МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
С проникновением компьютеров в различные сферы жизни возникла принципиально новая отрасль — информационная индустрия. Объем циркулирующей в обществе информации примерно удваивается каждые пять лет. Человечество создало информационную цивилизацию, в которой от успешной работы средств обработки информации зависит само благополучие и даже выживание человечества в его нынешнем качестве. Произошедшие за этот период изменения можно охарактеризовать следующим образом:
• объемы обрабатываемой информации возросли за последние полвека на несколько порядков;
• информация приобрела стоимость, которую во многих случаях даже невозможно подсчитать;
• доступ к определенным данным позволяет контролировать значительные материальные и финансовые ценности;
• обрабатываемые данные стали чрезвычайно многообразными, а не исключительно текстовыми;
• субъектами информационных процессов теперь являются не только люди, но и созданные ими автоматизированные системы, действующие по заложенной в них программе.
В последние годы большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и построенных на их основе вычислительных системах. При этом под защитой информации понимается создание совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.
Проблема защиты информации специалистами интерпретируется следующим образом. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается ее уязвимость. Основными факторами, способствующими повышению этой уязвимости, являются:
• сосредоточение в единых базах данных информации различного назначения и принадлежности;
• резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы;
• расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера.
5.1. Компьютерные вирусы
Поэтому одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.
Что такое компьютерный вирус? Формального определения этого понятия до сих пор нет. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Поэтому ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.
Вирус — программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения .EXE, .COM, .SYS, .ВАТ. Редко заражаются текстовые файлы.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:
• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• замедление работы компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
5.2. Методы защиты от компьютерных вирусов
Для решения задач антивирусной защиты должен быть реализован комплекс известных и хорошо отработанных организационно-технических мероприятий:
• использование сертифицированного программного обеспечения;
• организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предвари тельная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
• ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вирусов в систему, позволяет значительно повысить уровень антивирусной защиты при работе в компьютерной сети.
Особенно эффективным это мероприятие становится при переходе на технологию электронного документооборота;
• запрет на использование инструментальных средств для создания программ. Такой запрет необходим для того, чтобы исключить возможность создания пользователями вирусных программ в самой системе;
• резервное копирование рабочего программного обеспечения и данных. Правильная организация резервного копирования позволяет восстановить работоспособность системы и сохранить ценные данные в случае успешной вирусной атаки. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла хранится на диске рабочей станции, од на архивная копия в защищенной области на сервере и еще одна архивная копия — на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируются специальной инструкцией;
• подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация администраторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций. Обучение пользователей могут осуществлять специалисты службы защиты информации, прошедшие соответствующую подготовку в лицензированном учебном центре.
5.3. Программы борьбы с компьютерными вирусами
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей известны.
Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях программа-ревизор сообщает пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.
Есть очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, — программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы гораздо более универсальные, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания механизмы заражения файлов.
Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые резидентно располагаются в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны — они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы неэффективны, так как ориентированы на очень узкую область.
Рассмотренные мероприятия являются стандартными для средств автоматизации, состоящих из автономных рабочих станций. Вероятность вирусной атаки значительно возрастает при объединении компьютеров в сеть и становится неизбежной при подключении к информационно-вычислительным сетям общего пользования.
Компьютерные сети имеют архитектурные особенности, которые оказывают влияние на уязвимость компьютерных систем при воздействии программных вирусов.
Основными из них являются:
• поддержка различных сетевых информационных услуг и удаленных пользователей;
• значительный объем информации между компьютерами;
• наличие различных платформ и протоколов взаимодействия;
• сложная конфигурация систем с большим количеством разнотипных узлов сети;
• использование информационных ресурсов публичных компьютерных сетей.
Организация антивирусной защиты стала сложной технической и административной задачей, которая требует выработки политики антивирусной безопасности. Наиболее эффективным является решение по созданию комплексной системы информационной безопасности с интегрированной подсистемой защиты от вирусов на базе передовых антивирусных средств.
Полноту покрытия вирусного пространства проверяют в ходе тестовых испытаний, используя для этого коллекции:
• «живых» вирусов, составляющих набор примерно из 400 вирусов, которые встречаются на практике;
• макровирусов, поражающих в основном документы офисных приложений;
• полиморфных вирусов, меняющих свой код при генерации каждой новой копии;
• стандартных вирусов.
Наиболее широко используемыми антивирусными программами являются Антивирус Лаборатории Касперского, DRWeb, Norton Utilities и др.
Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.
5.4. Защита от несанкционированного доступа к информации
Современная концепция защиты информации предусматривает реализацию стратегии разграничения доступа пользователей к различным категориям информационных ресурсов с ограничением доступа к системе посторонних субъектов.
Реализация стратегии разграничения доступа основана на применении административно-правовых, организационных, криптографических и физических методов.
Административно-правовые методы используют психологические факторы воздействия на человека, которые являются субъективными и поэтому не реализуются в технических средствах защиты информации. Остальные методы могут быть реализованы на разных уровнях информационного взаимодействия.
Криптографические методы реализуют защиту информации на синтаксическом уровне, используя уникальные знаковые системы для представления информации, а программно-аппаратные средства разграничения доступа — на семантическом уровне, регламентируя функциональные возможности пользователей по доступу к электронным файлам и функциям по их обработке.
5.5. Использование криптографии
Для большинства организаций защита сетевых ресурсов от несанкционированного доступа становится одной из наиболее острых проблем. Особую тревогу вызывает тот факт, что Интернет в настоящее время повсеместно используется для транспортировки и хранения различных данных и конфиденциальной корпоративной информации.
Задача защиты информации особенно актуальна для владельцев онлайновых информационных баз данных, издателей электронных журналов и т.п.
Основные методы защиты информации базируются на современных методах криптографии — науке о принципах, средствах и методах преобразования информации для защиты ее от несанкционированного доступа и искажения, — которые должны решить в первую очередь два главных вопроса: надежность и быстродействие.
Разработка шифров и программного обеспечения, отвечающих этим условиям, находится в центре внимания многих исследователей.
Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной (текст, факс, телекс) и непрерывной (речь) информации.
С помощью криптографических методов возможно:
• шифрование информации;
• реализация электронной подписи;
• распределение ключей шифрования;
• защита от случайного или умышленного изменения информации.
К алгоритмам шифрования предъявляются определенные требования:
• высокий уровень защиты данных против дешифрования и возможной модификации;
• защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа);
• малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста (эффект «обвала»);
• область значений ключа должна исключать возможность де шифрования данных путем перебора значений ключа;
• экономичность реализации алгоритма при достаточном быстродействии;
• стоимость дешифрования данных без знания ключа должна превышать стоимость данных.
5.6. Реализация алгоритмов шифрования
Алгоритмы шифрования реализуются программными или аппаратными средствами. Есть множество программных реализаций различных алгоритмов. Из-за своей дешевизны (некоторые и вовсе бесплатны), а также все большего быстродействия процессоров ПК, простоты работы и безотказности они весьма конкурентоспособны. Широко известна программа Diskreet из пакета Norton Utilities. Нельзя не упомянуть пакет PGP (Pretty Good Privacy, автор Philip Zimmermann), в котором комплексно решены практически все проблемы защиты передаваемой информации: применены сжатие данных перед шифрованием, управление ключами, симметричный и асимметричный алгоритмы шифрования, вычисление контрольной функции для цифровой подписи, надежная генерация ключей.
5.7. Понятие государственной и коммерческой тайны
На рубеже 1980-х — 1990-х гг. объем информации, нуждающейся в защите, стал резко возрастать. Помимо государственных секретов появились секреты коммерческие. Выпадение России более чем на 70 лет из общемирового экономического пространства привело к тому, что даже по прошествии более 10 лет в системе законодательства правовые аспекты защиты коммерческой тайны разработаны недостаточно.
В современном понимании коммерческая деятельность не привязывается к какому-либо конкретному ее виду. Синонимом коммерческой деятельности может являться предпринимательская деятельность, т.е. самостоятельная, осуществляемая на свой страх и риск, деятельность, направленная на получение прибыли.
Проблема правовой защиты коммерческой тайны существует не только в России, но в других странах, таких, как, например, Великобритания, США, Франция, Германия. В западном законодательстве понятие коммерческой тайны сформулировано более полно. Например, в английском законодательстве под коммерческой тайной подразумевается информация, разглашение которой может нанести ущерб интересам предприятия. Понятие «интересы предприятия» определяет более широкий круг возможных ущербов при нарушении режима коммерческой тайны, так как не привязывает ценность коммерческих сведений предприятия лишь к денежному эквиваленту.
За последнее время появились законодательные акты, в которых даются определения понятий, относящихся к защите информации, В Федеральном законе «Об информации, информатизации и защите информации» введено определение конфиденциальной информации, разновидностью которой является коммерческая тайна, а в Указе Президента РФ от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера» раскрыто понятие коммерческой тайны.