Безопасность любой информационной системы можно определить как свойство, которое заключается в способности информационной системы обеспечить полную конфиденциальность и целостность хранимой информации, т.е. защиту данных от несанкционированного доступа, например в целях ее раскрытия, изменения или разрушения.
Информационную безопасность принято указывать одной из основных информационных проблем XXI века. На самом деле, проблемы хищения информации, искажения смысла информации и ее уничтожения часто приводят к последствиям, ведущим не только к банкротствам фирм, но даже возможным жертвам (не говоря о возможных военных конфликтах).
В законе Российской Федерации «Об информации, информатизации и защите информации» от 27.07.2006 № 149-ФЗ, например, особо подчеркивается, что «...информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства» и, естественно, защищать информационные ресурсы необходимо так же, как защищают личную и государственную собственность.
Угрозы для информационных систем можно представить тремя группами:
Средства, которыми может быть обеспечена информационная безопасность, в зависимости от способа реализации можно разбить на следующие группы методов:
Со стороны разработчиков и потребителей в настоящее время наибольшее внимание вызывают следующие тенденции защиты информации:
Также активно развиваются средства защиты от утечки информации по силовым каналам, каналам электромагнитного излучения компьютера или монитора (для решения данной проблемы может применяеться экранирование помещений, использование генераторов шумовых излучений), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера и т.д.
Защита информации от несанкционированного доступа. Защита от несанкционированного доступа к информационным ресурсам компьютера представляется комплексной проблемой, которая предполагает решение следующих задач:
Брандмауэр как средство контроля межсетевого трафика. Брандмауэр (сетевой экран, «firewall» (файервол)) – это устройство или программа, предназначенные для проверки сетевого трафика и его блокировки в случае, если указанный трафик не соответствует определенному набору правил. Указанные правила являются как системными, так и создаются пользователем, позволяя отсекать нежелательное кибервторжение в пользовательскую сеть со стороны третьих лиц и вредоносных программ. По сути, брандмауэр обычно используется для защиты сети и блокировки нежелательной информации, передаваемой через компьютерную сеть. Кроме того, он может служить для целей мониторинга сети, ведя журнал активности различных программ, служб и т.д.
Контроль трафика предполагает его фильтрацию, т.е. частичное пропускание через экран, иногда с выполнением дополнительных преобразований и созданием извещений для отправителя в случае, если его данным было отказано в пропуске. Фильтрация производится на основании набора правил, которые предварительно загружены в сетевой экран и отражают политику информационной безопасности. Брандмауэры в настоящее время могут быть как аппаратными, так и программными комплексами, записанными в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т.д.).
Работа брандмауэра сводится к анализу структуры и содержанию информационных пакетов, попадающих из внешней сети, при этом зависимости от результатов анализа пропуска данных пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции:
Криптографическое закрытие информации. В настоящее время активно развиваются криптографические технологии, направленные на поддержание конфиденциальности и работоспособности следующих комплексных сетевых приложений: электронная почта (e-mail), электронный банк (e-banking), электронная торговля (e-commerce), электронный бизнес (e-business).
Криптографическое закрытие информации производится путем преобразования информации с использованием специальных алгоритмов и процедур шифрования с применением открытых и закрытых ключей, в результате чего невозможно без знания закрытого ключа, определить содержание данных по их внешнему виду.
С помощью криптографических протоколов реализуется безопасная передача информации в сети, в том числе паролей и регистрационных имен, которые необходимы для идентификации пользователя. На практике применяются следующие типы шифрования: симметричное и асимметричное.
Для шифровки и дешифровки данных при симметричном шифровании используется один секретный ключ. Ключ при этом передается безопасным способом участникам информационного взаимодействия до начала передачи данных. Можно указать два типа шифров, которые применяются для реализации симметричного шифрования: блочные и поточные.
В Российской Федерации для блочного шифрования рекомендован симметричный алгоритм, предложенный ГОСТ 28.147 - 89 «Системы обработки информации. Защита криптографическая». В качестве примеров поточных алгоритмов можно привести в первую очередь алгоритмы RC (RC2, RC4, RC5) корпорации RSA Data Security (США) и алгоритмы ВЕСТА (ВЕСТА-2, ВЕСТА-2М, ВЕСТА-4) фирмы «ЛАН Крипто» (Россия).
Электронная цифровая подпись. Согласно Гражданскому кодексу Российской Федерации заключение юридического договора может осуществляться не только в письменном виде, путем составления печатного документа, подписанного сторонами, но и путем обмена документами посредством электронной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. В этом случае целесообразно использовать одну из операций криптографии — цифровую электронную подпись.
Электронная цифровая подпись — это последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство путем применения открытого ключа.
При использовании электронной подписи файл пропускается через специальную программу (hash function), в результате чего получается набор символов (hash code), генерируются два ключа: открытый (public) и закрытый (private). Набор символов шифруется с помощью закрытого ключа. Такое зашифрованное сообщение и является цифровой подписью. По каналу связи передается незашифрованный файл в исходном виде вместе с электронной подписью. Другая сторона, получив файл и подпись, с помощью имеющегося открытого ключа расшифровывает набор символов из подписи. Далее сравниваются две копии наборов, и если они полностью совпадают, то это действительно файл, сделанный и подписанный первой стороной.
Для длинных сообщений в целях уменьшения их объема (ведь при использовании электронной подписи фактически передается файл двойной длины) передаваемое сообщение перед шифрованием сжимается (хешируется), т.е над ним производится математическое преобразование, которое описывается так называемой хеш-функцией. Расшифрованный полученный файл в этом случае дополнительно пропускается через тот же алгоритм хеширования, который не является секретным.
Для шифрования электронной подписи используются ранее названный алгоритм RSA, а также DSA (национальный стандарт США) и Schnorr (алгоритм Klaus Schnorr); в России применяются алгоритмы шифрования электронной подписи по ГОСТ Р 34.10 - 94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и Нотариус (Нотариус-AM, Нотариус-S).
Защита информации от компьютерных вирусов. Компьютерным вирусом называется рукотворная программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи в целях прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей. Компьютерным вирусам, как и биологическим, характерны определенные стадии существования:
Сейчас существуют сотни тысяч различных вирусов, и их можно классифицировать по нескольким признакам. По среде обитания вирусы можно разделить на:
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения .ехе и .com (самые распространенные вирусы), но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы (вирус подключает к такому файлу исполняемые программы, предварительно заразив их), программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы). Файловые вирусы могут создавать файлы-двойники (компаньоны-вирусы). В любом случае файловые вирусы при запуске программ, ими зараженных, берут на время управление на себя и дезорганизуют работу своих «квартирных хозяев».
Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке операционной системы с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.
Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп и обладают наибольшей «эффективностью» заражения.
Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).
Документные вирусы (их часто называют макровирусами) заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус I love you или менее навредивший вирус «Анна Курникова»).
По способу заражения среды обитания вирусы делятся на:
Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.
Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (жесткие диски, Flash-чипсет BIOS), перепрограммируя его.
По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как:
Для обнаружения и удаления компьютерных вирусов разработано много различных программ. Эти антивирусные программы можно разделить на:
Программы-детекторы осуществляют поиск компьютерных вирусов в памяти машины и при обнаружении искомых сообщают об этом. Детекторы могут искать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов — сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла).
Программы-ревизоры являются развитием детекторов, но выполняющим значительно более сложную и эффективную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры.
Программы-фильтры выполняют наблюдение и выявление подозрительных, характерных для вирусов процедур в работе компьютера (коррекция исполняемых .ехе и .com файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т.д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.
Программы-доктора — самые распространенные и популярные программы. Эти программы не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Многие программы-доктора находят и удаляют большое число (десятки тысяч) вирусов и являются полифагами.
Программы-вакцины применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом, уже зараженным, и поэтому вирус не внедряется.