Информационная безопасность и защита информации

        Управление доступом. В настоящее  время следует признать устаревшим (или по крайней мере не полностью  соответствующим действительности) положение о том, что разграничение  доступа направленно на защиту  от злоумышленных пользователей. Современные информационные  системы характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

        Средства управления доступом  позволяют специфицировать и  контролировать действия, которые  субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь идет о логическом (в отличие от физического) управлении доступом, который  реализуется программными средствами. Логическое управление доступом – это основной механизм многопрофильных систем, призванный обеспечить конфиденциальность и целостность объектов и до, некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

        Имеется совокупность субъектов и набор объектов. Задача логического управления доступом заключается в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций (зависящие, быть может, от некоторых дополнительных условий) и контролировать вполне установленного порядка.

      Отношение (субъекты, объекты) можно  представить в виде матрицы,  в строках которой перечислены  субъекты, в столбцах – объекты,  а в клетках, расположенных  на пересечении строк и столбцов, записаны дополнительные условия  (например, время и место действия) и разрешенные виды доступа.  Логическое управление доступом – одно из сложнейших в области информационной безопасности. Причина в то, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам  и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты. Например, в ОС Solaris имеются отображения со своими видами доступа.

      Протоколирование и аудит. Под  протоколированием понимается сбор  и накопление информации о  событиях, происходящих в современной  системе предприятия. У каждого  сервиса свой набор возможных  событий, но в любом случае  их можно подразделить на внешние  (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

      Аудит – это анализ накопленной  информации, проводимый оперативно, (почти) в реальном времени или периодически (например, раз в день).

       Реализация протоколирования и  аудита преследует  следующие  главные цели:

          ✓ обеспечение подотчетности пользователей и администраторов;

          ✓ обеспечение возможности реконструкции последовательности событий;

          ✓ обнаружение попыток нарушения информационной  безопасности;

          ✓ предоставление информации для выявления и анализа проблем. 

Криптография.  Одним из наиболее мощных средств  обеспечения конфиденциальности и  контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и, в то жнее время, последним (а подчас и единственным) защитным рубежом. Например,  для портативных компьютеров, которые физически защитить сейчас крайне трудно, только криптография позволяет обеспечить конфиденциальность информации даже в случае кражи.

  Экранирование.  Постановка задачи экранирования  состоит в следующем. Пусть имеется два вида информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет эти функции, контролируя все информационные потоки  между двумя множествами систем.

   В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (т.е. осуществляет перемещение данных).  В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их на «другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

  Помимо функций  разграничения доступа, экраны  осуществляют также протоколирование  информационного обмена.

  Обычно экран  не является симметричным, для  него определены понятия «внутри»  и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример  экрана – устройства защиты порта компьютера, контролирующее доступ к коммуникационному порту компьютера до т независимо от всех прочих системных защитных средств. 

           Компьютерные вирусы и защита  от них

Компьютерный  вирус – это специально  написанная, небольшая по размерам программа(т.е. некоторая совокупность  выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.

  По-видимому, самым ранним примером могут  служить первые прототипы будущих  вирусов программы-кролики. Не  причиняя разрушений, они тем  не менее были сконструированы  так, что многократно копируя  себя, захватили большую часть ресурсов системы, отнимая процессорное время у других задач. История их создания доподлинно известна. Возможно, они являлись следствием программной ошибки, которая приводила их к зацикливанию и наделяла программу репродуктивными свойствами. Первоначально кролики (rabbits) встречались только на локальных машинах, но с появлением сетей быстро «научились» распространяться по последним.

  Затем, в  конце шестидесятых годов была  обнаружена саморазмножающаяся  по сети APRnet программа, известная  сегодня как Creeper (вьюнок).

  Вьюнок проявлял  себя текстовым сообщением:

   «я вьюнок….поймай  меня, если сможешь»,

и экономно относился  к ресурсам пораженной машины, не причиняя ей ни какого вреда, разве что слегка беспокой владельца. Каким бы безвредным не казался Вьюнок ,но он впервые показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.

  С появлением Creeper родились и первые системы  защиты. Первым шагом в борьбе  против Вьюнка стал Жнец (Reaper), репродуцирующийся наподобие  Creeper, но уничтожающий все, чем заканчивалась борьба двух программ. Так или иначе, от подобного подхода к защите впоследствии отказались. Однако копии обеих программ еще долго бродили по сети.

  Свойства  вирусов. Своим названием компьютерные  вирусы обязаны определенному сходству с вирусами естественными:

          ✓ способности к саморазмножению;

          ✓ высокой скорости распространения;

          ✓ избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);

          ✓ способности «заражать» еще не зараженные системы;

          ✓ трудности борьбы с вирусами и т.д. 

В последнее  время к этим особенностям, характерным  для вирусов компьютерных и естественных, можно добавить ещё и постоянно  увеличивающуюся быстроту появления модификаций (мутаций) и новых поколений вирусов.

  Программа  , внутри которой находится вирус,  называется «зараженной». Когда  такая программа начинает работу, то сначала управление получает  вирус. Вирус находит и «заражает»  другие программы, а так же выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

  Классификация  вирусов. Один из авторитетнейших  «вирусологов» страны Евгений  Касперский предлагает условно  классифицировать вирусы по следующим  признакам:

          ✓ по среде обитания вируса;

          ✓ по способу заражения среды обитания;

          ✓ по деструктивным возможностям;

          ✓ по особенностям алгоритма вируса. 

Основными путями проникновения вирусов в компьютер  являются съемные диски (гибкие и  лазерные), а также компьютерные сети. Заражение жесткого  диска вирусами может произойти при загрузке программы с дискеты, содержащий вирус. Такое заражение может быть случайным, например если дискету не вынули из дисковода А:  и перезагрузили компьютер, при этом дискета должна быть и не системной. Заразить дискету гораздо проще. На неё вирус может попасть, если дискету вставили в дисковод зараженного компьютера и прочитали её оглавление. 

Как работает вирус

  Рассмотрим  схему функционирования простейшего  загрузочного вируса, заражающего дискеты. При включении компьютера управление передается программе начальной загрузке, которая хранится в постоянном запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

   Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:

  Всякая дискета  размечена на секторы и дорожки,  секторы и дорожки объединяются  в кластеры.

  Среди секторов  есть несколько служебных, используемых  операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует только один – так называемый сектор начальной загрузки.

  В секторе  начальной загрузки хранится  информация о дискете – количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а не большая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

  Тем самым,  нормальная схема начальной загрузки следующая:

   ПНЗ (ПЗУ)  – ПНЗ (диск) – система

 В  загрузочных  вирусах выделяют две части  – так называемую голову и  так называемый хвост. Хвост,  вообще говоря, может быть пустым.

  Пусть у  вас имеются чистая дискета  и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая среда – в нашем случае не защищённая от записи и ещё незараженная дискета, он приступает к  заражению. Заражая дискету, вирус производит следующие действия:

             ✓ выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);

             ✓ копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

             ✓ замещает программу начальной загрузки и загрузочном секторе (настоящем) своей головой;

             ✓ организует цепочку передачи управления согласно схеме: 

ПНЗ (ПЗУ) – вирус  – ПНЗ (диск) – система

  Таким образом,  голова вируса теперь первой  получает управление, вирус устанавливается  в память и передает управление  оригинальному загрузочному сектору.