DIPLOM (716574), страница 9
Текст из файла (страница 9)
Активные угрозы имеют целью нарушение нормального функционирования ЛВС посредством целенаправленного воздействия на ее аппаратные программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи ЛВС, выход из строя ЭВМ или ее операционной системы, искажение сведений в пользовательских базах данных или системной информации ЛВС и т.п.. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п..
К основным угрозам безопасности относятся: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ЛВС, ошибочное использование ресурсов ЛВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, упоминавшееся выше прослушивание каналов ЛВС и т.п.. В любом случае, получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказываться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование ресурсов ЛВС, с одной стороны, является средством раскрытия или компромитации информации, а с другой — имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам или администрации ЛВС. Этот ущерб может варьироваться в весьма широких пределах — от сокращения поступления финансовых средств, взимаемых за предоставление ресурсов ЛВС, до полного выхода сети из строя.
Ошибочное использование ресурсов ЛВС, будучи санкционированным, тем не менее, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угрозачаще всего является следствием ошибок, имеющихся в программном обеспечении ЛВС.
Несанкционированный обмен информацией между абонентами ЛВС может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию информации.
Отказ от информации состоит в непризнании получателем или отправителем этой информации, фактов ее получения или отправки соответственно. Это, в частности, помогает одной из сторон расторгать заключенные соглашения (финансовые, торговые, дипломатические и т.п.) “техническим путем, формально не отказываясь от них и нанося тем самым второй стороне значительный урон.
Отказ в обслуживании представляет собой весьма существенную и достаточно распространенную угрозу, источником которой является сама ЛВС. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов сети абоненту может привести к тяжелым для него последствиям. Так, отсутствие у абонента данных, необходимых для принятия решений в течение периода времени, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных или даже антиоптимальных действий.
Службы безопасности ЛВС на концептуальном уровне специфицируют направления нейтрализации перечисленных или каких-либо иных угроз. В свою очередь, указанные направления реализуются механизмами безопасности (см. табл.). В рамках идеологии “открытых систем” службы и механизмы безопасности могут использоваться на любом из уровней эталонной модели: физическом — 1, канальном — 2, сетевом — 3, транспортном — 4, сеансов — 5, представительском — 6, прикладном — 7.
Прежде чем перйти к непосредственному рассмотрению служб, обратим внимание на то обстоятельство, что протоколы информационного обмена делятся на две группы: типа виртуального соединения и дейтаграммные. В соответствии с указанными протоколами принято делить сети на виртуфльные и дейтаграммные. В первых передача информации между абонентами организуется по так называемому виртуальному каналу и происходит в три этапа (фазы): создание (установление) виртуального канала, собственно передача и уничтожение виртуального канала (разъединение). Рпи этом сообщения разбиваются на блоки (пакеты), которые передаются в порядке их следования в сообщении. В дейтаграммных сетях блоки сообщения в составе так называемых дейтаграмм передаются от отправителя к получателю независимо друг от друга и в общем случае по различным маршрутам, в связи с чем порядок доставки блоков может не соответствовать порядку их следования в сообщении. Как видно, виртуальная сеть в концептуальном плане наследует принцип организации телефонной связи, тогда как дейтаграммная — почтовой.
Указанные два подхода к реализации информационного обмена ЛВС определяют некоторые различия в составе и особенностях служб безопасности.
Как уже отмечалось, для реализации служб безопасности используются механизмы безопасности. Шифрование обеспечивает реализацию служб засекречивания и используется в ряде других служб. Шифрование может быть симметричным и ассиметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, а для дешифрования — другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ.
Следует отметить, что для использования механизмов шифрования в ЛВС необходима организация специальной службы генерации ключей и их распределения между абонентами ЛВС.
2.7.2. Программные вирусы и вопросы их нейтрализации
Под программмным вирусом (ПВ) понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации приактически всех угроз безопасности ЛВС. Поэтому вопросы анализа возможностей ПВ и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности ЛВС.
Предшественниками ПВ принято считать так называемые “троянские программы”, тела которых содержат скрытые последовательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью “троянских программ” являются широко известные программы массового применения (редакторы, игры, трансляторы и т.п.), в которые встроены так называемые “логические бомбы”, срабатывающие по насткплении некоторого события. В свое время разновидностью “логической бомбы” является “бомба с часовым механизмом”, запускаемая в определенные моменты времени. Следует отметить, что “троянские программы” не являются саморазмножающимися и распространяются по ЛВС самими программистами, в частности, посредством общедоступных банков данных и программ.
Принципиальное отличие вирусов от “троянских программ” остоит в том, что вирус после запуска его в ЛВС существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, вирус представляет собой своеобразный “генератор “троянских программ”. Программы, зараженные вирусом, называют, также, вирусоносителями.
Зараженные программы (исполняемого файла применительно к наиболее распространенной операционной системе РС-подобных ПЭВМ), как правило, выполняются таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
“Первичное” заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители, так и каналы ЛВС. Вирусы, использующие для размножения каналы ЛВС, принято нахывать сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе прояления вирус выполняет свойственные ему целевые функции, например, необратимую коррекцию информации на магнитных носителях.
Физическая структура вируса достаточно проста. Он состоит из “головы” и, возможно, “хвоста”. Под головой вируса подразумевается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, нахывают несегментированными, состоящие из головы и хвоста — сегментированными.
По характеру размещения в памяти ПЭВМ принято делить вирусы на файловые нерезидентные, файловые резидентные, бутовые, гибридные и пакетные.
Файловый нерезидентный вирус целиком располагается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ. С чисто технологической точки зрения ОП можно считать файлом, к которому применимы все описанные выше способы имплантации. Однако, резидентный вирус отличается от нерезидентного как логической структурой, так и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении.
Одной из разновидностей резидентных вирусов являются так называемые “бутовые” вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут-сектора) магнитного носителя (гибкого или жесткого диска). При эитом инфицированными могут быть как загружаемые, так и незагружаемые дискеты. Голова бутового вируса всегда находится в бут-секторе (единственном для гибких дисков и одном из двух — для жестких), а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом является размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора. Механизм инфицирования, реализуемый бутовыми вирусами, таков. При загрузке операционной системы с инфицированного диска, вирус, в силу своего положения на нем (независимо от того, с дискеты или с винчестерв производится загрузка) получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерываний таким образом, чтобы прерывание по обращению к диску обрабатывалось собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний “бутовые вирусы” могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.
Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным проявление файлово-бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут-секторы.
Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.
Сетевые вирусы, называемые, также, автономными репликативными прграммами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем ЛВС. Наиболее просто реализуется размножение в тех случаях, когда протоколами ЛВС предусмотрен обмен программами. Однако, как показывает опыт, размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями.
Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие целевые группы:
искажение информации в файлах либо таблице размещения файлов;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
