Утечка информации каналы утечки информации реферат

Реферат- Современные угрозы и каналы утечки информации в компьютерных сетях

Работа добавлена на сайт samzan.net: 2016-06-09

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой – мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Современные угрозы и каналы утечки информации в компьютерных сетях

Введение. Информация, её жизненный цикл.

Информация является результатом отображения и обработки в человеческом сознании многообразия окружающего мира, представляет собой сведения об окружающих человека предметах, явлениях природы, деятельности других людей.

Когда используется термин данные, то речь идет об информации, предоставленной в формализованном виде, пригодном для автоматической обработки при возможном участии человека. Данные, которыми обменивается человек через машину с другим человеком или с машиной, является объектом защиты. Однако защите подлежат не всякие данные, которые имеют цену.

Под защитой информации в настоящее время понимается область науки и техники, которая включает совокупность средств, методов и способов человеческой деятельности, направленных на обеспечение защиты всех видов информации в организациях и предприятиях различных направлений деятельности и различных форм собственности.

Информация, которая подлежит защите, может быть представлена на любых носителях, может храниться, обрабатываться и передаваться различными способами и средствами.

Ценность информации является критерием при принятии любого решения о ее защите. Существуют различные подходы к определению ценности информации. Одна из известных классификаций видов информации учитывает различные градации ее важности. При этом выделяются следующие уровни важности информации:

жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;

важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

полезная информация – информация, которую трудно восстановить, однако, организация может эффективно функционировать и без нее;

персональная информация – информация, которая представляет ценность только для какого – нибудь одного человека;

несущественная информация – информация, которая больше не нужна организации.

Уровень важности может измениться на различных этапах ее жизненного цикла.

Начало жизненного цикла информации связано с ее получением (этап 1). Далее происходит оценка информации (этап 2), и в зависимости от результата оценки часть информации может уничтожаться (этап завершающий) или готовиться к хранению (этап 3) и затем храниться (этап 4) в соответствующем хранилище. Информация, необходимая пользователю в данный момент подлежит выборке (этап 5) и дальнейшей обработке (этап 6) в определенных целях. Информация, полученная в ходе формирования отчета (этап 8), проходит тот же цикл (этапы 2-7). На этапе 5 (выборке) данные могут вновь подвергаться оценке, и старые сведения подлежат уничтожению.

Основные этапы жизненного цикла информации можно наглядно изобразить с помощью схемы, представленной на рис. 1.

Время жизненного цикла информации определяется многими факторами, но, как правило, зависит от лица, которое является ее пользователем или владельцем.

1 ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ

Комплекс проблем, связанных с информационной безопасностью, включает в себя не только технические, программные и технологические аспекты защиты информации, но и вопросы защиты прав на нее. Таким образом, информация может рассматриваться как объект права собственности. С этой точки зрения можно выделить следующие особенности информационной собственности:

информация не является материальным объектом;

информация копируется с помощью материального носителя, т.е. является перемещаемой;

информация является отчуждаемой от собственника.

Право собственности на информацию включает правомочия собственника, составляющие содержание (элементы) права собственности, к которым относятся:

право распоряжения;

право владения;

право пользования.

В рассматриваемом случае информационной собственности закон должен регулировать отношения субъектов и объектов права собственности на информацию в целях защиты информационной собственности от разглашения, утечки и несанкционированной обработки.

Правовое обеспечение защиты информации включает:

правовые нормы, методы и средства защиты охраняемой информации в Российской Федерации;

правовые основы выявления и предупреждения утечки охраняемой информации;

правовое регулирование организации и проведения административного расследования к фактам нарушения порядка защиты информации.

Существует ряд документов, которые регламентируют информацию в качестве объекта права. В первую очередь здесь следует указать на первую часть гражданского кодекса Российской Федерации ( ст. 128, 18, 139, 209 ), принятого 21.04.94.

Среди законов Российской Федерации, относящихся к рассматриваемой проблеме, можно выделить Федеральный закон « Об информации, информатизации и защите информации» от 20.01.95, а также закон Российской Федерации « О государственной тайне». Эти вопросы нашли также частичное отражение в законе Российской Федерации от 2.11.90 «О банках и банковской деятельности».

Среди перечня документов, которые регламентируют вопросы защиты информации можно упомянуть также Постановление Правительства РСФСР №35 от 05.12091 « О передаче сведений, которые не могут составлять коммерческую тайну».

2 КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ

Интегральная защита это монолитная непроницаемая защита. Аналогом ее может служить монолитные забор по периметру зоны безопасности. В реальной же жизни обычно строятся мощные ворота на дорогах, объехать которые по бездорожью «нет проблем». Реальная система безопасности сегодняшнего дня больше напоминает изгородь на отдельных участках с сияющими в ней дырами.

Ярким примером подобной реальной системы безопасности может служить, например, организация с мощной системой контроля доступа, системой видионаблюдения, криптозащитой и т.п., но без блокирования каналов утечки, например за счет побочных излучений мониторов компьютеров. В этом случае все конкуренты, расположенные в радиусе до 1,5 км., имеют реальную возможность, использовать соответствующие технические средства, читать всю информацию с экрана дисплеев конкурентов, не покидая своих офисов. При интегральном подходе к созданию системы безопасности подобные казусы исключены.

Одним из основных требований интегральной защиты является системный подход, поэтому при выявлении технических каналов утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации (ТСОИ), соединительные линии, распределительные и коммунитационные устройства, системы электропитания, системы заземления и т.п.

Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы (ВТСС), такие, как технические средства открытой телефонной, факсимальной, громкоговорящей связи, системы охранной о пожарной сигнализации, радиофикации, электробытовые приборы и другое.

В качестве каналов утечки большой интерес представляют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещение, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

В зависимости от способа перехвата, от физической природы возникновения сигналов, а также среды их распространения технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрические.

2.1 Электромагнитные каналы

Для электромагнитных каналов характерными являются побочные излучения:

электромагнитные излучения технических средств обработки информации. Носителем информации является электрический ток. Сила тока, напряжение, частота или фаза которого изменяется по закону информационного сигнала;

электромагнитные излучения на частотах работы высокочастотных генераторов технических средств обработки информации, вспомогательных средств обработки информации. В результате внешних воздействий информационного сигнала на элементах генераторов наводятся электрические сигналы, которые могут вызвать непреднамеренную модуляцию собственных высокочастотных колебаний генераторов и излучение в окружающее пространство.

электромагнитные излучения на частотах самовозбуждения усилителей низкой частоты ТСПИ. Самовозбуждение возможно за счет случайных преобразований отрицательных обратных связей в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов, причем сигнал на частотах самовозбуждения, как правило, оказывается промодулированным информационным сигналом.

2.2 Электрические каналы

Возможными причинами возникновения электрических каналов утечки могут быть:

наводки электромагнитных технических средств обработки информации. Возникают при излучении элемента технических средств обработки информации информационных сигналов, а также при наличии гальванической связи, где есть соединительные линии технических средств обработки информации и посторонних проводников или линии вспомогательных средств обработки информации;

просачивание электромагнитных сигналов в цепи электропитания. Возможно при наличии магнитной связи между выходными трансформатором усилителя и трансформатором электропитания, а также за счет неравномерной нагрузки на выпрямитель, что приводит к изменению потребляемого тока по закону изменения информационного сигнала;

просачивание информационных сигналов в цепи заземления. Образуется за счет гальванической связи с землей различных проводников, выходящих за пределы контролируемой зоны, в том числе нулевого провода сети электропитания, экранов, металлических труб систем отопления и водоснабжения, металлической арматуры и т.п.;

съем информации с использованием закладных устройств. Представляют собой минипередатчики, устанавливаемые в технических средствах обработки информации, излучение которых модулируется информационным сигналов и принимаются за пределами контролируемой зоны.

2.3 Параметрические каналы

Параметрические каналы утечки информации формируются путем «высокочастотного облучения» технических средств обработки информации, при взаимодействии электромагнитного поля с элементами технических средств обработки информации происходит переизлучение электромагнитного поля, промодулированного информационным сигналом.

Анализ возможных каналов утечки и несанкционированного доступа, показывает, что существенную их часть составляют технические каналы утечки акустической информации, носителем которой являются акустические сигналы. В зависимости от среды распространения акустических колебаний, способов их перехвата и физической природы возникновения информационных сигналов технические каналы утечки акустической информации можно разделить на воздушные, вибрационные, электроакустические, оптико-электронные и параметрические.

2.3.1 Воздушные технические каналы

В воздушных технических каналах утечки информации средой распространения акустических сигналов является воздух, и для их перехвата используются миниатюрные высокочувствительные и направленные микрофоны, которые соединяются с диктофонами или специальными минипередатчиками. Подобные автономные устройства, объединяющие микрофоны и передатчики, обычно называют закладными устройствами или акустическими закладками. Перехваченная этими устройствами акустическая информация может передаваться по радиоканалу, по сети переменного тока, соединительным линиям, посторонним проводникам, трубам и т.п.

Особого внимания заслуживают закладные устройства, прием информации с которых можно осуществлять с обычного телефонного аппарата. Для этого их устанавливают либо непосредственно в корпусе телефонного аппарата, либо подключают к телефонной линии в телефонной розетке. Подобные устройства, конструктивно объединяющие микрофон и специальный блок коммутации, часто называют «телефонным ухом». При подаче в линию кодированного сигнала или при дозвоне к контролируемому телефону по специальной схеме блок коммутации подключает микрофон к телефонной линии и осуществляет передачу акустической (обычно речевой) информации по линии практически на неограниченное расстояние.

2.3.2 Вибрационные каналы

В отличие от рассмотренных выше каналов в вибрационных, или структурных, каналах утечки информации средой распространения акустических сигналов является не воздух, конструкции зданий (стены, потолки, полы), трубы водо- и теплоснабжения, канализации и другие твердые тела. В этом случае доля перехвата акустических сигналов используются контактные, электронные (с усилителем) и радиостетоскопы (при передаче по радиоканалу).

2.3.3 Электроакустические каналы

Электроакустические каналы утечки информации обычно образуются за счет электроакустических преобразований акустических сигналов в электрические по двум основным направлениям: путем «высокочастотного навязывания» и путем перехвата через дополнительные технические средства и системы. Технический канал утечки информации путем высокочастотного навязывания образуется путем несанкционированного контактного введения токов высокой частоты от ВЧ – генераторов в линии, имеющие функциональные связи с элементами вспомогательных технических средств и систем, на которых происходит модуляция ВЧ – сигнала информационным. Наиболее часто подобный канал утечки информации используют для перехвата разговоров, ведущихся в помещении, через телефонный аппарат, имеющий выход за пределы контролируемой зоны. С другой стороны, вспомогательные технические средства и системы могут сами содержать электроакустические преобразования. К таким вспомогательным техническим средствам и системам относятся некоторые датчики пожарной сигнализации, громкоговорители ретрансляции сети и т.д. Используемый в них эффект обычно называют микрофонным эффектом.

Перехват акустических колебаний в этом случае осуществляется исключительно просто. Например, подключая рассмотренные средства к соединительным линиям телефонных аппаратов с электромеханическими звонками, можно при положенной трубке прослушивать разговоры, ведущиеся в помещениях, где установлены эти телефоны.

2.3.4 Оптико-электронный канал

При облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей, таких, как стекла окон, зеркал, картин и т.п., создается оптико-электронный, или лазерный, канал утечки акустической информации. Отраженное лазерное излучение модулируется по амплитуде и фазе, и принимаются приемником оптического излучения, при демодуляции которого выделяется речевая информация. Для перехвата речевой информации по данному каналу используются локационные системы, работающие, как правило, в ближнем инфракрасном диапазоне волн и известных как «лазерные микрофоны». Дальность перехвата составляет несколько сотен метров.

2.3.5 Параметрический канал

Параметрический канал утечки информации образуется в результате воздействия акустического поля на элементы высокочастотных генераторов и изменения взаимного расположения элементов схем, проводов, дросселей и т.п., что приводит к изменениям параметров сигнала, например модуляции его информационным сигналом. Промодуливанные высокочастотные колебания излучаются в окружающее пространство и могут быть перехвачены и детектированы соответствующими средствами. Параметрический канал утечки информации может быть создан и путем «высокочастотного облучения» помещения, где установлены полуактивные закладные устройства, имеющие элементы, параметры которых (добротность, частота и т.п.) изменяются по закону изменения акустического (речевого) сигнала.

Необходимо отметить, что акустический канал может быть источником утечки не только речевой информации. В литературе описаны случаи, когда с помощью статистической обработки акустической информации с принтера или клавиатуры удавалось перехватывать компьютерную текстовую информацию, в том числе осуществлять съем информации по системе централизованной вентиляции.

Особый интерес представляет перехват информации при ее передаче по каналам связи, Это вызвано тем, что в этом случае обеспечивается свободный несанкционированный доступ к передаваемым сигналам. Единственным гарантированным методом защиты информации в этом случае является криптографическая защита. В зависимости от вида каналов связи технические каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные.

Электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться естественным образом с использованием стандартных технических средств. Этот электромагнитный канал перехвата информации широко используются для прослушивания телефонных разговоров, ведущихся по радиотелефонам, сотовым телефонам или по радиорелейным и спутниковым линиям связи.

Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Этот канал наиболее часто используется для перехвата телефонных разговоров, при этом перехватываемая информация может быть записана на диктофон или передана по радиоканалу. Подобные устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики для ретрансляции перехваченной информации, обычно называются телефонными закладками.

Однако непосредственное электрическое подключение аппаратуры перехвата является компрометирующем признаком. Поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения к каналам связи. Современные индукционные датчики способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель.

В последнее время стало уделяться большое внимание утечки видовой информации, получаемой техническими средствами в виде изображений объектов или копий документов путем наблюдения за объектом, съемки объекта и съемки (копирования) документов. В зависимости от условий наблюдения обычно используются соответствующие технические средства, например оптика.

Для документирования результатов наблюдения проводится съемка объектов, для чего используются фотографические и телевизионные средства, соответствующие условиям съемки. Для снятия копий документов используются электронные и специальные (закамуфлированные) фотоаппараты, Для дистанционного съема видовой информации используют видеозакладки.

Наиболее динамично развиваются в последнее время методы съема компьютерной информации. Основные возможности несанкционированного доступа обеспечиваются специальным математическим обеспечение, включающим в себя такие составляющие, как компьютерные вирусы, «логические бомбы», «троянские кони», программные закладки.

Рассмотренные выше методы получения информации основаны на использовании внешних каналов утечки. Однако необходимо остановиться и на внутренних каналах утечки информации. Внутренние каналы утечки связаны, как правило, с администрацией и обслуживающим персоналом, с качеством организации режима работы. Из них в первую очередь можно отметить такие каналы утечки, как хищение носителей информации, съем информации с ленты принтера и плохо стертых дискет, использование производственных и технологических отходов, визуальный съем информации с дисплея и принтера, несанкционированного копирования и т.п.

3 ПРОГРАММНЫЕ ЗАКЛАДКИ

Программные закладки класс программ с потенциально опасными последствиями, обязательно выполняющие следующие функции:

разрушают код программы в памяти;

сохраняют фрагменты информации из оперативной памяти в некоторой области внешней памяти прямого доступа;

искажает произвольным образом, блокирует или подменяет выводимые во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ.

Программная реализация несанкционированного доступа к информации на основе использование программных закладок. Под несанкционированным доступом (НСД) к ресурсам компьютерной системы понимаются по использованию, изменению и уничтожению используемых данных указанной системы, производимые субъектом, не имеющие права на такие действия. Если компьютерная система содержит механизмы защиты от несанкционированного доступа, то несанкционированные действия могут быть вызваны:

отключением или видоизменением защитных механизмов нелегальным пользователям;

входом в систему под именем и с полномочиями реального пользователя.

В первом случае злоумышленник должен видоизменить программу, защитные механизмы в системе (например, отключить программу запросов пользователей), во втором – каким-либо образом выяснить или подделать идентификатор реального пользователя (например, подсмотреть или вычислить пароль, вводимый с клавиатуры).

В обоих случаях несанкционированный доступ можно представить моделью опосредованного доступа, когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему программой или несколькими программами.

Особый интерес представляют уязвимые места компьютерных систем, используемые для внедрения программных закладок. Основные известные способы внедрения программных закладок приведены в таблице 1.

Таблица 1 Способы внедрения программных закладок

Способы внедрения Характеристика

Внесение программных дефектов вирусного типа Внедрение возможно на всех участках жизненного цикла программного обеспечения:

эскизного и технического проектирования;

рабочего проектирования;

внедрения;

эксплуатации, включая сопровождение и модернизацию.

Несанкционированный доступ к ресурсам компьютерной системы Несанкционированный доступ к ресурсам компьютерной системы – действия по использованию, изменению и уничтожению используемых модулей и массивов данных, производимые субъектом, не имеющим права на такие действия

Несанкционированное вмешательство в процесс обмена сообщениями между узлами связи локально вычислительных сетей. Осуществляется путем передачи следующих сообщений:

разрушающих;

искажающих;

имитирующих;

хаотических.

Под уязвимостью компьютерной системы понимается некоторая слабость системы безопасности, которая может послужить причиной нанесения компьютерной системе ущерба. Обычно слабые (уязвимые) места в компьютерной системе называются дырами, люками, брешами.

Люк механизм внутри операционной системы (программное обеспечение), позволяющий программе злоумышленника получить привилегированную функцию. Умышленный люк может присутствовать в программе из-за того, что программист умышленно оставил его в программе, например:

для обеспечения тестирования или выполнения оставшейся части отладки;

в интересах облегчения окончательной сборки конечного программного продукта;

с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.

В найденной бреши программа «разрывается, и туда дополнительно вставляют одну или несколько команд. Этот люк «открывается» по мере необходимости, а встроенные команды автоматически осуществляют свою задачу. Люк это возможность получить управление системой в обход защиты.

Изо всех известных угроз наиболее часто встречаются программные закладки типа «троянского коня» и «компьютерного червя».

«Троянский конь» программа, имеющая законный доступ к системе. Но выполняющая и скрытые функции. Закладки типа «троянский конь» проявляют себя в различных в определенных условиях (по времени, ключевым сообщениям) и могут разрушать (искажать) информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений.

В последние годы наиболее распространенным способом получения приватной информации стало использование программ – троянов – программ, выполняющих помимо заявленных некоторые дополнительные не афишируемых функции, направленные, например, на получение личной информации пользователя. Конечный пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. После запуска программа прописывается в системном реестре для запуска при загрузке операционной системы и начинает собирать информацию. Ее целью могут быть файлы учетной записи пользователя, содержащие его пароль, скрипты удаленного доступа к Интернет или пароли электронной почты.

Возможна также ее работа в режиме подслушивания – в этом случае, например, все вводимые с клавиатуры символы записываются в отдельный файл, кроме того, «прослушиваться» может и передаваемая по сети информация. Далее вся собранная информация отправляется атакующему для дальнейшего анализа на предмет содержания ценной информации, такой как пароли или личная пользовательская информация.

Возможен также и самый простой способ: при работе пользователя на компьютере программа выводит на экран системное окно с предложением ввести имя пользователя и пароль, маскируясь под работу операционной системы. В результате пользователь «добровольно» сообщает злоумышленнику свой пароль, даже не подозревая о происшедшем. А если этим пользователем окажется ответственный сотрудник, то перед атакующим откроются огромные возможности.

«Программный червь» программа, маскирующаяся под системные средства поиска свободных вычислительных ресурсов в сети. Закладки типа компьютерного червя нацелены на проникновение в системы разграниченного доступа пользователей к ресурсам сети, к наущению работы всей сети в целом и системы разграничения доступа в частности.

Для того чтобы закладка смогла выполнить какие – либо функции по отношению к прикладной программе, она должна, получить управление на себя, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:

закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки; следовательно, она должна быть загружена раньше или одновременно с этой программой;

закладка должна активизироваться по некоторому общему как для закладки, так и доя программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть, передано на программу – закладку.

К способам задействования программных закладок можно отнести:

1. запуск программы;

2. прерывания;

3. определенное сочетание входных данных;

4. определенное сочетание условий применения системы.

По времени пребывания программной закладки в оперативной памяти можно выделить следующие типы закладок:

резидентного вида – находятся постоянно с некоторого момента до окончания сеанса работы персонального компьютера (включения питание или перезагрузке). Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно;

нерезидентного вида – начинают работу по аналогичному событию, но заканчивают ее самостоятельно по истечении некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.

Помимо классификации программных закладок по времени пребывания в оперативной памяти их можно классифицировать еще по методу их внедрения и по типам вредоносного воздействия. Представленная на рисунке 2 классификация выполнена достаточно наглядно и дополнительного пояснения не требует.

Таким образом, программные закладки в настоящее время являются наиболее мощным и эффективным инструментом в реализации компьютерных угроз, защита от которых должна быть динамичной и постоянно совершенствования. Одним из наиболее эффективных способов борьбы с сетевыми угрозами, в том числе с программными закладками, является совершенствования методов и средств контроля доступа к сети.

4 ВИРУСЫ

Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.

Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.

В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно – всегда найдется класс программ с данными признаками, не являющихся при этом вирусом.

При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы – это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.

Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно – вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.

Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широкоизвестные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы являет «бомба с часовым механизмом», запускаемая в моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по информационно – вычислительным сетям самими программистами, в частности посредством общедоступных банков данных и программ.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие – либо другие действия, после чего отдает управление вирусоносителю.

«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно – вычислительных сетей. Вирусы, использующие для размножения каналы информационно – вычислительных сетей, принято называть сетевыми.

Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты.

Вирус может попасть на локальный компьютер пользователя следующими способами:

напрямую через дискету, компакт – диск, удаленный почтовый ящик – классический способ;

через корпоративную систему электронной почты;

через корпоративный канал доступа в систему Internet;

с корпоративного сервера.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление. В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.

Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост – это часть вируса,, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называются несегментированными, тогда как вирусы, содержащие голову и хвост – сегментированными. В таблице 2 даны характеристики компьютерных вирусов.

Таблица 2 Характеристики компьютерных вирусов

Класс вируса Виды вируса Характер воздействия

Не повреждающие файловую структуру Размножающиеся в ОЗУ

Раздражающие оператора

Сетевые. Имитация неисправности процессора, памяти, НМД, НГМД, принтера, портов, дисплея, клавиатуры

Формирование на терминале текстовых и графических сообщений. Синтез речи, формирование мелодии и звуковых спецэффектов

Переключение режимов настройки клавиатуры, дисплея, принтера, портов.

Повреждающие файловую структуру Повреждающие пользовательские программы и данные

Разрушающие системную информацию (в том числе криптовирусы) Разрушение исходных текстов программ, библиотек компьютеров, искажений без данных, текстовых документов, графических изображений и электронных таблиц.

Разрушение логической системы диска, искажение структуры заполнения носителя, формирование носителей, повреждение файлов операционной системы.

Действующие на аппаратуру оператора Выводящие из строя аппаратуру

Действующие на оператора Выжигание люминофора, повреждение микросхем, магнитных дисков, принтера.

Воздействие на психику оператора и т.п.

Современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры. В этом направлении самым свежим примером может служить вирус Win95. CIH, он разрушает память BIOS (Basic InputOutput System), определяющий саму рабочею логику компьютера. При этом наносимые повреждения достаточно легко исправляются, профилактика деструктивной функции довольна, проста – достаточно в программе Setup установить запрет на обновление BIOS.

4.1 Файловые вирусы

Файловые вирусы – это вирусы, которые при размножении используют систему, какой – либо операционной системы. Внедрение файлового вируса возможно во все исполняемые файлы всех популярных операционных систем – DOS, Windows, OS2, Macintosh, UNIX и т.д.

По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви, заражающие объектные модули (OBJ), библиотеки компиляров (LIB) и исходные тексты программ.

4.1.1 Файловый нерезидентный вирус

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

4.1.2 Файловый резидентный вирус

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.

Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.

В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.

4.1.3Overwriting-вирусы

Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.

4.1.4 Parasitic-вирусы

Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.

4.1.5 Companion-вирусы

Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.

4.1.6 Файловые черви

Файловые черви (worms) являются разновидностью компаньон – вирусов, однако не связывают свое присутствие с каким – либо выполняемым файлом. При размножении они всего копируют свой код в какие – либо каталоги дисков в надежде, что эти новые копии будут когда – либо запущены пользователем.

4.1.7 Link-вирусы

Link-вирусы используют особенно организации файловой системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.

4.1.8 OBJ, LIB и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB- файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ – или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB – файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB

файлы, на втором этапе (линковка) получается работоспособный вирус.

4.2 Макровирусы

Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.

Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.

4.3 Скрипт-вирусы

Скрипт-вирусы – это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.

Помимо описанных классов существует большое количество сочетаний: например файлово – загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

4.4 Резидентные вирусы

Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.

4.4.1 Бутовые вирусы

Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут – сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированным могут быть как загружаемые, так и не загружаемые дискеты.

Голова бутового вируса всегда находится в бут – секторе (единственном для гибких дисков и одном из двух – для жестких), а хвост – в любой другой области носителя.

Хвост бутового вируса всегда содержит копию оригинального бут сектора. Механизм инфицирования, реализуемый бутовыми вирусами таков. При загрузке MS DOS с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он моделирует вектор прерываний таким образом, чтобы прерывания по обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний бутовые вирусы могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово – бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут секторы. Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.

4.5 Стелс-вирусы

Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например, временно лечат зараженные файлы.

4.6 Полиморфик – вирусы

Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вируса не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик – вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик – вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов – от загрузочных и файловых DOS – вирусов до Windows – вирусов и даже макровирусов.

Как видно из рисунка 3, современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры.

4.7 Хронология событий. История компьютерных вирусов от древности до наших дней.

Конец 1960 – начало 1970-х

На мейнфреймах этого времени периодически появлялись программы, которые получили название «кролик» (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего «кролики» не передавались от системы к системе и являлись сугубо местными явлениями – ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией «компьютерного вируса», произошел на системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам – делал практически то же самое, что тысячи современных компьютерных вирусов.

Первая половина 1970-х годов

Под операционную систему Tenex создан вирус «The Creeper», использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа «The Reeper» – первая известная антивирусная программа. Начало 1980-хКомпьютеры становятся все более и более популярными. Появляется все больше и больше программ, авторами которых являются не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа – BBS. Результатом этого является появление большого числа разнообразных «троянских коней» – программ, которые при их запуске наносят системе какой-либо вред.

1981 год

Эпидемия загрузочного вируса «Elk Cloner» на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне – переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.

1986 год

Пандемия первого IBM-PC вируса «Brain». Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого «успеха» являлась скорее всего неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.

Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi, оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, они являлись владельцами компании по продаже программных продуктов и решили выяснить уровень пиратского копирования в их стране. К сожалению, их эксперимент вышел за границы Пакистана.

Интересно, что вирус «Brain» являлся также и первым стелс – вирусом – при попытке чтения зараженного сектора он «подставлял» его незараженный оригинал.

В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный «WirDem» демонстрировал эту возможность. Этот вирус был проаннонсирован в декабре 1986 на форуме компьютерного «андеграунда» – хакеров, специализировавшихся в то время на взломе VAX/VMS-систем ( Chaos Computer Club in Hamburg ).

1987 год

Появление вируса «Vlekka», копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу «Computer Viruses: A High Tech Desease» (русский аналог – «Пишем вирус и антивирус» г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла как это происходит и служила таким образом толчком к написению сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.

В том же году независимо друг от друга появляется еще несколько вирусов для IBM-PC. Это знаменитые в прошлом «Leklgk», заражающий только COMMAND.COM, «Surlu 1» (другое название – «April1st»), заражающий COM – файлы, «Surlu 2» , заражающий (впервые) EXE-файлы, и «Surlu 3» заражающий как COM-, так и EXE-файлы. Появляются также несколько загрузочных вирусов («Yale»в США, «Cascade» в Новой Зеландии и «PingPong» в Италии) и первый самошифрующийся файловый вирус «Cascade».

Не остались в стороне и не – IBM – компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.

В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса «Cristmas», написанного на языке REXX и распространявшего себя в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем – в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть – она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.

1988 год

В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом «Serusalem»- в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии – сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов – университета в Иерусалиме.

Вместе с несколькими другими вирусами («cascad», «sloked», «vienna») вирус «Jerusalem» распространился по тысячам компьютеров, оставаясь незамеченным – антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру и человек – легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект – Norton AntiVirus.

Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких «злых шуток» (современный термин – «virus hoax») принадлежит некому Mike RoChenle (псевдоним похож на «Microchannel»), который разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользователи отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные «hoax»-ы появляются и сейчас. Наиболее известны на сегодняшний день – GoodTimes и RoldFree.

Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название – Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь «Cristmas Tree», неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.

Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например, подбор паролей пользователей. Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале КомпьютерПресс, 1991, N 8, 9.

Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь Hi.Com выводил на экран изображение елочки и извещал пользователей, что им следует «stop computing and have a good time at home!!!».

Появляются новые антивирусные программы, например, Dr.Solomon’s AntiVirus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.

1989 год

Появляются новые вирусы – «FuManchu» и целые семейства – «Vacsina» и «Yankee». Первый имел крайне опасное проявление – с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.

Сентябрь 1989: на рынок выходит еще одна антивирусная программа – IBM AntiVirus.

Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя – «WANK Worm».

Декабрь 1989: инцидент с «троянским конем» «Aids». Было разослано 20.000 его копий на дискетах, помеченных как «AIDS Information Diskette Version 2.0». После 90 загрузок системы «троянец» шифровал имена всех файлов на диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только один читаемый файл – счет на 189 долларов, который следовало послать по адресу PO Box 7, Panama. Автор «троянца» был пойман и приговорен к тюремному заключению.

Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России – все те же вирусы «Cascade», «Jerusalem» и «Vienna» заполонили компьютеры российских пользователей. К счастью, российские программисты довольно быстро разобрались с принципами их работы и практически сразу появилось несколько отечественных противоядий-антивирусов.

Мое первое знакомство с вирусом (это был вирус «Cascade») произошло в октябре 1989 года – вирус оказался обнаруженным на моем рабочем компьютере. Именно это и послужило толчком для моей профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус «Vacsina») был закрыт при помощи первой версии моего антивируса -V (который несколькими годами позже был переименован в AVP – AntiViral Toolkit Pro). К концу 1989 года на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии «Cascade», несколько вирусов «Vacsina» и «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong».

1990 год

Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик – вирусов «Chameleon» (другое название – «V2P1», «V2P2» и «V2P6»). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми «масками» – кусками вирусного кода. После появления вирусов «Chameleon» разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.

Вторым событием являлось появление болгарского «завода по производству вирусов»: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или «512», «Number-of-Beast»), новые модификации вируса «Eddie» и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появилась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.

В июле 1990 произошел инцидент с компьютерным журналом PC Today (Великобритания). Он содержал флоппи-диск, зараженный вирусом «DiskKiller». Было продано более 50.000 копий журнала.

Во второй половине 1990-го появились два стелс – монстра – «Frodo» и «Whale». Оба вируса использовали крайне сложные стелс – алгоритмы, а девятикилобайтный «Whale» к тому же применял несколько уровней шифровки и анти-отладочных приемов.

Появились и первые известные мне отечественные вирусы: «Peterburg», «Voronesh» и ростовский «LoveChild».

1991 год

Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы – Norton AntiVirus и Central Point AntiVirus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.

В апреле разразилась настоящая эпидемия файлово – загрузочного полиморфик – вируса «Tequila», а в сентябре подобная же «история» произошла с вирусом «Amoeda». Россию эти события практически не затронули.

Лето 1991: эпидемия вируса «Dir ll», использовавшего принципиально новые способы заражения файлов (link-вирус).

В целом, год 1991 был достаточно спокойным – этакое затишье перед бурей, разразившейся в 1992-м.

1992 год

Вирусы для не – IBM-PC и не – MS-DOS практически забыты: «дыры» в глобальных сетях закрыть, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:

Начало 1992: первый полиморфик – генератор VtE, на базе которого через некоторое время появляется сразу несколько полиморфик – вирусов. MtE явился также прообразом нескольких последующих полиморфик – генераторов.

Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего около 10.000 машин.

Июль 1992: появление первых конструкторов вирусов VCL и PS-MPS, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.

1993 год

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик – генераторов и конструкторов, помимо новых электронных изданий врусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:

«PMBS», работающий в защищенном режиме процессора Intel 80386.

«Strange» (или «Hmm») – сольное выступление на тему «стелс-вирус», однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.

«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон – вирусов;

«Emmie», «Metallica», «Bomber», «Urugyay» и «Cruncher» – использование принципиально новых приемов «спрятывания» своего кода в зараженных файлах.

Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.

1994 год

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер – диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится – их придется просто уничтожить.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса – «SMEG Pathogen» и «SMEG Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало сообщение о якобы существующем вирусе «GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. На какого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом «Good Times», вирус этот получил название «GT – Spoof».

Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.

Появляются несколько новых достаточно необычных вирусов:

Январь 1994: «Shifter» – первый вирус, заражающий объектные модули OBJ-файлы «Phantom1» – эпидемия первого полиморфик-вируса в Москве.

Апрель 1994: «SrcVir» – семейство вирусов, заражающих исходные тексты программ (C и Pascal).

Июнь 1994: «OneHalf» – начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.

Сентябрь 1994: «Зараза» – эпидемия файлово – загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.

В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени – Central Point. Он был приобретен фирмой Симантек, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными разработками – Peter Norton Computing, Certus International и Fifth Generation Systems.

1995 год

Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа «NightFall», «Nostradamys», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» – сообщения о зараженных компьютерах были получены практически со всего мира.

Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.

Весна 1995: аннонсирован альянс двух антивирусных компаний – ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры пользователей MS – Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.

1996 год

Январь 1996: два достаточно заметных события – появился первый вирус для Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса «Zhengxi» в Санкт-Петербурге.

Март 1996: первая эпидемия вируса для Windows 3.x. Его имя – «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, DOS- и Macro-вирусы.

Июнь 1996: «OS2.AEP» – первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».

Июль 1996: «Laroux» – первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux» основывается на наличии в файлах так называемых макросов – программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS – Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.

Декабрь 1996: «Win95.Punch» – первый «резидентный» вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.

В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс – и полиморфик – механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития – на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.

1997 год

Февраль 1997: «Linux.Bliss» – первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну «биологическую» нишу.

Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.

Март 1997: «ShareFun» – макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS – Mail.

Апрель 1997: «Homer» – первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).

Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.

Ноябрь 1997: Вирус “Esperanto”. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).

Декабрь 1997: появилась новая форма вируса – черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.

Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория Касперского», зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании – антивирусный сканер AntiViral Toolkit Pro (AVP) – стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддержки.

В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.

Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов – в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» – «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor’s Left Town». Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.

Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.

1998 год

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами «CIH» и «Marburg».

Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко – говорящие страны.

Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel – «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.

Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» – первые полиморфные Windows32-вирусы, обнаруженные к тому же “в живом виде”. Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.

Март 1998: “AccessiV” – первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.

Март 1998: Макро-вирус «Cross» – первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.

Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.

Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной – сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет – конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов – они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.

Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») – утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.

Также в августе появился первый вирус, заражающий выполняемые модули Java – «Java.StangeBrew». Данный вирус не представлял какой – либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.

Ноябрь 1998: «VBScript.Rabbit» – интернетэкспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распространяющегося по электронной почте.

Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее – McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

4.8 Вирусописание как психологический феномен

Говорят, что компьютерные вирусы – это первый удачный эксперимент по созданию искусственной жизни с неудачным выбором формы ее жизнедеятельности.

Специфика этой формы жизни состоит в том, что вирусы выступают в роли арены борьбы одной части человечества с другой (программистов – вирусописателей и создателей антивирусов), причем именно эта борьба приводит к эволюции данной формы жизни. Аналогом с обычными формами вирусов и бактерий предостаточно. Ученые придумывают противоядия для борьбы с тем или иным штаммом, а микроорганизмы, в свою очередь, приспосабливаются, эволюционируют, становясь в определенном смысле более совершенными. Примерно то же происходит и с компьютерными вредоносными программами.

Вероятно, многие задумывались над вопросом, какие же качества человеческой психики приводят к такому парадоксальному феномену, как вирусописание? С точки зрения формальной логики это явление объяснить довольно сложно. Вирусописатели не получают за свой труд денег, преследуются по закон, сами страдают от вирусных атак и тем не менее продолжают свою деятельность. Более того, на «содержании» вирусописателей находятся десятки компаний, которые успешно продают антивирусные программы, имеют и признание и деньги. И тем не менее в стан программистов, занятых созданием антивирусов, не перебегают все те, кто профессионально занимается созданием вирусов, а ведь они подчас обладают очень высокой квалификацией.

Весьма точное объяснение данного парадокса заключается в гениальном высказывании, которое принадлежит перу Ларошфуко: « самая чистая форма радости – это злорадство». Действительно, какая «прибыль» от того, что у соседа «повис» компьютер? Никакой. А если это произошло с тысячей компьютеров?

Желание разрушить великое творение рук человеческих и тем самым как бы возвыситься над его создателем известно со времен Герострата. Видимо, перспектива вывода из строя такого чуда разума, как компьютерная система, и дает современным геростратам надежду на то, что они войдут в историю.Выбор не случаен.

Вирусописателей можно разделить на три категории: первые пишут вирусы и пытаются их внедрить в компьютерные системы собственными силами.

Вторая категория – это те, кто создает конструкторы для написания вирусов. Сами по себе авторы подобных разработок не запускают вредоносных программ, однако рассчитывают на то, что сделают это чужими руками.

Третья категория – исследователи – вообще не стремятся к распространению вирусов, ими движут чисто научные вопросы, например «какие существуют принципиально новые методы внедрения вирусов в новые операционные системы» и т.п. Но, как говориться, то, что придумано светлыми головами, нередко попадает в нечистые руки.

Интересно отметить, что причины многих вирусных эпидемий кроются не только в действиях вирусописателей, но и в психологии вирусополучателей. Известно, что почтовые вирусы должны заставить получателя открыть приложение от неизвестного посланника, что в принципе не так просто сделать, особенно сейчас, когда всем отлично известно, насколько это опасно. И здесь авторы вирусов (тонкие психологи) используют слабые места человеческой натуры. Так, любопытство переопределило успех вируса, в котором все искали фото Курниковой, чувство одиночества и дефицит любви проложили путь вирусу «I love you», жадность заставляет читать незнакомые письма, если там написано, что вы должны оплатить счет за сервис, которым вы никогда не пользовались, и т.д.

Воистину, человек интересное создание, мотивация его поступков нетривиальна. Остается только удивляться его способности разрушать природу, которая обеспечивает его жизнь, и желанию разрушать компьютерные системы, от которых зависит его безопасность.

Однако на проблему можно посмотреть и с другой стороны. Результатом борьбы с вирусами является эволюция не только вирусов, но и систем безопасности. Вирусы находятся находят все новые и новые «дыры» в этих системах и тем самым становятся стимулом для их совершенствования.

5 АНТИВИРУСЫ

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.

Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.

5.1 Детекторы

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых – сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

5.2 Фаги

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

5.3 Вакцины

В отличие от детекторов и фагов, вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней.

Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.

В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программ, ее контрольная сумма и т.п.

5.4 Прививки

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицированные программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ.

Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».

5.5 Ревизоры

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняющему файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.

Если при этом обнаруживается, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.

Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле, в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует повторного запуска.

5.6 Монитор

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.

Антивирусы рассмотренных типов существенно повышают вирусозащитность отдельных ПЭВМ и информационно-вычислительных сетей в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов.

Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса.

Результативность применения ревизоров зависит от частоты их запуска, которая не может быть выше 1-2 раз в день в связи со значительными затратами времени на просмотр файлов.

Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые развивают у оператора «рефлекс подтверждения» и тем самым по существу минимизируют эффект от такого контроля.

Анализ современных антивирусных программ показывает, что в последнее время наметилось явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора – ревизора – доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц.

5.7 Классификация антивирусов по способу воздействия на вирусы

Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.

5.7.1 Чистый антивирус

Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории – on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию.

Например, в терминологии продуктов «Лаборатории Касперского» on access – продукт – это «Монитор», а on demand – продукт – это «Сканер».

On demand – продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка.

On access – продукт – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

5.7.2 Программа двойного назначения

Программа двойного назначения – это программы, используемые и в антивирусах и в ПО, которое не является антивирусом.

Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.

От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передача данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.

Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

На российском рынке в настоящее время присутствуют программные средства обнаружения и обезвреживания компьютерных вирусов, представлены в таблице 3.

Таблица 3 Современные антивирусные программные средства

Средство защиты Назначение Принцип действия

Детектор Обнаружение зараженных вирусом файлов Поиск участка кода, принадлежащего известному вирусу

Фильтр Перехват «подозрительных» обращений к операционной системе и сообщение о них пользователю Контроль действий, характерных для поведения вируса

Доктор (фаг) «Лечение» зараженных программы или дисков Уничтожение тела вируса

Ревизор Постоянная ревизия целостности файлов Запоминание сведений о состоянии программ и системных областей дисков, сравнение их состояния с исходным

Доктор – ревизор Обнаружение и «лечение» зараженных файлов Обнаружение изменений в файлах и дисках и возврат их в исходное состояние

Анализ современных антивирусных программ показывает, что в последнее время наметилась явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора- ревизора – доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц. Надежно защитить компьютер от вирусов может только сам пользователь. В первую очередь необходимо правильно организовать работу и избегать бесконтрольной переписи программ с других компьютеров. Далее, особу бдительность необходимо проявлять при работе с выходом в компьютерную сеть, где вероятность внедрения компьютерных вирусов резко возрастает. Учитывая то, что в основе большинства вредоносных программ присутствуют программные вирусы, последние всегда должны быть в поле зрения пользователя.

Далее рассмотрим наиболее популярные антивирусные программы представленные на российском рынке и их производителей.

5.8 Производители антивирусных программ

5.8.1 Российские производители антивирусных программ

5.8.1.1 «Лаборатория Касперского»

«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности. Как независимое юридическое лицо компания была образована в июне 1997 года. Разработка основного продукта «Лаборатории Касперского» – антивирусного комплекса «Антивирус Касперского» началась в 1989 году.

В России и странах бывшего СССР компанию представляют более 100 дилеров и дистрибьюторов. Свыше 30 российских производителей устанавливают продукты «Лаборатории Касперского» на компьютеры своей сборки.

Клиенты компании: Администрация Президента РФ; Федеральное агентство правительственной связи и информации при Президенте РФ; Конституционный суд РФ; Центральный банк РФ; Государственная налоговая полиция РФ; Российские представительства зарубежных банков и фирм Credit Swiss, Microsoft, Daimler Chrysler и многие другие.

AVP. Это российский программный пакет уже завоевал большую популярность в России. В нем присутствуют все мыслимые антивирусные модули, многочисленные настройки и варианты конфигураций. Программа хорошо зарекомендовала себя на многих предприятиях, однако даже ориентированный на индивидуального пользователя вариант явно предполагает достаточно высокую квалификацию владельца компьютера. Иначе говоря, не все пользователи смогут оценить некоторые особенности программного пакета:

Огромное количество кнопок, окошек и настроек может поставить в тупик, а несколько запутанные системные сообщения способны сбить с толку неопытного пользователя;

У автора имели место проблемы с установкой пакета в операционную систему Windows 2000 SP – 2, подобные случаи наблюдались и с операционной системой Windows NT;

В программе отсутствует собственный деинсталятор (есть только стандартный Windows), что затрудняет пользователю общение с компьютером при возникновении непонятных ситуации и конфликтов с другими ПО.

Разработка группы Евгения Касперского (1993 год). Прославилась своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.

5.8.1.2.«Диалог Наука»

ЗАО «Диалог Наука» создано 31 января 1992 года. Учредители – СП «Диалог» и Вычислительный центр Российской Академии наук. До этого 2 года коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН. В «Диалог Науке» работают 30 сотрудников, в основном выпускники МГУ, МФТИ, МИФИ, МАИ и других ведущих российских вузов.

ЗАО «Диалог Наука» ежегодно поставляет на рынок новые антивирусные программы и услуги, многие из которых не имеют аналогов в мире. Программы, созданные в «Диалог Науке», уже много лет являются самыми популярными антивирусами в России и других странах СНГ.

Сканер Doctor Web с 1966 года неизменно показывает высокие результаты в международных тестах журнала Virus Bulletin (Великобритания) и центра VTC (Германия). Программа Doctor Web многократно получала престижную награду «100% Virus Bulletin». В ней впервые в мире реализована полная проверка всей памяти Windows 9х, что позволяет непосредственно в памяти находить и обезвреживать сложные троянские программы и вирусы типа Back Orifice, Win.95.CIH («Чернобыль»), Win.32.Kriz, Code Red Worm и др. В резидентном стороже SpiDer Guard впервые в мире была реализована интеллектуальная технология контроля вирусной активности. Dos – версия этой программы хорошо знакома большому числу пользователей. Продукция компании «ДиалогНаука» уже несколько лет используется во многих государственных и образовательных учреждениях России, однако индивидуальный пользователь начал было постепенно отвыкать от знакомого паучка в углу экрана. Несмотря на традиционно сильный антивирусный сканер и блок эвристического анализа программы, те, кто отдавал предпочтение Windows– интерфейсу, до недавнего времени были склоны выбирать внешнее более привлекательные графические интерфейсы пакетов AVPили Norton Antivirus.

Первая версия Doctor Web с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и дополнялся, в том числе и резидентным монитором (сторожем)SpIDer Guard. Сегодняшняя версия пакета обрела удобную, интуитивно понятую и наглядную графическую оболочку. Что же касается его возможностей по поиску вирусов и рабочих характеристик, то их высокая оценка подтверждается победами в тестах авторитетного журнала Virus Bulletin. Так, например, этот антивирусный пакет оказался единственным в мире, способным обнаружить в памяти компьютера и обезвредить вирус – невидимку нового поколения, «прославившийся» под именем Code Red Worm в августе 2001 года. Идеальных программных продуктов не существует, но некоторое своеобразие поведения Doctor Web, возможно, в определенной степени связано с особенностями работы программы:

несколько замедленный (до 30 секунд) запуск программной оболочки (использование фирменной технологии полномасштабного сканирования системной памяти при каждом старте программы);

с настройками «по умолчанию» программа при обнаружении вируса сама не предлагает вариантов решений, ожидая реакции пользователя.

Абсолютно уникальные и высокоэффективные антивирусные механизмы впервые в мире были реализованы в ревизоре Adinf и универсальном лекаре Adinf Cure Module. Созданный в декабре 1996 года сервис «Скорая антивирусная помощь» в виде антивирусной online-помощи явился первой бесплатной и свободной услугой, представленной на мировом рынке антивирусного обслуживания в рамках глобальной сети Интернет.

ЗАО «Диалог Наука» имеет лицензию на деятельность в области защиты информации и сертификат на производство комплекта антивирусных программ от Государственной технической комиссии при Президенте Российской Федерации, а так же сертификат на антивирусные программы от Министерства обороны РФ.

Потребителями антивирусных программ и услуг ЗАО «Диалог Наука» являются более двух тысяч корпоративных клиентов в России и СНГ, в том числе такие общенациональные отечественные структуры, как Администрация Президента РФ, ГАС «Выборы», ГУИР ФАПСИ, министерства обороны, экономики и развития, финансов, промышленности, науки и технологий, образования, ФСН, РФФИ, Пенсионный фонд и др.

К сожалению, многие пользователи компьютеров не используют лицензионные версии антивирусных программ и на регулярной основе, что зачастую приводит к печальным последствиям. После каждой глобальной эпидемии какого-либо нового «шумного» компьютерного вируса, что пострадали именно те и только те, кто или вообще не использует антивирусные программы, или использует их очень старые (годовой давности) версии.

5.8.2 Западные производители антивирусных программ

5.8.2.1 Symantec

Norton antivirus является программой разработанной компанией Symanteс начиная с версии 3.0 продукт с каждой новой версией приобретает новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все что требовалось от пользователя, – это канал доступа в Internet для автоматического получения обновлений. Этот серьезный и качественный продукт достаточно популярен во всем мире, в том числе и России. Присутствуют все самые современные функции, в том числе интеграция с офисным пакетом Microsoft Office 2000 (любой открываемый документ автоматически проверяется на наличие макровирусов). Настройки удобны и понятны, но при этом как бы «спрятаны за ширмой»: не очень квалифицированный пользователь может даже не догадываться об их существовании. Помимо обновлений антивирусной базы этот программный пакет получает по сети Интернет все обновления собственно антивирусных программ, а потому независимо от сроков приобретения данной системы защиты у пользователя всегда будет самая последняя ее версия.

Правда, здесь имеются свои «но»:

последние версии пакета существуют на нескольких языках, но русский в их число не входит;

по истечение года с момента регистрации потребуется внести абонементную плату за пользование постоянно обновляемой базой данных – в российских условиях оплачивать данную подписку непросто по разным, в том числе и по техническим причинам;

возникают определенные трудности (в том числе географические и языковые) с получением технической поддержке.

6 СОВРЕМЕННЫЕ УГРОЗЫ УТЕЧКИ ИНФОРМАЦИИ

Для защиты от разного рода атак можно применить две стратегии. Первая заключается в приобретении самых расхваливаемых (хотя не всегда самых лучших) систем защиты от всех возможных видов атак. Вторая стратегия, заключающаяся в предварительном анализе вероятных угроз и последующем выборе средств защиты от них.

Анализ угроз, или анализ риска, также может осуществляться двумя путями. Сложный, однако, более эффективный способ заключается в том, что прежде, чем выбирать наиболее вероятные угрозы, осуществляется анализ информационной системы, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения денег в приобретаемые средства защиты. Однако такой анализ требует времени, средств и, что самое главное, высокой квалификации специалистов, проводящих инвентаризацию анализируемой сети. Можно сделать выбор средств защиты на основе так называемых стандартных угроз, то есть тех, которые распространены больше всего.

Какие же виды угроз и атак являются самыми распространенными? Кто же чаще всего совершает компьютерные преступления и реализует различные атаки? Какие угрозы самые распространенные? Данные, полученные самым авторитетным в этой области источником – Институт компьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско, в марте 2000 года в ежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey» согласно этим данным:

90% респондентов (крупные корпорации и государственные организации) зафиксировали различные атаки на свои информационные ресурсы;

70% респондентов зафиксировали серьезные нарушения политики безопасности, например вирусы, атаки типа «отказ в обслуживании», злоупотребления со стороны сотрудников т.д.;

74% респондентов понесли немалые финансовые потери вследствие этих нарушений.

Таблица 4. Источники атак

Наименование %

Недобросовестные сотрудники 81

Хакеры 77

Конкуренты (на территории США) 44

Зарубежные компании 26

Зарубежные правительства 21

Таблица 5. Частота обнаружения атак

Тип атаки %

Вирусы 85

Злоупотребления в Internet

со стороны сотрудников 79

Несанкционированный доступ

со стороны сотрудников 71

Отказ в обслуживании 27

Атаки внешних злоумышленников 25

Кража конфиденциальной информации 20

Саботаж 17

Финансовые мошенничества 11

Мошенничества с телекоммуникационными

устройствами 11

Таблица 6. Размер потерь от атак (млн. долл.).

Тип атаки 1988 1999 2000

Вирусы 7,9 5,3 29,2

Злоупотребления в Internet со стороны

Сотрудников 3,7 7,6 28,0

Несанкционированный доступ

со стороны сотрудников 50,6 3,6 22,6

Отказ в обслуживании 2,8 3,3 8,2

Атаки внешних злоумышленников 1,6 2,9 7,1

Кража конфиденциальной информации 33,6 42,5 66,7

Саботаж 2,1 4,4 27,1

Финансовые мошенничества 11,2 42,5 56,0

Мошенничества с телекоммуникационными

устройствами 17,3 0,8 4,0

За последние несколько лет также возрос объем потерь вследствие нарушений политики безопасности. Если в 1997 году сумма потерь равнялась 100 млн. долл., в 1999-м 124 млн., то в 2000-м эта цифра возросла до 266 млн. долл.. Размер потерь от атак типа «отказ в обслуживании» достиг 8,2 млн. долл. К другим интересным данным можно отнести источник атак (табл. 4), типы распространенных атак (таблица 5) и размеры потерь от них (табл. 6).

Другой авторитетный источник – координационный центр CERT – также подтверждает эти данные. Кроме того, согласно собранным им данным (http:/www.cert.org/stats/cert-stats.html), рост числа инцидентов, связанных с безопасностью, совпадает с распространением internet.

В 80-е – начале 90-х годов внешние злоумышленники атаковали узлы internet из любопытства или для демонстрации своей квалификации. Сейчас атаки чаще всего преследуют финансовые или политические цели. Число успешных проникновений в информационные системы только в 1999 году возросло вдвое по сравнению с предыдущим годом (с 12 до 23%). И в 2000-м, и 2001-м годах эта тенденция сохраняется.

В данной области существует и российская статистика. За 2000 год, согласно данным МВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999 годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают, что больше всего преступлений – 584 от общего количества – относиться к неправомерному доступу к компьютерной информации; 258 случаев – это причинение имущественного ущерба с использованием компьютерных средств; 172 преступления связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 101 преступление – из серии «незаконное производство или приобретение с целью сбыта технических средств для незаконного получения информации», 210 – мошенничество с применением компьютерных и телекоммуникационных сетей; 44 – нарушение правил эксплуатации ЭВМ и их сетей.

Существенную роль в реализации несанкционированного доступа к информации играет компьютерная сеть Интернет, являясь чуть ли самым популярным каналом утечки информации. Поэтому на ее примере целесообразно рассмотреть современные угрозы безопасности и методы защиты от них, используемые средства защиты и услуги безопасности.

Интернет действительно становится всемирной глобальной магистралью. В сеть Интернет можно входить не только по проводным телефонным линиям, но и по радиоканалу. Используя оптико-волоконные и спутниковые линии связи, как со стационарных, так и с мобильных объектов, как с суши, так и с моря, с воздуха, из космоса. Новая прогрессивная технология DirecPC обеспечивает прямой (непосредственный) доступ к Интернету с использованием бытового телевизионного приемника и т.д. и т.п. Необычайно широкие возможности Интернета как магнит притягивают к нему все больше и больше пользователей, и он растет как снежный ком. Концепция «открытых дверей», провозглашенная в Интернете, с одной стороны, способствует ее невероятным темпам роста, а с другой стороны, существенно обостряет проблемы обеспечения безопасности в сети.

Магистраль – это большая дорога. И сегодня, следуя традициям, на ней появились и разбойники; это в первую очередь хакеры, различные криминальные элементы, любители быстрой наживы, просто любители острых ощущений и т.п.

Можно сделать вывод о достаточно высокой эффективности хакерского программного обеспечения и необходимости поиска методов и средств активного противодействия. Результаты исследования показывают, что даже хорошо оснащенные современные банковские системы в настоящее время являются практически беззащитными против хорошо подготовленной атаки. Это же самое можно сказать и о важных военных и научных центрах, даже имеющих защищенный выход в компьютерную (телекоммуникационную) сеть.

Обобщив рассмотренные выше результаты, можно провести классификацию возможных угроз безопасности автоматизированных сетей обработки информации (АСОИ), которая представлена на рис.4.

Представленная классификация угроз безопасности является достаточно полной, понятной и не требует особых пояснений.

Одной из важнейших составляющих политики безопасности является поиск потенциально опасных мест в системе защиты. Обнаружение угрозы уже процентов на семьдесят предопределяет ее уничтожение (ликвидацию).

Установлено, что наибольшие угрозы в сети исходят от специальных программ несанкционированного доступа, компьютерных вирусов и программных закладок, которые представляют угрозу для всех основных объектов сети ЭВМ, в том числе абонентских пунктов, серверов, коммутационных машин и каналов связи.

Принципиальная открытость сети Интернет делает ее не только уникальной по масштабам, но и создает существенные трудности в обеспечении безопасности. Являясь исключительно динамичной сетью, Интернет постоянно испытывает воздействия с использованием несанкционированного доступа. В недрах сети постоянно идут невидимые миру войны в полном соответствии с требованиями современной войны. Имеется эффективное информационное оружие (как нападения, так и защиты). Имеются серьезные трофеи (например, большие суммы денег, переведенные на соответствующие счета банков). Имеются убитые и раненные (например, от инфарктов, полученных после проведения очередной «операции») и т.п. Однако нет самого главного: нет конкретного физического противника, а есть виртуальный противник, которого нельзя физически наблюдать, чувствовать, слышать и т.п. Его наличие можно определить лишь по косвенным признакам, по результатам его деятельности, которые также тщательно скрываются. Однако результаты являются самыми что ни на есть реальными, иногда даже роковыми.

Типовая операция враждебного воздействия в общем случае содержит следующие этапы:

1. подготовительный;

2. несанкционированный доступ;

3. основной (разведывательный или диверсионный);

4. скрытая передача информации (основной или вспомогательной);

5. сокрытие следов воздействия.

7 ТЕХНИЧЕСКИЕ СРЕДСТВА ОБНАРУЖЕНИЯ УГРОЗ

Угрозы безопасности (личной, имущества и информации) окружают нас на каждом шагу. Специалисты утверждают, что надежное обнаружение угрозы – это уже процентов на семьдесят решение задачи ликвидации угрозы. Вот почему в последнее время внимание к техническим средствам поиска и обнаружения угроз безопасности значительно усилилось. Детекторы и обнаружители являются сегодня основными элементами большинства систем безопасности.

Что представляют собой современные обнаружители угроз безопасности? На рисунке 5 в соответствии с классификацией по видам обеспечения безопасности приведены основные технические средства обнаружения угроз безопасности, предлагаемые сегодня российским коммерческим рынком.

Как видно из рисунка, на сегодняшний день не существует универсальных обнаружителей, причем каждый вид обнаружителей рассчитан на использование при решение определенного класса задач.

Наиболее обширную группу образуют технические средства, используемые для обеспечения информационной безопасности, в частности для обнаружения радио-, видео- и телефонных закладок (жучков). Для более полного анализа рынка рассмотрим кратко назначение и основные возможности устройств поиска и обнаружения, в наибольшей степени представленных на рынке. Прежде всего это устройства поиска по электромагнитному излучению: приемники, сканеры, шумометры, детекторы инфракрасного излучения, анализаторы спектра, частотомеры, панорамные приемники, селективные микровольтметры и т.д. Общим для всех этих устройств является задача обнаружения сигнала.

Специальные приемники для поиска работающих передатчиков в широком диапазоне частот на российском рынке представлены рядом фирм США, Германии и Японии. Подобные широкополосные приемники (сканеры), как правило, обладают частотным диапазоном не менее 30…1500МГц и чувствительностью порядка 1 мкВ. Поэтому сканеры – довольно сложные и дорогие устройства. Так, самый дешевый компактный японский сканер AR-8000 стоит порядка 700 долларов, а самый дорогой IC-R9000 – порядка 7500 долларов.

Как правило, современные сканеры имеют возможность подключения к компьютеру. В этом случае специально разработанные программы позволяют автоматически управлять всеми режимами, отображать результаты работы на мониторе, записывать и хранить эти результаты в памяти компьютера, отображать на мониторе спектр в текущем времени и сравнивать его с предыдущим, выводить материалы на печать и т.д.

Процесс обнаружения закладок методом радиомониторинга еще более упрощается при использовании сканеров, реализующих дополнительную функцию измерения частоты (так называемых частотомеров).

Отдельную группу составляют приборы на основе приемников-сканеров, реализующие одновременно несколько функций по поиску закладок, ярким представителем которых является комплекс OSCOR-5000. Этот комплекс автоматически проводит мониторинг источников опасности 24 ч. в сутки. Имеется возможность перехода от обзора широкого спектра к детальному анализу индивидуального сигнала с его демодуляцией и построением графика. Радиоприемник построен по схеме супергетеродина с четырьмя преобразованиями частоты и тремя синтезаторами фазовой подстройки частоты. Предусмотрена демодуляция сигналов в режимах: АМ, FM, FMW, FMSC, SSB CW. Имеется жидкокристаллический дисплей и термопринтер. Конструктивно прибор выполнен в корпусе кейса, общий вес комплекса составляет 12,7 кг.

Существенно облегчить просмотр радиоапазона позволяют анализаторы спектра, среди которых можно отметить отечественные разработки анализаторов СМ-4-2 и СМ-4-21.

Для решения задач скрытного выявления радиопередатчиков в ближней зоне (вблизи носимого радиопередатчика, на малоразмерных объектах) успешно используются детекторы электромагнитного поля. Операция выявления в этом случае заключается в обнаружении радиопередатчика по увеличению напряженности электромагнитного поля в ближней зоне антенны передатчика. Детекторы поля, как правило, изготовляются и используются в носимом варианте с размещением их в часах (Ej-6), в авторучке (PK 860), в пачке сигарет (PK 865), на теле оператора (DM-19), в кейсе (VL-22H) или в книге (VL-34), но могут использоваться и в стационарном варианте с размещением их в коробке сигар (PK 865-3), в цифровых часах (V-4330) и т.п. Характерной особенностью детекторов поля является широкая полоса тракта приема и отсутствие настройки на частоты сигналов. Недостаточная чувствительность детекторов поля и наличие ложных срабатываний приводят к снижению надежности обнаружения и увеличения времени поиска. Кроме того, подобные устройства не обнаруживают передатчиков с программным и дистанционным управлением.

Свободными от указанных недостатков являются обнаружители, принципы работы которых основаны на эффекте «нелинейной радиолокации». Принцип действия таких устройств (нелинейных радиолокаторов) основан на том факте, что при облучении радиоэлектронных устройств, содержащих нелинейные элементы, такие, как диоды, транзисторы и т.д., происходит отражение сигнала на высших кратных гармониках. Отраженные сигналы регистрируются локатором независимо от режима работы радиоэлектронного устройства (включено выключено).

В настоящее время нелинейные локаторы в России активно совершенствуются и находят применение в следующих областях:

обнаружение и определение местоположения скрытых электронных средств промышленного шпионажа (объекты обнаружения – приемопередающие устройства подслушивания и передачи данных, магнитофоны);

обнаружение электронных компонентов и радиоаппаратуры при попытке скрытно провести их через контрольно – пропускные пункты заводов, складов и таможен;

обнаружение несанкционированного выноса маркированных предметов из служебных помещений (объекты обнаружения – материальные и культурные ценности, снабженные пассивными нелинейными маркерами);

дистанционный контроль багажа авиапассажиров (объекты контроля – радиоэлектронные системы, входящие в состав взрывных устройств, размещенные в багаже);

поиск маркированных нелинейных пассивными маркерами людей в снежных завалах, разрушенных зданиях и др.

Особое место среди обнаружителей угроз безопасности занимают детекторы паразитных излучений аппаратуры, предназначенные для выявления работающих средств приема и регистрации аудио-, видео- и иной информации. Среди них на практике в основном используются детекторы магнитофонов и обнаружители телекамер. Детекторы магнитофонов применяются, как правило, для скрытного выявления носимых магнитофонов и конструктивно выполняются как в носимом, так и в стационарном варианте. Операция выявления заключается в обнаружении паразитного излучения генераторов стирания, двигателей магнитофонов, электронных схем и т.п.

7.1 Методы и средства блокирования каналов утечки информации

В настоящее время номенклатура технических средств коммерческой разведки весьма обширна, что делает задачу надежного блокирования каналов утечки и несанкционированного доступа к информации исключительно сложной.

Таблица 7 Основные методы и средства несанкционированного получения информации и возможная защита от них

№ Действие человека (типовая ситуация) Каналы утечки информации Методы и средства получения информации Методы

и

средства защиты информации

1 Разговор в помещении или на улице Акустика

Виброакустика

Гидроакустика Подслушивание,

Стетоскоп, вибродатчик

Гидроакустический датчик Шумовые генераторы, поиск

закладок, ограничение доступа

2 Разговор по проводному телефону Акустика

Электросигнал

в линии

Наводки Параллельный телефон,

прямое подключение,

диктофон,

телефонная закладка Маскирование, шифрование

Спецтехника

3 Документ на бумажном носителе Наличие Кража, копирование, фотографирование Ограничение доступа, спецтехника

4 Изготовление документа на небумажном носителе Изображение на дисплее копирование, фотографирование

Специальные радиотехнические устройства Контроль доступа, криптозащита

5 Передача документа

по каналу связи Электрические и оптические сигналы Несанкционированное подключение, имитация зарегистрированного пользователя Криптозащита

Решение подобной задачи возможно только с использованием профессиональных технических средств и с привлечением квалифицированных специалистов. В таблице 7 рассмотренные каналы утечки информации и возможные методы их блокирования.

Таким образом, основным направлением противодействия утечке информации является обеспечение физической (технические средства, линии связи, персонал) и логической (операционная система, прикладные программы и данные) защиты информационных ресурсов. При этом безопасность достигается комплексным применением аппаратных, программных и криптографических методов и средств защиты, а также организационных мероприятий.

ЗАКЛЮЧЕНИЕ

Проблема защиты от несанкционированного доступа к информации посвящено огромное количество методических, академических и правовых исследований. Отличительной особенностью хищения информации стала скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем.

Всего несколько лет назад для обеспечения безопасности своих документов и предохранения самого компьютера от вируса достаточно было соблюдать ряд в общем – то несложных правил и мер предосторожности. Хотя во всех приличных компьютерных изданиях, учебниках и руководствах пользователя антивирусные рекомендации можно встретить многократно, однако по – прежнему немало компьютеров оказываются зараженными из – за элементарной неосведомленности пользователя.

Напомним некоторые аксиомы обращения с файлами, получаемыми на съемном носителе или по электронной почте:

даже просмотр содержимого вставленной в дисковод дискеты может вызвать заражение компьютера так называемым Boot – вирусом, находящимся в загрузочном секторе дискеты. Сегодня вирусы такого типа в мире встречаются не часто (программы и документы все реже передаются на дискетах), однако в России иногда всплывают вирусы и двух-, и пяти летней «свежести». Соответственно любые приносимые дискеты, диски должны обязательно проверятся антивирусной программой;

не стоит спешить сразу, открывать файл, полученный по электронной почте даже от знакомого адресата, но с необычным текстом письма, и тем более уж от незнакомого. Многие современные вирусы умеют сами себя рассылать по всем адресам из адресной книги (найденной в очередном компьютере), вставляя при этом в письмо определенный текст. Создатели вирусов справедливо полагают, что, получив письмо типа «Посмотри, какую замечательную картинку я нашел в сети! » от хорошо известного корреспондента, человек, не задумываясь, щелкнет мышкой по прикрепленному файлу. Вполне возможно, что одновременно с запуском программы, заражающей компьютер, вам действительно покажут картинку;

следует воздержатся от «украшательства» своего компьютера всякими с виду безвредными «развлекалочками» «с гуляющими по экрану овечками, распускающими звездочками, красочными фейерверками и т.п.) – такие небольшие забавные программки часто пишутся для того, чтобы замаскировать вирус. Воистину волк в овечьей шкуре! Например, по России уже второй год ходит небольшая программа под названием «Новорусские Windows» – многие ее поставили и через неделю – две удалили, не подозревая о том, что вирус уже успел похозяйничать в их компьютере. Программа, кстати, всего-навсего меняла названия кнопок в диалоговых окнах, превращая «Нет» в «Нафиг», а «Да» – в «Пофиг».

не пользуйтесь «пиратскими» сборниками программного обеспечения;

самое важное установите и регулярно обновляйте антивирусный комплект программ, так как, несмотря на развитый интеллект современных средств защиты, гарантированно будут определяться только вирусы, уже включенные в базу данных программы.

Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Internet. При этом вирус всегда имеет некоторую фору, поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.

Необходимо помнить, что все выше приведенные враждебные (реальные и возможные) воздействия на информацию могут иметь не шуточные последствия. Можно привести массу примеров воздействия компьютерных вирусов, программных закладок на информацию, и не только, к ним можно с уверенностью добавить действия хакеров и, даже, персонала компании.

Враждебное воздействие на информацию программных закладок. Они способны уничтожать или искажать информацию, нарушать сеансы работы. Наиболее часто встречаются программные закладки типа «троянского коня» и «компьютерного червя». Пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. «Троянский конь» может нанести немалый ущерб компании. Он собирает информацию, которая отправляется злоумышленнику по системе электронной почты для анализа на предмет содержания ценной информации, такой как пароли или пользовательская информация. Таким образом, злоумышленник, может получать важную или, даже конфиденциальную информацию, не выходя из дома, а ваша компания или фирма будет нести немалые убытки, необходимо понимать и то, что злоумышленником может быть и конкурирующая фирма, которая может преднамеренно отправить вам по электронной почте «троянского коня» с целью завладеть информацией.

«Компьютерный червь» может распространяться по сети Интернет, по локальной сети. Он нацелен на проникновение в системы разграничения доступа пользователей к ресурсам сети, могут приводить к утере матриц установления полномочий пользователей, к нарушению работы сети в целом и системы разграничения доступа в частности. Самым распространенным является червь, который распространяется по сети Интернет. И даже если на предприятии есть только один компьютер, подключенный к сети, но при этом существует локально – вычислительная сеть, возможна вероятность проникновения червя на компьютер, содержащий ценную информацию.

Не последнее место занимают компьютерные вирусы. Они могут искажать, разрушать исходные тексты программ, искажать базы данных, текстовые документы, повреждать микросхемы, магнитные диски и воздействуют на психику. Существуют вирусы, которые не причиняют особого вреда, но не стоит забывать о тех вирусах, которые могут нарушить работу всего компьютера и программного обеспечения, но даже разрушать микросхему материнской платы. Представьте, что будет если в один миг вами будет утеряна вся конфиденциальная информация, база данных, которая содержит всю информацию о вашем предприятии. А, если этой информацией завладеет конкурирующая фирма, ущерб можно только представить. И все это из – того, что вы должным образом не уделили внимание защите информации от компьютерных вирусов.

Огромные убытки корпорациям нанесли вирус типа I Love You и его штаммы. Так, например, 5 мая 2000 г. компьютерная скорая помощь университета Карнеги – «Мелона» (США) зафиксировала заражение 270 тыс. компьютеров. Среди пострадавших – компания «Форд», ЦРУ, конгресс США.

Необходимо отметить, что новые вирусы становятся все более изощренными и опасными. Так, если появившийся в 1999 г. вирус Melissa поразил около 20% компьютеров США, то вирус I love you – свыше 50%. Для борьбы с вирусами разработаны отечественные антивирусные программы в пакетах Dr.Web 4.01 («Диалог Наука») и AVP («Лаборатория Касперского»).

На российском рынке в настоящее время присутствуют также зарубежные программные средства обнаружения и обезвреживания компьютерных вирусов.

Не стоит забывать и о хакерах. Это раньше они взламывали ради любопытства, сейчас чаще всего они преследуют финансовые или политические цели. Число успешных проникновений возросло в двое по сравнению предыдущим годом. Не сложно представить, что будет, если в вашу базу данных проникнет хакер, вы можете распрощаться с деньгами, заработанными вашим предприятием, которые лежат на банковском счете, если хакеру удастся получить всю информацию касающеюся финансового состояния вашего предприятия. Подумайте, что на сегодняшний день существуют умельцы, которые могут обойти систему защиты Министерства Обороны США и получить конфиденциальную информацию. Минимум, что может хакер, взломав вашу систему защиты, это удалить или исказить ценную информацию, базу данных, сколько времени понадобиться чтобы восстановить утерянные файлы. Получив информацию о вашем предприятии, хакер может продать ее другой фирме заинтересованной в ее получении, цена информации зависит от ее ценности.

Помните, что защитить информацию может только сам пользователь или владелец. Для этого нужно правильно организовать работу и ограничить доступ к ценной информации. И принять все меры для предотвращения ее утечки.

Число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей хакеров может привести к очень печальным последствиям.

Список литературы

В.С.Барсуков «Безопасность: технологии, средства, услуги» М. Кудиц – образ 2001

М. Бэнкс «Психи и маньяки в Интернете: Руководство по выживанию в кибернетическом пространстве» СПБ «Символ» 1998

С.Н. Гриняев «Интеллектуальное противодействие информационному оружию» М «Синтег» 1999

М.Б. Зуев «INTERNET: Советы бывалого чайника» М. ООО «Лаборатория Базовых Знаний» 1998

Н.И. Юсупова «Защита информации в вычислительных системах» Уфа 2000

Журнал «Компьютерра» № 35, 36, 37, 40 2001 год

Журнал «Компьютер – Пресс» № 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 2001 год

Журнал «Мир INTERNET» № 4, 5, 6, 7, 8

Журнал «Компьютер и бухгалтер» № 9, 10 2001 год

Для подготовки данной работы были использованы материалы с сайта http://2balla.ru

Содержание:

Введение

Насколько важна любая информация, относящаяся к бизнесу понятно многим. Пользуясь собранной и обработанной информацией, можно успешно конкурировать на своем рынке и захватывать новые. Информация помогает в поиске партнеров и способствует четкому определению позиции по отношению к ним. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Вопросы безопасности – важная часть концепции внедрения новых информационных технологий во все сферы жизни общества.

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия, начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации.

В случае внешних атак, преступник ищет уязвимости в информационной структуре, которые могут дать ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. В этом случае злоумышленник пользуется широким арсеналом инструментов и вредоносного программного обеспечения (вирусы, трояны, компьютерные черви) для отключения систем защиты, шпионажа, копирования, фальсификации или уничтожения данных, нанесения вреда физическим объектам собственности и т.д. Внутренние угрозы подразумевают наличие одного или нескольких сотрудников предприятия, которые по злому умыслу или по неосторожности могут стать причиной утечки конфиденциальных данных или ценной информации.

Традиционные средства защиты (антивирусы, фаерволы и т.д.) на сегодняшний день не способны эффективно противостоять современным киберпреступникам. Для защиты информационной системы организации требуется комплексный подход, сочетающий несколько рубежей защиты с применением разных технологий безопасности.

Для защиты от внешних интернет угроз информационной безопасности отлично зарекомендовали себя системы предотвращения вторжений на уровне хоста (HIPS). Правильно настроенная система даёт беспрецедентный уровень защищённости, близкий к 100%. Грамотно выработанная политика безопасности, применение совместно с HIPS других средств защиты (например, антивирусного пакета) предоставляют очень высокий уровень безопасности. Организация получает защиту практически от всех типов вредоносного ПО, значительно затрудняет работу хакера, решившего попробовать пробить информационную защиту предприятия, сохраняет интеллектуальную собственность и важные данные организации.

Защита от внутренних угроз также требует комплексного подхода. Он выражается в выработке должных политик информационной безопасности, введением чёткой организационной структуры ответственных за информационную безопасность сотрудников, контроле документооборота, контроле и мониторинге пользователей, введении продвинутых механизмов аутентификации для доступа к информации разной степени важности. Степень такой защиты зависит от объективных потребностей организации в защите информации.

Далеко не всем объектам требуется дорогостоящая DLP-система, дающая неплохие результаты по защите данных предприятия от утечек, но требующая сложнейшей процедуры внедрения и пересмотра текущих механизмов документооборота. Оптимальным выбором для большинства компаний станет введение функционала защиты от утечек данных, контроле документооборота и мониторинг действий пользователей локальной сети организации. Такое решение является недорогим, простым в развёртывании и эксплуатации, но весьма эффективным инструментом внутренней безопасности.

Целью данного исследования является внедрение защиты информации в организации ОАО «Олимп».

Задачи исследования:

  • рассмотреть теоретические аспекты защиты информации на предприятии;
  • провести анализ систем защиты информации предприятия от внешних угроз;
  • рассмотреть способы и методы защиты персональных данных на предприятии.

Объектом исследования выступает ОАО «Олимп».

Предметом исследования является информационная безопасность клиент-серверной информационной системы по учету персональных данных.

Методы исследования: анализ литературы, сравнительный анализ, синтез.

Теоретическая база исследования основа на использовании научных трудов отечественных авторов, а также нормативно-правовой документации.

Глава 1.Теоретические аспекты защиты информации на предприятии

1.1. Предмет и объекты защиты информации на предприятии

Информация – это сведения о лицах, фактах, предметах, явлениях, событиях и процессах.

Особым образом защищают внутреннюю, конфиденциальную и секретную информацию. Информация о компании, служебная, коммерческая, промышленная, профессиональная, или другая информация – это первостепенные объекты защиты.

Существует несколько типов угроз для объектов защиты информации:

  • угрозы конфиденциальности данных и программ;
  • угрозы целостности данных, программ, аппаратуры;
  • угрозы доступности данных[1].

Защищаемая информация, является предметом собственности и подлежит в соответствии с правовыми документами и требованиями, которые устанавливаются собственником информации, которым может быть отдельное физическое лицо, группа физических, юридических лиц и государство.

Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.

Носителем защищаемой информации может быть как физическое лицо, так и материальный объект или физическое поле. Информация содержится в виде символов, сигналов и образов, технических процессов и решений, количественных характеристик и физических величин.

Существует такое понятие как объект информатизации, который так же нуждается в защите. Защищаемый объект информатизации, как и информационная система, предназначается для обработки защищаемой информации.

Основные объекты защиты информации:

  • информационные ресурсы, содержащие конфиденциальную информацию;
  • системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);
  • ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура – ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.

Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации. Однако главная цель – это защита самой информации.

1.2. Современные системы защиты информации на предприятии

Своевременное обнаружение несанкционированных действий пользователей основано на выполнении периодического контроля целостности информации, регистра­ции, сигнализации и контроля правильности функционирования системы защиты[13].

В последние годы частота несанкционированных воздействий на информационные системы (ИС) постоянно увеличивается, что неминуемо приводит к огромным финансовым и материальным потерям.

Известно, что в последние несколько лет защита ИС от внутренних нарушителей преимущественно обеспечивается специализированными средствами разграничения доступа пользователей к информационным ресурсам. При помощи этих средств каждому пользователю назначаются определённые права, в соответствии с которыми ему разрешается (или запрещается) локальный доступ к информации, хранящейся в его компьютере, или же удалённый доступ по каналам связи к информации, имеющейся на других компьютерах.

И всё же приходится констатировать, что этот подход не решает всей проблемы защиты информационных ресурсов от злоумышленников, действующих изнутри ИС. Связано это с двумя основными факторами:

  • средства разграничения локального доступа не имеют возможности обеспечить защиту от тех действий нарушителей, которые непосредственно не связаны с получением несанкционированного доступа к информационным ресурсам системы;
  • средства разграничения удалённого доступа не обеспечивают защиту от сетевых атак, которые могут быть проведены внутренними пользователями системы[14].

Таким образом, обеспечение эффективной защиты от внутренних нарушителей информационной безопасности требует использования дополнительных средств защиты, таких как системы активного мониторинга рабочих станций, а так же системы обнаружения атак. Рассмотрим эти типы средств защиты более подробно.

Системы обнаружения атак предназначены для выявления и противодействия сетевым атакам злоумышленников. Системы обнаружения атак представляют собой специализированное программно-аппаратное обеспечение с типовой архитектурой, включающей в себя следующие компоненты:

  • модули-датчики для сбора необходимой информации о сетевом трафике ИС;
  • модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак;
  • модуль реагирования на обнаруженные атаки;
  • модуль хранения конфигурационной информации, а также информации об обнаруженных атаках. Таким модулем, как правило, выступает стандартная СУБД, например MS SQL Server, Oracle или DB2;
  • модуль управления компонентами системы обнаружения атак.

В составе системы обнаружения атак могут быть использованы два типа датчиков – сетевые и хостовые. Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик. Хостовые же датчики устанавливаются на серверы ИС и предназначаются для сбора информации о пакетах данных, которые поступают на сервер с датчиком.

Информация, собранная сетевыми и хостовыми датчиками, анализируется системы обнаружения атак с целью выявления возможных атак нарушителей. Анализ данных может проводиться при помощи двух основных групп методов – сигнатурных и поведенческих[15].

Более подробно варианты такого использования системы активного мониторинга и системы обнаружения атак рассматриваются в таблице 1.

Таблица 1 – Сравнение систем обнаружения атак и систем активного мониторинга

Тип средства защиты

Показатель сравнения

Системы 
Обнаружения атак

Системы активного мониторинга рабочих станций ИС

Тип используемых датчиков

Сетевые датчики, устанавливаемые в сегменты ИС

Хостовые датчики, устанавливаемые на серверы ИС

Хостовые датчики, устанавливаемые на рабочие станции пользователей ИС

Тип собираемых данных

Информация о пакетах данных, передаваемых в ИС

Информация о событиях на рабочих станциях пользователей

Методы выявления атак

Поведенческий метод, основанный на выявлении отклонений от заданных характеристик сетевого трафика ИС

Сигнатурный метод, основанный на выявлении в сетевом трафике определённых шаблонов информационных атак

Поведенческий метод, основанный на выявлении нарушений политик типа «всё, что не разрешено – запрещено»

Сигнатурный метод, основанный на выявлении нарушений политик типа «всё, что не запрещено – разрешено»

Методы реагирования

Пассивный метод, обеспечивающий оповещение администратора о выявленных нарушениях

Активный метод, обеспечивающий блокирование выявленных сетевых атак

Пассивный метод, обеспечивающий оповещение администратора о выявленных нарушениях

Активный метод, обеспечивающий блокирование действий пользователей, нарушающих политику безопасности

Из данных, представленных в табл. 1, можно видеть, что системы активного мониторинга являются дополнительным средством для системы обнаружения атак, обеспечивающим обнаружение тех атак, которые реализуются внутренними пользователями ИС. Самостоятельно же системы обнаружения атак не могут выявлять такие атаки вследствие отсутствия у них механизмов сбора и анализа информации на уровне рабочих станций. С другой стороны, информация, собранная датчиками системы активного мониторинга, может служить и в качестве доказательной базы при проведении расследования инцидентов, связанных с теми нарушениями информационной безопасности ИС, которые были выявлены средствами системы обнаружения атак.

Для демонстрации вышесказанного рассмотрим вариант совместного использования системы обнаружения атак и системы активного мониторинга на конкретном примере. Предположим, что система обнаружения атак зафиксировала факт проведения сетевой атаки на один из серверов ИС. При этом система обнаружения атак установила, что атака была проведена с IP-адреса, который принадлежит внутренней рабочей станции пользователя, на которой установлен датчик системы активного мониторинга. Знание только одного IP-адреса не даёт возможности точно доказать причастность пользователя рабочей станции к проведённой атаке, поскольку, адрес станции мог быть преднамеренно искажён нарушителем. В этом случае для подтверждения или опровержения вины пользователя в инциденте могут быть использованы данные, собранные датчиком системы активного мониторинга[19].

Примерами данных, которые могут предоставить САМ для расследования инцидента, являются: регистрационное имя пользователя, работающего за станцией в момент проведения атаки, перечень приложений, запущенных на станции, информация о сетевом трафике, сформированном запущенными приложениями и т.д. Анализ таких данных позволит определить степень вины пользователя в инциденте. Более того, если выяснится, что пользователь, первоначально попавший под подозрение невиновен, то анализ информации с других датчиков системы активного мониторинга позволит выявить истинного нарушителя.

Одним из способов защиты информации сегодня является электронная подпись. Электронная подпись позволяет проверять целостность данных, но не обеспечивает их конфиденциальность.

Таким образом, проведенное исследование позволяет нам сделать следующие выводы.

Каждое предприятие обладает информацией которой необходима защита. С этой целью на предприятии используют организационные и технические методы защиты. Особый интерес представляют технические методы защиты информации с использованием программного обеспечения, блокирующий доступ к информации. Главная задача защиты информации, защитить доступ (физический или программный) к месту пребывания электронной конфиденциальной информации таким образом, чтобы максимально удорожить процесс несанкционированного доступа к защищаемым данным. Своевременное обнаружение несанкционированных действий пользователей основано на выполнении периодического контроля целостности информации, регистра­ции, сигнализации и контроля правильности функционирования системы защиты.

Для обеспечения защиты данных в информационных системах используются следующие методы: препятствие – метод физического преграждения пути злоумышленнику к информации; управление доступом – метод защиты с помощью регулирования использования информационных ресурсов системы; маскировка – метод защиты информации путем ее криптографического преобразования; регламентация – метод защиты информации, создающий условия автоматизированной обработки, при которых возможности несанкционированного доступа сводится к минимуму; принуждение – метод защиты, при котором персонал вынужден соблюдать правила обработки, передачи и использования информации; побуждение – метод защиты, при котором пользователь побуждается не нарушать режимы обработки, передачи и использования информации за счет соблюдения этических и моральных норм.

Глава 2.Анализ систем защиты информации предприятия ОАО «Олимп»

2.1.Организационно-экономическая характеристика предприятия

ОАО «Олимп» – это уникальный по своему назначению архитектурный ансамбль, воздвигнутый в одном из важнейших пунктов центральной части столицы, на месте бывшей Поварской слободы. Комплекс зданий состоит из 32-этажного корпуса офисов, конференц-залов, залов заседаний и обеспечен удобными подъездами, стоянками и гаражом для автомашин.

20 февраля 1992 года в целях совершенствования хозяйственной деятельности и обеспечения эксплуатации Комплекса зданий, на основании распоряжения № 88-РВМ, создается Муниципальное предприятие «Олимп» финансово-хозяйственного управления Мэрии Москвы в составе комплекса административных зданий (Калининский проспект 56), гостиницы «Мир», ресторана, автобазы, типографии, пансионата и пионерского лагеря, детского сада – яслей.

16 марта 1992 года Устав МП «Олимп» зарегистрирован Регистрационной палатой за № 9601.

В результате реорганизаций МП «Олимп» преобразуется в ГУП «Олимп» (6 мая 1995 г.), а 21 ноября 2001 года – в Открытое Акционерное Общество «Олимп».

Местоположение ОАО «Олимп»: юридический (и фактический) адрес: г.Москва, ул.Новый Арбат, д.36/9.

Общество действует в соответствии с ФЗ «Об акционерных обществах», иным и нормативными правовыми актами РФ и Уставом от 24.06.2008г.

Общество вправе в установленном порядке открывать банковские счета на территории России и за ее пределами, имеет круглую печать, содержащую его полное фирменное наименование на русском языке и указание на место нахождения Общества, имеет другие штампы и бланки со своим фирменным наименованием, собственную эмблему и другие средства индивидуализации.

Основными видами деятельности Общества являются:

– сдача внаем собственного недвижимого имущества;

– подготовка к продаже, покупка и продажа собственного недвижимого имущества;

– эксплуатация и сдача в аренду объектов недвижимости и иного имущества;

– предоставление посреднических услуг, связанных с недвижимым имуществом;

– деятельность по изучению общественного мнения;

– строительство зданий и сооружений;

– монтаж инженерного оборудования зданий и сооружений;

– полиграфическая деятельность и предоставление услуг в этой области;

– осуществление иных видов деятельности, не запрещенных законодательством.

– Общество имеет гражданские права и несет обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами.

Общество имеет в собственности обособленное имущество и отвечает по своим обязательствам этим имуществом, имеет самостоятельный баланс, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, быть истцом и ответчиком в суде.

Общество является предприятием, работающим с целью извлечения прибыли удовлетворения общественных потребностей.

Предметом деятельности общества является: размещение органов исполнительной власти города Москвы в административно-офисном здании, организация работы Центра мониторинга общественного мнения с привлечением к работе молодых специалистов, а также другие, определенные в Уставе ОАО «Олимп» виды деятельности.

Органами управления Общества являются:

– Общее собрание акционеров;

– Совет директоров;

– единоличный исполнительный орган – генеральный директор.

Высшим органом управления Общества является Общее собрание акционеров. Порядок и сроки подготовки, созыва и проведения, а также принятие решений Общим собранием акционеров Общества осуществляются в соответствии с Федеральным законом «Об акционерных обществах».

Общество обязано ежегодно проводить годовое Общее собрание акционеров. Совет директоров Общества осуществляет общее руководство деятельностью Общества, за исключением решения вопросов, отнесенных Федеральным законом «Об акционерных обществах» и Уставом, к компетенции Общего собрания акционеров Общества.

Количественный состав Совета директоров Общества составляет 5 (пять) членов. Совет директоров Общества избирается Общим собранием акционеров на срок, установленный Федеральным законом «Об акционерных обществах». В состав Совета директоров Общества, в том числе могут входить независимые директора.

Решения на заседании Совета директоров Общества принимаются большинством голосов членов Совета директоров Общества, принимающих участие в заседании, в том числе и при заочном голосовании.

Руководство текущей деятельностью Общества осуществляет единоличный исполнительный орган – генеральный директор Общества.

ОАО «Олимп» представляет собой единую централизованную систему с линейной структурой управления.

Общая численность персонала в 2012 году составляет 791 человек.

К компетенции генерального директора Общества относятся все вопросы руководства текущей деятельностью Общества, за исключением вопросов, отнесенных к компетенции Общего собрания акционеров и Совета директоров Общества.

Главный бухгалтер ведет бухгалтерский учет, составляет финансовые отчеты.

Начальник отдела охраны труда организовывает и координирует работу по охране труда и пожарной безопасности в Обществе, контролирует работников по соблюдению законодательных и иных нормативных актов по охране труда и пожарной безопасности. Проводит профилактические работы по предупреждению производственного травматизма, профессиональных заболеваний и улучшению условий труда.

Основными задачами автобазы являются оказание транспортных услуг организациям, предприятиям, гражданам; осуществление пассажирских перевозок автотранспортом;

К основным задачам Управления по эксплуатации объектов недвижимости входят:

– комплексное техническое обслуживание зданий, сооружений и оборудования Общества;

– безопасное обеспечение функционирования установленного оборудования;

– содержание и эксплуатация комплекса зданий Общества и прилегающей территории в соответствии с установленными правилами и нормами производственной санитарии.

Также в ОАО «Олимп» в рамках исполнения поручения Мэра Москвы создан Центр мониторинга общественного мнения 11.08.2016г, на котором хотелось бы остановиться более подробно, так как именно Центр мониторинга будет в дальнейшем рассматриваться в моей работе.

Центр мониторинга общественного мнения ОАО «Олимп» – это институт изучения общественного мнения по важнейшим темам городской жизни.

Центр мониторинга общественного мнения был создан в ОАО »Олимп» в соответствии с поручением Мэра Москвы № 4-19-15681/1 от 11.08.2016г. при поддержке Правительства Москвы с привлечением к работе в нем в основном выпускников вузов, студентов средних и старших курсов для решения городских задач.

В декабре 2016г. состоялось открытие Центра мониторинга. В настоящее время в Центре работают 300 операторов по приему обращений граждан.

На рис. 2.1. подробно расписана структура Центра мониторинга общественного мнения, куда входят: руководство Центра мониторинга (начальник Центра мониторинга, заместители Центра мониторинга), супервизоры, администраторы, операторы.

Начальник ЦМОМ

Заместитель начальника ЦМОМ

Заместитель начальника ЦМОМ

Супервизоры

(8)

Администраторы

(5)

Операторы

(300)

Рисунок 2.1. Структура Центра мониторинга
общественного мнения ОАО «Олимп», 2012г.

Начальник Центра мониторинга организовывает и обеспечивает бесперебойную работу Центра:

Разрабатывает и контролирует показатели эффективности работы Центра, представляет предложения по улучшению качества работы и сервисных услуг.

Организовывает рациональную загрузку операторов Центра, обеспечивает контроль за ходом поступления информации, соблюдением графиков и регламентов решения задач и выполнением работ в установленные сроки, качеством выполнения работ.

Организовывает и обеспечивает ведение установленной документации и отчетности.

Оперативно и перспективно планирует работу Центра.

Заместитель начальника Центра непосредственно подчиняется начальнику Центра мониторинга общественного мнения.

Участвует в организации и обеспечении бесперебойной работы Центра мониторинга общественного мнения.

Следит за качеством работы работников Центра мониторинга.

Участвует в систематизации и формализации работы Центра мониторинга.

Создает методические материалы по работе Центра (инструкций, сценариев разговора и т.д.).

Создает эффективную систему адаптации, обучения и повышения квалификации работников Центра мониторинга общественного мнения.

Решает конфликтные ситуации с клиентами.

Контролирует ключевые показатели работы Центра мониторинга общественного мнения.

Ведет документацию и отчетность в установленном порядке.

Супервизоры непосредственно подчиняются начальнику Центра мониторинга.

Решают тактические задачи по обеспечению качественной работы операторов.

Контролируют и профессионально помогают оператору. Помогают в разрешении конфликтных ситуаций во время дежурства.

Занимаются анализом действий операторов, исправлением их ошибок, мониторингом звонков.

Формируют группу операторов, в зависимости от их функциональных обязанностей.

Прослушивают и анализируют запись телефонных разговоров (в том числе архивных).

Отслеживают текущий статус готовности операторов.

Контролируют состояние трудовой дисциплины и соблюдение работниками ЦМОМ правил внутреннего трудового распорядка.

Готовят информационные справки и проекты приказов о наложении взысканий за нарушения трудовой дисциплины и неисполнение должностных обязанностей.

Администраторы непосредственно подчиняются начальнику Центра мониторинга общественного мнения.

Организовывают и осуществляют документооборот в Центре мониторинга общественного мнения. Обеспечивают работников Центра бланками необходимых документов.

Организовывают и осуществляют контроль оформления и ведения регистрационных журналов учета документов по деятельности Центра.

Занимаются учетом рабочего времени работников Центра.

Операторы непосредственно подчиняются начальнику Центра мониторинга общественного мнения.

Обеспечивают качественный прием и обработку входящих телефонных звонков.

Обеспечивают качественную передачу исходящей справочной информации, консультационную поддержку клиентов.

Совершают необходимые исходящие звонки.

Ведут клиентскую базу, вносят информацию посредством программных средств.

Корректно работают с базой данных при обработке информации.

Обеспечивают оперативный, качественный, доброжелательный контакт с клиентом, соблюдают этику общения по телефону.

Сообщают руководителю о выполнении задания сразу же после его завершения, а также о любых ситуациях, препятствующих его выполнению.

Миссия Центра:

Предоставление Мэру и Правительству Москвы оперативной, полной и достоверной информации о мнениях, пожеланиях москвичей по важнейшим вопросам жизнедеятельности и перспектив развития и города для принятия обоснованных управленческих решений.

Актуальность создания Центра определяется:

– отсутствием у правительства Москвы концентрированной и достоверной информации об общественном мнении жителей Москвы по различным вопросам общественной жизни города;

– недостатками в оперативном выявлении наиболее острых городских проблем: состояние ЖКХ, транспортной систем, торговли.

– отсутствием координации в приеме предложений граждан услуг, проблем бедности. Безработицы, рынка труда, проблем миграции и др.

– недостаточным учетом обратной реакции москвичей на инициативы городских властей.

Основной целью создания Центра является обработка правовых, организационных, финансово-экономических, технических и технологических решений, закладываемых в основу создания системы изучения общественного мнения, обработка принципов и технологий обработки и анализа полученных данных, порядка и форм их предоставления Мэру, правительству Москвы и другим заинтересованным организациям.

Задачи Центра:

– выявление основных проблем городской жизни, волнующих москвичей;

– прием предложений москвичей по усовершенствованию работы городских структур и оптимизации городской жизни;

– выявление претензий и благодарностей жителей по отдельным структурам и чиновникам Правительства Москвы и муниципальным органам власти города;

– изучение общественного мнения москвичей через телефонные опросы.

Контроль за деятельностью Центра осуществляют:

– Аппарат Мэра и Правительства Москвы;

– Финансово-хозяйственное управление Мэрии Москвы;

– Департамент информационных технологий города Москвы;

Основные функции Центра мониторинга:

Принимает входящие звонки от москвичей на номер: 8(499) 787-77-77, принимает SMS-сообщения на номер 7877, а также сообщения по электронной почте mom@post.mos.ru.

И в связи с этим:

-выявляет основные проблемы городской жизни, волнующих москвичей;

-принимает жалобы, а также предложения москвичей по усовершенствованию работы городских структур и оптимизации городской жизни.

– изучает общественное мнение москвичей через телефонные опросы.

Далее на рис. 2.2. показана схема работы Центра мониторинга общественного мнения.

Рисунок 2.2. Схема работы Центра мониторинга
общественного мнения ОАО «Олимп»

Ниже, на основании данных бухгалтерской и статистической отчетности и оперативного учета за период 2015-2016гг., рассмотрены финансово-экономические показатели деятельности ОАО «Олимп».

Для наиболее полного представления предприятия рассмотрим табл. 2.1.

Таблица 2.1. – Финансово-экономические показатели деятельности
ОАО «Олимп», 2015-2016гг.

№ п/п

Наименование показателя

Фактически

тыс.руб.

Изменение (рост/снижение)

2015 год

2016 год

абс.

%

1

Выручка от продажи товаров, продукции, работ, услуг (без НДС, акцизов и пр.)

854 599

656 124

-198 475

-23,22

2

Расходы, всего (себестоимость)

672 856

931 744

+258 888

+38,47

3

Стоимость чистых активов на конец года

1 670 255

1 931 662

+261 407

+15,65

4

Годовой фонд оплаты труда

146 972

181 687

34 715

+23,62

5

Средняя заработная плата на 1 чел./мес.

43

46

+3

+6,97

6

Уставный капитал

843 528

843 528

0

0,0

7

Инвестиции в основной капитал

255 892

147 222

-108 670

-42,46

Выручка от основного вида деятельности Общества – сдачи в аренду недвижимого имущества составила 51,1% от общего объема выручки Общества. Доходы от этого вида деятельности Общества получены в сумме 335,5 млн. рублей и уменьшились против 2016 года на 188,1 млн. руб. или 35,9%.

Однако, несмотря на снизившийся результат по основной деятельности, благодаря прочей деятельности, Обществом получена чистая прибыль в сумме 365,4 млн. руб., увеличение по сравнению с прошлым годом на 201,3 млн. руб. Общая рентабельность выросла на 36,49 процентных пункта до 55,68%. За 2016 год в бюджеты разных уровней уплачены обязательные платежи в сумме 300,0 млн. руб., что больше чем за предыдущий год на 138,8 млн. руб.

Приоритетными целями Общества являются размещение органов исполнительной власти города Москвы в административно – офисном здании по адресу ул. Новый Арбат д. 36/9 и максимальное обеспечение условий для их работы, совершенствование деятельности, связанной с управлением коммерческой недвижимостью, сохранение уровня загрузки, необходимой для устойчивого положения Общества в сфере управления коммерческой недвижимостью.

Среднемесячная зарплата на одного работника возросла с 43 тыс. руб. до 46 тыс. руб. Стратегия ОАО «Олимп» планирует и дальше совершенствовать традиционные направления финансово-хозяйственной деятельности Общества.

2.2.Оценка информационных систем безопасности на предприятии

Представленная модель информационных потоков в приложении 1 позволяет выделить логическую структуру модулей комплексной автоматизированной информационной системы предприятия. На наш взгляд, она должна включать следующие логически обособленные блоки:

1. Планирование и бюджетирование (план-прогноз производства и продаж, планирование потребностей в материалах, мощностях, распределении; финансовое планирование: синхронное планирование и оптимизация).

2. Управление сбытом (управление взаимоотношениями с клиентами CRM; ведение реестра договоров на поставку продукции; формирование приказов на отгрузку продукции; управление складом готовой продукции; учет расчетов с покупателями, таможенное декларирование, учет железнодорожных перевозок: учет лицевых счетов, учет расходов за услуги железной дороги и расчет тарифов; электронная коммерция; печать приказов и страховых квитанций; формирование отчетности по отгрузке продукции; контроль ожидаемых зачетов и денежных средств в пути; ведение «кредитной линии» клиента).

3. Управление закупками (ведение реестра договоров на закупку сырья и материалов; складской учет сырья и материалов: оформление приходных и расходных документов, оформление накладных на внутреннее перемещение, оформление товарно-транспортных накладных, учет малоценных и быстроизнашивающихся предметов, формирование данных для секторов расчетов с поставщиками и подрядчиками, формирование отчетности по движению ТМЦ; учет запланированных поступлений; учет расчетов с поставщиками, управление и оптимизация цепочек поставок).

4. Управление производством (диспетчирование производства, учет трудозатрат, ведение производственного журнала, подсистема контроля качества, учет незавершенного производства, расчет потребности в полуфабрикатах).

5. Конструкторские программы (управление данными об изделии – PDM, системы автоматизированного проектирования, хранение спецификации изделий, описание технологических процессов, управление проектами и программами).

6. Управление персоналом (нормирование трудозатрат, штатное расписание и кадровый учет; табельный учет; учет «горячего стажа»; подготовка отчетности для ПФР).

7. Бухгалтерский учет (главная книга и баланс; учет основных средств и капвложений: подготовка документации по поступлению, выбытию и перемещению основных средств, расчет амортизационных отчислений, формирование возрастной структуры оборудования; финансовые средства и расчеты: взаимозачетные, вексельные операции; касса и банк; материальный учет запасов; производство и реализация; налоговый учет; учет расчетов по подотчетным суммам; расчет заработной платы, учет кредитов сотрудникам; прочие бухгалтерские операции; подготовка отчетности для ГНИ).

8. Управление финансами и экономический анализ хозяйственной деятельности (калькуляция плановой и фактической себестоимости продукции; формирование и анализ производственной себестоимости продукции по статьям затрат; анализ затрат на 1 рубль товарной продукции, сравнительный анализ плановой и фактической себестоимости; анализ дебиторской и кредиторской задолженности; экспортные и валютные операции; оценка текущей деятельности; анализ финансового состояния предприятия; формирование бюджетов и контроль их исполнения; анализ рентабельности).

9. Маркетинг (прогнозирование состояния рынка сбыта готовой продукции; планирование рекламных компаний; прогноз изменения рынков сырья и основных материалов).

10. АРМы руководителя и аналитика (поддержка принятия решения DSS, стратегическое планирование, оперативный анализ OLAP, Data Mining).

11. Подсистема электронного документооборота (контроль исполнения поручений; реестр служебных записок; управление нормативно-технической документацией; договора на поставку продукции, на снабжение).

12. Служебное администрирование и управление политикой безопасности (управление доступом: настройка полномочий пользователей, организация пользовательских групп, ограничение доступа к данным; поддержание логической и физической целостности данных системы; операционный мониторинг действий пользователей; статистический контроль активности пользователей; мониторинг системных ошибок; контроль возникновения, анализ причины и сохранение контекста ошибок разработчика; конфигурация параметров системы: настройка на «владельца системы», настройка на специфику учета и организации хозяйственной деятельности, настройка системных параметров системы, настройка размещения данных).

2.3 Угрозы и каналы утечки информации

Все причины утечки можно разделить на умышленные и неумышленные (случайные). Достаточно распространены кражи компьютерной техники; в таком случае утечка считается случайной, если есть достаточные основания полагать, что целью вора была материальная часть похищенной техники, а не информация на ней, рис. 2.4., таблица 2.2. Данные показатели мы провели путем интернет – опроса руководителей предприятия ОАО «Олимп».

Таблица 2.2 – Причины утечки информации

Причина утечки

Количество
инцидентов

Доля от общего 
количества

Намеренные

92

36,9%

Случайные

124

49,8%

Не установлено

33

13,3%

Рисунок 2.3. Структура причин утечки информации на предприятиях, %[21]

Таким образом, количество случайных утечек существенно больше. Но их процент несколько снизился. Можно уверенно утверждать, что приоритетной задачей является борьба с ненамеренными утечками информации. Поскольку противодействовать таким утечкам проще, дешевле, а в результате покрывается большая часть инцидентов. Борьба с намеренными утечками – задача более сложная. Эффективность такой борьбы будет заведомо ниже, поскольку предстоит столкнуться с противодействием злонамеренных инсайдеров. А доля соответствующих утечек сильно меньше половины.

Источники утечек, разделены на три категории: государственные, коммерческие и прочие. В последнюю категорию включены все учебные заведения. Хотя формально школы и вузы могут числиться «коммерческими» или государственными. Традиционно учебные заведения довольно сильно отличаются по принятым в них порядкам, как от производственных предприятий, так и от государственных органов.

Таблица 2.3 – Распределение утечек по типу организации

Тип организации

Количество 
инцидентов

Доля

Коммерческие

120

48%

Государственные

50

20%

Образовательные и общественные

78

31%

Не установлено

1

1%

Таблица 2.4 – Распределение по типу организации для умышленных утечек

Тип организации

Количество 
инцидентов

Доля

Коммерческие

45

49%

Государственные

17

18%

Образовательные и общественные

30

33%

Таблица 2.5 – Распределение по типу организации для случайных утечек

Тип организации

Количество
инцидентов

Доля

Коммерческие

61

49%

Государственные

23

19%

Образовательные и общественные

39

31%

Не установлено

1

1%

Меры по предотвращению утечек конфиденциальной информации предпринимаются как в государственных, так и в коммерческих информационных системах. В вузах эти меры также вводятся, правда, за неимением денег там упор делается не на технические средства, а на организационные. Как видим доля образовательных учреждений растёт, но медленно. Это означает, что с утечками можно бороться при различном уровне финансирования.

Ниже представлено распределение утечек по типу разглашённой информации. Наверное, следует ещё раз подчеркнуть, что все факты собираются из сообщений прессы, которая пишет в основном о персональных данных. Поэтому существенной статистики по иным видам конфиденциальной информации ожидать не приходится.

Таблица 2.6 – Распределение инцидентов по типу конфиденциальной информации

Тип данных

Количество
инцидентов

Доля

Персональные данные

239

96%

Коммерческая тайна, ноу-хау

4

2%

Государственная, военная тайна

2

1%

Не установлено

4

2%

Факт утечки государственной тайны сам вполне может являться государственной тайной. Аналогично и с тайной коммерческой. Зато утечка персональных данных обычно оглашается при первой возможности. Для СМИ это удачная тема, поскольку каждый читатель/зритель без малейшего труда ассоциирует себя с жертвой такой утечки. Следовательно, читает/смотрит материал заинтересованно.

В таблице 2.7 показано распределение утечек по носителю. То есть, при помощи какого носителя (канала) конфиденциальная информация пересекла охраняемый периметр.

Таблица 2.7 – Распределение утечек по носителям

Носители

Количество
инцидентов

Доля

Мобильные носители информации

63

0,40%

Стационарный компьютер или диск

31

2,01%

Сеть (в т.ч. Интернет)

72

0,40%

Электронная почта, факс

9

1,20%

Бумажный документ

22

0,80%

Архивная копия

8

0,40%

Другое

9

9,24%

Не установлено

35

1,20%

Рисунок 2.4. Структура распределения утечек по носителям, %

Больше всего данных утекло через сеть (чего и следовало ожидать), а на втором месте – переносные компьютеры. Их теряют и крадут. Крадут и теряют. Постоянно возрастающими темпами. В этот раз мы решили, что логично будет объединить переносные компьютеры с отчуждаемыми носителями (CD, DVD, флэшки) и назвать это «мобильные носители информации». Данная категория почти сравнялась с утечками через сеть (25 против 29%). Для случайных утечек «мобильные носители» не только догоняют, но и уверенно опережают утечки через сеть (15 против 12%).

О чём это говорит? Трафик в частности и услуги связи в целом за последнее время подешевели, но не сильно. Зато мобильные носители информации – очень сильно. Гигабайтные флэшки продаются в газетных киосках как карандаши. В метро читающих книги стало меньше, чем читающих наладонники. Именно удешевление портативных компьютеров и иных носителей информации привело к росту доли «мобильных» утечек.

Таблица 2.8 – Распределение по носителям для умышленных утечек

Носители

Количество
инцидентов

Доля

Мобильные носители информации

14

15%

Стационарный компьютер или диск

13

14%

Сеть (в т.ч. Интернет)

38

41%

Paper document

2

2%

Другое

6

7%

Не установлено

19

21%

Рисунок 2.5 Структура распределения утечек по носителям для умышленных утечек, %

Таблица 2.9 – Распределение по носителям для случайных утечек

Носители

Количество
инцидентов

Доля

Мобильные носители информации

37

30%

Стационарный компьютер или диск

16

13%

Сеть (в т.ч. Интернет)

30

24%

Электронная почта, факс

9

7%

Бумажный документ

16

13%

Архивная копия

5

4%

Другое

3

2%

Не установлено

8

6%

Рисунок 2.6 Структура распределения утечек по носителям для случайных утечек, %

Таким образом, наибольшая разница между умышленными и случайными утечками наблюдается (помимо мобильных носителей, что обсуждалось выше) для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще.

Респонденты предпочитали иные каналы: HTTP, флэшки, переносные диски, даже бумагу. Но только не электронную почту. Нетрудно догадаться. Легче переслать – легче и проконтролировать. Когда служба безопасности замышляет учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты. Зачастую ей и заканчивают.

Вывод, который напрашивается из показанной статистики. Время утечек через e-mail прошло. Если система защиты предприятия от утечек проверяет только электронную почту, она почти бесполезна (эффективность 3,5%). Настоящая DLP-система должна контролировать HTTP, ICQ, запись на флэшки, на CD/DVD, распечатку на принтере. Но и этого недостаточно. Чтобы закрыть самые распространённые бреши, надо ещё зашифровать данные на дисках мобильных компьютеров. В первую очередь следует бороться с ненамеренными утечками конфиденциальной информации. Вследствие падения цен на мобильные компьютеры и мобильные носители информации медленно растёт доля утечек, связанных с ними.

Глава 3.Технлогия «клиент-сервер» на предприятии ОАО «Олимп»

Технология клиент-сервер предусматривает наличие двух самостоятельных взаимодействующих процессов – сервера и клиента, связь между которыми осуществляется по сети.

Серверами называются процессы, отвечающие за поддержку базы данных и файловой системы, а клиентами – процессы, которые посылают запрос и ожидают ответ от сервера.

Модель клиент-сервер используется при построении системы обработки информации на основе СУБД, а также почтовые системы. Существует еще так называемая файл-серверная архитектура, которая существенно отличается от клиент-серверной.

Данные в файл-серверной системе сохраняются на файловом сервере (Novell NetWare или WindowsNT Server), а обрабатываются они на рабочих станциях посредством функционирования СУБД, таких как Access, Paradox, FoxPro и т.п. СУБД располагается на рабочей станции, а манипулирование данными производится несколькими независимыми и несогласованными между собой процессами. В

се данные при этом передаются с сервера по сети на рабочую станцию, что замедляет скорость обработки информации. Технология клиент-сервер реализована функционированием двух (как минимум) приложений – клиентов и сервера, которые делят функции между собой.

За хранение и непосредственное манипулирование данных отвечает сервер, примером которого может быть SQLServer, Oracle, Sybase и другие. Пользовательский интерфейс формирует клиент, в основе построения которого используются специальные инструменты или настольные СУБД.

Логическая обработка данных выполняется частично на клиенте, и частично на сервере. Посылка запросов на сервер выполняется клиентом, обычно на языке SQL.

Полученные запросы обрабатываются сервером, и клиенту (клиентам) возвращается результат. При этом данные обрабатываются там же, где они хранятся – на сервере, поэтому большой объем их не передается по сети.

Технология клиент-сервер привносит в информационную систему такие качества:

Надежность Модификация данных осуществляется сервером баз данных при помощи механизма транзакций, придающего совокупности операций такие свойства, как:

1) атомарность, которая обеспечивает целостность данных при любом завершении транзакции;

2) независимость транзакций разных пользователей;

3) устойчивость к сбоям – сохранение результатов завершения транзакции.

Масштабируемость, т.е. способность системы не зависеть от количества пользователей и объемов информации без замены используемого программного обеспечения. Технология клиент-сервер поддерживает тысячи пользователей и гигабайты информации при соответствующей аппаратной платформе.

Безопасность, т.е. надежная защита информации от несанкционированного доступа.

Гибкость. В приложениях, работающих с данными, выделяют логических слои: пользовательский интерфейс; правила логической обработки; управление данными. Как уже было отмечено, в файл-серверной технологии все три слоя объединяются в одно монолитное приложение, функционирующее на рабочей станции, а все изменения в слоях обязательно приводят к модификации приложения, различаются версии клиента и сервера, и требуется проводить обновление версий на всех рабочих станциях.

Технология клиент-сервер в двухуровневом приложении предусматривает выполнение всех функций по формированию интерфейса пользователя на клиенте, а всех функций по управлению информацией баз данных – на сервере, бизнес-правила возможно реализовывать как на сервере, так и на клиенте.

Трехуровневое приложение допускает промежуточный уровень, который реализует бизнес-правила, являющиеся наиболее изменяемыми компонентами. Несколько уровней позволяют гибко и с наименьшими затратами адаптировать имеющееся приложение к постоянно модифицируемым требованиям бизнеса.

Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.

Защита сетевого доступа — независимо от того, рассматривается она в применении к территориальной сети предприятия, удаленному доступу или Internet — имеет модульную архитектуру, состоящую из следующих трех компонентов:

Рисунок 3.1 – Функции ААА

Аутентификация. Требует от пользователей доказательства того, что они действительно являются теми, за кого себя выдают, например, посредством ввода имени пользователя и пароля, использования системы запросов/подтверждений, идентификационных карт или какого-то другого метода.

Рисунок 3.2 – Трехстороння модель Аутентификации

В общем виде схема аутентификации представлена в приложении 2-3.

Схема разделена на две части не случайно: в первой описывается основной путь прохождения от управляющих линий до методов аутентификации, во второй — сами способы аутентификации. 

Заключение

Информация – это сведения о лицах, фактах, предметах, явлениях, событиях и процессах. Особым образом защищают внутреннюю, конфиденциальную и секретную информацию. Информация о компании, служебная, коммерческая, промышленная, профессиональная, или другая информация – это первостепенные объекты защиты.

Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.

Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.

Формирование структуры информационной системы ОАО «ОЛИМП» начинается с качественного анализа информационного поля предприятия.

Выделяют два основных информационных потока на предприятии ОАО «ОЛИМП»:

1. Информационный поток, обслуживающий движение материального потока.

2. Информационный поток, обслуживающий процесс управления.

На основании указанной информации выбираются стратегии развития предприятия, которые вместе с другими данными, такими как данные маркетингового анализа и прогноза состояния основных рынков сбыта продукции предприятия, являются базой для планирования деятельности предприятия.

Мы выяснили, что наибольшая разница между умышленными и случайными утечками наблюдается (помимо мобильных носителей, что обсуждалось выше) для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще. Респонденты предпочитали иные каналы: HTTP, флэшки, переносные диски, даже бумагу. Но только не электронную почту. Нетрудно догадаться. Легче переслать – легче и проконтролировать. Когда служба безопасности замышляет учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты. Зачастую ей и заканчивают.

Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.

В ходе исследования мы пришли к выводу, что внедрение защиты «ААА» позволит предприятию повысить эффективность прохождения информации, ее обработке, быстрому принятию решений, повышению производительности труда.

Список использованной литературы

  1. Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»)
  2. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781.
  3. «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.
  4. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.
  5. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.
  6. Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее – ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:
  7. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
  8. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
  9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
  10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
  11. Бессонов А. Б. Организационно-правовое обеспечение информационной безопасности организации // Науч.-техн. информ. – 2016.- N 9 .- С. 16-28 [1]
  12. Быкова А. Тот, кто владеет информацией…, или Персонал как слабый элемент системы безопасности компании // Кадровик. – 2012. – N 5 .- С. 12-14.[2]
  13. Гостев И. М. Защита традиционного документооборота нетрадиционными способами // Защита информации. Инсайд. – 2012. – N 3. – С. 22-27 [3],[18]
  14. Загородников С. Н. Организационное и правовое обеспечение информационной безопасности / / Информ. технологии. – 2016. – N 2. – С. 23-26. [4]
  15. Иванов В. П. К вопросу о создании основания теории защиты информации как внутренне совершенной и внешне оправданной научной теории// Защита информ. Инсайд. – 2016 .- N 5 .- С. 28-31 [20]
  16. Ищейнов В. Я. Организация защиты коммерческой тайны на объектах информатизации // Делопроизводство. – 2012.- N 1 .- С. 49-54
  17. Ключко Н. В. Закладываем фундамент информационной безопасности предприятия // Делопроизводство и документооборот на предприятии. – 2012. – N 5. – С. 44-55 [14]
  18. Кондрашин М. Проблемы корпоративной информационной безопасности : взгляд // КомпьютерПресс. – 2016. – N 3. – С. 12-16 [15]
  19. Максимович Г. Ю. Современные информационные технологии хранения информации и организация доступа к ней // Секретарское дело. – 2012. – N 1. – С. 30-36 [19],[21]
  20. Марков А. С. Разработка политики безопасности организации в свете новейшей нормативной базы // Защита информ. Конфидент. – 2016. – N 2. – С. 20-28 [13]
  21. Петренко С. А. Лучшие практики создания корпоративных нормативных документов по безопасности // Защита информ. Инсайд. – 2012. – N 5. – С. 58-69 [7]
  22. Служебные тайны Полишинеля // Там же. – 2015. – N 5. – С. 33-34 [8],[16]
  23. Степанов Е. А. Защита информации при работе с посетителями // Секретарское дело. – 2012. – N 1. – С. 28-32 [17]
  24. Степанов Е. А. Работа секретаря с конфиденциальными документами // Справочник секретаря и офис-менеджера. – 2016. – N 5. – С. 32 – 38 [11]
  25. Сукач А. Н. Организационные мероприятия по защите конфиденциальных документов // Отдел кадров. – 2012. – N 3. – С. 56-59 [9], [12]
  26. Теренин А. А. Как построить модель типового нарушителя информационной безопасности // Защита информ. Инсайд. – 2015. – N 5. – С. 18-24 [10]
  27. Топилин Я. Н. Положение о разрешительной системе допуска к информационным ресурсам организации, содержащим персональные данные (работников, клиентов, граждан) // Там же. – 2015 .- N 1 .- С. 18-24
  28. Храмцовская Н. А. Информационная безопасность и защищенный документооборот // Делопроизводство и документооборот на предприятии. – 2012. – N 4. – С. 6-18 [5]
  29. Шубин А. С. Наша Тайна громко плачет…. // Защита информ. Инсайд. – 2016 .- N 1 .- С. 19-27 [6]

Приложения

Приложение 1

Основные информационные потоки на предприятии ОАО «ОЛИМП»

Приложение 2

Схема аутентификации

Приложение 3


Схема аутентификации ААА

СПИСОК ДЛЯ ТРЕНИРОВКИ ССЫЛОК

  • Разработка регламента выполнения процесса «Складской учет» (Разработка регламента выполнения процесса «Складской учет» )
  • Особенности политики мотивации персонала малых предприятий (Теоретические аспекты системы мотивации труда)
  • ДИАГНОСТИКА И ПОСТРОЕНИЕ КОРПОРАТИВНОЙ КУЛЬТУРЫ.
  • Диагностика и построение корпоративной культуры. Теория и анализ
  • Кадровая служба предприятия: назначение, принципы построения, цели
  • Защита права собственности (Судебная защита права собственности)
  • Внесудебные способы защиты собственности и ограниченных вещных прав
  • Аудиторская деятельность как вид предпринимательства: общая характеристика (Виды аудита и классификация этой деятельности)
  • Виды юридических лиц в Российской Федерации (Коммерческие организации)
  • Правовые проблемы российского нотариата на современном этапе (Нотариат в контексте развития российской государственности)
  • Офис управления проектами: функции, структура, особенности формирования (Фазы жизненного цикла проекта)
  • Проектная структура (Практика применения проектных структур на примере ООО «Завод «КиС»)

Обновлено: 04.05.2023

Каналы утечки информации – пути, которыми может быть получен доступ к конфиденциальной информации.

Утечка – бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации по техническому каналу – бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.
Структура канала утечки информации

К техническим средствам приёма, обработки, хранения и передачи информации (ТСПИ)относят технические средства, непосредственно обрабатывающие конфиденциальную информацию. В их число входят ЭВМ, АТС, информационно-коммуникационные системы, системы оперативно-командной и громкоговорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д.

При выявлении технических каналов ТСПИ необходимо рассматривать как систему, включающую основное оборудование, оконечные устройства, соединительные линии, структурированные кабельные линии локальных сетей, распределительные и коммутационные устройства, системы питания и заземления. Такие технические средства называют также основными техническими средствами (ОТС).

Наряду с ТСПИ в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся наряду с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ТСПИ. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). Это технические средства открытой телефонной и громкоговорящей связи, системы управления и контроля доступом, системы кондиционирования, электрификации, радиофикации, оповещения, электробытовые приборы и т.д.

В качестве канала утечки информации наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны (КЗ).

Контролируемая зона – территория (либо здание, группа помещений, помещение), на которой исключено неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного или разового допуска.

  • Стационарной аппаратурой , размещенной на территории посольств и консульств иностранных государств
  • Взаимной аппаратурой, размещённой в транспортных средствах, осуществляющих движение вблизи ОИ или при их парковке рядом с этих ОИ
  • Портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании непосредственно вблизи от ОИ
  • Автономной автоматической аппаратурой, скрытно внедренной в ОИ (СВТ)
  • Электромагнитные излучения
  • Электромагнитные наводки на цепи электропитания, заземления и тд
  • Паразитная модуляция высокочастотных генераторов информационными сигналами
  • Акустоэлектрические преобразования в элементах и узлах технических средств
  • Побочные электромагнитные излучения и наводки (ПЭМИН), возникающие вследствие протекания переменного электрического тока (информативных сигналов) по элементам ТСПИ
  • Модуляция информативным сигналом ПЭМИ высокочастотных генераторов ТСПИ (на частотах работы высокочастотных генераторов)
  • Модуляция информативным сигналом паразитного электромагнитного излучения ТСПИ (возникающего, например вследствие самовозбуждения усилителей низкой частоты)
  • Вывод информации на экран монитора
  • Ввод данных с клавиатуры
  • Запись информации на накопители и магнитные носители
  • Чтение информации с накопителей на магнитных носителях
  • Передача данных в каналы связи
  • Вывод данных в каналы связи
  • Вывод данных на периферийные печатные устройства –принтеры, плоттеры
  • Запись данных от сканера в ОЗУ

Электромагнитные наводки

  • Наводки информативных сигналов в электрических цепях ТСПИ, вызванные информативными излучениями (ПЭМИ) ТСПИ
  • Наводки информативных сигналов в соединительных линиях ВТСС и посторонних проводниках, вызванные информативными ПЭМИ ТСПИ
  • Наводки информативных сигналов в электрических цепях ТСПИ, вызванные внутренними емкостными и (или) индуктивными связями(просачивание информативных сигналов в цели электропитания через блоки питания ТСПИ)
  • Наводки информативных сигналов в цепях заземления, вызванные информативным ПЭМИ ТСПИ, а также гальванической связью схемой (рабочей) земли и блоков ТСПИ
  • к линиям электропитания ТСПИ
  • к линиям заземления ТСПИ
  • к линиям электропитания и соединительным линиям ВТСС
  • к посторонним проводникам

Понятие паразитного канала утечки информации

Термин сформировался из понимания, что естественное электромагнитное излучение и виброакустические волны, выходящие из охраняемого помещения, могут быть просто перехвачены злоумышленником. Для этого не требуется создавать искусственную утечку путем внешнего подключения к каналам передачи данных. Законы физики предоставят материалы для перехвата и анализа, остается добиться связи с коммуникациями закладных устройств, способных перехватить и расшифровать изменения напряжения поля. В ситуации, когда компьютер, на котором обрабатывается информация наивысшей степени конфиденциальности, не подключен к Интернету в целях безопасности, использование паразитарных каналов в линиях связи и электропитания становится оптимальным вариантом съема данных.

Для перехвата данных на канал утечки информации ставят скрытые устройства — закладки. Они могут быть автономными — питаться от аккумуляторных батарей, и полуавтономными, получая энергию от электросети или прибора, в который встроено закладное устройство (ЗУ).

  • электромагнитные;
  • акустические;
  • виброакустические;
  • внешние каналы связи — телефонные, выделенные линии;
  • вибрационные.
  • по каналам электропитания;
  • по проводам заземления.
  • установкой закладного устройства на канал электропитания или связи, записывающего акустический сигнал и передающего его вовне на определенной радиоволне, перехватываемой установленным вне помещения радиопередатчиком;
  • путем перехвата и затем расшифровки колебаний от звуковых волн стекол окон, линий связи и коммуникаций.

Вибрационные каналы утечки информации, использующие паразитарные связи, разнообразны. В качестве примера можно привести движение руки по клавиатуре, при котором вибрация передается к ножкам стола. Если набор идет одной рукой, то по времени перерывов между ударами по клавишам, перехваченных закладным устройством, установленным на ножке стола, можно понять, какой текст набирался.

Акустоэлектрические преобразования в элементах и узлах технических средств.

Возникают в следствие преобразования информативного сигнала из акустического в электрический за счет “микрофонного” эффекта в электрических элементах вспомогательных технических средств и систем (ВТСС).

Некоторые элементы ВТСС, в том числе трансформаторы, катушки индуктивности, электромагниты вторичных электрочасов, звонков телефонных аппаратов, дроссели ламп дневного света, электрореле и т. п., обладают свойством изменять свои параметры (емкость, индуктивность, сопротивление) под действием акустического поля, создаваемого источником акустических колебаний. Изменение параметров приводит либо к появлению на данных элементах электродвижущей силы (ЭДС), изменяющейся по закону воздействующего информационного акустического поля, либо к модуляции токов, протекающих по этим элементам, информационным сигналом. Например, акустическое поле, воздействуя на якорь электромагнита вызывного телефонного звонка, вызывает его колебание. В результате чего изменяется магнитный поток сердечника электромагнита. Изменение этого потока вызывает появление ЭДС самоиндукции в катушке звонка, изменяющейся по закону изменения акустического поля.

ВТСС, кроме указанных элементов, могут содержать непосредственно электроакустические преобразователи. К таким ВТСС относятся некоторые датчики пожарной сигнализации, громкоговорители ретрансляционной сети и т.д. Эффект электроакустического преобразования акустических колебаний в электрические часто называют “микрофонным эффектом”. Причем из ВТСС, обладающих “микрофонным эффектом”, наибольшую чувствительность к акустическому полю имеют абонентские громкоговорители и некоторые датчики пожарной сигнализации.

Перехват акустических колебаний в данном канале утечки информации осуществляется путем непосредственного (гальванического) подключения к соединительным линиям ВТСС, обладающим “микрофонным эффектом”, специальных высокочувствительных низкочастотных усилителей (пассивный акустоэлектрический канал) (рисунок 3.28). Например, подключая такие средства к соединительным линиям телефонных аппаратов с электромеханическими вызывными звонками, можно прослушивать разговоры, ведущиеся в помещениях, где установлены эти аппараты (рисунок 3.29). Но вследствие незначительного уровня наведенной ЭДС дальность перехвата речевой информации, как правило, не превышает нескольких десятков метров.

Активный акустоэлектрический технический канал утечки информации образуется путем несанкционированного контактного введения токов высокой частоты от соответствующего генератора в линии (цепи), имеющие функциональные связи с нелинейными или параметрическими элементами ВТСС, на которых происходит модуляция высокочастотного сигнала информационным (рисунок 3.30). Информационный сигнал в данных элементах ВТСС появляется вследствие электроакустического преобразования акустических сигналов в электрические. В силу того, что нелинейные или параметрические элементы ВТСС для высокочастотного сигнала, как правило, представляют собой несогласованную нагрузку, промодулированный высокочастотный сигнал будет отражаться от нее и распространяться в обратном направлении по линии или излучаться. Для приема излученных или отраженных высокочастотных сигналов используются специальные приемники с достаточно высокой чувствительностью. Для исключения влияния зондирующего и переотраженного сигналов могут использоваться импульсные сигналы.

Такой метод получения информации часто называется методом “высокочастотного навязывания”и,в основном, используется для перехвата разговоров, ведущихся в помещении, путем подключения к линии телефонного аппарата, установленного в контролируемом помещении (рисунок 3.31). Для исключения воздействия высокочастотного сигнала на аппаратуру АТС в линию, идущую в ее сторону, устанавливается специальный фильтр нижних частот. Аппаратура высокочастотного навязывания” может подключаться к телефонной линии на удалении до нескольких сот метров от выделенного помещения.

Шифрование – это процесс использования кода для предотвращения доступа других сторон к информации. Когда данные зашифрованы, доступ к ним могут получить только те, у кого есть ключ. Пока используется достаточно сложная система, и она используется правильно, злоумышленники не смогут увидеть данные.

Данные шифруются с помощью алгоритмов шифрования, которые также известны как шифры. Одно из наиболее важных различий между шифрованием и хэшированием заключается в том, что шифрование предназначено для использования в обоих направлениях. Это означает, что после того, как что-то было зашифровано ключом, оно также может быть расшифровано.

Это делает шифрование полезным в ряде ситуаций, например, для безопасного хранения или передачи информации. Как только данные зашифрованы должным образом, они считаются безопасными и доступны только тем, у кого есть ключ. Наиболее известным типом является шифрование с симметричным ключом, которое включает использование одного и того же ключа в процессах шифрования и дешифрования..

Общие алгоритмы шифрования:

Шифрование в действии

Тема 2. Угрозы и возможные каналы утечки конфиденциальной информации.

Анализ способов нарушений информационной безопасности. Использование защищенных компьютерных систем Основные закономерности возникновения и классификация угроз информационной безопасности. Пути и каналы утечки информации и их обобщенная модель. Классификация каналов утечки информации. Модели безопасности и их применение.

Компьютерная преступность — это противоправная и осознанная деятельность образованных людей и, следовательно, наиболее опасная для общества. Итак, западными специалистами и экспертами констатируется крайне тяжелое положение с информационной безопасностью в финансовых структурах, их неспособность, противостоять возможным атакам на информационные системы.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Основные определения и критерии классификации угроз

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой , а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности , ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности “открывается” с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события:

должно стать известно о средствах использования пробела в защите;

должны быть выпущены соответствующие заплаты;

заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат – как можно более оперативно.

Нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Угрозы можно классифицировать по нескольким критериям:

по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

по расположению источника угроз (внутри/вне рассматриваемой ИС).

Угрозы могут быть как случайными, так и умышленными (преднамеренно создаваемыми).

К случайным угрозам относятся:

ошибки обслуживающего персонала и пользователей:

потеря информации, обусловленная неправильным хранением архивных данных;

случайное уничтожение или изменение данных;

сбои оборудования и электропитания:

сбои кабельной системы;

сбои дисковых систем;

сбои систем архивирования данных;

сбои работы серверов, рабочих станций, сетевых карт и т. д.

некорректная работа программного обеспечения:

изменение данных при ошибках в программном обеспечении;

заражение системы компьютерными вирусами.

случайное ознакомление с конфиденциальной информацией посторонних лиц.

К умышленным угрозам относятся:

несанкционированный доступ к информации и сетевым ресурсам;

раскрытие и модификация данных и программ, их копирование;

раскрытие, модификация или подмена трафика вычислительной сети;

разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;

кража магнитных носителей и расчетных документов;

разрушение архивной информации или умышленное ее уничтожение;

перехват и ознакомление с информацией, передаваемой по каналам связи, и т. п.

В качестве основного критерия мы будем использовать первый (по аспекту ИБ), привлекая при необходимости остальные.

Наиболее распространенные угрозы доступности

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

внутренний отказ информационной системы;

отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов являются:

отступление (случайное или умышленное) от установленных правил эксплуатации;

выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

ошибки при (пере)конфигурировании системы;

отказы программного и аппаратного обеспечения;

разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

разрушение или повреждение помещений;

невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые “обиженные” сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации-“обидчику”, например:

встроить логическую бомбу, которая со временем разрушит программы и/или данные;

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных “злоумышленников” (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

Некоторые примеры угроз доступности

Угрозы доступности могут выглядеть грубо – как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными причинами (чаще всего – грозами). К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, и случаи выгорания оборудования – не редкость.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом – с помощью так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует все же признать надуманной.

Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранят небрежно (к этому мы еще вернемся при обсуждении угроз конфиденциальности), не обеспечивая их защиту от вредного воздействия окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Перейдем теперь к угрозам доступности, которые будут похитрее засоров канализации. Речь пойдет о программных атаках на доступность.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно – полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное.

При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов – атака , получившая наименование “SYN-наводнение”. Она представляет собой попытку переполнить таблицу “полуоткрытых” TCP-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке “Papa Smurf” уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты “съедают” полосу пропускания.

Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме – как скоординированные распределенные атаки, когда на сервер с множества разных адресов с максимальной скоростью направляются вполне легальные запросы на соединение и/или обслуживание. Временем начала “моды” на подобные атаки можно считать февраль 2000 года, когда жертвами оказались несколько крупнейших систем электронной коммерции (точнее – владельцы и пользователи систем). Отметим, что если имеет место архитектурный просчет в виде разбалансированности между пропускной способностью сети и производительностью сервера, то защититься от распределенных атак на доступность крайне трудно.

Для выведения систем из штатного режима эксплуатации могут использоваться уязвимые места в виде программных и аппаратных ошибок. Например, известная ошибка в процессоре Pentium I дает возможность локальному пользователю путем выполнения определенной команды “подвесить” компьютер, так что помогает только аппаратный RESET.

Программа “Teardrop” удаленно “подвешивает” компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

Похожие страницы:

Характеристика организационных и технических мер инженерно технической защиты информации в государственных

. Конфиденциальность как главное условие защиты информации от несанкционированного доступа 2.4 Конфиденциальные документы 2.5 Угрозы конфиденциальной информации 2.6 Каналы утраты информации . возможных каналов утечки конфиденциальной информации через .

Защита информации на предприятии (1)

. опасных угроз является утечка хранящейся и обрабатываемой внутри АС конфиденциальной информации. Как . выделить следующие возможные каналы утечки конфиденциальной информации (рис. 1): несанкционированное копирование конфиденциальной информации на внешние .

Создание системы защиты информации на предприятии (2)

. возможных каналов утечки конфиденциальной информации с объекта защиты Таблица 3 Наименование эл. информации Гриф информации Наименование источника информации Местонахождение источника информации .

Основные направления, принципы и условия организационной защиты информации

. соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные . работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации; – определять обязанности и задачи .

Современные проблемы и основные направления совершенствования защиты информации

. сведений конфиденциального характера; в) анализ угроз безопасности информации и оценка реальной возможно­сти перехвата информации . физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники .

Технические средства защиты от утечки информации [02.04.11]

Для раскрытия данной темы будут выведены вопросы:

  1. Анализ современных технологий защиты от утечки конфиденциальной информации
  2. Исследовать требования к современным средствам защиты информации
  3. Классификация технических средств защиты от утечки информации
  4. Рассмотреть каналы утечки конфиденциальной информации
  5. Исследовать системы активного мониторинга рабочих станций пользователей

Для выполнения и оформления курсовой работы были использованы:

Персональный компьютер (IBM-совместимый):

– микропроцессор Intel(R) Pentium(R) 4 CPU 3.00 GHz;

– тактовая частота 3.01 ГГц;

– оперативная память объёмом 512 Мб;

– винчестером Hitachi HDP725050GLA360 объёмом 500Гб;

– струйный цветной принтер.

операционная система – MS Windows XP;

пакеты прикладных программ:

– текстовый процессор MS Word 2003;

– табличный MS Excel 2003;

– программа подготовки презентации MS Power Point 2003;

1. Теоретическая часть. Технические средства защиты от утечки информации

Введение

Во все времена информация являлась основой развития человечества и любых сфер деятельности. На сегодняшний день, в любом бизнес-процессе ключевую роль играет обладание информацией, а значит – её защита.

За последние годы актуальность этой угрозы возросла настолько, что сегодня кража классифицированных сведений стабильно занимает первые места во всех рейтингах угроз ИТ-безопасности. Возрастающее использование электронной почты, интернет – пейджеров и других средств передачи данных, распространенность мобильных устройств – все это значительно осложняет контроль над потоками данных, а следовательно содействует утечки информации.

1.1. Анализ Современных технологий защиты от утечки конфиденциальной информации

На сегодняшний день автоматизированные системы являются основой обеспечения практически любых бизнес-процессов, как в коммерческих, так и в государственных организациях. Вместе с тем повсеместное использование автоматизированных систем для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Так, по данным Министерства Внутренних Дел РФ количество компьютерных преступлений, связанных с несанкционированным доступом к конфиденциальной информации увеличилось с шестистах в 2000-м году до семи тысяч в 2003-м. При этом, как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри автоматизированных систем конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемлённые в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Всё это заставляет более пристально рассмотреть как возможные каналы утечки конфиденциальной информации, так и ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных[5].

1.2. Требования к современным средствам защиты информации

Согласно требованиям гостехкомиссии России средства защиты информации от несанкционированного доступа, отвечающие высокому уровню защиты, должны обеспечивать:

  • дискреционный и мандатный принцип контроля доступа;
  • очистку памяти;
  • изоляцию модулей;
  • маркировку документов;
  • защиту ввода и вывода на отчуждаемый физический носитель информации;
  • сопоставление пользователя с устройством;
  • идентификацию и аутентификацию;
  • гарантии проектирования;
  • взаимодействие пользователя с комплексом средств защиты;
  • надёжное восстановление;
  • целостность комплекса средств защиты;
  • контроль модификации;
  • контроль дистрибуции;
  • гарантии архитектуры;

Комплексные средства защиты информации от несанкционированного доступа не должны сопровождаться пакетом следующих документов:

  • руководство по средствам защиты информации;
  • руководство пользователя;
  • тестовая документация;
  • конструкторская (проектная) документация.

1.3. Классификация технических средств защиты

Под техническими средствами приема, обработки, хранения и передачи информации (ТСПИ) понимают технические средства, непосредственно обрабатывающие конфиденциальную информацию. К таким средствам относятся: электронновычислительная техника, режимные АТС, системы оперативно-командной и громко-говорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д.

При выявлении технических каналов утечки информации ТСПИ необходимо рассматривать как систему, включающую основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами), распределительные и коммутационные устройства, системы электропитания, системы заземления.

Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий.

Наряду с ТСПИ в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, элетрофикации, радиофикации, часофикации, электробытовые приборы и т.д.

Таблица 1. Технические средства защиты информации

технические средства открытой телефонной связи

системы пожарной и охранной сигнализации

системы оперативно-командной связи

системы громко-говорящей связи

В качестве канала утечки информации наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т.е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков.

Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками.

В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрический.

1.4. Каналы утечки конфиденциальной информации

Модель нарушителя, которая используется в данной курсовой работе, предполагает, что в качестве потенциальных злоумышленников могут выступать сотрудники компании, которые для выполнения своих функциональных обязанностей имеют легальный доступ к конфиденциальной информации. Целью такого рода нарушителей является передача информации за пределы АС с целью её последующего несанкционированного использования – продажи, опубликования её в открытом доступе и т.д. В этом случае можно выделить следующие возможные каналы утечки конфиденциальной информации (рисунок 1.):

Рисунок 1. Каналы утечки конфиденциальной информации

Рисунок 1. Каналы утечки конфиденциальной информации

Считается, что в основе любой системы защиты от атак, связанных с утечкой конфиденциальной информации, должны лежать организационные меры обеспечения безопасности. В рамках этих мер на предприятии должны быть разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, возможные угрозы, которые с ними связаны, а также перечень тех мероприятий, которые должны быть реализованы для противодействия указанным угрозам. Примерами таких организационных документов могут являться концепция и политика информационной безопасности, должностные инструкции сотрудников компании и др. В дополнении к организационным средствам защиты должны применяться и технические решения, предназначенные для блокирования перечисленных выше каналов утечки конфиденциальной информации[5].

1.5. Системы активного мониторинга рабочих станций пользователей

Системы активного мониторинга представляют собой специализированные программные комплексы, предназначенные для выявления несанкционированных действий пользователей, связанных, в частности, с попыткой передачи конфиденциальной информации за пределы контролируемой территории предприятия. Системы мониторинга состоят из следующих компонентов:

  • модули-датчики, устанавливаемые на рабочие станции пользователей и обеспечивающие сбор информации о событиях, регистрируемых на этих станциях;
  • модуль анализа данных, собранных датчиками, с целью выявления несанкционированных действий пользователей, связанных с утечкой конфиденциальной информации;
  • модуль реагирования на выявленные несанкционированные действия пользователей;
  • модуль хранения результатов работы системы;
  • модуль централизованного управления компонентами системы мониторинга[1, c. 31].

Датчики систем мониторинга устанавливаются на те рабочие станции, на которых пользователи работают с конфиденциальной информацией. На основе настроек, заданных администратором безопасности, датчики системы позволяют контролировать доступ приложений пользователей к конфиденциальной информации, а также накладывать ограничения на те действия, которые пользователь может выполнить с этой информацией. Так, например, системы активного мониторинга позволяют запретить запись конфиденциальной информации на внешние носители, заблокировать передачу информации на внешние сетевые адреса, а также вывод данных на печать.

Преимуществом использования систем мониторинга является возможность создания виртуальной изолированной среды обработки конфиденциальной информации без физического выделения отдельной автоматизированной системы для работы с данными ограниченного доступа. Кроме того, системы этого типа позволяют программно ограничить вывод информации на внешние носители, что избавляет от необходимости физического удаления из компьютеров устройств записи информации, а также опечатывания портов и системных блоков. Однако применение систем активного мониторинга влечёт за собой установку дополнительного программного обеспечения на каждую рабочую станцию, что потенциально может привести к увеличению сложности администрирования автоматизированной системы, а также к возможным конфликтам в работе программ системы.

Заключение

Можно с уверенностью сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу, чтобы средства и действия, используемые для обеспечения информационной безопасности – организационные, физические и программно-технические – рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Необходимо постоянно следить за новыми решениями в этой области.

“Кто владеет информацией, тот владеет миром”. Эта знаменитая фраза Уинстона Черчилля не только не потеряла актуальность в наши дни, но, одновременно с развитием информационных технологий, значимость ее возросла многократно. 21 век можно назвать веком электронной информации. В работе и повседневной жизни мы используем компьютеры для обработки, хранения и передачи данных.

Широкая информатизация обществ, внедрение компьютерной технологии в сферу управления объектами государственного значения, стремительный рост темпов научно-технического прогресса наряду с положительными достижениями в информационных технологиях, создают реальные предпосылки для утечки конфиденциальной информации.

Компьютеры Одним из основных каналов утечки всегда были компьютеры, на которых хранится конфиденциальная информация. Это могут быть как серверы (например, сервер баз данных, почтовый сервер и пр.) и рабочие станции корпоративной сети, так и ноутбуки пользователей. Первые постоянно находятся в помещениях организации и не могут выноситься наружу сотрудниками. Вторые используются для выездной работы… Читать ещё >

Каналы утечек конфиденциальной информации ( реферат , курсовая , диплом , контрольная )

Компьютеры Одним из основных каналов утечки всегда были компьютеры, на которых хранится конфиденциальная информация. Это могут быть как серверы (например, сервер баз данных, почтовый сервер и пр.) и рабочие станции корпоративной сети, так и ноутбуки пользователей. Первые постоянно находятся в помещениях организации и не могут выноситься наружу сотрудниками. Вторые используются для выездной работы и могут свободно покидать территорию офиса. Таким образом, ноутбук, который используется вместо ПК на рабочем месте, тоже может считаться стационарным компьютером в плане обеспечения безопасности.

Другой причиной, заставляющей говорить о компьютерах как об основном канале утечек конфиденциальной информации, является следующий факт. Согласно исследованиям, они занимают просто огромную долю среди умышленных утечек данных. Между тем, именно умышленные утечки представляют собой наиболее серьезную угрозу и приводят к самым неприятным последствиям.

Интернет Сегодня Интернет активно используется во многих бизнес-процессах. Но, при этом, он представляет собой и достаточно серьезный канал для утечки конфиденциальной информации. По данным SecurIT на глобальную сеть в 2010 году приходилось около 35%, а в 2011 — уже 43,9% всех инцидентов, связанных с компрометацией данных (включая хакерские действия, подавляющее большинство которых осуществляется с использованием Интернета). InfoWatch приводит другие данные — 23% в 2010 и 19,8% в 2011. Видно, что эти цифры, в целом, перекликаются с показателями утечек через компьютеры. Именно поэтому Интернет и компьютерное оборудование на сегодняшний день и являются основными каналами утечки информации.

Бумажные документы Говоря об информационной безопасности и защите от утечек конфиденциальных данных, часто забывают о таком канале, как бумажные документы. Между тем, недооценивать его ни в коем случае нельзя. Согласно исследованиям, инцидентов, связанных с распечатанной на бумаге информацией, происходит достаточно много. По данным SecurIT в 2010 году их доля в общем количестве составляла 12,7%. InfoWatch предоставила еще более пессимистичную цифру — 20%. Правда, в 2011 году ситуация несколько улучшилась. SecurIT в своем отчете привела цифру в 7,4%, а InfoWatch — 19,1%. Тем не менее, видно, что бумажные документы сплошь и рядом оказываются более опасными, нежели съемные накопители и электронная почта.

Ситуацию усугубляет два факта. Во-первых, в большинстве организаций контроль заканчивается на печати документа. После этого его перемещение по офису и утилизация никак не отслеживается и полностью остается на совести сотрудников. Во-вторых, на сегодняшний день контроль за бумажными документами возможен только с помощью организационных мер (серьезно говорить о внедрении в офисе режима секретности по примеру организаций, работающих с документами, представляющих государственную тайну, мы не будем). Трудовая же дисциплина во многих компаниях остается достаточно низкой. В результате чего документы с конфиденциальной информацией отправляются не в шредер, а просто в мусорную корзину. Откуда они попадают в мульду и могут быть найдены злоумышленниками.

Примечательно распределение утечек конфиденциальной информации, связанных с бумажными документами, по умышленным и случайным инцидентам. Дело в том, что практически все они относятся ко второй категории. Более того, именно бумажные документы являются основным каналом случайной утечки информации и уверенно удерживают первое место. По данным InfoWatch их доля в общем числе достигает 30%! В то время как среди умышленных утечек они делят третье место с Интернетом со значением в 9%.

Другие каналы утечки Помимо основных, перечисленных выше, существует немало других каналов утечки конфиденциальной информации. Они значительно менее распространены, но, тем не менее, забывать о них нельзя. Тем более, что многие из этих каналов используются злоумышленниками для целенаправленной добычи определенной информации. То есть такие утечки, несмотря на их малый процент в общей доле, способны нанести ощутимый ущерб любой организации.

В первую очередь к таким каналам относятся архивные накопители, предназначенные для хранения копий конфиденциальной информации, включая всевозможные базы данных. Во многих компаниях информация на них записывается в открытом виде. Поэтому, при утере или краже такого накопителя данные легко становятся добычей злоумышленников. Это видно и по отчетам. Так, согласно данным InfoWatch, в 2010 на резервные накопители пришлось всего 2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году их доля выросла до 8,5%.

Другим каналом утечки конфиденциальных данных является некорректная утилизация компьютерного оборудования и носителей. Во многих организациях списанные компьютеры продаются или передаются в некоммерческие учреждения. И, при этом, бывают случаи, когда ПК отдаются в том виде, в каком они есть, без удаления всей информации. Но, даже если жесткий диск компьютера и будет отформатирован, вернуть данные к жизни не составит никакого труда. Перед утилизацией носитель должен быть подвергнут специальной процедуре очистки, которая сделает восстановление информации невозможным.

Помимо этого существует еще несколько каналов утечки конфиденциальной информации, включая мошеннические действия в отношении сотрудников компании, фишинг и пр.

Конфиденциальная информация, циркулирующая на предприятии, играет важную роль в его функционировании. Под конфиденциальной информацией понимают документированную информацию, доступ к которой ограничен законодательством Российской Федерации. Это могут быть сведения, которые составляют коммерческую тайну предприятия, персональные данные сотрудников или клиентов, служебная информация и др. Соответственно, эти данные могут стать объектом интереса злоумышленников. Поэтому необходимо создавать условия, при которых возможность утечки конфиденциальной информации будет минимизирована.

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена [3]. Утечка информации может осуществляться по различным каналам. Каналом утечки информации называют канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы [3].

Утечка информации может происходить в трёх формах:

утечка по техническим каналам;

несанкционированный доступ к информации.

Все каналы проникновения в систему и каналы утечки информации подразделяют на прямые и косвенные. Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы (например, утеря носителей информации, дистанционное прослушивание, перехват ПЭМИ). Для использования прямых каналов необходимо проникновение (это могут быть действия инсайдеров, несанкционированное копирование и т. д.).

Рассмотрим, как и откуда возникает канал утечки конфиденциальной информации, с какими угрозами информационной безопасности можно столкнуться, и как с ними бороться.

Утечка конфиденциальной информации может произойти при наличии интереса к ней у организации-конкурента, а также при наличии условий, позволяющих злоумышленнику овладеть информацией. Возникновение таких условий возможно как при случайном стечении обстоятельств, так и при умышленных действиях противника.

Основными источниками конфиденциальной информации являются [2]:

персонал предприятия, допущенный к конфиденциальной информации;

материальные носители конфиденциальной информации (документы, изделия);

технические средства, осуществляющие хранение и обработку конфиденциальной информации;

средства коммуникации, используемые в целях передачи конфиденциальной информации;

Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате [1]:

утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей;

невыполнения работником требований по защите конфиденциальной информации;

излишней разговорчивости персонала в местах общего пользования;

работ с конфиденциальной информации в присутствии посторонних лиц;

несанкционированной передачи конфиденциальной информации другому работнику;

отсутствия грифов секретности на документах, нанесения маркировки на носителях.

В условиях жесткой конкуренции большое внимание организаций-конкурентов конечно же привлекает конфиденциальная информация. Ведь, чем больше информации доступно, тем больше шансов найти уязвимости соперника. Поэтому каналы передачи и обмена конфиденциальной информации в процессе их функционирования могут быть подвергнуты атакам со стороны злоумышленников, что, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации.

Существуют специальные технические средства, которые позволяют получить информацию без непосредственного контакта с персоналом, документами, базами данных. При их использовании возникают технические каналы утечки информации. Под техническим каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования технического канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. Основными техническими каналами утечки информации являются электромагнитный, электрический, акустический, визуально-оптический и др. Такие каналы прогнозируемы и прерываются стандартными средствами противодействия [3].

Теперь перейдем непосредственно к угрозам конфиденциальной информации в информационных системах. К основным угрозам конфиденциальной информации относятся разглашение, утечка, несанкционированный доступ. Под угрозой безопасности конфиденциальной информации понимают совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее [2].

Результатом противоправных действий может стать нарушение конфиденциальности, достоверности, полноты информации, что, в свою очередь, может нанести материальный ущерб организации.

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на внутренние и внешние. Внутренними нарушителями могут стать администрация, сотрудники предприятия, имеющие доступ к информационной системе, персонал, обслуживающий здание (электрики, сантехники, уборщицы и т. д.). Источниками внешних угроз являются клиенты, посетители, представители конкурентных организаций, лица, нарушившие пропускной режим предприятия, а также любые лица, находящиеся за пределами контролируемой территории. Статистика показывает, что большинство угроз совершается собственными сотрудниками организации, в то время как доля внешних угроз сравнительно мала (Рисунок 1).

Рис. 1. Статистика угроз информационной безопасности

Стихийные источники угроз весьма разнообразны и непредсказуемы. Возникновение подобных источников сложно предусмотреть и им тяжело противодействовать. К ним относятся пожары, землетрясения, ураганы, наводнения и другие природные катаклизмы. Наступление таких событий может привести к нарушению функционирования предприятия и, соответственно, к нарушению обеспечения безопасности информации в организации.

Итак, какие же методы необходимо использовать для предотвращения утечки конфиденциальной информации? Необходимо комплексное использование различных средств защиты, таких как технические, программно-аппаратные, средства физической защиты.

Для защиты информации, хранимой в компьютере, необходимо использовать программные и аппаратные средства защиты. Рекомендуется использовать такие типы программных средств защиты персонального компьютера:

средства, обеспечивающие защиту от несанкционированного доступа в компьютер;

средства защиты диска от несанкционированных записи и чтения;

средства контроля за обращениями к диску;

средства удаления остатков секретной информации.

Основными мерами по предотвращению НСД к ПК являются физическая защита ПК и носителей информации, аутентификация пользователей, разграничение доступа к защищаемой информации, криптографическая защита, регистрация обращений к защищаемой информации. Так как существует вероятность заражения компьютера вирусами, не стоит забывать оснастить каждый ПК специальными противовирусными программами.

Итак, при обработке конфиденциальной информации в информационных системах предприятий возникает вероятность ее утечки. Утечка конфиденциальной информации может нанести серьезный материальный ущерб. Поэтому необходимо принимать меры по ее предотвращению. Для этого следует проанализировать все возможные источники и угрозы, и в соответствии с этим принимать решение о комплексном применении средств защиты информации.

Основные термины (генерируются автоматически): конфиденциальная информация, технический канал утечки информации, утечка, утечка информации, защищаемая информация, информационная безопасность, источник, канал, канал утечки информации, стать.

Похожие статьи

Разработка DLP-системы с использованием алгоритмов глубокого.

В ходе научной работы рассмотрены основные лидеры рынка Data Leak Protection — систем, предназначенных для корпоративных сетей малого и среднего бизнеса. Проведен сравнительный анализ рассмотренных систем по каналам утечки информации и выявлены.

Ключевые слова: утечка информации, машинный носитель.

Каналы утечки информации определяются структурой системы, в которой она циркулирует. Основными каналами утечки информации в информационных системах являются

Рекомендации по внедрению систем предотвращения утечек.

Некоторые технологии предотвращения утечек конфиденциальной информации поддерживают контроль мобильных устройств, поэтому стоит решить, необходима ли эта функция в данном случае.

Обеспечение информационной безопасности предприятия от.

информационная безопасность, конфиденциальная информация, средство, программное обеспечение, метод защиты информации, информационная безопасность предприятия, средство защиты, метод защиты.

Проблемы защиты информации в компьютерной сети

‒ скрытые каналы утечки информации — возможна передача конфиденциальной информации

Основные термины (генерируются автоматически): информационная безопасность, защита информации, корпоративная сеть, компьютерная сеть, информация.

Информационная безопасность и человеческий фактор

 утечка информации через сеть Интернет;  разглашение защищаемой информации третьим лицам. Существуют и другие типы угроз, связанные с недопустимой деятельностью сотрудников организации, но вышеперечисленные угрозы имеют наибольшую популярность.

Средства и методы обеспечения безопасности бизнеса.

Рис. 1. Схема технического канала утечки информации [5]. Во избежание утечки информации по ТКУИ в помещениях

Основные термины (генерируются автоматически): система, конфиденциальная информация, информационный сигнал, помеха, средство.

Методика контроля защищенности конфиденциальной.

Основные термины (генерируются автоматически): конфиденциальная информация, средство, защищаемая информация

Рекомендации по внедрению систем предотвращения утечек конфиденциальной информации (DLP-систем) в информационные системы предприятий.

Читайте также:

      

  • Битва на реке калке реферат
  •   

  • Цинк фосфатные цементы реферат
  •   

  • Реферат на тему мир в опасности
  •   

  • Леон вальрас биография реферат
  •   

  • Влияние эмоционального состояния на речевые нарушения у детей старшего дошкольного возраста реферат

Реферат: Утечка информации по техническим каналам

Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом и др. Но ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.

УТЕЧКА — бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена

ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ — физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охраняемым сведениям

Основываясь на этом, можно утверждать, что по физической природе возможны следующие средства переноса информации:

  • световые лучи;
  • звуковые волны;
  • электромагнитные волны;
  • материалы и вещества.

Иной возможности для переноса информации в природе не существует.

Используя в своих интересах те или иные физические поля, человек создает определенную систему передачи информации друг другу. Такие системы принято называть системами связи.

Любая система связи (система передачи информации) состоит из источника информации, передатчика, канала передачи информации, приемника и получателя сведений. Эти системы используются в повседневной практике в соответствии со своим предназначением и являются официальными средствами передачи информации, работа которых контролируется с целью обеспечения надежной, достоверной и безопасной передачи информации, исключающей неправомерный доступ к ней со стороны конкурентов. Однако существуют определенные условия, при которых возможно образование системы передачи информации из одной точки в другую независимо от желания объекта и источника. При этом, естественно, такой канал в явном виде не должен себя проявлять. По аналогии с каналом передачи информации такой канал называют каналом утечки информации. Он также состоит из источника сигнала, физической среды его распространения и приемной аппаратуры на стороне злоумышленника. Движение информации в таком канале осуществляется только в одну сторону — от источника к злоумышленнику. На рисунке 3 приведена структура канала утечки информации.

. Структура канала утечки информации

Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведении.

Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника. Применительно к практике с учетом физической природы образования каналы утечки информации можно квалифицировать на следующие группы:

  • визуально-оптические;
  • акустические (включая и акустико-преобразовательные);
  • электромагнитные (включая магнитные и электрические);
  • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида — твердые, жидкие, газообразные).

Каждому виду каналов утечки информации свойственны свои специфические особенности.

34. Средства повышения надежно­сти функционирования сетей

Надёжность — свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования

Основные определения

Безотказность — свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки.

Ремонтопригодность — свойство объекта, заключающееся в приспособленности к поддержанию и восстановлению работоспособного состояния путем технического обслуживания и ремонта.[1]

Долговечность — свойство объекта непрерывно сохранять работоспособность от начала эксплуатации до наступления предельного состояния, то есть такого состояния, когда объект изымается из эксплуатации.

Сохраняемость — свойство объекта сохранять работоспособность в течение всего периода хранения и транспортировки.

Живучесть — свойство объекта сохранять работоспособность в экстремальных ситуациях.

Отказ — событие, заключающиеся в полной или частичной утрате работоспособности.

Сбой — самоустраняющийся отказ или однократный отказ, устраняемый незначительным вмешательством оператора.

Срок службы — календарная продолжительность от начала эксплуатации до наступления предельного состояния

Для обеспечения надежности функционирования сетей и сохранности данных применяются специальные методы и средства, распределяющиеся по трем основным уровням:

· на физическом уровне осуществляется повышение надежности элементов сети, резервирование оборудования, резервное копирование и архивирование данных;

· на системном уровне используются программно-аппаратные средства контроля и восстановления работоспособности сети;

· на административном уровне производится распределение полномочий пользователей и подсистем, разрабатываются и реализуются планы действий в чрезвычайных ситуациях и т. п.

Процесс создания высоконадёжной сети

· Осуществляется системный анализ компании, для которой создается или модернизируется сеть. В ходе этого анализа определяются характеристики факторов, влияющих на устойчивость функционирования системы управления и значения допустимых отклонений основных параметров, при которых обеспечивается требуемый уровень эффективности работы корпоративной сети

· Создается исходный вариант сети, реализующий заданные функции.

· Определяются оценки показателей надежности подсетей и сети в целом. Этот показатель (или взвешенное множество характеристик) сравнивается с требуемым, и по результатам сравнения делается вывод о степени устойчивости сети.

· При недостаточной степени устойчивости производится поиск наиболее критичных компонентов сети, для которых определяется уровень надежности, обеспечивающий заданное значение показателя устойчивости сети в целом. Если требуемого уровня надежности компонента сети достичь невозможно, то производится его синтез с максимально возможным уровнем. Для откорректированной таким образом сети снова производится оценка устойчивости, проверяется ее соответствие требованиям и т. д.

· Процедура продолжается до тех пор, пока не будет обеспечена требуемая надежность сети или доказано, что при заданном уровне дестабилизирующих факторов такой устойчивости добиться невозможно. В этом случае может ставиться и решаться обратная задача — определения допустимых уровней факторов нестабильности, при которых обеспечивается требуемая устойчивость.

· Значение устойчивости сети, полученное на этапе разработки, уточняется во время испытаний и опытной эксплуатации. В период эксплуатации системы управления компании непрерывно производится набор статистики возникновения сбоев и отказов, оценка качества работы используемых средств защиты данных, систем мониторинга состояния сети, планирования и реализации процедур восстановления и т. п. На основании полученных результатов производится оптимизация использования методов и средств обеспечения заданной устойчивости корпоративной информационной системы.

Раздел
1

Концепция
информационной безопасности

Лекция 5

1.3 Каналы утечки информации

План лекции

1.       Понятие утечки информации

2.       Технический канал утечки информации

3.       Классификация технических каналов утечки
информации по среде распространения

4.       Классификация технических каналов утечки
информации по форме представления информации

5.       Каналы утечки речевой информации

1. Понятие утечки информации

Самый
известный рисунок, иллюстрирующий путь передачи информации, включает в себя и
канал утечки информации:

Картинки по запросу каналы утечки информации

Рисунок 1.
Структура технического канала утечки информации

При создании или передаче
информации в каком-либо виде возникает угроза нарушения ее конфиденциальности,
или угроза утечки информации. В зависимости от вида представления информации,
способы получения доступа к ней различаются и принято выделять различные
каналы
утечки информации
 – пути, которыми может быть получен доступ к конфиденциальной
информации.

Информация передается полем или веществом. Это
может быть либо акустическая волна, либо электромагнитное излучение, либо лист
бумаги с текстом и т.п. Другими словами, используя те или иные физические поля,
человек создает систему передачи информации или систему связи. Система связи в
общем случае состоит из передатчика, канала передачи информации, приемника и
получателя информации. Легитимная система связи создается и эксплуатируется для
правомерного обмена информацией. Однако ввиду физической природы передачи
информации при выполнении определенных условий возможно возникновение системы
связи, которая передает информацию вне зависимости от желания отправителя или
получателя информации – технический канал утечки информации.

Утечка – бесконтрольный выход конфиденциальной информации за пределы
организации или круга лиц, которым она была доверена.

Информация передается полем или веществом. Это
может быть либо акустическая волна, либо электромагнитное излучение, либо лист
бумаги с текстом. Используя те или иные физические поля, человек создает
систему передачи информации или систему связи. Система связи в общем случае
состоит из передатчика, канала передачи информации, приемника и получателя
информации. Ввиду физической природы передачи информации при выполнении
определенных условий возможно возникновение системы связи, которая передает
информацию вне зависимости от желания отправителя или получателя информации –
технический канал
утечки информации
.

2. Технический канал утечки
информации

Утечка (информации) по техническому каналу – неконтролируемое распространение информации от
носителя защищаемой информации через физическую среду до технического средства,
осуществляющего перехват информации. Технический канал утечки информации(ТКУИ), так же как и канал
передачи информации, состоит из источника сигнала, физической среды его
распространения и приемной аппаратуры злоумышленника.

К техническим средствам приёма, обработки, хранения и
передачи информации (ТСПИ)
относят технические
средства, непосредственно обрабатывающие конфиденциальную информацию. В их
число входят ЭВМ, АТС, информационно-коммуникационные системы, системы
оперативно-командной и громкоговорящей связи, системы звукоусиления, звукового
сопровождения и звукозаписи и т.д.

При выявлении технических каналов ТСПИ необходимо
рассматривать как систему, включающую основное оборудование, оконечные
устройства, соединительные линии, структурированные кабельные линии локальных
сетей, распределительные и коммутационные устройства, системы питания и заземления.
Такие технические средства называют также основными техническими средствами (ОТС).

Наряду с ТСПИ в помещениях устанавливаются технические
средства и системы, непосредственно не участвующие в обработке конфиденциальной
информации, но использующиеся наряду с ТСПИ и находящиеся в зоне
электромагнитного поля, создаваемого ТСПИ. Такие технические средства и системы
называются вспомогательными техническими средствами и системами (ВТСС).
Это технические средства открытой телефонной и громкоговорящей связи, системы
управления и контроля доступом, системы кондиционирования, электрификации,
радиофикации, оповещения, электробытовые приборы и т.д.

В качестве канала утечки информации наибольший интерес
представляют ВТСС, имеющие выход за пределы контролируемой зоны (КЗ).

Контролируемая зона
территория (либо здание, группа помещений, помещение), на которой исключено
неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного
или разового допуска.

В КЗ посредством проведения технических и режимных
мероприятий должны быть созданы условия, предотвращающие утечки из неё
конфиденциальной информации. КЗ определяется руководством организации, исходя
из конкретной обстановки в месте расположения объекта и возможностей
технических средств перехвата.

Кроме соединительных линий ТСПИ и ВТСС за пределы
контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но
проходящие через помещения, где установлены технические средства, а также
металлические трубы систем отопления, водоснабжения и другие токопроводящие
металлоконструкции. Такие элементы называются посторонними проводниками
(ПП).

Механизм возникновения каналов утечки информации за пределы контролируемой зоны

Рисунок 2. Механизм возникновения каналов утечки информации за пределы
контролируемой зоны

Обычно техническим
каналом утечки информации
 называют совокупность источника конфиденциальной
информации, среды распространения и средства технической разведки, которое
используется для преобразования полученных данных в форму, необходимую для
злоумышленника.

http://itsec.by/wp-content/uploads/2012/08/%D0%A2%D0%9A%D0%A3%D0%98.png

Источниками информации могут быть технические и программные
средства информационно-коммуникационных технологий, непосредственно голосовой
аппарат человека, излучатели систем звукоусиления, печатающие устройства,
радиосистемы различного назначения.

Сигналы являются материальными носителями информации. По
своей природе они могут быть электрическими, электромагнитными,
акустическими
. Сигналами, как правило, являются электрические,
электромагнитные, акустические и другие виды колебаний (волн), причём
информация содержится в изменениях их параметров. В зависимости от природы
сигналы распространяются в определённых физических средах. В общем случае
средой распространения могут быть воздушные, жидкие и твёрдые среды. К ним
относятся: воздушное пространство, конструкции зданий, соединительные и
магистральные линии, токопроводящие элементы, грунт.

Шумы сопровождают все физические процессы и присутствуют на
входе средств перехвата информации.

Средства перехвата информации служат для приёма и преобразования сигналов с целью получения
информации.

На вход канала поступает информация в виде
первичного сигнала. Первичный сигнал представляет собой носитель с информацией
от ее источника или с выхода предыдущего канала. В качестве источника сигнала
могут быть:

·                    
объект наблюдения, отражающий
электромагнитные и акустические волны;

·                    
объект наблюдения, излучающий
собственные (тепловые) электромагнитные волны в оптическом и радиодиапазонах;

·                    
передатчик функционального
канала связи;

·                    
закладное устройство;

·                    
источник опасного сигнала;

·                    
источник акустических волн,
модулированных информацией.

Так как информация от источника поступает на вход
канала на языке источника (в виде буквенно-цифрового текста, символов, знаков,
звуков, сигналов и т. д.), то передатчик производит преобразование этой формы
представления информации в форму, обеспечивающую запись ее на носитель информации,
соответствующий среде распространения. В общем случае он выполняет следующие
функции:

·                    
создает поля или электрический
ток, которые переносят информацию;

·                    
производит запись информации на
носитель;

·                    
усиливает мощность сигнала
(носителя с информацией);

·                    
обеспечивает передачу сигнала в
среду распространения в заданном секторе пространства.

Среда распространения носителя – часть
пространства, в которой перемещается носитель. Она характеризуется набором
физических параметров, определяющих условия перемещения носителя с информацией.
Основными параметрами, которые надо учитывать при описании среды
распространения, являются:

·                    
физические препятствия для
субъектов и материальных тел:

·                    
мера ослабления сигнала на
единицу длины;

·                    
частотная характеристика;

·                    
вид и мощность помех для
сигнала.

Приемник выполняет функции, обратные функциям передатчика.
Он производит:

·                    
выбор носителя с нужной
получателю информацией;

·                    
усиление принятого сигнала до
значений, обеспечивающих съем информации;

·                    
съем информации с носителя;

·                    
преобразование информации в
форму сигнала, доступную получателю, и усиление сигналов до значений,
необходимых для безошибочного их восприятия.

3. Классификация
технических каналов утечки информации по среде распространения

В зависимости от физической природы возникновения информационных
сигналов, а также среды их распространения и способов перехвата, технические
каналы утечки информации можно разделить на электромагнитные,
электрические, параметрические и вибрационные
.

К электромагнитным относятся каналы утечки
информации, возникающие за счёт различного вида побочных электромагнитных
излучений и наводок (ПЭМИН) ТСПИ:

– излучений элементов ТСПИ;

– излучений на частотах работы высокочастотных (ВЧ)
генераторов ТСПИ;

– излучений на частотах самовозбуждения усилителей низкой
частоты (УНЧ) ТСПИ.

Перехват ПЭМИН ТСПИ осуществляется средствами
радиотехнической разведки, размещёнными вне контролируемой зоны.

Электрические каналы утечки
информации возникают за счёт:

– наводок электромагнитных излучений ТСПИ на соединительные
линии ВТСС и посторонние проводники, выходящие за пределы КЗ;

– просачивания информационных сигналов в линии
электропитания и цепи заземления ТСПИ;

– использования закладных устройств.

Съём информации с использованием закладных устройств.
Съём информации, обрабатываемой в ТСПИ, возможен
путём установки в них электронных устройств перехвата – закладных устройств
(ЗУ). ЗУ представляют собой мини – передатчики, излучение которых модулируется
информационным сигналом. Электронные устройства перехвата информации,
устанавливаемые в ТСПИ, иногда называют аппаратными закладками.

Перехваченная с помощью ЗУ информация или
непосредственно передаётся по радиоканалу, или сначала записывается на
промежуточный носитель, а затем по команде передаётся на контрольный пункт
перехвата.

Параметрические каналы

Перехват информации возможен путём «высокочастотного
облучения» («электромагнитного навязывания») ТСПИ. При взаимодействии
облучающего электромагнитного поля с элементами ТСПИ происходит переизлучение
электромагнитного поля. В ряде случаев это вторичное излучение имеет модуляцию,
обусловленную воздействием информационного сигнала.

Поскольку переизлученное электромагнитное поле имеет
параметры, отличные от облучающего поля, данный канал утечки информации часто
называют параметрическим.

Для перехвата информации по параметрическому каналу
необходимы специальные высокочастотные генераторы с антеннами, имеющими узкие
диаграммы направленности, и специальные приёмные устройства.

Вибрационные каналы

Некоторые ТСПИ имеют в своём составе печатающие устройства,
для которых можно найти соответствие между распечатываемым символом и его
акустическим образом.

Данный принцип лежит в основе канала утечки информации
по вибрационному каналу.

4. Классификация
технических каналов утечки информации по форме представления информации

В зависимости от
формы представления информации, а соответственно и среды распространения, общепринято
выделять следующие виды каналов утечки информации:

Материально-вещественные каналы утечки – предполагают существование
информации на физическом носителе, который можно украсть или скопировать.

Визуально-оптические каналы утечки – означают, что злоумышленник
получает доступ к интересующей его информации на расстоянии – путем наблюдения,
фотографирования и т.п.

И, собственно,
технические каналы утечки:

Акустические каналы утечки – образуются при проведении
конфиденциальных разговоров, бесед, сообщении другому лицу важной информации,
которая может быть использована злоумышленником в своих целях. Звуковые волны,
генерируемые голосовым аппаратом человека, распространяются по воздуху и
вызывают колебания окружающих предметов, и могут быть, как просто подслушаны,
так и перехвачены с помощью технических средств, преобразующих механические колебания
среды в электрический сигнал.

Электромагнитные каналы утечки информации – возникают при
обработке и передаче информации в виде сигналов электрического тока или
электромагнитных волн. Перехват информации возможен как путем подключения к
физическим цепям, так и путем регистрации электромагнитных полей в некоторой
области пространства.

5. Каналы утечки речевой информации

В случае, когда источником информации
является голосовой аппарат человека, информация называется речевой.

Речевой сигнал – сложный акустический
сигнал, основная энергия которого сосредоточена в диапазоне 300 – 4000 Гц. В
зависимости от среды распространения речевых сигналов и способов их перехвата
технические каналы утечки речевой информации можно разделить на: акустические,
вибрационные, акустоэлектрические, оптоэлектронные и параметрические.

Виброакустические каналы

В виброакустических каналах утечки
информации средой распространения речевых сигналов являются ограждающие
строительные конструкции помещений и инженерные коммуникации. Для перехвата
речевых сигналов в этом случае используют вибродатчики (акселерометры).

Акустические каналы

В акустических каналах утечки
информации средой распространения речевых сигналов является воздух, и для их
перехвата используются высокочувствительные и направленные микрофоны,
соединённые с портативными записывающими устройствами или со специальными
передатчиками.

Акустоэлектрические каналы

Акустоэлектрические каналы утечки
информации возникают за счёт преобразований акустических каналов в
электрические.

Некоторые элементы, такие как
трансформаторы, катушки индуктивности, электромагниты вторичных часов, звонков
телефонных аппаратов и т.п., обладают свойством изменять свои параметры
(ёмкость, индуктивность, сопротивление) под действием акустического поля,
создаваемого источником речевого сигнала. Изменение параметров приводит либо к
появлению на данных элементах электродвижущей силы (ЭДС), либо к модуляции
токов, протекающим по этим элементам в соответствии с изменениями
воздействующего электрического поля.

Оптико – электронный (лазерный)
канал

Оптико – электронный (лазерный) канал
утечки акустической информации образуется при облучении лазерным лучом
вибрирующих под действием акустического речевого сигнала отражающих
поверхностей помещений (оконных стёкол, зеркал и т.д.). Отражённое лазерное
излучение модулируется по амплитуде и фазе и принимается приёмником оптического
(лазерного) излучения, при демодуляции которого выделяется речевая информация.
Для организации такого канала предпочтительным является использования
зеркального отражения лазерного луча. Однако, при небольших расстояниях до
отражающих поверхностей (порядка нескольких десятков метров) может быть
использовано диффузное отражение лазерного излучения.

Для перехвата речевой информации по
данному каналу используются сложные лазерные системы – «лазерные микрофоны»,
работающие, как правило, в ближнем инфракрасном диапазоне длин волн.

Параметрические каналы

В результате воздействия акустического
поля меняется давление на все элементы высокочастотных генераторов.

Параметрический канал утечки
информации может быть организован и путём «высокочастотного облучения»
помещения, где установлены закладные устройства, имеющие элементы, параметры
которых (например, добротность и резонансная частота объёмного резонатора)
изменяются под действием акустического (речевого) сигнала.

Каналы утечки информации при её
передаче по каналам связи

 Для передачи информации используются
КВ, УКВ, радиорелейные, тропосферные и космические каналы связи, различные виды
телефонной радиосвязи (сотовые, транкинговые, Dect, Wi-Fi и др.), а также
кабельные и волоконно – оптические линии связи.

В зависимости от вида канала связи
технические каналы перехвата (утечки) информации можно разделить на
электромагнитные, электрические и индукционные.

Электромагнитные каналы

Электромагнитные излучения
передатчиков средств связи, модулированные информационным сигналом, могут
перехватываться портативными средствами радиоразведки.

Данный канал утечки наиболее широко
используется для прослушивания телефонных разговоров, ведущихся по
радиотелефонам, сотовым средствам связи и радиорелейным и спутниковым линиям
связи.

Электрические каналы

Электрический канал перехвата
информации, передаваемой по кабельным линиям связи, предполагает контактное
подключение аппаратуры перехвата к кабельным линиям связи.

Контактный способ используется в
основном для снятия информации с коаксиальных и низкочастотных кабелей связи
(через согласующие устройства). Для кабелей, внутри которых поддерживается
повышенное давление воздуха, применяются устройства, исключающие его снижение,
для предотвращения срабатывания специальной сигнализации.

Электрический канал наиболее часто
используется для перехвата телефонных разговоров, но может использоваться и для
перехвата данных. Устройства, подключаемые к телефонным линиям и совмещённые с
устройствами передачи по радиоканалу, иногда называют телефонными закладками.

Индукционный канал

Наиболее часто используемый способ
контроля проводных линий  связи, не требующий контактного подключения –
индукционный. В индукционном канале используется эффект возникновения вокруг
кабеля связи электромагнитного поля при прохождении по нему информационных
электрических сигналов, которые перехватываются специальными индукционными
датчиками.

Индукционные датчики применяются в
основном для съёма информации с симметричных высокочастотных кабелей.
Современные индукционные датчики способны регистрировать информацию с кабелей,
защищённых не только изоляцией, но и двойной бронёй из стальной ленты и
стальной проволоки, плотно обвивающей кабель. Менее подвержены подобному съёму
информации волоконно-оптические кабели.

Для бесконтактного съёма информации с
незащищённых телефонных линий связи могут использоваться специальные
высокочувствительные низкочастотные усилители, снабжённые магнитными антеннами,
в ряде случаев оборудованными радиопередатчиками для передачи информации на
контрольный пункт перехвата.

Контрольные
вопросы

1. Что
такое канал утечки информации?

2. Что
такое контролируемая зона.

3. Что
называют техническим каналом утечки информации?

4. Приведите
классификацию каналов утечки по среде распространения информации.

5. Приведите классификацию каналов
утечки по форме представления информации