СОДЕРЖАНИЕ

Введение

1. Технология анализа защищенности

2. Технология обнаружения воздействия нарушителя

3. Технология защиты информации от НСД

4. Технология антивирусной защиты

Заключение

Список литературы

Введение

Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".

2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Информационная безопасность телекоммуникационных систем является одним из важных аспектов информационной безопасности государства в целом. Можно выделить целый ряд очевидных факторов, существование которых придаст проблеме информационной безопасности телекоммуникационных систем особую актуальность при формировании системного взгляда на современную жизнь общества и государства.

Проблемы информационной безопасности государства в нынешних условиях являются неотъемлемой частью жизни современного общества. Более того, они стали важнейшими задачами внутренней и внешней политики многих государств мира. Активное обсуждение вопросов обеспечения информационной безопасности инфокоммуникационных систем России на проходящих научных и научно-технических конференциях, а также на страницах специальных изданий свидетельствует о большой актуальности многих ключевых проблем, связанных с появлением новых видов информационного оружия, серьезными разрушительными послед­ствиями его применения, недостаточной эффективностью возможных средств защиты и т.д. Не выработаны до сих пор и достаточно эффективные пути решения этих проблем.

1. Технология анализа защищенности

Технология анализа защищённости представляет собой совокупность методов обнаружения технологических и эксплуатационных уязвимостей ПО АС [11]. Данная технология реализуется при помощи систем анализа защищённости или сканеров безопасности, представляющих собой специализированное ПО. Рассмотрим более подробно методы выявления технологических и эксплуатационных уязвимостей и проанализируем возможность использования существующих средств, реализующих эти методы, для выявления уязвимостей ПО узлов ГСПД и ЦУС.

Существующие средства анализа защищённости, реализующие метод анализа исходных текстов ПО, не могут быть использованы для обнаружения технологических уязвимостей ПО узлов ГСПД и ЦУС, поскольку основная часть исходных текстов ПО узлов ГСПД и ЦУС является «закрытой», т. е. интеллектуальной собственностью производителей ПО, и не подлежит распространению вне рамок компании-разработчика. Процедура же дезассемблирования, которая может быть применена для получения исходного кода ПО узлов ГСПД и ЦУС из исполняемых модулей программ, не может однозначно гарантировать, что полученный в результате этой процедуры исходный код соответствует дизассемблированной программе. Это связано с тем, что в процессе дезассемблирования не всегда имеется возможность определить разницу между исполняемыми командами и данными программы.

Обнаружение технологических уязвимостей ПО АС при помощи анализа исполняемого кода ПО осуществляется путём запуска программы АС в рамках тестовой среды, которая проверяет правильность выполнения этой программы. В процессе выполнения программы для неё формируется ряд запросов, после чего анализируется реакция тестируемой программы, т.е. каким образом исполняемый код программы влияет на состояние тестовой среды. Если в результате сформированного запроса тестовая среда переходит в небезопасное состояние, приводящее, например, к нарушению работоспособности АС, то делается вывод о наличие ряда уязвимостей в тестируемой программе. Такой метод обнаружения уязвимостей позволяет выявить ряд ошибок, внесённых на технологическом этапе, например ошибки, приводящие к переполнению буфера, ошибки неправильного доступа к памяти, выход за границы массива данных и др. Основным недостатком рассмотренного метода является отсутствие гарантий обнаружения всех технологических уязвимостей ПО АС, поскольку смоделировать все возможные состояния среды, в рамках которой выполняется программа АС, не представляется возможным.

Существующие средства обнаружения технологических уязвимостей при помощи анализа исполняемого кода могут быть использованы только для анализа защищённости ПО ЦУС, поскольку оно базируется на стандартных ОС. В настоящее время на отечественном рынке ИБ отсутствуют средства анализа защищённости ПО узлов ГСПД, которые используют специализированные ОС. Последний способ обнаружения технологических уязвимостей заключается в имитации ВН на АС и анализе результатов моделирования этих ВН. В случае, если процесс моделирования ВН завершается успехом, то система делает вывод о наличии уязвимости в ПО тестируемой АС.

Рассмотренные выше средства анализа защищённости, функционирующие посредством имитации ВН, могут быть использованы для выявления уязвимостей ПО как узлов ГСПД, так и ЦУС. Тем не менее, необходимо отметить, что в настоящее время системы этого класса, представленные на отечественном рынке ИБ, могут применяться только в ГСПД, функционирующих на основе стека протоколов ТСР/IР.

Выявление эксплуатационных уязвимостей АС может осуществляться двумя способами: при помощи проверки настроек программно-аппаратного обеспечения АС или посредством имитации ВН на АС. Проверка настроек заключается в выявлении тех параметров работы программно-аппаратного обеспечения АС, которые могут быть использованы нарушителем при реализации воздействия. Процедура имитации ВН реализуется рассмотренными выше средствами моделирования атак, предназначенными для обнаружения технологических уязвимостей. Средства выявления эксплуатационных уязвимостей также могут быть использованы для анализа защищённости узлов ГСПД и ЦУС.

Проведённый анализ существующих на отечественном рынке средств выявления технологических и эксплуатационных уязвимостей показывает, что ни одно из существующих средств не позволяет гарантировать стопроцентное обнаружение всех уязвимостей, присутствующих в ПО узлов ГСПД и ЦУС. Так, например, в настоящее время отсутствует возможность обнаружения при помощи систем анализа защищённости тех «закладок», подробное описание параметров которых не заложено в систему анализа защищённости.

2. Технология обнаружения воздействия нарушителя

Технология обнаружения ВН представляет собой совокупность методов обнаружения атак нарушителя на АС [14, 23]. Данная технология реализуется при помощи специализированных программно-аппаратных комплексов, называемых системами обнаружения ВН, выполняющими две основные функции:

- формирование банка данных, содержащего сведения о работе АС, который впоследствии может быть использован для выявления ВН на АС, защищаемые системой обнаружения ВН. Банк данных, формируемый системой обнаружения, может включать в себя: параметры заголовков сообщений, поступающих в АС, время, количество и объём данных, поступающих в АС, число установленных логических соединений с АС за единицу времени, текущий уровень загрузки АС, контрольные суммы программного обеспечения АС и др.;

- определение на базе сформированного банка данных фактов проведения ВЫ на информационные ресурсы и инфраструктуры АС, защищаемых системой обнаружения.

Первую функцию систем обнаружения ВН выполняют сенсоры, а вторую - анализаторы. Настройка параметров работы сенсоров и анализаторов осуществляется центром управления системой обнаружения ВН. В настоящее время существует два основных типа сенсоров: сенсоры, функционирующие на базе анализа журналов аудита АС, и сенсоры, функционирующие на базе анализа трафика, передаваемого по каналу связи, к которому подключена АС.

Основная задача сенсоров, функционирующих на базе анализа журналов аудита АС, заключается в формировании банка данных, содержащего сведения о работе АС. Такой банк данных создаётся на базе регистрационных записей журналов аудита, формируемых АС. Схематично структура системы обнаружения ВН, включающая сенсоры, функционирующие на базе анализа журнала аудита, изображена на рис. 1.

рис.1. Структура системы обнаружения ВН

Недостатком сенсоров, функционирующих на базе анализа журналов аудита АС, является платформенная зависимость, поскольку необходимая для системы обнаружения ВН информация по-разному представлена в различных ОС, под управлением которых функционируют АС. Так, например, характер представления регистрационной информации в журналах ОС рабочих станций пользователей отличается от варианта представления ОС, используемой в большинстве серверов.

К преимуществам сенсоров, функционирующих на базе анализа журналов аудита АС, можно отнести относительно небольшой объём и высокую точность данных, извлекаемых сенсором из журналов аудита АС. Поскольку извлечённая информация не требует дальнейших преобразований и готова к обработке, то системы обнаружения с сенсорами на базе анализа журнала аудита АС обладают высоким быстродействием.

Основная задача сенсоров, функционирующих на базе анализа трафика, заключается в перехвате сообщений, передаваемых по каналам связи, к которым подключена АС, и формировании банка данных, содержащего информацию о работе АС. Критерии перехвата сообщений должны задаваться администратором безопасности. Схематично структура системы обнаружения ВН с сенсорами на базе анализа сетевого трафика отражена на рис. 2.4.