Методичка к екзамену

Понятие информационной безопасности. Защита компьютерной информации.
Перед людьми во все времена стояла проблема защиты информации. В настоящее время она является необычайно острой в связи с развитием информационных технологий. От успешного осуществления защиты информации сегодня зависит не только успешность каких-либо фирм, но безопасность целого государства. Защита компьютерной информации это совокупность мероприятий, методов и средств, обеспечивающих решение следующих задач:
проверка целостности информации,
исключение несанкционированного доступа к ресурсам ЭВМ и хранящимся в ней программам и данным,
исключение несанкционированного использования программных продуктов.
Обеспечение информационной безопасности России является одной из приоритетных государственных задач.
Под информационной безопасностью (безопасностью информации) понимают состояние защищенности собственно информации и её носителей (человека, органов, систем и средств, обеспечивающих получение, обработку, хранение, передачу и использование информации) от различного вида угроз. Источники этих угроз могут быть преднамеренными (то есть имеющими цель незаконного получения информации) и непреднамеренными (такую цель не преследующими).
Система защиты информации. Цели защиты информации.
Обеспечить безопасность информации можно различными методами и средствами, как организационного, так и инженерного характера. Комплекс организационных мер, программных, технических и других методов и средств обеспечения безопасности информации образует систему защиты информации.

Целями защиты являются:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.
Конфиденциальность, целостность и доступность информации.
Основной задачей информационной безопасности является соблюдение трех основных свойств информации – конфиденциальности, целостности и доступности.
Конфиденциальность необходимость предотвращения утечки (разглашения) какой-либо информации.
Конфиденциальность информации принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальность информации обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.
Конфиденциальная информация информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Служебная тайна защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны. В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления, или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе).
Служебная тайна информация с ограниченным доступом, за исключением сведе-ний, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью госу-дарства, защита которой осуществляется в интересах государства .
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Целостность информации – это такое ее свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара) . Для многих будет открытие, что под вопросы информационной безопасности попадает случай, когда жена стерла Вашу любимую игрушку. Или если Вы ее случайно стерли сами. А если Вы потеряли флешку со скачанными с интернета фотографиями? Или неправильно поставили дату в важном деловом письме? Все это – целостность информации.
Доступность информации – это такое ее свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой субъекту, в месте, которое нужно субъекту, и во время, нужное для субъекта. Это случаи, когда Вы пришли в железнодорожную кассу или в магазин, или в банк, а вам говорят, что в ближайшие пол-часа Вас обслужить не могут, потому что висит «Экспресс», «1С», клиент-банк Список можно продолжать. Или когда у вас пропадает интернет, Вы звоните провайдеру, а он начинает Вам рассказывать про воров, укравших свич и кусок кабеля, или про недавнюю грозу. Так вот – все эти товарищи экономят на информационной безопасности и не обеспечивают должного уровня доступности информации.
Классификация угроз информационной безопасности.
Классификация угроз может быть проведена по множеству признаков. Наиболее распространённые из них.
По природе возникновения принято выделять естественные и искусственные угрозы. Естественными принято называть угрозы, возникшие в результате воздействия на автоматизированные системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. В свою очередь, искусственные угрозы вызваны действием человеческого фактора.
Примерами естественных угроз могут служить пожары, наводнения, цунами, земле-трясения и т.д. Неприятная особенность таких угроз -чрезвычайная трудность или даже невозможность их прогнозирования. По степени преднамеренности выделяют случайные и преднамеренные угрозы. Случайные угрозы бывают обусловлены халатностью или непреднамеренными ошибками персонала. Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника.
В качестве примеров случайных угроз можно привести
непреднамеренный ввод ошибочных данных, неумышленную порчу
оборудования. Пример преднамеренной угрозы проникновение злоумышленника на охраняемую территорию с нарушением установленных правил физического доступа.
В зависимости от источника угрозы принято выделять:
- Угрозы, источником которых является природная среда. Примеры таких угроз - пожары, наводнения и другие стихийные бедствия.
- Угрозы, источником которых является человек. Примером такой угрозы может ала автоматизированных систем со стороны конкурирующей организации.
- Угрозы, источником которых являются санкционированные программно-
аппаратные средства. Пример такой угрозы некомпетентное
использование системных утилит.
- Угрозы, источником которых являются несанкционированные программно-аппаратные средства. К таким угрозам можно отнести, например, внедрение
в систему кейлоггеров, Кейлоггер (анг. Keylogger key(stroke) - нажатие на клавишу и англ. logger - регистрирующее устройство) - это программный продукт (модуль) или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
По положению источника угрозы выделяют:
- Угрозы, источник которых расположен вне контролируемой зоны. Примеры
таких угроз - перехват побочных электромагнитных излучений (ПЭМИН)
или перехват данных, передаваемых по каналам связи; дистанционная фото и видеосъёмка; перехват акустической информации с использованием направленных микрофонов.
- Угрозы, источник которых расположен в пределах контролируемой зоны. Примерами подобных угроз могут служить применение подслушивающих устройств или хищение носителей, содержащих конфиденциальную информацию.
По степени воздействия на автоматизированные системы выделяют пассивные и ак-тивные угрозы. Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре автоматизированных систем.
Реализация активных угроз, напротив, нарушает структуру автоматизированной системы. Примером пассивной угрозы может служить несанкционированное копирование файлов с данными.
По способу доступа к ресурсам автоматизированных систем выделяют:
- Угрозы, использующие стандартный доступ. Пример такой угрозы -несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.
- Угрозы, использующие нестандартный путь доступа. Пример такой угрозы
- использование не декларированных возможностей средств защиты. Критерии классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:
Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.
Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием автоматизированных систем.
Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу автоматизированной системе для легальных пользователей блокируется. Отметим, что реальные угрозы информационной безопасности далеко не всегда можно строго отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям. Заметим, что перечисление угроз, характерных для той или иной автоматизированной системы, является важным этапом анализа уязвимостей автоматизированных систем, проводимого, например, в рамках аудита информационной безопасности, и создаёт базу для последующего проведения анализа рисков.
Уровни обеспечения информационной безопасности.
В обеспечении информационной безопасности выделяют несколько уровней:
1. Концептуально-политический. На этом уровне принимаются документы, в которых определяются основные направления государственной политики в области информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности в отношении всех обозначенных субъектов, намечаются пути и средства реализации поставленных целей. Примером подобного рода документов является Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000 г.
2. Законодательный. На этом уровне принимаются нормативно правовые акты (законы, постановления правительства и др.), призванные инициировать создание и функционирование системы правового регулирования обеспечения информационной безопасности.
3. Нормативно-технический. На данном уровне осуществляется разработка стандартов, руководящих и методических материалов и документов, регламентирующих процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности. Приводятся в соответствие национальные и международные стандарты в сфере информационных технологий.
4. Административный. Осуществление мероприятий по обеспечению безопасности на данном уровне проводится в рамках конкретного предприятия, учреждения, организации. На этом уровне руководство организации реализует конкретные меры по обеспечению информационной безопасности. В их основе лежит политика безопасности предприятия (совокупность документированных управленческих решений, направленных на защиту информации), определяющая стратегию предприятия в области информационной безопасности, а также объем выделяемых ресурсов для создания и функционирования системы информационной безопасности предприятия.
Дайте характеристику основным направлениям защиты информации.
Выделяют следующие направления защиты компьютерной информации:
Криптография наука о защите информации от прочтения её
посторонними лицами при помощи преобразования исходных данных, которое делает их трудно раскрываемыми без знания криптографического ключа.
Сетевая безопасность защита от несанкционированного доступа к
удалённой ЭВМ посредством сетевых атак.
Защита от несанкционированного копирования предотвращает
использование нелицензионных копий ПО.
Антивирусология – наука о способах борьбы с компьютерными вирусами
и прочими самораспространяющимися программами.
Системная защита комплекс аппаратных и программных средств,
направленных на обеспечение целостности и недоступности данных в случаях отказа техники, неверных действий и других непредсказуемых причин.
Правовые, морально-этические и технологические меры противодействия угрозам информационной безопасности.
По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:
правовые (законодательные);
морально-этические;
технологические;
организационные (административные и процедурные);
физические;
технические (аппаратурные и программные).
Правовые (законодательные)
К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
Морально-этические
К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.
Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией
Технологические
К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.
Организационные, физические и технические меры противодействия угрозам информационной безопасности.
По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:
правовые (законодательные);
морально-этические;
технологические;
организационные (административные и процедурные);
физические;
технические (аппаратурные и программные).
Организационные меры зашиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Очевидно, что в организационных структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего надо решить правовые и организационные вопросы.
Организационные меры играют значительную роль в обеспечении безопасности компьютерных систем. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса.
Этим мерам присущи серьезные недостатки, такие как:
низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить);
дополнительные неудобства, связанные с большим объемом рутинной и формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).
Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты. Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений регламента со стороны персонала и пользователей системы.
Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально надежной) системы защиты принципиально невозможно.
Даже при допущении возможности создания абсолютно надежных физических и технических средств защиты, перекрывающих все каналы, которые необходимо перекрыть, всегда остается возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих* средств (администратора АС, администратора безопасности и т.п.). Вместе с самими средствами защиты Эти люди образуют так называемое "ядро безопасности". В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать ее можно только за счет организационных (кадровых) мероприятий, законодательных и морально-этических мер.
Но даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему защиты до конца решить не удастся.
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надежный человек может допустить случайное, неумышленное нарушение.
Перечислите объекты информационной безопасности. Основные принципы построения системы защиты ресурсов автоматизированных систем.
В качестве объекта информационной безопасности рассматривается автоматизированная система (АС). АС – совокупность персонала и средств автоматизации его деятельности, реализующий определенную информационную технологию.(компьютер, сеть, АСУ).
Объект защиты – информация.
Защита информации в АС должна основываться на следующих основных принципах:
·системности;
·комплексности;
·непрерывности защиты;
·разумной достаточности;
·гибкости управления и применения;
·открытости алгоритмов и механизмов защиты;
·простоты применения защитных мер и средств.
Принцип системности
Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Принцип непрерывности защиты
Защита информации - это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).
Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы защиты
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Основные принципы построения систем безопасности (СБ-комплекс организационных мер, программно-аппаратных средств образуют систему защиты информации)
Принцип законности. Реализация этого принципа осуществляется за счет тщательного соблюдения и выполнения при разработке и построении систем безопасности Положений и требований действующего законодательства и нормативных документов. -принцип своевременности. Реализуется принятием упреждающих мер обеспечения безопасности.
-принцип совмещения комплексности и эффективности и экономической целесообразности. Реализуется за счет построения системы безопасности, обеспечивающей надежную защиту комплекса имеющихся на предприятии ресурсов от комплекса возможных угроз с минимально возможными, но не превышающими 20% стоимость защищаемых ресурсов затратами.
Принцип модульности. Реализуется за счет построения системы на базе гибких аппаратно-программных модулей. Модульность программы позволяет ей работать в двух режимах – дежурном и инсталляции, позволяет наращивать, изменять конфигурацию системы и вносить другие изменения без замены основного оборудования.
Принцип иерархичности. Реализуется за счет построения многоуровневой структуры, состоящей из оборудования Центра, оборудования среднего звена и объектового оборудования. Модульность и иерархичность позволяют разрабатывать системы безопасности для самого высокого организационно - структурного уровня;
Принцип преимущественно программной настройки. Реализуется за счет использования для перенастройки оборудования способ ввода новых управляющих программ – модулей;
Принцип совместимости технологических, программных, информационных, конструктивных, энергетических и эксплуатационных элементов в применяемых технических средствах. Технологическая совместимость обеспечивает технологическое единство и взаимозаменяемость компонентов. Это требование достигается унификацией технологии производства составных элементов системы. Информационная совместимость подсистем систем безопасности обеспечивает их оптимальное взаимодействие при выполнении заданных функций. Для ее достижения используются стандартные блоки связи с ЭВМ, выдерживается строгая регламентация входных и выходных параметров модулей на всех иерархических уровнях системы, входных и выходных сигналов для управляющих воздействий.
Классификация программных средств защиты информации.
Программными СЗИ называются специальные программы, входящие в состав программного обеспечения АС для решения в них (самостоятельно или в комплекте с другими средствами) задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных АС. Для организационного построения программных СЗИ наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, причем чаще всего в число этих функций входит опознавание пользователей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ОП и т.п. Достоинства таких программ очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недостаток состоит в стихийности развития программ защиты, что, с одной стороны, не дает гарантий полноты имеющихся средств, а с другой не исключает дублирования одних и тех же задач защиты. Вторым существенным недостатком является жесткая фиксация в каждом из комплексов программ защитных функций. Наконец, можно выделить еще один большой недостаток ориентация подавляющего большинства имеющихся программных средств на конкретную среду применения (тип ЭВМ и операционную среду). Отсюда вытекают три принципиально важных требования к формированию программных СЗИ: функциональная полнота, гибкость и унифицированность использования. Общепринятой классификации программных СЗИ в настоящее время не существует. Однако при описании программ защиты обычно придерживаются деления их по функциональному признаку, т.е. по выполняемым функциям защиты. При этом по мере развития форм и способов использования вычислительной техники функции программной защиты расширяются. С учетом названных принципов можно использовать классификацию, приведенную на рисунке:

При этом под внешней защитой понимается совокупность средств, методов и мероприятий, направленных на защиту территории, на которой расположены здания вычислительных центров, и помещений, в которых расположены их элементы. Понятие внутренней защиты охватывает совокупность средств, методов и мероприятий, направленных на ЗИ, обрабатываемой в АС. В состав ядра системы безопасности входят программы, обеспечивающие защиту самой СЗИ.
Достоинства программных средств защиты информации.
Программными СЗИ называются специальные программы, входящие в состав программного обеспечения АС для решения в них (самостоятельно или в комплекте с другими средствами) задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных АС. Такая их роль определяется следующими достоинствами:
универсальностью,
гибкостью,
простой реализацией,
надежностью,
возможностью модификации и развития. При этом под универсальностью понимается возможность решения программными СЗИ большого числа задач защиты.
Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям и достоверности управляющих воздействий при наличии различных дестабилизирующих факторов. Программные возможности изменения и развития программных СЗИ определяются самой их природой. Программным СЗИ присущи следующие недостатки: необходимость использования времени работы процессора, что ведет к увеличению времени отклика на запросы и, как следствие, к уменьшению эффективности ее работы;
уменьшение объемов оперативной памяти (ОП) и памяти на внешних запоминающих устройствах (ПВЗУ), доступной для использования функциональными задачами;
возможность случайного или умышленного изменения, вследствие чего программы могут не только утратить способность выполнять функции защиты, но и стать дополнительными источниками угрозы безопасности;
ограниченность из-за жесткой ориентации на архитектуру определенных типов ЭВМ (даже в рамках одного класса) зависимость программ от особенностей базовой системы ввода/вывода, таблицы векторов прерывания и т.п.
Для организационного построения программных СЗИ наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, причем чаще всего в число этих функций входит опознавание пользователей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ОП и т.п. Достоинства таких программ очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недостаток состоит в стихийности развития программ защиты, что, с одной стороны, не дает гарантий полноты имеющихся средств, а с другой не исключает дублирования одних и тех же задач защиты. Вторым существенным недостатком является жесткая фиксация в каждом из комплексов программ защитных функций. Наконец, можно выделить еще один большой недостаток ориентация подавляющего большинства имеющихся программных средств на конкретную среду применения (тип ЭВМ и операционную среду). Отсюда вытекают три принципиально важных требования к формированию программных СЗИ: функциональная полнота, гибкость и унифицированность использования.
Уровни защиты компьютерных и информационных ресурсов.
В обеспечении информационной безопасности выделяют несколько уровней:   1. Концептуально-политический. На этом уровне принимаются документы, в которых определяются основные направления государственной политики в области информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности в отношении всех обозначенных субъектов, намечаются пути и средства реализации поставленных целей. Примером подобного рода документов является Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000 г.   2. Законодательный. На этом уровне принимаются нормативноправовые акты (законы, постановления правительства и др.), призванные инициировать создание и функционирование системы правового регулирования обеспечения информационной безопасности.   3. Нормативно-технический. На данном уровне осуществляется разработка стандартов, руководящих и методических материалов и документов регламентирующих процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности. Приводятся в соответствие национальные и международные стандарты в сфере информационных технологий.   4. Административный. Осуществление мероприятий по обеспечению безопасности на данном уровне проводится в рамках конкретного предприятия, учреждения, организации. На этом уровне руководство организации реализует конкретные меры по обеспечению информационной безопасности. В их основе лежит политика безопасности предприятия (совокупность документированных управленческих решений, направленных на защиту информации), определяющая стратегию предприятия в области информационной безопасности, а также объем выделяемых ресурсов для создания и функционирования системы информационной безопасности.
Основные понятия механизма доступа к информации: разграничение доступа, субъект, объект, идентификация, аутентификация.
Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.
Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.
Доступ к ресурсу - получение субъектом возможности манипулировать данными ресурса (использовать, управлять, изменять настройки и т.п.).
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.
Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.
Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
Механизмы идентификации и аутентификации пользователя.
Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определенный объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.
Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.
Аутентификация пользователей осуществляется обычно:
путем проверки знания ими паролей (специальных секретных последовательно-стей символов),
путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или
путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.
Ввод значений пользователем своего идентификатора и пароля осуществляется чаще всего с клавиатуры. Однако многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные ( proximity ) карточки, интеллектуальные ( smart ) карточки, электронные таблетки Touch Memory .
Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.
Защита носителей информации.
Для защиты носителей информации рекомендуется:
вести, контролировать и проверять реестры носителей информации;
обучать пользователей правильным методам очищения и уничтожения носителей информации;
делать метки на носителях информации, отражающие уровень критичности содер-жащейся в них информации;
уничтожать носители информации в соответствии с планом организации;
доводить все руководящие документы до сотрудников;
хранить диски в конвертах, коробках, металлических сейфах;
не касаться поверхностей дисков, несущих информацию
осторожно вставлять диски в компьютер и держать их подальше от источников магнитного поля и солнечного света;
убирать диски и ленты, с которыми в настоящий момент не ведется работа;
хранить диски разложенными по полкам в определенном порядке;
не давать носители информации с критической информацией неавторизованным людям;
выбрасывать или отдавать поврежденные диски с критической информацией только после их размагничивания или аналогичной процедуры;
уничтожать критическую информацию на дисках с помощью их размагничивания или физического разрушения в соответствии с порядком в организации;
уничтожать распечатки и красящие ленты от принтеров с критической информацией в соответствии с порядком организации;
обеспечить безопасность распечаток паролей и другой информации, позволяющей получить доступ к компьютеру.
Основные принципы создания систем защиты от несанкционированного копирования.
Под системой защиты от несанкционированного использования и копирования (защиты авторских прав, или просто защиты, от копирования) понимается комплекс программных или программно-аппаратных средств, предназначенных для усложнения или запрещения нелегального распространения, использования и (или) изменения программных продуктов и иных информационных ресурсов.
Выделим принципы создания и использования систем защиты от копирования.
1. Учет условий распространения программных продуктов:
распространение дистрибутивных файлов на магнитных носителях через сеть торговых агентов или через сеть Интернет с последующей установкой самим пользователем, который при этом может пытаться копировать дистрибутивные магнитные диски, исследовать алгоритм работы системы защиты при помощи специальных программных средств (отладчиков и дисассемблеров), пытаться нарушить условия лицензионного соглашения и установить продукт на большем числе компьютеров, пытаться смоделировать алгоритм работы системы защиты для изготовления аналогичного варианта дистрибутивных файлов и распространения их от своего имени;
установка программного продукта официальным представителем правообладателя, при котором пользователь может пытаться нарушить условия лицензионного соглашения или исследовать алгоритм работы системы защиты;
приобретение и использование программного продукта лицами или организациями, не заинтересованными в его нелегальном распространении среди их коммерческих конкурентов в этом случае возможны только попытки несанкционированного использования продукта другими лицами;
приобретение программного продукта только для снятия с него системы защиты.
2. Учет возможностей пользователей программного продукта по снятию с него системы защиты (наличие достаточных материальных ресурсов, возможность привлечения необходимых специалистов и т.п.).
3. Учет свойств распространяемого программного продукта (предполагаемого тиража, оптовой и розничной цены, частоты обновления, сложности продукта, уровня послепродажного сервиса для легальных пользователей, возможности применения правовых санкций к нарушителю и др.).
4. Оценка возможных потерь при снятии защиты и нелегальном использовании.
5. Учет особенностей уровня знаний и квалификации лиц, снимающих систему защиты.
6. Постоянное обновление использованных в системе защиты средств.
Требования, предъявляемые к системам защиты от копирования.
Под системой защиты от несанкционированного использования и копирования (защиты авторских прав, или просто защиты, от копирования) понимается комплекс программных или программно-аппаратных средств, предназначенных для усложнения или запрещения нелегального распространения, использования и (или) изменения программных продуктов и иных информационных ресурсов.
Основные требования, предъявляемые к системе защиты от копирования:
обеспечение некопируемости дистрибутивных дисков стандартными средствами (для такого копирования нарушителю потребуется тщательное изучение структуры диска с помощью специализированных программных или программно-аппаратных средств);
обеспечение невозможности применения стандартных отладчиков без дополнительных действий над машинным кодом программы или без применения специализированных программно-аппаратных средств (нарушитель должен быть специалистом высокой квалификации);
обеспечение некорректного дисассемблирования машинного кода программы стандартными средствами (нарушителю потребуется использование или разработка специализированных дисассемблеров);
обеспечение сложности изучения алгоритма распознавания индивидуальных параметров компьютера, на котором установлен программный продукт, и его пользователя или анализа применяемых аппаратных средств защиты (нарушителю будет сложно эмулировать легальную среду запуска защищаемой программы).
Состав системы защиты от несанкционированного копирования.
Выделим основные компоненты системы защиты программных продуктов от несанкционированного копирования:
модуль проверки ключевой информации (некопируемой метки на дистрибутивном диске, уникального набора характеристик компьютера, идентифицирующей информации для легального пользователя) - может быть добавлен к исполнимому коду защищаемой программы по технологии компьютерного вируса, в виде отдельного программного модуля или в виде отдельной функции проверки внутри защищаемой программы;
модуль защиты от изучения алгоритма работы системы защиты;
модуль согласования с работой функций защищаемой программы в случае ее санкционированного использования;
модуль ответной реакции в случае попытки несанкционированного использования (как правило, включение такого модуля в состав системы защиты нецелесообразно по морально-этическим соображениям).
Методы, затрудняющие считывание скопированной информации.
Угроза несанкционированного копирования информации блокируется методами, которые могут быть распределены по двум группам:
методы, затрудняющие считывание скопированной информации;
методы, препятствующие использованию информации.
Методы из первой группы основываются на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других накопителях, не входящих в защищаемую КС. Таким образом, эти методы направлены на создание совместимости накопителей только внутри объекта. В КС должна быть ЭВМ, имеющая в своем составе стандартные и нестандартные накопители. На этой ЭВМ осуществляется ввод (вывод) информации для обмена с другими КС, а также переписывается информация со стандартных носителей на нестандартные, и наоборот. Эти операции осуществляются под контролем администратора системы безопасности. Такая организация ввода-вывода информации существенно затрудняет действия злоумышленника не только при несанкционированном копировании, но и при попытках несанкционированного ввода информации.
Особенности работы накопителей на съемных магнитных носителях должны задаваться за счет изменения программных средств, поддерживающих их работу, а также за счет простых аппаратных регулировок и настроек. Такой подход позволит использовать серийные образцы накопителей.
Самым простым решением является нестандартная разметка (форматирование) носителя информации. Изменение длины секторов, межсекторных расстояний, порядка нумерации секторов и некоторые другие способы нестандартного форматирования дискет затрудняют их использование стандартными средствами операционных систем. Перепрограммирование контроллеров ВЗУ, аппаратные регулировки и настройки вызывают сбой оборудования при использовании носителей на стандартных ВЗУ, если форматирование и запись информации производились на нестандартном ВЗУ. В качестве примеров можно привести изменения стандартного алгоритма подсчета контрольной суммы и работы системы позиционирования накопителей на гибких магнитных дисках.
Методы, препятствующие использованию скопированной информации.
Эта группа методов имеет целью затруднить использование полученных копированием данных. Скопированная информация может быть программой или данными. Данные и программы могут быть защищены, если они хранятся на ВЗУ в преобразованном криптографическими методами виде. Программы, кроме того, могут защищаться от несанкционированного исполнения и тиражирования, а также от исследования.
Наиболее действенным (после криптографического преобразования) методом противодействия несанкционированному выполнению скопированных программ является использование блока контроля среды размещения программы. Блок контроля среды размещения является дополнительной частью программ. Он создается при инсталляции (установке) программ. В него включаются характеристики среды, в которой размещается программа, а также средства получения и сравнения характеристик.
В качестве характеристик используются характеристики ЭВМ или носителя информации, или совместно, характеристики ЭВМ и носителя. С помощью характеристик программа связывается с конкретной ЭВМ и (или) носителем информации. Программа может выполняться только на тех ЭВМ или запускаться только с тех носителей информации, характеристики которых совпадут с характеристиками, записанными в блоке контроля среды выполнения.
В качестве характеристик ЭВМ используются особенности архитектуры: тип и частота центрального процессора, номер процессора (если он есть), состав и характеристики внешних устройств, особенности их подключения, режимы работы блоков и устройств и т. п.
Основные понятия криптографии, достоинства и недостатки.
Шифрование – неотъемлемая часть современного мира, его используют не только секретные службы, но и обычные пользователи компьютера. Специалист в области вычислительной техники должен разбираться в многочисленных средствах шифрования, чтобы выбирать наиболее защищенные системы.
Исходное, незашифрованное сообщение называется открытым текстом (plain text). Зашифрованное сообщение называется шифртекстом (ciphertext). Процесс преобразования открытого текста в шифртекст называется зашифрованием (enciphering), а обратный процесс расшифрованием (deciphering). Зашифрование и расшифрование выполняются в соответствии с криптографическим алгоритмом (cryptographic algorithm). Обычно криптографический алгоритм содержит сменный элемент криптографический ключ (cryptographic key), позволяющий выбрать одно конкретное преобразование из множества преобразований, реализуемых данным алгоритмом.
Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями АС, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию.
В классической криптографии используется только одна единица секретной информации
- ключ, знание которого позволяет отправителю зашифровать информацию, а получателю
- расшифровать ее. Именно эти операции шифрования/расшифрования с большой вероятностью невыполнимы без знания секретного ключа. Поскольку обе стороны, владеющие ключом, могут как шифровать, так и расшифровывать информацию, такие алгоритмы преобразования называют симметричными или алгоритмами с секретным (закрытым) ключом.
В криптографии с открытым ключом имеется два ключа, по крайней мере один из которых нельзя вычислить из другого. Один ключ используется отправителем для шифрования информации, закрытие которой необходимо обеспечить. Другой ключ используется получателем для расшифрования полученной информации. Бывают приложения, в которых один ключ должен быть несекретным, а другой - секретным. Алгоритмы преобразования с открытым и секретным ключами называют асимметричными, поскольку роли сторон владеющих разными ключами из пары различны.
К криптографическим методам зашиты в общем случае относятся:
шифрование (расшифрование) информации;
формирование и проверка цифровой подписи электронных документов.
Применение криптографических методов и средств позволяет обеспечить решение следующих задач по защите информации:
предотвращение возможности несанкционированного ознакомления с информацией при ее хранении в компьютере или на отчуждаемых носителях, а также при передаче по каналам связи;
подтверждение подлинности электронного документа, доказательство авторства документа и факта его получения от соответствующего источника информации;
обеспечение имитостойкости (гарантий целостности) - исключение возможности необнаружения несанкционированного изменения информации;
усиленная аутентификация пользователей системы - владельцев секретных ключей.
Основным достоинством криптографических методов защиты информации является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).
К числу основных недостатков криптографических методов можно отнести следующие:
большие затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;
трудности с совместным использованием зашифрованной информации;
высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены;
трудности с применением в отсутствии надежных средств защиты открытой информации и ключей от НСД.
Классификация криптографических алгоритмов. Шифр Цезаря.
В криптографии используются следующие основные алгоритмы шифрования:
алгоритм замены (подстановки) – символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены. Получатель шифртекста выполняет обратную подстановку, восстанавливая открытый текст;
алгоритм перестановки – символы шифруемого текста переставляются по определенному правилу в пределах некоторого блока этого текста;
аналитическое преобразование – преобразование шифруемого текста по некоторому аналитическому правилу (формуле).
Шифр Цезаря  один из древнейших шифров. При шифровании каждый символ заменяется другим, отстоящим от него в алфавите на фиксированное число позиций. Шифр Цезаря можно классифицировать как шифр простой замены.  Шифр назван в честь римского императора Гая Юлия Цезаря, использовавшего его для секретной переписки. Естественным развитием шифра Цезаря стал шифр Виженера. С точки зрения современного криптоанализа, шифр Цезаря не имеет приемлемой стойкости.

Рисунок 1 Шифр Цезаря 
Математическая модель
Если сопоставить каждому символу алфавита его порядковый номер (нумеруя с 0), то шифрование и дешифрование можно выразить формулами:


где x символ открытого текста  y символ шифрованного текста  n мощность алфавита (кол-во символов)  k ключ.  Можно заметить, что суперпозиция двух шифрований на ключах k1 и k2 есть просто шифрование на ключе k1+k2. Более общее, множество шифрующих преобразований шифра Цезаря образует группу Z.
Алфавит:

Пример:

Ответ: «Пхнфчузхещнд»
Классификация криптографических алгоритмов. Шифр маршрутной перестановки.
Широкое распространение получили шифры перестановки, использующие некоторую геометрическую фигуру. Преобразования из этого шифра состоят в том, что в фигуру исходный текст вписывается по ходу одного «маршрута», а затем по ходу другого выписывается из нее. Такой шифр называют маршрутной перестановкой. Например, можно вписывать исходное сообщение в прямоугольную таблицу, выбрав такой маршрут по горизонтали, начиная с левого верхнего угла поочередно слева направо и справа налево. Используем прямоугольник размера 4Ч7
П
Р
И
М
Е
Р
М
(

Н
Т
У
Р
Ш
Р
А
(

О
Й
П
Е
Р
Е
С
(

И
К
В
О
Н
А
Т
(

Выписывать будем по вертикали, начиная с верхнего правого угла и двигаясь поочередно сверху вниз и снизу вверх. МАСТАЕРРЕШРНОЕРМИУПВКЙТРПНОИ Теоретически, маршруты могут быть более изощренными.
Классификация криптографических алгоритмов. Шифр вертикальной перестановки.
Шифр вертикальной перестановки (ШВП). В нем снова используется прямоугольник, в который сообщение вписывается обычным способом (по строкам слева направо). Выписываются буквы по вертикали, а столбцы при этом берутся в порядке, определяемом ключом. Впишем сообщение в прямоугольник, столбцы которого пронумерованы в соответствии с ключом:
5
1
4
7
2
6
3

В
О
Т
П
Р
И
М

Е
Р
Ш
И
Ф
Р
А

В
Е
Р
Т
И
К
А

Л
Ь
Н
О
Й
П
Е

Р
Е
С
Т
А
Н
О

В
К
И
-
-
-
-

Выбирая столбцы в порядке, заданном ключом, выписываем последовательно буквы сверху вниз: ОРЕЬЕКРФИЙА-МААЕО-ТШРНСИВЕВЛРВИРКПН-ПИТОТ- Число ключей ШВП не более m!, где m - число столбцов таблицы. Пользуясь формулой Стирлинга, при больших m и n можно оценить, во сколько раз n! больше m!, если n кратно m.
Электронная подпись.
Электронная подпись – мощное средство контроля подлинности информации в электронном виде, обеспечения целостности электронных данных, подтверждения их авторства и актуальности. Электронная подпись вводится, так как необходимо:
1) Предотвратить отказ от посланного сообщения
2) Защититься от модификации присланного сообщения
3) Предотвратить подделку сообщения
4) Предотвратить отправку сообщения от чужого имени
5) Предотвратить перехват сообщения с целью его модификации
6) Предотвратить повтор сообщений
Электронная подпись – это информационный объект, создаваемый для подписываемых данных, позволяющий удостовериться в целостности и аутентичности этих данных.
Электронная подпись – это формализованная структура, электронный документ, состоящий из набора обязательных и не обязательных реквизитов – атрибутов электронной подписи. В состав обязательных атрибутов как раз и входит криптографическая часть, обеспечивающая надёжную идентификацию подписываемых данных и гарантирует надёжность источника информации о подписавшем.
Кроме криптографической части, электронная подпись обязательно содержит мнимальную информацию о подписавшем и некоторую техническую информацию. Для прикладного использования, электронная подпись может содержать дату и время подписания, сведения для дополнительных механизмов проверки подписи, расширенную информацию о подписавшем, его полномочия и отношение к подписываемым данным, комментарии, файлы, графическое изображение собственноручной подписи и другие, функционально востребованные, данные.
Подпись создается с помощью личного ключа отправителя, причем подписывается не само сообщение, а его хэш-функция (Хеширование  преобразование по [ Cкачайте файл, чтобы посмотреть ссылку ] входного массива данных произвольной длины в выходную [ Cкачайте файл, чтобы посмотреть ссылку ] строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют [ Cкачайте файл, чтобы посмотреть ссылку ], хеш-кодом или сводкой сообщения .Таким образом, получателю отправляется сообщение с приложенной к нему подписью.
Подпись можно проверить с помощью общеизвестного открытого ключа отправителя, который расшифровывает хэш-функцию
Компьютерный вирус: понятие, пути распространения, проявления и действия вируса.
Компьютерный вирус это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере. Наиболее распространенными типами компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы. Условно выделяют две части вируса – голову и хвост. Голова – часть вируса, первой получающая управление. Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.
Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL, драйверы .SYS и загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.
Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:

· восстанавливает начало программы в оперативной памяти;

· находит очередную жертву;

· проверяет зараженность жертвы;

· внедряет тело вируса в программу- жертву;

· передает управление программе-вирусоносителю.
Файловый резидентный вирус помимо файлов заражает оперативную память ПК.
Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:

· восстанавливает начало программы в оперативной памяти;

· проверяет зараженность ОЗУ;

· перехватывает требуемые прерывания;

· передает управление зараженной программе.
Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.
Бутовый вирус – это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого или жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.
При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.
При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.
Вирусы-черви обычно состоят из двух частей:

· загрузчика;

· исполняемой части.
Сначала на атакуемую машину проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя (исполняемая часть). Собственно говоря, голов у вируса может быть и несколько. Так, достопочтенный вирус Морриса имел две головы.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
прекращение работы или неправильная работа ранее успешно функционировавших программ
медленная работа компьютера
невозможность загрузки операционной системы
исчезновение файлов и каталогов или искажение их содержимого
изменение даты и времени модификации файлов
изменение размеров файлов
неожиданное значительное увеличение количества файлов на диске
существенное уменьшение размера свободной оперативной памяти
вывод на экран непредусмотренных сообщений или изображений
подача непредусмотренных звуковых сигналов
частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Классификация вирусов.
Классификация вирусов.

Среда обитания:
Сетевые
Распространяются по компьютерной сети.


Файловые
Внедряются в исполняемые файлы


Загрузочные
Внедряются в загрузочный сектор диска

Способы заражения:
Резидентные
Находятся в памяти, активны до выключения ПК


Нерезидентные
Не заражают память, являются активными ограниченное время

Деструктивные возможности:
Безвредные
Практически Ге влияют на работу, уменьшают свободную память на диске в результате своего размножения


Неопасные
Уменьшают свободную память, создают звуковые, графические и прочие эффекты


Опасные
Могут привести к серьёзным сбоям в работе


Очень опасные
Могут привести к потере программ или системных данных

Особенности
алгоритма вируса:
Вирусы-«спутники»
Вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM


Вирусы-«черви»
Распространяются по сети, рассылают свои копии, вычисляя сетевые адреса


«Паразитические»
Изменяют содержимое дисковых секторов или файлов


«Студенческие»
Примитив, содержат большое количество ошибок


«Стелс»-вирусы (невидимки)
Перехватывают обращения DOS к пораженным файлам или сектора и подставляют вместо себя незараженные участки


Вирусы-призраки
Не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано


Макровирусы
Пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot


Виды вирусов.
Загрузочные вирусы.
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:
Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и т.н. хвост. Хвост может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) - ПНЗ (диск) – СИСТЕМА появляется новое звено: ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА
Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.
Файловые вирусы
Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину»
Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:
он не обязан менять длину файла
неиспользуемые участки кода
не обязан менять начало файла
Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код.
Таким образом, при запуске любого файла вирус получает управление, (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
Загрузочно-файловые вирусы
Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Полиморфные вирусы
Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
Стелс-вирусы
В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
Троянские кони, программные закладки и сетевые черви
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы – вносить в них разрушающие функции.
«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.
Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.
Классификация антивирусных программ. Программы–детекторы, программы–доктора.
Для борьбы с вирусами разрабатываются антивирусные программы.
Антивирусная программа - это программа, способная распознать и уничтожить только известные вирусы.
Говоря медицинским языком, эти программы могут выявлять (диагностировать), лечить (уничтожать) вирусы и делать прививку "здоровым программам".
Различают следующие виды антивирусных программ:
программы-детекторы (сканеры);
программы-доктора (или фаги, дезинфекторы);
программы-ревизоры;
программы-фильтры (сторожа, мониторы);
программы-иммунизаторы (или вакцины).
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.
Программы-детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлять новые виды вирусов.Следует отметить, что программы-детекторы могут обнаружить только те вирусы, которые ей "известны", то есть, сигнатуры (последовательности байтов) этих вирусов заранее помещены в библиотеку антивирусных программ. Таким образом, если проверяемая программа не опознается детектором как зараженная, то не следует считать, что она "здорова". Она может быть инфицирована новым вирусом, или слегка модифицированной версией старого вируса, которые не занесены в базу данных детектора.
Для устранения этого недостатка программы-детекторы стали снабжать блоками эвристического анализа программ. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям. Наиболее развитые эвристические механизмы позволяют с вероятностью около 80% обнаружить новый вирус.
В России получили широкое распространение программы-детекторы, одновременно выполняющие и функции программ-докторов. Наиболее известные представители этого класса - AVP (Antiviral Toolkit Pro, автор - Е.Касперский), Aidstest (автор - Д.Лозинский) и Doctor Web (авторы - И.Данилов, В.Лутовинов, Д.Белоусов).
Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо.
Программы-доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из файла тело программы-вируса. Программы-доктора, которые позволяют лечить большое число вирусов, называются полифагами.
Классификация антивирусных программ. Программы–ревизоры, программы–фильтры.
Программы-ревизоры - это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется длина файлов, их время создания, атрибуты, контрольные суммы. Контрольная сумма является интегральной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю два всех байтов файла. Практически всякое изменение кода программы приводит к изменению контрольной суммы файла.
Ревизоры сначала запоминают сведения о состоянии программ и системных областей диска. Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью ревизора можно в любой момент времени сравнить состояние программ и системных областей диска с их исходными состояниями. О выявленных несоответствиях ревизор сообщает пользователю. Ревизоры контролируют файловую систему, отслеживая перемещение, переименование, создание и удаление файлов и папок (каталогов).
Доктора-ревизоры не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.
Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении, они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.
Антивирусы-фильтры - это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:
обновление программных файлов и системной области диска;
форматирование диска;
резидентное размещение программ в ОЗУ.
Обнаружив попытку выполнения таких действий, программа сообщает об этом пользователю, который принимает окончательное решение по выполнению данной операции. В качестве примера такой антивирусной программы можно назвать VSafe. Заметим, что она не способна обезвредить даже известные вирусы. Для "лечения" обнаруженных фильтром вирусов нужно использовать программы-доктора. Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить.
К последней группе относятся наименее эффективные антивирусы - вакцинаторы (иммунизаторы). Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус, от которого производится вакцинация, считает эту программу уже зараженной. Нужно отметить, что этот вид антивирусных программ очень устарел.
Программы – шпионы.
Программа-шпион – это программа, которая обычно является скрытым компонентом различных бесплатных приложений, которые пользователи скачивают из Интернета. Таким образом, при установке подобных приложений пользователь сам заражает свой компьютер шпионом. Шпионское ПО также может располагаться на веб-страницах. Затем оно устанавливается на компьютерах пользователей, посетивших такие страницы.
Программы-шпионы собирают информацию о Ваших привычках пользователя Интернета – чаще всего, в рекламных целях. Как только программа-шпион установлена на вашем компьютере, она начинает собирать сведения и передавать их своему автору. В некоторых случаях информация может быть конфиденциальной: пароли, номера кредитных карт, адреса электронной почты и т.д.

Помимо этого, когда программа-шпион передает полученные данные своему автору, она создает помехи и высокую загруженность сети. Это становится причиной серьезных неудобств для пользователя.
Просто сказать, что шпионящее ПО незвано - ничего не сказать. Установленная программа-шпион на ваш ПК может изменять реестр Windws и добавлять динамические библиотеки (DLL-файлы), а также скачивать программные файлы (PDF, например, вредоносные элементы ActiveX или обекты для JAVA VM) в вашу ОС. Некоторые программы-шпионы используют Web-браузеры (особенно Internet Explorer), устанавливая элементы управления ActiveX, плагины для браузера (browser helper objects, сокращенно BHO), панели управления или изменяют настройки Интернет-браузера, включая домашние страницы, списки ссылок и пункты контекстного меню. Некоторые шпионящие программы даже изменяют установки TCP/IP и файлы hosts.
Онлайновые энциклопедии по шпионящим программам и словари идентифицируют десятки тысяч вредоносных шпионящих программ. Часто встречающиеся типы шпионящих программ включают такие элементы:
Рекламный софт (Adware)
Перехват сессии в браузере (Browser session hijackers)
Средства удаленного администрирования (Remote Administration Tools, сокращенно RATs)
Агенты слежения (Tracking agents)
Двойной агент программы-шпиона (Double agent spyware)
Рассмотрим, какой риск представляет каждый элемент в отдельности.
Не весь рекламный софт (технически) является программой-шпионом, но многие эксперты полагают, что даже разрешенное программное обеспечение является программами-шпионами, когда оно поставляется в процессе непрошеной рекламы. Основными способами попадания в операционную систему являются всплывающие окна браузера и запуск рекламного программного обеспечения. Сейчас около 800 экземпляров рекламного программного обеспечения характера содержит в себе скрытых шпионов. Эта разнообразная группа включает свободно распространяемые версии игр (например, Midnight Oil Solitaire); FTP-клиентов (FTP Works); версии почтовых клиентов (Eudora); проигрыватели музыки; системные утилиты и Web-приложения и много других. Разработчики ПО получают вознаграждение от рекламодателей, кто размещает рекламу в окнах или панелях управления, в так называемом бесплатном ПО. Некоторое рекламное ПО (например, FlashTrack) отслеживает активность пользователя в Web и ищет его запросы. Потом отсылает эту информацию на рекламные сервера, такие как Aureate и Aveo, которые возвращают требуемые рекламки (как правило, всплывает реклама), основанные на ключевых словах и фразах. Как пример - многие родители знают, что даже по-видимому благоприятные ключевые слова, такие как "киска" могут выставить их детям нежелательный материал, включая порнографические материалы.
Перехват сеанса браузера -своего рода приманка-переключатель в виртуальном мире. Программа-шпион (Icoo, WurldMedia, инструментальная панель Xupiter , Lop, BonziBuddy, CoolWebSearch) перехватывает сеансы браузера и запросы поиска, уводя пользователей на Web-сайты и использует механизмы поиска, которые они не намеревались использовать или просматривать. Такой "перехваченный" пользователь может быть подвергнут нежелательному, содержащему подозрительный или рекламный контент. Такими дейстивями зарабатываются комиссионные, выборочно относя пользователя к сайту электронной коммерции, который предлагает сервис или программу, подобно сайту, который пользователь на самом деле искал.
Средства удаленного администрирования (Remote Administration Tools, сокращенно RATs) и клавиатурные шпионы являются примерами шпионящего ПО, еще называемого "Трояном" (или Троянским Конем). Имя сразу говорит о сути данного типа программ, они дают атакующему возможность удаленного контроля или прослушивания и возможностей прерывать работу пользователя. Действуя дистанционно, нападающий может прервать и регистрировать пользовательские нажатия клавиши, контролировать приложение и действия браузера, и даже перехватывают потоки от Веб-камер.
Агенты слежения, ошибки в Web, а также сборщики данных воруют различную конфиденциальную информацию. Они могут контролировать ваш просмотр Web-страниц, процесс покупки в онлайн магазине, электронную почту и мгновенную передачу сообщений, и могут собрать информацию о системной конфигурации, а также личную информацию. Alexa, известная панель для поиска, также сборщик данных. Некоторые компании используют данные такого слежения для того, чтобы обеспечить целевую рекламу, но другие продают или злоупотребляют этой информацией. Transponder/VX2 выискивает адреса электронной почты, историю просмотра Web-старниц, а также выхватывает данные из форм на Web-страницах и конфигурационных файлов. Gator/GAIN (сейчас Claria) устверждает, что у них нет нарущения прав в по, но эксперты по антишпионскому ПО утверждают, что клиенсткая часть ПО, которая автоматически заполняет форму и сохраняет пароли, отслеживает привычки покупающего пользователя.
Двойной агент шпионящего ПО. Печально, что некоторое программное обеспечение, которое рекламируется как антишпион - само по себе является шпионом. Пользователи загружают по времени ограниченную версию или версию свободно распространяемого программного обеспечения, называемого программным обеспечением защиты, которое, как они ожидают, удалит рекламу, и только потом узнают, что эти версии, фактически, реклама и ничего более.
Достижимой целью программ-шпионов является малый и средний бизнес, где, как правило, недостаток IT-специалистов, но проблему без внимания оставлять нельзя. Выход есть - применять эффективные анти-шпионские программы, которые не требуют огромных инвестиций. Осторожно выбирая в помощь себе анти-шпионское ПО, можно построить эффективную защиту от серьезной проблемы.
Методы борьбы с программами-шпионами.
Возникновение нижеуказанных действий компьютера или их совокупности, вероятно, говорит о том, что машина заражена шпионским ПО и требует тщательного анализа с помощью специализированных программ:
Периодическое появление всплывающих окон, в основном рекламной направленности.
Перенаправление Интернет-браузера на страницы, которые пользователь не вводил сам.
Изменение домашней страницы браузера
Добавление в главное окно браузера ненужных панелей инструментов.
Появление неизвестных иконок в области панели уведомлений рядом с часами Windows.
Появление ошибок работы браузера и работы системы в целом.
Появление неизвестных сетевых подключений.
Резкое увеличение объeма трафика.
Снижение скорости соединения с Интернетом.
Полноценная борьба с программами-шпионами началась относительно недавно. До этого разработчики антивирусных пакетов не включали в свои базы сигнатуры программ Spyware. В новейших же антивирусах предусмотрены сканеры подобных программ. Кроме того, некоторые Firewall-программы позволяют проводить сканирование и мониторинг наличия активных шпионских приложений. Естественно, что борьба ведeтся только с теми программами, чья сигнатура известна разработчику антишпионского ПО. Сигнатура – последовательность байтов, присущая только определeнной программе. В этой связи, существует одна насущная проблема. Программы, разрабатываемые легально, для санкционированного использования, не вносятся в антишпионские базы, из них не выделяют сигнатуры. Но, и такие программы умеют работать в скрытом режиме, обладая всеми функциями информационного шпионажа. Кроме того, особо «серьeзные» программы не отображаются в процессах, работая в виде информационных потоков. Соответственно, пользователь, которому установили подобное ПО, столкнeтся с реальной проблемой обнаружения.
Как видно, сигнатурные методы анализа не всегда являются эффективными. Но, существует другой класс программ, способных анализировать систему эвристическими методами. Эвристическими называются методы поиска, при котором проверяются исполняемые файлы, почтовые сообщения и их вложения на наличие подозрительных команд. Эти методы выявляют последовательности кодов, необычные команды и схемы поведения, команды, без разрешения открывающие адресную книгу почтового клиента, вносящие изменения в реестр или открывающие сетевые порты. Подобные эвристические алгоритмы способны выявлять неизвестные формы шпионских программ. Но у подобных алгоритмов априори существуют недостатки. Основным является то, что программа оперирует эмпирическими предположениями, соответственно возникает возможность «ложных тревог». Чем выше уровень защиты, тем больше «ложных тревог» будет получать пользователь.
Оптимальным решением для борьбы со шпионским ПО является наличие целого комплекса по защите безопасности. Он должен состоять из программы с сигнатурным алгоритмом анализа, программы с эвристическим алгоритмом и обязательно наличие Firewall-приложений. Это не обязательно должны быть отдельные программы, многие разработчики ПО предлагают комплексные решения в одном программном продукте.


 "љњ
·
·
·
·
·
·
·
·
·
·  pr
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·Рисунок 1Рисунок 1Рисунок 31ђ Заголовок 415

Приложенные файлы


Добавить комментарий