaštenim događajima, promjenama ovlasti, itd.). Pristup zapisniku sustava moguć je samo za IS administratora (nadzornika). Događaje zabilježene u zapisniku sustava određuje administrator ISS-a.

Ovaj podsustav također implementira mehanizam za nuliranje oslobođenih memorijskih područja.

Podsustav integriteta

Podsustav za osiguranje integriteta dizajniran je tako da isključuje neovlaštene izmjene (slučajne i zlonamjerne) softverskog i hardverskog okruženja osobnog računala, uključujući softver kompleksa i obrađene informacije, dok istovremeno štiti računalo od uvođenja softverskih grešaka i virusi. U softverskim i hardverskim kompleksima informacijskih sigurnosnih sustava (PAKSZI) NSD-a to se obično implementira:

Provjera jedinstvenih identifikatora hardverskih dijelova računala;

Provjera integriteta sistemskih datoteka dodijeljenih za nadzor, uključujući PAXZI NSD datoteke, prilagođeni programi i podatke;

Izravno kontroliranje pristupa operativnom sustavu, zaobilazeći DOS prekide;

Uklanjanje mogućnosti korištenja računala bez hardverskog kontrolera kompleksa;

Mehanizam za stvaranje zatvorenog softverskog okruženja koji zabranjuje pokretanje uvezenih programa, isključujući neovlašteni pristup OS-u.

Prilikom provjere integriteta softverskog okruženja računala izračunava se kontrolni zbroj datoteka i uspoređuje s referentnom (provjerom) vrijednošću pohranjenom u posebnom podatkovnom području. Ti se podaci unose tijekom registracije korisnika i mogu se promijeniti tijekom rada računala. Kompleksi zaštite od neovlaštenog pristupa koriste složeni algoritam izračuna kontrolni zbrojevi-izračun vrijednosti njihovih hash funkcija, isključujući činjenicu da modifikacija datoteke nije otkrivena.

Podsustav kriptografske zaštite

Podsustav kriptografske zaštite dizajniran je za poboljšanje zaštite korisničkih podataka pohranjenih na tvrdom disku osobnog računala ili prijenosnom mediju. Podsustav kriptografske zaštite informacija omogućuje korisniku šifriranje/dešifriranje svojih podataka pomoću pojedinačnih ključeva, obično pohranjenih u osobnom TM-identifikatoru.

Sastav tipičnog kompleksa zaštite od neovlaštenog pristupa

Tipičan kompleks za zaštitu osobnog računala od neovlaštenog pristupa uključuje hardver i softver. Hardver uključuje hardverski kontroler, strugač i osobne korisničke ID-ove.

Hardverski kontroler (slika 4.15) je ploča (ISA / PCI) instalirana u jedan od utora za proširenje matične ploče računala. Hardverski kontroler sadrži ROM sa softver, konektor za čitač informacija i dodatne uređaje.

Riža. 4.15. Hardverski kontroler "Sobol"

Releji za blokiranje učitavanja vanjskih uređaja (FDD, CD-ROM, SCSI, ZIP, itd.) mogu se ugraditi na hardverski kontroler kao dodatni uređaji; hardverski generator slučajnih brojeva; nepromjenjivu memoriju.

Čitač informacija je uređaj dizajniran za čitanje informacija s osobnog identifikatora koji je prikazao korisnik. Najčešće se u kompleksima zaštite od neovlaštenog pristupa koriste čitači podataka osobnih identifikatora kao što je Touch Memory (Ibutton) DS199X, koji su kontaktni uređaji.

Kao čitači informacija mogu se koristiti kontaktni i beskontaktni čitači pametnih kartica (Smart Card Reader), kao i čitači biometrijskih podataka koji omogućuju identifikaciju korisnika po njegovim biometrijskim karakteristikama (otisak prsta, osobni potpis itd.).

Osobni korisnički ID je hardverski uređaj koji ima jedinstvene karakteristike koje se ne mogu kopirati. Najčešće se u sustavima zaštite od neovlaštenog pristupa koriste identifikatori tipa Touch-Memory (Ibutton), koji su elektronički sklop opremljen baterijom i jedinstvenim 64-bitnim identifikacijskim brojem, koji je oblikovan tehnološki. Vijek trajanja elektroničkog identifikatora, koji je deklarirao proizvođač, je oko 10 godina.

Uz TM-identifikatore, identifikatori pametnih kartica koriste se u sustavima protiv neovlaštenog pristupa.

Pametna kartica je plastična kartica (sl. 4.16.), s ugrađenim mikrosklopom koji sadrži trajnu memoriju koja se može ponovno upisivati.

Neki sustavi protiv neovlaštenog pristupa dopuštaju korištenje biometrijskih karakteristika korisnika (osobni potpis, otisak prsta, itd.) kao identifikator. Sastav softvera za tipični informacijski sigurnosni sustav (SIS) od neovlaštenog sustava prikazan je na Sl. 4.17.

Sav softver kompleksa za zaštitu od neovlaštenog otvaranja može se uvjetno podijeliti u tri skupine.

Programi zaštite sustava su programi koji obavljaju funkcije zaštite i razgraničenja pristupa informacijama. Također, pomoću ove grupe programa možete konfigurirati i upravljati sustavom zaštite u procesu.

Poseban učitavač je program koji omogućuje pouzdano pokretanje osnovnog OS-a.

Sigurnosni upravljački program ("sigurnosni monitor") rezidentni je program koji kontrolira ovlaštenje i ograničava pristup informacijama i hardverskim resursima dok korisnik radi na AS-u (PC).

Instalacijski programi - skup programa dostupnih samo administratoru sustava informacijske sigurnosti za upravljanje radom sustava informacijske sigurnosti. Ovaj skup programa omogućuje provođenje redovitog procesa instaliranja i uklanjanja sustava informacijske sigurnosti.

Programi sustava za identifikaciju/autentifikaciju skup su programa za formiranje i analizu individualnih karakteristika korisnika koji se koriste za identifikaciju/autentifikaciju. Ova grupa također uključuje programe za kreiranje i upravljanje bazom podataka korisnika sustava.

Program obuke - općenito, to je program za prikupljanje i analizu individualnih karakteristika korisnika (alfanumerička kombinacija osobna lozinka, osobni potpis, otisci prstiju) i razvoj individualne karakteristike, koja se bilježi u bazi podataka.

Riža. 4.17. Sastav softvera za tipičan informacijski sigurnosni sustav

Baza korisnika sadrži jedinstvene brojeve korisničkih identifikatora registriranih u sustavu, kao i servisne informacije(korisnička prava, vremenska ograničenja, oznake privatnosti itd.).

Program za identifikaciju upravlja procesom provođenja identifikacije korisnika: izdaje zahtjev za predočenje identifikatora, čita podatke iz osobnog identifikatora, traži korisnika u korisničkoj bazi podataka. Ukoliko je korisnik registriran u sustavu, generira se zahtjev u bazu podataka o individualnim karakteristikama korisnika.

Baza podataka o pojedinim karakteristikama sadrži pojedinačne karakteristike svih korisnika registriranih u sustavu i odabire potrebne karakteristike na zahtjev programa identifikacije.

Tehnološki programi su pomoćna sredstva za osiguranje sigurnog rada sustava zaštite, dostupna samo administratoru sustava zaštite.

Programi za oporavak stanice dizajnirani su za vraćanje performansi stanice u slučaju kvarova hardvera ili softvera. Ova grupa programa omogućuje vraćanje izvornog radnog okruženja korisnika (koje je postojalo prije instalacije sustava zaštite), kao i vraćanje funkcionalnosti hardverskih i softverskih dijelova zaštitnog sustava.

Važna značajka programa za oporavak stanice je mogućnost uklanjanja zaštitnog sustava na nenormalan način, t.j. bez korištenja instalacijskog programa, zbog čega se pohrana i računovodstvo ove grupe programa moraju provoditi posebno pažljivo.

Program za bilježenje sustava je dizajniran tako da u zapisnik sustava (posebnu datoteku) registrira sve događaje koji se događaju u zaštitnom sustavu u vrijeme kada korisnik radi. Program vam omogućuje formiranje odabira iz dnevnika sustava prema različitim kriterijima (svi događaji neovlaštenog pristupa, svi događaji prijavljivanja korisnika u sustav, itd.) za daljnju analizu.

Dinamika kompleksa zaštite od neovlaštenog otvaranja

Za provedbu funkcija kompleksa protiv neovlaštenog pristupa koriste se sljedeći mehanizmi:

1. Mehanizam zaštite od neovlaštenog učitavanja OS-a, koji uključuje identifikaciju korisnika jedinstvenim identifikatorom i provjeru identiteta vlasnika prikazanog identifikatora.

2. Mehanizam za zaključavanje ekrana i tipkovnice u slučajevima kada se mogu realizirati određene prijetnje informacijskoj sigurnosti.

3. Mehanizam za praćenje integriteta kritičnih programa i podataka sa stajališta informacijske sigurnosti (mehanizam zaštite od neovlaštenih izmjena).

4. Mehanizam za stvaranje funkcionalno zatvorenih informacijskih sustava stvaranjem izoliranog softverskog okruženja;

5. Mehanizam za razlikovanje pristupa AS resursima, određen pristupnim atributima, koje postavlja administrator sustava u skladu sa svakim parom "subjekt pristup i objekt pristupa" prilikom registracije korisnika.

6. Mehanizam za registriranje kontrolnih događaja i neovlaštenih događaja koji nastaju tijekom rada korisnika.

7. Dodatni zaštitni mehanizmi.

U fazi instaliranja sustava otpornog na neovlašteno korištenje, hardverski kontroler se instalira u slobodni utor matične ploče računala, a softver se instalira na tvrdi disk.

Postavljanje kompleksa sastoji se od uspostavljanja prava kontrole pristupa i registracije korisnika. Kada je korisnik registriran, administrator sigurnosnog sustava određuje njegova prava pristupa: popise izvršnih programa i modula koje dopušta dani korisnik.

U fazi instalacije također se formiraju popisi datoteka, čiji će se integritet provjeriti kada ovaj korisnik pokrene računalo. Izračunate vrijednosti hash funkcija (kontrolnih zbroja) ovih datoteka pohranjuju se u posebnim područjima memorije (u nekim sustavima unose se u memoriju osobnog TM identifikatora).

Mehanizam zaštite od neovlaštenog učitavanja OS-a implementira se provođenjem postupaka identifikacije, provjere autentičnosti i kontrole integriteta zaštićenih datoteka prije učitavanja operativnog sustava. To osigurava ROM instaliran na ploči hardverskog kontrolera, koji se kontrolira tijekom takozvane ROM-SCAN procedure. Suština ovog postupka je sljedeća: tijekom početnog pokretanja, nakon provjere glavne opreme, BIOS računala počinje tražiti vanjske ROM-ove u rasponu od C800: 0000 do EOOO ".OOOO s korakom od 2K. Prisutnost ROM je označen prisustvom riječi AA55H u prvoj riječi provjerenog intervala. Ako se ovaj simptom pronađe, sljedeći bajt sadrži duljinu ROM-a na stranicama od 512 bajta. Tada se izračunava kontrolni zbroj cijelog ROM-a , a ako je točan, bit će pozvana procedura koja se nalazi u ROM-u s pomakom.Ova se procedura obično koristi prilikom inicijalizacije hardverskih uređaja.

U većini kompleksa zaštite od neovlaštenog neovlaštenog pristupa ovaj je postupak osmišljen za provedbu procesa identifikacije i autentifikacije korisnika. U slučaju pogreške (pristup odbijen), ne dolazi do povratka iz procedure, tj. daljnje učitavanje računala neće se izvršiti.

S instaliranim hardverskim kontrolerom i instaliranim softverom protuprovalnog sustava, računalo se učitava sljedećim redoslijedom:

1. BIOS računala izvodi standardnu ​​POST proceduru (provjera hardvera glavnog računala) i po njenom završetku prelazi na ROM-SCAN proceduru, tijekom koje kontrolu preuzima hardverski kontroler anti-tamper sustava.

2. Provodi se proces identifikacije korisnika, za koji se na monitoru računala prikazuje poziv za iskazivanje njegovog osobnog identifikatora (u nekim sigurnosnim sustavima, istovremeno s prikazom pozivnice, pokreće se odbrojavanje, što omogućuje ograničiti vrijeme pokušaja identifikacije).

3. Ako korisnik preda identifikator, informacija se čita. Ako identifikator nije prikazan, pristup sustavu je blokiran.

4. Ako prikazani identifikator nije registriran u sustavu, tada se prikazuje poruka odbijenog pristupa i dolazi do povratka na klauzulu 2.

5. Ako je prikazani identifikator registriran u sustavu, sustav prelazi u način provjere autentičnosti. Većina sustava protiv neovlaštenog pristupa koristi osobnu lozinku za provjeru autentičnosti.

6. Ako je lozinka unesena pogrešno, vratit ćete se na A.2.

7. Ako je lozinka ispravno unesena, hardverski kontroler prenosi kontrolu na PC i izvodi se normalan proces učitavanja OS-a.

Dodajmo da vam mnogi sustavi omogućuju ograničavanje broja "nevažećih" ulaza ponovnim pokretanjem u slučaju zadanog broja kvarova.

Robusnost postupka identifikacije/autentifikacije uvelike ovisi o korištenim osobnim identifikatorima i algoritmima za provjeru autentičnosti korisnika. Ako se kao identifikator koristi TM-identifikator, a postupak provjere autentičnosti je unos osobne lozinke, njegova otpornost na pucanje ovisit će o duljini lozinke.

Prilikom izvođenja kontrolnih postupaka (identifikacija i autentifikacija korisnika, provjera integriteta), upravljački program sustava protiv neovlaštenog pristupa blokira učitavanje tipkovnice i OS-a. Kada se dodirne čitač informacija, prikazani TM-identifikator se traži na popisu identifikatora registriranih na računalu. Obično je popis pohranjen na disku C. Ako se predstavljeni TM-identifikator nađe na popisu, tada se u nekim sustavima protiv neovlaštenog pristupa nadzire integritet datoteka u skladu s popisom sastavljenim za danog korisnika.

U ovom slučaju, prilikom provjere integriteta popisa korisničkih datoteka, izračunava se hash funkcija kontrolnog zbroja tih datoteka i uspoređuje s referentnom (provjerom) vrijednošću očitanom iz prezentiranog osobnog TM-identifikatora. Za provođenje postupka provjere autentičnosti, način unosa lozinke pruža se u skrivenom obliku - u obrascu posebni znakovi(na primjer, simbol je "*"). Time se sprječava mogućnost otkrivanja pojedinačne lozinke i korištenja izgubljenog (ukradenog) TM-identifikatora.

Uz pozitivan rezultat gornjih kontrolnih postupaka, OS se učitava. Ako identifikator koji je dao korisnik nije registriran na popisu ili je narušen integritet zaštićenih datoteka, OS se ne učitava. Za nastavak je potrebna intervencija administratora.

Dakle, kontrolni postupci: identifikacija, provjera autentičnosti i provjera integriteta provode se prije učitavanja OS-a. U svakom drugom slučaju, tj. ako ovaj korisnik nema prava za rad s ovim računalom, OS se ne učitava.

Prilikom izvršavanja konfiguracijskih datoteka CONFIG.SYS i AUTOEXEC.BAT, tipkovnica je zaključana i

"Sigurnosni monitor" sustava protiv neovlaštenog pristupa, koji prati korištenje samo resursa koje korisnik dopušta.

Mehanizam kontrole integriteta implementiran je usporedbom dva vektora za jedan niz podataka: referentnog (kontrolnog), unaprijed razvijenog u fazi registracije korisnika, i trenutnog, t.j. razvijen neposredno prije provjere.

Referentni (provjerni) vektor generira se na temelju hash funkcija (kontrolnog zbroja) zaštićenih datoteka i pohranjuje se u posebnu datoteku ili identifikator. U slučaju ovlaštene izmjene zaštićenih datoteka, provodi se postupak prepisivanja nove vrijednosti hash funkcije (kontrolnog zbroja) izmijenjenih datoteka.

Mehanizam za stvaranje izoliranog softverskog okruženja implementiran je korištenjem rezidentnog dijela "sigurnosnog monitora" protuprovalnog sustava. Tijekom rada sustava protiv neovlaštenog otvaranja, rezidentni dio "sigurnosnog monitora" provjerava datoteke svih drajvera učitanih iz datoteke CONFIG.SYS i osigurava operativnu kontrolu integriteta izvršnih datoteka prije prijenosa kontrole na njih. To pruža zaštitu od softverski virusi i oznake. Ako je provjera uspješna, kontrola se prenosi na OS za preuzimanje datoteke za izvršenje. Ako je provjera negativna, program se ne pokreće.

Mehanizam kontrole pristupa implementiran je korištenjem rezidentnog dijela "sigurnosnog monitora" protuprovalnog sustava, koji presreće obradu OS funkcija (u osnovi, ovo je prekid int 21, kao i int 25/26, i int 13). Smisao rada ovog rezidentnog modula je da kada se primi zahtjev od korisničkog programa, na primjer, za brisanje datoteke, prvo provjerava ima li korisnik takva dopuštenja.

Ako takvo ovlaštenje postoji, kontrola se prenosi normalnom OS rukovatelju da izvrši operaciju. Ako takvo ovlaštenje ne postoji, simulira se izlaz iz greške.

Pravila kontrole pristupa postavljaju se dodjeljivanjem atributa pristupa pristupnim objektima. Set atributa znači da se operacija specificirana atributom može izvesti na danom objektu.

Instalirani atributi definiraju najvažniji dio PRP-a korisnika.

Učinkovitost sustava zaštite uvelike ovisi o pravilnom izboru i postavljanju atributa. U tom smislu administrator sigurnosnog sustava mora jasno razumjeti o čemu i kako ovisi izbor atributa dodijeljenih objektima kojima korisnik ima pristup. U najmanju ruku potrebno je proučiti princip kontrole pristupa korištenjem atributa, kao i osobitosti softvera koji će korisnik koristiti pri radu.

Softver sustava protiv neovlaštenog otvaranja omogućuje svakom paru subjekt-objekt da odredi (dio specificiranih karakteristika pristupa ili sve):

za diskove:

Dostupnost i vidljivost logičkog pogona;

Izrada i brisanje datoteka;

Vidljivost datoteke;

Izvršavanje zadataka;

Nasljeđivanje po poddirektorijumima atributa korijenskog direktorija (s proširenjem prava nasljeđivanja samo na sljedeću razinu ili na sve sljedeće razine);

za imenike:

Pristupačnost (idite na ovaj katalog);

Vidljivost;

Nasljeđivanje po podimenicima atributa imenika (s proširenjem prava nasljeđivanja samo na sljedeću razinu ili na sve sljedeće razine);

za sadržaj imenika:

Stvaranje i uklanjanje poddirektorija;

Preimenovanje datoteka i poddirektorija;

Otvaranje datoteka za čitanje i pisanje;

Izrada i brisanje datoteka;

Vidljivost datoteke;

za zadatke:

Izvršenje.

Mehanizam za registraciju kontrolnih događaja i događaja NDS-a sadrži sredstva selektivnog upoznavanja s podacima o registraciji, a također vam omogućuje da registrirate sve pokušaje pristupa i radnje odabranih korisnika kada rade na osobnom računalu s instalirani sustav zaštita od neovlaštenog pristupa. U većini sustava za sprječavanje neovlaštenog pristupa, administrator ima mogućnost odabira razine detalja snimljenih događaja za svakog korisnika.

Registracija se vrši sljedećim redoslijedom:

Administrator sustava postavlja razinu opširnosti zapisnika za svakog korisnika.

Za bilo koju razinu detalja, zapisnik odražava parametre registracije korisnika, pristupa uređajima, pokretanja zadataka, pokušaja kršenja PRD-a, promjene PRD-a.

Za srednju razinu detalja, zapisnik dodatno odražava sve pokušaje pristupa zaštićenim diskovima, direktorijima i odvojene datoteke, kao i pokušaji promjene nekih parametara sustava.

Za visoku razinu detalja, dnevnik dodatno odražava sve pokušaje pristupa sadržaju zaštićenih kataloga.

Za odabrane korisnike, zapisnik odražava sve promjene PRD-a.

Osim toga, predviđen je mehanizam za obveznu registraciju pristupa nekim objektima.

Općenito, zapisnik sustava sadrži sljedeće informacije:

1. Datum i točno vrijeme prijave događaja.

2. Predmet pristupa.

3. Vrsta operacije.

4. Objekt pristupa. Objekt pristupa može biti datoteka, direktorij, disk. Ako je događaj promjena prava pristupa, tada se prikazuju ažurirani DRP-ovi.

5. Rezultat događaja.

6. Trenutni zadatak - program koji se izvodi na postaji u trenutku registracije događaja.

Dodatni mehanizmi zaštite od neovlaštenog pristupa osobnim računalima

Dodatni mehanizmi zaštite od neovlaštenog pristupa osobnim računalima (AS) omogućuju povećanje razine zaštite informacijskih resursa u odnosu na osnovnu razinu koja se postiže korištenjem funkcije osoblja sustavi zaštite. Za povećanje razine zaštite informacijskih resursa preporučljivo je koristiti sljedeće mehanizme zaštite:

Ograničavanje "životnog vijeka" lozinke i njezine minimalne duljine, isključujući mogućnost njezina brzog odabira u slučaju da korisnik izgubi svoj osobni identifikator;

Korištenje "vremenskih ograničenja" za korisnike za prijavu u sustav postavljanjem za svakog korisnika vremenski interval po danima u tjednu u kojima je rad dopušten;

Postavljanje kontrolnih parametara čuvara zaslona - zatamnjenje zaslona nakon unaprijed određenog vremenskog intervala (ako nijedan operater nije izvršio nikakve radnje tijekom navedenog vremenskog intervala). Mogućnost nastavka rada pruža se tek nakon što se izvrši ponovna identifikacija uz predočenje osobnog identifikatora korisnika (ili lozinke);

Postavljanje ograničenja za svakog korisnika za izlaz zaštićenih informacija na otuđive medije (vanjski magnetski mediji, portovi pisača i komunikacijskih uređaja itd.);

Periodična provjera integriteta sistemskih datoteka, uključujući datoteke softverskog dijela zaštitnog sustava, kao i korisničkih programa i podataka;

Kontrola izravnog pristupa operativnom sustavu, zaobilazeći prekide OS-a, kako bi se isključila mogućnost funkcioniranja programa za otklanjanje pogrešaka i razvoja, kao i programa "virusa";

Isključivanje mogućnosti korištenja računala u nedostatku hardverskog kontrolera zaštitnog sustava, kako bi se isključila mogućnost učitavanja operativnog sustava od strane korisnika s uklonjenim zaštitnim sustavom;

Korištenje mehanizama za stvaranje izoliranog softverskog okruženja koje zabranjuje pokretanje izvršnih datoteka s vanjskih medija ili ugrađenih u OS, kao i isključuje neovlašteni ulazak neregistriranih korisnika u OS;

Indikacija pokušaja neovlaštenog pristupa osobnom računalu i zaštićenim resursima u stvarnom vremenu davanjem zvučnih, vizualnih ili drugih signala.

Test pitanja za samostalan rad 1. Navedite organizacijske mjere koje je potrebno poduzeti za zaštitu objekta.

2. Koja je svrha aktivnosti pretraživanja?

3. Navedite pasivne i aktivne metode tehničke zaštite.

4. Navedite metode zaštite govornih informacija.

5. Koja je razlika između zvučne izolacije i vibroakustičke zaštite prostorije?

6. Kako se neutraliziraju uređaji za snimanje i radio mikrofoni?

7. Navedite karakteristike zaštitnih uređaja terminalne opreme slabostrujnih vodova.

8. Navedite načine zaštite pretplatničkih telefonskih linija.

^ 9. Koja je glavna svrha zaštite?

h 10. Navedite osnovne zahtjeve za uređaje za uzemljenje.

11. Usporedite zaštitna svojstva filtara za suzbijanje buke iz mreže i generatora buke dalekovoda. Navedite područja primjene ovih proizvoda.

12. Koje su tehničke mjere zaštite informacija u SVT-u.

13. Navedite glavne sigurnosne kriterije za SVT.

14. Postupak i značajke izvođenja posebnih studija tehničkih sredstava elektroničkih računala.

15. Što je suština grafička metoda izračunavanje polumjera zone I (I 2)?

16. Glavna svrha kompleksa zaštite od neovlaštenog pristupa.

17. Što je osobni identifikator? Koje se vrste identifikatora koriste u sustavima protiv neovlaštenog pristupa, navedite glavna svojstva identifikatora.

18. Koje postupke provodi anti-tamper sustav dok se OS ne učita?

19. Što se radi u postupku provjere autentičnosti. Koje se vrste procesa provjere autentičnosti koriste u sustavima zaštite od neovlaštenog pristupa?

20. Što određuje snagu procesa identifikacije / autentifikacije?

21. Što se podrazumijeva pod definicijom prava na različit pristup?

22. Što se podrazumijeva pod pristupnim objektom?

23. Kako se provodi obvezno načelo kontrole pristupa?

24. Koji su podsustavi uključeni u objekte kontrole pristupa?

25. Koji su hardverski resursi uključeni u tipični sastav sustava protiv neovlaštenog otvaranja?

26. Koji se parametri bilježe u dnevniku sustava tijekom rada korisnika. Zašto se vodi dnevnik sustava?

27. Koji se sustavi zaštite od neovlaštenih napada mogu koristiti u AU, obrađujući podatke koji predstavljaju državnu tajnu?

pitanja:

1. Metode i sredstva zaštite od curenja povjerljivih informacija tehničkim kanalima.

2. Značajke softvera i matematički utjecaj u javnim mrežama.

3. Zaštita informacija u lokalnim mrežama.

Književnost:

1. Budnikov S.A., Parshin N.V. Informacijska sigurnost automatiziranih sustava: Udžbenik. priručnik - Voronjež, TsPKS TZI, 2009.

2. Belov E.B. i dr. Osnove informacijske sigurnosti: Vodič... - M .: Hot line - Telekom, 2005.

3. Zapečnikov S.V. i ostalo Informacijska sigurnost otvorenih sustava. Dio 1: Udžbenik za sveučilišta. - M .: Hot line - Telekom, 2006.

4. Malyuk A.A. Informacijska sigurnost: konceptualni i metodološki temelji informacijske sigurnosti: udžbenik za sveučilišta. - M .: Vruća linija - Telekom, 2004.

5. Malyuk A.A., Pazizin S.V., Pogozhin N.S. Uvod u informacijsku sigurnost u automatiziranim sustavima: udžbenik za sveučilišta. - M .: Vruća linija - Telekom, 2004.

6. Khorev A.A. Zaštita informacija od curenja tehničkim kanalima. - Trening. džeparac. - M .: Ministarstvo obrane Ruske Federacije, 2006.

7. Zakon Ruske Federacije od 28.12.2010. br. 390 "O sigurnosti".

8. Savezni zakon od 27.07.2006. br. 149-FZ "O informacijama, informacijskim tehnologijama i zaštiti informacija".

9. Dekret predsjednika Ruske Federacije od 6. ožujka 1997. br. 188 „O odobrenju Popisa povjerljivih informacija“.

Internetski resursi:

1.http: //ict.edu.ru

1. Metode i sredstva zaštite od curenja povjerljivih informacija tehničkim kanalima

Zaštita informacija od curenja tehničkim kanalima je kompleks organizacijskih, organizacijskih, tehničkih i tehničke mjere opijum, isključujući ili slabeći nekontrolirani izlazak povjerljivih informacija izvan kontroliranog područja.

1.1. Zaštita informacija od curenja vizualno-optičkim kanalima

Kako bi se informacije zaštitile od curenja kroz vizualno-optički kanal, preporučuje se:

· Objekte zaštite rasporediti tako da se isključi refleksija svjetlosti u smjeru moguće lokacije napadača (prostorni odrazi);

· Smanjiti reflektirajuća svojstva štićenog objekta;

· Smanjiti osvijetljenost objekta zaštite (energetska ograničenja);

· Koristite sredstva za blokiranje ili značajno slabljenje reflektirane svjetlosti: zaslone, zaslone, zavjese, kapke, tamne naočale i druga okruženja koja ometaju, barijere;

· Koristiti sredstva kamufliranja, oponašanja i druga u cilju zaštite i zavaravanja napadača;

· Koristiti sredstva pasivne i aktivne zaštite izvora od nekontroliranog širenja reflektirane ili emitirane svjetlosti i drugih zračenja;

· Provesti maskiranje objekata zaštite, mijenjajući reflektirajuća svojstva i kontrast pozadine;

· Moguće je koristiti maskirna sredstva za prikrivanje predmeta u obliku aerosolnih zavjesa i maskirnih mreža, boja, skloništa.

1.2. Zaštita informacija od curenja kroz akustične kanale

Glavne mjere u ovoj vrsti zaštite su organizacijske i organizacijsko-tehničke mjere.

Organizacijske mjere podrazumijevaju provedbu arhitektonskih, prostornih i režimskih aktivnosti. Arhitektonsko planiranje mjere predviđaju nametanje određenih zahtjeva u fazi projektiranja zgrada i prostora ili njihovu rekonstrukciju i adaptaciju kako bi se isključilo ili oslabilo nekontrolirano širenje zvučnih polja izravno u zračnom prostoru ili u građevinskim konstrukcijama u obliku 1/10 strukturni zvuk.

Prostorna Zahtjevi mogu predvidjeti i izbor lokacije prostora u prostornom planu i njihovu opremljenost elementima potrebnim za akustičku sigurnost, isključujući širenje zvuka izravno ili reflektiranog u smjeru mogućeg položaja uljeza. U tu svrhu, vrata su opremljena predvorjima, prozori su orijentirani prema zaštićenom (kontroliranom) od prisutnosti autsajderi teritorija itd.

Režimske mjere osigurati strogi nadzor nad boravkom djelatnika i posjetitelja u kontroliranom prostoru.

Organizacijske i tehničke mjere predložiti pasivno(zvučna izolacija, apsorpcija zvuka) i aktivan aktivnosti (smanjenje zvuka).

Upotreba i tehničke mjere korištenjem posebnih sigurnih sredstava vođenja povjerljivih pregovora (sigurni akustični sustavi).

Za određivanje učinkovitosti zaštite pri korištenju zvučne izolacije koriste se mjerači razine zvuka - mjerni instrumenti koji pretvaraju fluktuacije zvučnog tlaka u očitanja koja odgovaraju razini zvučnog tlaka.

U slučajevima kada pasivne mjere ne pružaju potrebnu razinu sigurnosti, koriste se aktivna sredstva. Aktivna sredstva uključuju generatore buke - tehničkih uređaja stvarajući nalik na buku elektronički signali... Ti se signali dovode do odgovarajućih akustičkih ili vibracijskih pretvarača. Akustični senzori su dizajnirani da stvaraju akustičnu buku u prostorijama ili izvan njih, a senzori vibracija dizajnirani su za maskiranje buke u ovojnicama zgrada.

Tako se provodi zaštita od curenja kroz akustične kanale:

· Korištenje obloga koje apsorbiraju zvuk, posebnih dodatnih predvorja vrata, dvostrukih prozorskih okvira;

· Korištenje sredstava za onečišćenje volumena i površina akustičnom bukom;

· Zatvaranje ventilacijskih kanala, sustava za ulazak u prostore grijanja, napajanja, telefonskih i radio komunikacija;

· Korištenje posebnih certificiranih prostorija, isključujući pojavu kanala za curenje informacija.

1.3. Zaštita informacija od curenja kroz elektromagnetske kanale

Za zaštitu informacija od curenja putem elektromagnetskih kanala koriste se kako opće metode zaštite od curenja, tako i one specifične usmjerene na poznate kanale propuštanja elektromagnetskih informacija. Osim toga, zaštitna djelovanja mogu se razvrstati na projektna i tehnološka rješenja usmjerena na otklanjanje mogućnosti pojave takvih kanala i operativna, povezana s osiguranjem uvjeta za korištenje određenih tehničkih sredstava u proizvodnji i uvjetima rada.

Projektantske i tehnološke aktivnosti lokalizirati mogućnost nastanka uvjeta za nastanak kanala curenja informacija zbog bočnog elektromagnetskog zračenja i smetnji (PEMIN) u tehničkim sredstvima obrade i prijenosa informacija svode se na racionalna projektantska i tehnološka rješenja koja uključuju:

· Zaštita elemenata i jedinica opreme;

· Slabljenje elektromagnetske, kapacitivne, induktivne sprege između elemenata i strujnih žica;

· Filtriranje signala u strujnim i uzemljenim strujnim krugovima i druge mjere vezane uz korištenje limitera, sklopova za razdvajanje, sustava za međusobnu kompenzaciju, prigušivača za slabljenje ili uništavanje PEMIN-a.

Shematski i projektantski načini zaštite informacija:

· Zaštita;

· Uzemljenje;

· Filtracija;

· Razmjena.

Filtri za različite namjene koriste se za potiskivanje ili prigušivanje signala kada se pojave ili šire, kao i za zaštitu sustava napajanja opreme za obradu informacija.

Operativne mjere usmjerena na izbor mjesta za ugradnju tehničke opreme, uzimajući u obzir osobitosti njihovih elektromagnetskih polja na način da se isključi njihov izlazak izvan kontroliranog područja. Za ove namjene moguće je izvesti izolaciju prostora u kojima se nalaze objekti s visokom razinom PEMI.

Organizacijske mjere zaštita informacija od curenja zbog elektromagnetskog zračenja:

1. Zabrana

1.1. Isključenje zračenja

1.2. Korištenje zaštićenih prostorija

2. Smanjena dostupnost

2.1. Proširenje kontroliranog područja

2.2. Smanjenje udaljenosti širenja:

Smanjenje snage

Smanjenje nadmorske visine

2.3. Korištenje prostorne orijentacije:

Odabir sigurnih mjesta

Sigurna orijentacija glavnog režnja uzorka

Korištenje visoko usmjerenih antena

Potiskivanje bočnih i stražnjih režnjeva DN

2.4. Izbor načina rada:

Kraće vrijeme rada

Korištenje poznatih načina rada

Korištenje metoda izračuna.

1.4. Zaštita informacija od curenja kroz materijalne kanale

Mjere zaštite za ovaj kanal ne trebaju posebne komentare.

Zaključno, treba napomenuti da je prilikom zaštite informacija od curenja za bilo koji od razmatranih, preporučljivo pridržavati se sljedećeg redoslijeda radnji:

1. Identifikacija mogućih kanala istjecanja.

2. Detekcija stvarnih kanala.

3. Procjena opasnosti od stvarnih kanala.

4. Lokalizacija opasnih kanala curenja informacija.

5. Sustavna kontrola dostupnosti kanala i kvalitete njihove zaštite.

2. Značajke softvera i matematički utjecaj u javnim mrežama

Programsko-matematički utjecaj - To je utjecaj na zaštićene informacije uz pomoć zlonamjernih programa.

Zlonamjeran program - program osmišljen za provedbu neovlaštenog pristupa informacijama i (ili) utjecaja na informacije ili resurse informacijskog sustava. Drugim riječima, određeni neovisni skup uputa naziva se zlonamjernim programom koji je sposoban izvesti sljedeće:

· Sakrijte svoju prisutnost na računalu;

· Imaju sposobnost samouništenja, prerušavanja u legalne programe i kopiranja u druga područja RAM-a ili vanjske memorije;

· Modificirati (uništiti, iskriviti) kod drugih programa;

Nastupite samostalno destruktivne funkcije- kopiranje, modifikacija, uništavanje, blokiranje, itd.

· Iskriviti, blokirati ili zamijeniti prikazano u vanjski kanal komunikacije ili na vanjski medij za pohranu.

Glavni putevi ulaska zlonamjernog softvera u IS-u, posebno na računalu, su umrežavanje i prijenosni medij informacije (flash diskovi, diskovi itd.). U ovom slučaju, uvođenje u sustav može biti nasumično.

Glavne vrste zlonamjernog softvera su:

• softverske oznake;
• softverski virusi;
• mrežni crvi;
• drugi zlonamjerni programi dizajnirani za izvođenje neovlaštenih napada.

DO programske oznake uključuje programe i fragmente programskog koda namijenjenog formiranju neprijavljenih sposobnosti legalnog softvera.

Nedeklarirane softverske mogućnosti- funkcionalnost softvera nije opisana u dokumentaciji. Softverska kartica često služi kao kanal za druge viruse i u pravilu se ne otkriva standardnim antivirusnim kontrolama.

Softverske oznake razlikuju se ovisno o načinu njihove implementacije u sustav:

• softver i hardver. Ovo su oznake integrirane u firmware računala ( BIOS, firmware periferne opreme);
• može se pokrenuti. To su kartice koje su integrirane u programe za podizanje sustava (boot loaders) koji se nalaze u boot sektorima;
• vozač. To su oznake integrirane u upravljačke programe (datoteke koje operativni sustav zahtijeva za upravljanje perifernim uređajima povezanim s računalom);
• primijenjena. To su oznake integrirane u aplikacijski softver (uređivači teksta, grafički urednik, razne komunalne usluge itd.);
• izvršni. To su oznake integrirane u izvršne programske module. Programski moduli najčešće su batch datoteke;
• oznake simulatora. To su oznake koje, koristeći slično sučelje, oponašaju programe koji zahtijevaju unos povjerljivih podataka;

Za identificiranje softverskih grešaka često se koristi kvalitativni pristup koji se sastoji u promatranju funkcioniranja sustava, i to:

• smanjenje performansi;
• mijenjanje sastava i duljine datoteka;
• djelomično ili potpuno blokiranje sustava i njegovih komponenti;
• simulacija fizičkih (hardverskih) kvarova računalnih objekata i periferije;
• prosljeđivanje poruka;
• zaobilaženje softvera i hardvera za kriptografsku transformaciju informacija;
• osiguravanje pristupa sustavu s neovlaštenih uređaja.

Postoje i dijagnostičke metode za otkrivanje oznaka. Tako, na primjer, antivirusni programi uspješno pronalaze oznake za pokretanje. Disk Doctor, koji je dio popularnog paketa uslužnih programa Norton Utilities, radi dobar posao u pokretanju statičke pogreške na diskovima. Najčešća softverska oznaka je trojanski konj.

trojanski konj zove:

• program koji, budući da je dio drugog programa s funkcijama poznatim korisniku, može potajno izvršiti neke dodatne radnje s ciljem da mu se nanese određena šteta;
• program s funkcijama poznatim njegovom korisniku, u kojem su napravljene promjene kako bi, osim ovih funkcija, mogao potajno obavljati i neke druge (destruktivne) radnje.

Glavne vrste trojanaca i njihove mogućnosti:

• Trojanac-Notifier- Obavijest o uspješnom napadu. Trojanci ovog tipa dizajnirani su da informiraju svog "vlasnika" o zaraženom računalu. U tom slučaju se na adresu "host" šalju podaci o računalu, na primjer IP adresa računala, broj otvorenog porta, adresa e-pošte itd.
• Trojanac-PSW- Krađa lozinki. Kradu povjerljive podatke s računala i prenose ih vlasniku putem e-pošte.
• Trojanski kliker- Internet klikeri - Obitelj trojanaca čija je glavna funkcija organiziranje neovlaštenog pristupa internetskim resursima (obično web stranicama). Metode za to su različite, kao što je postavljanje zlonamjerne stranice kao početne stranice u pregledniku.
• Trojanski DDoS – trojanski-DDoS pretvoriti zaraženo računalo u takozvani bot, koji se koristi za organiziranje napada kojima se uskraćuje pristup određenoj stranici. Nadalje, vlasnik stranice mora platiti novac kako bi zaustavio napad.
• Trojanski proxy- Trojanac proxy poslužitelji... Obitelj Trojanaca koji potajno provode anonimni pristup na razne internetske resurse. Obično se koristi za slanje neželjene pošte.
• Trojanac-špijun- Špijunski softver. Oni su u mogućnosti pratiti sve vaše radnje na zaraženom računalu i prenijeti podatke svom vlasniku. Ovi podaci mogu uključivati ​​lozinke, audio i video datoteke s mikrofona i video kamere spojene na računalo.
• Stražnja vrata- Mogućnost daljinskog upravljanja zaraženim računalom. Njegove mogućnosti su beskrajne, cijelo vaše računalo bit će na raspolaganju vlasniku programa. Moći će slati poruke u vaše ime, upoznati se sa svim informacijama na računalu ili jednostavno uništiti sustav i podatke bez vašeg znanja.
• Trojanac-dropper- Instalatori drugih zlonamjernih programa. Vrlo sličan trojanski-Downloader, ali instaliraju zlonamjerne programe koje sami sadrže.
• Rootkit- mogu se sakriti u sustavu zamjenjujući razne objekte sa sobom. Takvi su trojanci vrlo neugodni jer ih mogu zamijeniti izvor operativni sustav koji to ne čini antivirusni sposobnost otkrivanja prisutnosti virusa.

Apsolutno sve softverske oznake, bez obzira na način njihovog uvođenja u računalni sustav, vrijeme boravka u RAM-u i njihovu namjenu, imaju jednu zajedničku stvar: obvezno izvršenje operacije upisivanja u operativnu ili vanjsku memoriju sustav. U nedostatku ove operacije, oznaka programa ne može imati nikakav negativan učinak.

Virus (računalo, softver) - izvršni programski kod ili interpretirani skup instrukcija sa svojstvima neovlaštene distribucije i samoreprodukcije. Stvoreni duplikati računalnog virusa ne podudaraju se uvijek s izvornikom, ali zadržavaju sposobnost daljeg širenja i reprodukcije. Na ovaj način, potrebnu imovinu softverski virus je sposobnost stvaranja kopija samog sebe i implementirati ih u računalne mreže i/ili datoteke, područja računalnog sustava i druge izvršne objekte. Istodobno, duplikati zadržavaju mogućnost daljnje distribucije.

Životni ciklus virusa sastoji se od sljedećih faza:

• prodiranje računala
• aktivacija virusa
• tražiti objekte koji će biti zaraženi
• priprema virusnih kopija
• injekcija virusne kopije

Klasifikacija virusa i mrežni crvi prikazano je na slici 1.

Sl. 1. Klasifikacija virusa i mrežnih crva

Virusni kod za pokretanje omogućuje vam da preuzmete kontrolu nad računalom u fazi inicijalizacije, čak i prije nego što se sam sustav pokrene. Virusi za pokretanje upisuju se ili u sektor za podizanje sustava, ili u sektor koji sadrži pokretač tvrdog diska, ili promijenite pokazivač na aktivni sektor za pokretanje. Princip rada virusa za podizanje sustava temelji se na algoritmima pokretanja OS-a kada se računalo uključi ili ponovno pokrene: nakon potrebnih testova instalirane opreme (memorija, diskovi itd.), program za pokretanje sustava čita prvi fizički sektor disk za pokretanje i prenosi kontrolu na A:, C: ili CD-ROM, ovisno o parametrima postavljenim u Postavljanje BIOS-a.

U slučaju diskete ili CD-diska, upravljanje se daje boot-sektoru diska, koji analizira tablicu parametara diska (VRB - Blok parametara BIOS-a), izračunava adrese datoteka OS sustava, čita ih u memoriju i pokreće ih za izvršenje. Sustavne datoteke su obično MSDOS.SYS i IO.SYS, ili IBMDOS.COM i IBMBIO.COM, ili druge ovisno o verziji DOS-a i/ili Windowsa ili drugog instaliranog OS-a. Ako na disku za pokretanje nema datoteka operacijskog sustava, program koji se nalazi u sektoru za pokretanje diska prikazuje poruku o pogrešci i nudi zamjenu diska za pokretanje.

U slučaju tvrdog diska, program koji se nalazi u MBR-u tvrdog diska dobiva kontrolu. Analizira tablicu particija diska, izračunava adresu aktivnog sektora za pokretanje (obično je ovaj sektor boot sektor C :) pogona, učitava ga u memoriju i prenosi kontrolu na njega. Nakon što je dobio kontrolu, aktivni sektor za pokretanje tvrdog diska izvodi iste radnje kao sektor za pokretanje diskete.

Prilikom zaraze diskova, virusi za podizanje sustava zamjenjuju svoj kod za bilo koji program koji dobiva kontrolu pri pokretanju sustava. Dakle, princip infekcije je isti u svim gore opisanim metodama: virus "prisiljava" sustav da ga pročita u memoriju kada se ponovno pokrene i daje kontrolu ne izvornom kodu pokretača, već kodu virusa.

Primjer: Zlonamjerni softver Virus.Boot.Snow.a upisuje svoj kod u MBR tvrdog diska ili u sektore za pokretanje disketa. U ovom slučaju, izvorni sektori za pokretanje su šifrirani virusom. Nakon stjecanja kontrole, virus ostaje u memoriji računala (rezidenciji) i presreće prekide. Ponekad se virus manifestira kao vizualni efekt - snijeg počinje padati na zaslon računala.

Datotečni virusi - virusi koji izravno inficiraju datoteke. Datotečni virusi se mogu podijeliti u tri skupine ovisno o okruženju u kojem se virus širi:

1. Virusi datoteka - rade izravno s resursima operacijskog sustava. Primjer: jedan od naj poznati virusi dobio naziv "Černobil". Zbog svoje male veličine (1 Kb), virus je zarazio PE datoteke na način da se njihova veličina nije promijenila. Kako bi postigao ovaj učinak, virus traži u datotekama "prazne" odjeljke koji se pojavljuju zbog poravnanja početka svakog odjeljka datoteke s više bajt vrijednosti. Nakon stjecanja kontrole, virus presreće IFS API, nadzire pozive funkciji pristupa datoteci i inficira izvršne datoteke. Dana 26. travnja pokreće se destruktivna funkcija virusa, koja se sastoji od brisanja Flash BIOS-a i početnih sektori tvrde diskovi. Rezultat je nemogućnost da se računalo uopće pokrene (u slučaju uspješnog pokušaja brisanja Flash BIOS-a) ili gubitak podataka uopće tvrdi diskovi Računalo.

2. Makro virusi - virusi napisani na makro jezicima ugrađeni u neke sustave za obradu podataka (uređivači teksta, proračunske tablice itd.). Najčešći su virusi za programe Microsoft Office... Za svoju reprodukciju takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć prenose se (svoje kopije) s jednog dokumenta na drugi.

Da bi makro virus postojao u određenom uređivaču, ugrađeni makro jezik mora imati sljedeće mogućnosti:

• vezanje programa na makro jeziku na određenu datoteku;
• kopiranje makro programa iz jedne datoteke u drugu;
• stjecanje kontrole nad makro programom bez intervencije korisnika (automatski ili standardni makroi).

Ovi uvjeti su zadovoljeni aplikativni programi Microsoft Word, Excel i Microsoft Access. Sadrže makro jezike: Word Basic, Visual basic za aplikacije. Moderni makro jezici imaju gore navedene značajke kako bi pružili priliku automatska obrada podaci.

Većina makro virusa je aktivna ne samo u trenutku otvaranja (zatvaranja) datoteke, već sve dok je aktivan sam uređivač. Sadrže sve svoje funkcije kao standardne Word / Excel / Office makronaredbe. Postoje, međutim, virusi koji koriste tehnike da sakriju svoj kod i pohranjuju svoj kôd kao ne-makroe. Poznate su tri takve tehnike, a sve koriste sposobnost makronaredbi za stvaranje, uređivanje i izvršavanje drugih makronaredbi. U pravilu, takvi virusi imaju malu makronaredbu za učitavanje virusa koja poziva ugrađeni uređivač makronaredbi, kreira novu makronaredbu, ispunjava je glavnim virusnim kodom, izvršava ga i zatim ga, u pravilu, uništava (kako bi sakrio tragove). prisutnosti virusa). Glavni kod takvih virusa prisutan je ili u samoj makronaredbi virusa u obliku tekstualnih nizova (ponekad šifriranih) ili je pohranjen u promjenjivom području dokumenta.

3. Mrežni virusi – virusi koji za svoju distribuciju koriste protokole i mogućnosti lokalnih i globalnih mreža. Glavno svojstvo mrežnog virusa je sposobnost da se sam replicira preko mreže. Međutim, postoje mrežni virusi sposobne se pokrenuti na udaljenoj stanici ili poslužitelju.

Glavna destruktivna djelovanja virusa i crva su:

napadi uskraćivanja usluge

gubitak podataka

krađu informacija.

Uz sve navedeno, postoje virusi kombiniranog tipa koji kombiniraju svojstva različiti tipovi virusi, na primjer, datoteka i podizanje sustava. Kao primjer, uzmimo virus za pokretanje datoteka popularan proteklih godina pod nazivom "OneHalf". Jednom u računalnom okruženju operativnog sustava "MS-DOS", ovaj virusni kod zarazio je glavni zapis za pokretanje. Tijekom inicijalizacije računala, šifriralo je sektore glavnog diska, počevši od onih na kraju. Kada virus uđe u memoriju, počinje kontrolirati svaki pristup sektorima enkripcije i može ih dešifrirati na način da svi programi rade u normalna operacija... Ako se virus "OneHalf" jednostavno izbriše iz memorije i sektora za pokretanje, tada će informacije zapisane u sektoru šifriranja diska postati nedostupne. Kada virus šifrira dio diska, na to upozorava sljedećim natpisom: "Dis is one half, Press any key to continue...". Nakon ovih radnji, on čeka da pritisnete bilo koju tipku i nastavite s radom. "OneHalf" virus koristi različite mehanizme maskiranja. Smatra se nevidljivi virus i obavlja polimorfne algoritamske funkcije. Vrlo je problematično otkriti i ukloniti virusni kod "OneHalf", jer ga ne mogu vidjeti svi antivirusni programi.

U fazi pripreme kopija virusa, moderni virusi često koriste metode maskiranja kopiranja kako bi antivirusnim alatima otežali njihovo pronalaženje:

• Šifriranje – virus se sastoji od dva funkcionalna dijela: samog virusa i enkriptora. Svaka kopija virusa sastoji se od enkriptora, slučajnog ključa i samog virusa, šifriranog ovim ključem.
• Metamorfizam je stvaranje raznih kopija virusa zamjenom blokova naredbi s ekvivalentnim, preuređivanjem dijelova koda na mjestima, umetanjem "smeća" naredbi između smislenih dijelova koda koji ne rade praktički ništa.

Kombinacija ove dvije tehnologije rezultira sljedećim vrstama virusa:

• Šifrirani virus je virus koji koristi jednostavnu enkripciju slučajnog ključa i nepromjenjivi enkriptor. Takvi se virusi lako otkrivaju po šifriranom potpisu.
• Metamorfni virus je virus koji primjenjuje metamorfizam na cijelo svoje tijelo kako bi stvorio nove kopije.
• Polimorfni virus je virus koji koristi metamorfni enkriptor za šifriranje glavnog tijela virusa slučajnim ključem. U tom slučaju, dio informacija korištenih za dobivanje novih kopija enkriptora također se može šifrirati. Na primjer, virus može implementirati nekoliko algoritama šifriranja i, prilikom stvaranja nove kopije, promijeniti ne samo naredbe enkriptora, već i sam algoritam.

Crv - vrsta zlonamjernih programa koji se šire mrežnim kanalima koji su sposobni samostalno nadvladati sustave zaštite automatiziranih i računalnih mreža, kao i stvarati i dalje distribuirati njihove kopije koje se ne podudaraju uvijek s izvornikom, a čine i inače štetni učinci. Najpoznatiji crv je Morissov crv, čiji su mehanizmi detaljno opisani u literaturi. Crv se pojavio 1988. godine i na kratko je vrijeme paralizirao mnoga računala na internetu. Ovaj crv je "klasik" zlonamjernih programa, a mehanizme napada koje je autor razvio kada je napisan još uvijek koriste kibernetički kriminalci. Moriss je bio samodistribuirajući program koji je distribuirao svoje kopije preko mreže, stječući privilegirana prava pristupa hostovima na mreži iskorištavanjem ranjivosti u operativnom sustavu. Jedna od ranjivosti koju je crv iskoristio bila je ranjiva verzija programa sendmail (funkcija "debug" programa sendmail, koja je postavila način otklanjanja pogrešaka za trenutnu sesiju), a druga je bio program fingerd (koji je sadržavao prelijevanje međuspremnika pogreška). Crv je također iskoristio ranjivosti u naredbama rexec i rsh, kao i pogrešno odabrane korisničke lozinke za uništavanje sustava.

U fazi prodora u sustav crvi podijeljeni su uglavnom prema vrstama korištenih protokola:

• Mrežni crvi - crvi koji koriste internet i lokalne mreže za širenje. Obično se ova vrsta crva širi kroz pogrešno rukovanje osnovnim TCP/IP paketima od strane nekih aplikacija.
• Poštanski crvi - crvi koji se šire u obliku e-mail poruka. U pravilu, pismo sadrži tijelo koda ili vezu na zaraženi resurs. Kada pokrenete priloženu datoteku, crv se aktivira; kada kliknete na vezu, preuzmete i zatim otvorite datoteku, crv također počinje obavljati svoju zlonamjernu radnju. Nakon toga nastavlja distribuirati svoje kopije, tražeći druge e-mail adrese i šaljući im zaražene poruke. Crvi koriste sljedeće metode za slanje poruka: izravnu vezu sa SMTP poslužiteljem pomoću biblioteke pošte ugrađene u kod crva; korištenje usluga MS Outlook; koristeći Windows MAPI funkcije. Za pronalaženje adresa žrtava najčešće se koristi MS Outlook adresar, ali se može koristiti i baza adresa WAB. Crv može skenirati datoteke pohranjene na diskovima i iz njih izdvajati retke vezane za adrese e-pošte. Crvi mogu slati svoje kopije na sve adrese koje se nalaze u poštanskom sandučiću (neki imaju mogućnost odgovaranja na poštu u poštanskom sandučiću). Postoje slučajevi koji mogu kombinirati metode.
• IRC crvi - crvi koji se šire putem IRC (Internet Relay Chat) kanala. Crvi ove klase koriste dvije vrste širenja: slanje URL veze na datoteku tijela korisniku; slanje datoteke korisniku (u tom slučaju korisnik mora potvrditi primitak).
• P2P crvi - crvi koji se šire pomoću peer-to-peer mreža za dijeljenje datoteka. Mehanizam rada većine ovih crva je prilično jednostavan: da bi se ubacio u P2P mrežu, crv se samo treba kopirati u direktorij za razmjenu datoteka, koji se obično nalazi na lokalnom računalu. P2P mreža preuzima ostatak posla za njegovu distribuciju - pri traženju datoteka na mreži obavijestit će udaljene korisnike o ovu datoteku i pružit će sve potrebne usluge za preuzimanje sa zaraženog računala. Postoje sofisticiraniji P2P crvi koji oponašaju mrežni protokol određenog sustava za dijeljenje datoteka i pozitivno reagiraju na upite za pretraživanje(crv nudi svoju kopiju za preuzimanje).
• IM crvi - crvi koji za širenje koriste sustave za razmjenu trenutnih poruka (IM, Instant Messenger - ICQ, MSN Messenger, AIM, itd.). Koriste se poznati računalni crvi ove vrste jedini način distribucija - slanje poruka otkrivenim kontaktima (s popisa kontakata) koje sadrže URL do datoteke koja se nalazi na web poslužitelju. Ova tehnika gotovo u potpunosti ponavlja sličnu metodu distribucije koju koriste mail crvi.

Trenutno, mobilni crvi i crvi koji šire svoje kopije preko mrežnih dionica postaju sve popularniji. Potonji koriste funkcije operacijskog sustava, posebno razvrstavaju dostupne mrežne mape, povezuju se s računalima u globalna mreža i pokušajte otvoriti njihove pogone puni pristup... Razlikuju se od standardnih mrežnih crva po tome što korisnik treba otvoriti datoteku s kopijom crva kako bi je aktivirao.

Po svojim destruktivnim sposobnostima razlikuju se virusi i mrežni crvi:

• bezopasni, odnosno ni na koji način ne utječu na rad računala (osim na smanjenje slobodna memorija na disku kao rezultat njegove distribucije);
• bezopasan, čiji je utjecaj ograničen na smanjenje slobodne memorije na disku i grafičke, zvučne i druge efekte;
• opasni virusi koji mogu dovesti do ozbiljnih kvarova na vašem računalu;
• vrlo opasno - u algoritam njihovog rada namjerno su ugrađeni postupci koji mogu uzrokovati gubitak programa, uništiti podatke, izbrisati informacije potrebne za rad računala snimljene u područja sustava memorija.

Ali čak i da u algoritmu virusa nisu pronađene grane koje oštećuju sustav, ovaj virus se ne može s potpunom sigurnošću nazvati bezopasnim, jer njegov prodor u računalo može uzrokovati nepredvidive, a ponekad i katastrofalne posljedice. Uostalom, virus, kao i svaki program, ima pogreške, zbog kojih se mogu oštetiti i datoteke i sektori diska ( na primjer, virus DenZuk, na prvi pogled prilično bezopasan, radi sasvim korektno s 360K disketama, ali može uništiti informacije na većim disketama). Do sada smo nailazili na viruse koji određuju COM ili EXE ne po internom formatu datoteke, već po ekstenziji. Naravno, ako se format i ekstenzija imena ne podudaraju, datoteka postaje neoperabilna nakon infekcije. Također je moguće da se rezidentni virus i sustav "zaglave" pri korištenju novijih verzija DOS-a, pri radu u Windowsima ili s drugim moćnim softverskim sustavima.

Ako analizirate sve gore navedeno, možete vidjeti sličnosti između mrežnih crva i računalnih virusa, posebice potpunu podudarnost životnog ciklusa i samoreplikacije. Glavna razlika između crva i softverskih virusa je njihova sposobnost širenja mrežom bez ljudske intervencije. Mrežni crvi se ponekad nazivaju podklasom računalnih virusa.

U svezi s brzim razvojem interneta i informacijskih tehnologija, broj zlonamjernih programa i mogućnosti za njihovo uvođenje u informacijski sustav stalno raste. Najveća opasnost predstavljaju nove oblike virusa i mrežnih crva, čiji potpisi nisu poznati dobavljačima informacijske sigurnosti. Danas su sve popularnije takve metode borbe kao što su analiza abnormalnog ponašanja sustava i umjetni imunološki sustavi, koji omogućuju otkrivanje novih oblika virusa.

Prema analitičkom izvješću o virusnoj aktivnosti tvrtke Panda Security za 3. kvartal 2011. godine, omjer kreiranih zlonamjernih programa izgledao je kao što je prikazano na slici 2.

Riža. 2. Omjer zlonamjernog softvera stvorenog u trećem tromjesečju 2011

Odnosno, pokazalo se da su tri od četiri nova uzorka softvera trojanci, a zatim virusi. Ako je raniji zlonamjerni softver nastajao najčešće u eksperimentalne ili "šaljive" svrhe i prije je bio čin cyber vandalizma, sada je moćno oružje za stjecanje materijalne ili druge koristi, stječući prije karakter kibernetičkog kriminala.

U svakom slučaju, zlonamjerni softver može prouzročiti značajnu štetu, ostvarujući prijetnje integritetu, povjerljivosti i dostupnosti informacija. Najpopularnija metoda rješavanja njih je instaliranje antivirusne zaštite.

3. Zaštita informacija u lokalnim mrežama

3.1. Antivirus

Danas se antivirusni programi mogu sa sigurnošću nazvati najpopularnijim alatom za zaštitu informacija. Antivirusni softver - programi dizajnirani za borbu protiv zlonamjernog softvera (virusa).

Antivirusni programi koriste dvije metode za otkrivanje virusa - potpisni i heuristički.

Metoda potpisa temelji se na usporedbi sumnjive datoteke s potpisima poznatih virusa. Potpis je određeni uzorak poznatog virusa, odnosno skup karakteristika koje omogućuju prepoznavanje određenog virusa ili prisutnosti virusa u datoteci. Svaki antivirusni program pohranjuje antivirusnu bazu podataka koja sadrži virusne potpise. Naravno, svaki dan se pojavljuju novi virusi, pa je antivirusnu bazu potrebno redovito ažurirati. Inače, antivirusni program neće pronaći nove viruse. Prije su svi antivirusni programi za otkrivanje virusa koristili samo metodu temeljenu na potpisu zbog jednostavnosti implementacije i točnosti otkrivanja poznatih virusa. Ipak, ova metoda ima očite nedostatke - ako je virus nov i njegov potpis nije poznat, antivirus će ga "preskočiti". Tako moderni antivirusni programi također koriste heurističke metode.

Heuristička metoda je zbirka približnih metoda za otkrivanje virusa na temelju određenih pretpostavki. U pravilu se razlikuju sljedeće heurističke metode:

• tražiti viruse slične poznatim(ova metoda se često naziva heurističkom). U principu, metoda je slična metodi potpisa, samo u u ovom slučaju fleksibilniji je. Metoda potpisa zahtijeva točno podudaranje, ovdje se datoteka provjerava ima li modifikacija poznatih potpisa, odnosno ne nužno potpuno podudaranje. Pomaže u otkrivanju hibrida virusa i modifikacija već poznatih virusa;
• abnormalna metoda- metoda se temelji na praćenju anomalnih događaja u sustavu i identificiranju glavnog zlonamjerne radnje: brisanja, pisanje u određena područja registra, slanje pisama itd. Jasno je da izvođenje svake takve radnje zasebno nije razlog da se program smatra zlonamjernim. Ali ako program uzastopno izvrši nekoliko takvih radnji, na primjer, upiše se u ključ za automatsko pokretanje registra sustava, presreće podatke unesene s tipkovnice i, s određenom učestalošću, pošalje te podatke na neku internetsku adresu, tada je ovaj program na najmanje sumnjivo. Analizatori ponašanja ne koriste dodatne objekte slične bazama podataka virusa za rad i, kao rezultat toga, ne mogu razlikovati poznate i nepoznate viruse - sve sumnjivi programi a priori se smatraju nepoznatim virusima. Slično, ponašanje alata koji implementiraju tehnologije analize ponašanja ne uključuje liječenje;
• analiza kontrolnog zbroja Je način praćenja promjena u objektima računalnog sustava. Na temelju analize prirode promjena - istovremenosti, masovnosti, identičnih promjena duljine datoteka - možemo zaključiti da je sustav zaražen. Analizatori kontrolnog zbroja, kao i analizatori anomalnog ponašanja, ne koriste se u radu antivirusne baze podataka te donijeti odluku o prisutnosti virusa u sustavu isključivo metodom stručne prosudbe. Velika popularnost analize kontrolnog zbroja povezana je s sjećanjima na operacijske sustave s jednim zadatkom, kada je broj virusa bio relativno mali, datoteka malo i rijetko su se mijenjale. Danas su revizori promjena izgubili svoje pozicije i rijetko se koriste u antivirusima. Češće se slične tehnologije koriste u skenerima pri pristupu - tijekom prve provjere kontrolni zbroj se uklanja iz datoteke i stavlja u predmemoriju, prije sljedeće provjere iste datoteke, zbroj se ponovno uklanja, uspoređuje i ako postoji nema promjena, datoteka se smatra nezaraženom.

Heurističke metode također imaju prednosti i nedostatke. Prednosti uključuju mogućnost otkrivanja novih virusa. Odnosno, ako je virus nov i njegov potpis nije poznat, antivirus s detekcijom potpisa će ga "preskočiti" tijekom skeniranja, a heurističkom detekcijom vjerojatno će ga pronaći. Glavni nedostatak heurističke metode proizlazi iz zadnje rečenice - njezina vjerojatnost. Odnosno, takav antivirusni program može pronaći virus, ne uspjeti ga pronaći ili zamijeniti legitimnu datoteku s virusom.

U modernim antivirusnim kompleksima proizvođači pokušavaju kombinirati metodu potpisa i heurističke metode. Obećavajući smjer u ovom području je razvoj antivirusnih programa s umjetni imunološki sustav - analog ljudskog imunološkog sustava, koji može otkriti "strana" tijela.

Antivirus mora sadržavati sljedeće module:

• modul za ažuriranje - isporučuje ažurirane baze podataka potpisa antivirusnom korisniku. Modul za ažuriranje kontaktira poslužitelje proizvođača i preuzima ažurirane antivirusne baze podataka.
• modul planiranja - namijenjen za planiranje radnji koje antivirus mora redovito obavljati. Na primjer, skenirajte svoje računalo na viruse i ažurirajte antivirusne baze podataka. Korisnik može odabrati raspored za te radnje.
• upravljački modul - dizajniran za administratore velikih mreža . Ovi moduli sadrže sučelje koje vam omogućuje daljinsko konfiguriranje antivirusnih programa na mrežnim čvorovima, kao i načine ograničavanja pristupa lokalni korisnici na antivirusne postavke.
• karantenski modul - dizajniran za izolaciju sumnjivih datoteka na posebnom mjestu - karanteni. Nije uvijek moguće izliječiti ili izbrisati sumnjivu datoteku, posebno s obzirom na lažne pozitivne rezultate heurističke metode. U tim je slučajevima datoteka u karanteni i odatle ne može poduzeti nikakve radnje.

U velikim organizacijama s opsežnim interna mreža i pristup internetu radi zaštite informacija, koriste se antivirusni kompleksi.

Antivirusni motor - implementacija mehanizma skeniranja potpisa na temelju dostupnih virusnih potpisa i heurističke analize.

Antivirusni kompleks - skup antivirusnih programa koji koriste istu antivirusnu jezgru ili kernele, dizajniran za rješavanje praktični problemi kako bi se osigurala antivirusna sigurnost računalnih sustava.

Razlikuju se sljedeće vrste antivirusnih kompleksa, ovisno o tome gdje se koriste:

• antivirusni kompleks za zaštitu radnih stanica
• antivirusni kompleks za zaštitu datotečnih poslužitelja
• antivirusni kompleks za zaštitu sustava pošte
• antivirusni kompleks za zaštitu pristupnika

Antivirusni kompleks za zaštitu radnih stanica obično se sastoji od sljedećih komponenti:

• antivirusni skener pri pristupu - provjerava datoteke kojima je pristupio OS;
• lokalni antivirusni skener pošte - za skeniranje dolaznih i odlaznih e-poruka;
• antivirusni skener na zahtjev - skenira navedena područja diska ili datoteke na zahtjev korisnika ili u skladu s rasporedom postavljenim u modulu za zakazivanje.

Antivirusni kompleks za zaštitu sustava pošte dizajniran je za zaštitu poslužitelja pošte i uključuje:

• filter protoka pošte - provjerava dolazni i odlazni promet poslužitelja na kojem je kompleks instaliran na viruse;
• skener dijeljene mape(baze podataka) - provjerava baze podataka i zajedničke mape korisnika na viruse u stvarnom vremenu (u trenutku kada se tim mapama ili bazama pristupa). Može se integrirati s filterom protoka pošte, ovisno o implementaciji tehnologije za presretanje poruka/poziva u mape i njihovo slanje na skeniranje.
• Antivirusni skener na zahtjev - provjerava viruse u poštanskim sandučićima korisnika i javnim mapama ako se koriste na poslužitelju e-pošte. Skeniranje se provodi na zahtjev antivirusnog sigurnosnog administratora ili u pozadini.

Antivirusni kompleks za zaštitu poslužitelja datoteka - dizajniran za zaštitu poslužitelja na kojem je instaliran. Obično se sastoji od dvije različite komponente:

• antivirusni skener na pristup - sličan on-access skeneru za radnu stanicu;
• antivirusni skener na zahtjev - sličan skeneru na zahtjev za radnu stanicu.

Antivirusni kompleks za zaštitu pristupnika, kao što naziv govori, dizajniran je za skeniranje podataka koji se prenose kroz gateway u potrazi za virusima. Budući da se podaci gotovo neprestano prenose kroz gateway, na njega su instalirane komponente koje rade u kontinuiranom načinu rada:

• HTTP stream skener - provjerava podatke koji se prenose preko HTTP protokola;
• FTP stream skener - provjerava podatke prenesene putem FTP protokola;
• SMTP stream skener - provjerava podatke koji se prenose kroz gateway putem SMTP-a.

Obvezna komponenta svih razmatranih kompleksa je modul za ažuriranje antivirusnih baza podataka.

Antivirusni alati danas su široko dostupni na tržištu. Međutim, oni imaju različite mogućnosti, cijene i zahtjeve za resursima. Kako biste odabrali pravi antivirusni softver, morate pratiti statistiku testiranja antivirusnih alata objavljenu na mreži. Jedan od prvih koji je testirao antivirusne proizvode bio je britanski časopis Virus Bulletin još 1998. godine. Jezgra testa je zbirka zlonamjernih programa WildList, koja se po želji može pronaći na internetu. Da bi uspješno prošao test, antivirusni program mora identificirati sve viruse s ovog popisa i pokazati nultu razinu lažno pozitivnih na zbirci čistih datoteka dnevnika. Testiranje se provodi na različitim operativnim sustavima (Windows, Linux itd.), a proizvodi koji uspješno prođu test dobivaju VB100% nagradu. Za popis najnovijih skeniranih programa posjetite http://www.virusbtn.com/vb100/archive/summary.

Uz Virus Bulletin, testiranje provode nezavisni laboratoriji kao što su AV-Comparatives i AV-Tests. Samo njihova "kolekcija" virusa može sadržavati do milijun zlonamjernih programa. Na internetu možete pronaći izvješća o tim studijama, međutim, na Engleski jezik... Štoviše, na web stranici Virus Bulletin možete međusobno usporediti dobavljače antivirusnih programa (dobavljače) na sljedeća stranica http://www.virusbtn.com/vb100/archive/compare?nocache.

3.2. Vatrozid

Vatrozid (ME) je softver ili softverski i hardverski alat koji ograničava protok informacija na granici zaštićenog sustava.

Vatrozid propušta sav promet kroz sebe, donoseći odluku o svakom paketu koji prolazi: hoće li mu dopustiti prolazak ili ne. Da bi vatrozid mogao izvesti ovu operaciju, mora definirati skup pravila filtriranja.

Primjena ME omogućuje:

• poboljšati sigurnost objekata unutar sustava ignoriranjem neovlaštenih zahtjeva iz vanjskog okruženja;
• kontrolirati tokove informacija u vanjsko okruženje;
• osigurati registraciju procesa razmjene informacija.

U središtu odluke DOE-a hoće li proći promet ili ne je filtriranje prema određenim pravilima. Postoje dvije metode za podešavanje ME:

• isprva "zanijekati sve", a zatim definirati što treba dopustiti;
• u početku "dopustiti sve", a zatim definirati što bi trebalo zabraniti.

Očito je prva opcija sigurnija, jer sve zabranjuje i, za razliku od druge, ne može propuštati neželjeni promet.

Ovisno o principima funkcioniranja, razlikuje se nekoliko klasa ME. Glavna značajka klasifikacije je razina ISO/OSI modela na kojoj ME djeluje.

1. Paketni filteri

Najjednostavnija klasa vatrozida koji rade na mrežnim i transportnim slojevima ISO / OSI modela. Filtriranje paketa obično se vrši prema sljedećim kriterijima:

• Izvorna IP adresa;
• IP adresa primatelja;
• izvorni port;
• luka primatelja;
• specifični parametri zaglavlja mrežnih paketa.

Filtriranje se provodi usporedbom navedenih parametara zaglavlja mrežnih paketa s bazom pravila filtriranja.

2. Pristupnici na razini sesije

Ovi vatrozidi rade na sloju sesije ISO / OSI modela. Za razliku od filtara paketa, oni mogu provjeriti valjanost sesije analizom parametara protokola sloja sesije. Pozitivne kvalitete paketnih filtara uključuju sljedeće:

• niska cijena;
• mogućnost fleksibilnog konfiguriranja pravila filtriranja;
• malo kašnjenje u prolazu paketa.

Nedostaci uključuju sljedeće:

• Pravila filtriranja paketa teško je opisati i zahtijevaju vrlo dobro poznavanje TCP i UDP tehnologija. Često takvi ME zahtijevaju mnogo sati ručno podešavanje visoko kvalificirani stručnjaci;
• ako vatrozid za filtriranje paketa pokvari, sva računala iza njega postaju potpuno nezaštićena ili nedostupna;
• nema provjere autentičnosti na razini korisnika.

3. Pristupnici aplikacije

Vatrozidi ovog razreda dopustiti filtriranje određene vrste naredbe ili skupovi podataka u protokolima na razini aplikacije. Za to se koriste proxy usluge - programi posebne namjene koji kontroliraju promet kroz vatrozid za određene protokole visoke razine (http, ftp, telnet itd.). Ako se bez korištenja proxy usluga uspostavi mrežna veza između interakcijskih strana A i B izravno, tada se u slučaju korištenja proxy usluge pojavljuje posrednik - proxy poslužitelj koji samostalno komunicira s drugim sudionikom u razmjeni informacija. Ova shema omogućuje vam kontrolu dopuštenosti korištenja pojedinačnih naredbi protokola visoke razine, kao i filtriranje podataka koje proxy poslužitelj prima izvana; u tom slučaju proxy poslužitelj na temelju utvrđenih politika može donijeti odluku o mogućnosti ili nemogućnosti prijenosa ovih podataka klijentu A.

4. Stručni vatrozidi

Najsofisticiraniji vatrozidi koji kombiniraju elemente sve tri gore navedene kategorije. Umjesto proxy usluga, takvi zasloni koriste algoritme za prepoznavanje i obradu podataka na razini aplikacije.

Osim funkcije filtriranja, ME omogućuje sakrivanje stvarnih adresa čvorova u zaštićenoj mreži pomoću prijevoda mrežnih adresa – NAT (Network Address Translation). Kada paket stigne u ME, zamjenjuje se prava adresa pošiljatelja virtualnom. Nakon primitka odgovora, ME vrši suprotan postupak.

Većina trenutno korištenih vatrozida je u kategoriji stručnjaka. Najpoznatiji i najrašireniji ME su CISCO PIX i CheckPoint FireWall-1.

3.3. Sustav za otkrivanje upada

Detekcija upada je proces identificiranja neovlaštenog pristupa (ili pokušaja neovlaštenog pristupa) resursima informacijskog sustava. Sustav za otkrivanje upada (IDS) općenito je hardverski i softverski sustav koji rješava ovaj zadatak... Sustavi za otkrivanje upada (IDS) rade poput alarma zgrade. Struktura IDS-a prikazana je na slici 3.

Riža. 3. Strukturna shema IDS

IDS shema je prikazana na slici 4.

Kao što možete vidjeti na slici, funkcioniranje IDS sustava u mnogočemu je slično vatrozidima: senzori primaju mrežni promet, a kernel, uspoređujući primljeni promet sa zapisima postojeće baze podataka potpisa napada, pokušava identificirati tragove pokušaja neovlaštenog pristupa. Modul odgovora je izborna komponenta koja se može koristiti za brzo blokiranje prijetnje: na primjer, može se generirati pravilo vatrozida za blokiranje izvora napada.

Postoje dvije vrste IDS-a – čvorište (HIDS) i mrežno (NIDS). HIDS se nalazi na zasebnom čvoru i prati znakove napada na ovaj čvor.

Riža. 4. Shema rada IDS-a

Nodalni IDS su sustav senzora koji prate različite događaje u sustavu za abnormalnu aktivnost. Postoje sljedeće vrste senzora:

• analizatori dnevnika - najčešće se prate zapisi o sustavu i sigurnosnim zapisnicima;
• senzori značajki - usporedite značajke određenih događaja povezanih s dolaznim prometom ili zapisnicima;
• Analizatori sistemskih poziva - analiziraju pozive između aplikacija i operacijskog sustava kako bi vidjeli jesu li prikladni za napad. Ovi senzori su preventivne prirode, odnosno mogu spriječiti napad, za razliku od prethodna dva tipa;
• analizatori ponašanja aplikacija - analiziraju pozive između aplikacija i operacijskog sustava kako bi vidjeli smije li aplikacija nešto učiniti;
• Provjera integriteta datoteka - pratite promjene u datotekama pomoću kontrolnih zbrojeva ili EDS-a.

NIDS se nalazi na zasebnom sustavu i analizira sav mrežni promet na znakove napada. U podatke sustava ugrađena je baza podataka o znakovima napada za koje sustav analizira mrežni promet.

Svaka vrsta IDS-a ima svoje prednosti i nedostatke. IDS-ovi na razini mreže ne degradiraju cjelokupnu izvedbu sustava, ali IDS-ovi na razini hosta učinkovitiji su u otkrivanju napada i analizi aktivnosti povezanih s pojedinačnim hostom. U praksi je preporučljivo koristiti sustave koji kombiniraju oba opisana pristupa.

Treba napomenuti da je obećavajući smjer u razvoju IDS-a korištenje heurističkih metoda po analogiji s antivirusima - to su sustavi umjetne inteligencije, umjetni imunološki sustavi, analiza abnormalnog ponašanja itd.