Разовые эпизодические защитные мероприятия

Разовые эпизодические защитные мероприятия

На этапе штатной эксплуатации должны на регулярной основе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период повышения опасности информационного нападения, локализационно-восстановительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.

Сеть должна иметь общие средства и методы защиты. К ним относятся:

  1. Ограничение физического доступа к абонентским терминалам, серверам локальных сетей и коммутационному оборудованию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программные средства ограничения доступа к ЭВМ.
  2. При активизации коммуникационного программного обеспечения контролируется его целостность и целостность областей DOS, BIOS и CMOS. Для такого контроля подсчитываются контрольные суммы и вычисляются хеш-функции, которые потом сравниваются с эталонными значениями для каждой ЭВМ.
  3. Максимальное ограничение и контроль за передачей по сети исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и *.bin. При этом снижается вероятность распространения по сети файловых вирусов, вирусов типа Driver и загрузочно-файловых вирусов.
  4. Организация выборочного и внезапного контроля работы операторов для выяснения фактов использования нерегламентированного программного обеспечения.
  5. Сохранение архивных копий применяемого программного обеспечения на защищенных от записи магнитных носителях (дискетах), учет и надежное хранение архивных копий.
  6. Немедленное уничтожение ценной и ограниченной для распространения информации сразу по истечении потребности в ней (при снижении ее актуальности).
  7. Периодическая оптимизация и дефрагментирование внешних носителей (винчестеров) для выявления сбойных или псевдосбойных кластеров и затирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.

Предпринимаемые меры защиты от угроз безопасности сети

Предпринимаемые меры защиты от угроз безопасности сети

Проанализировав возможные вирусные угрозы в сети и их последствия, можно предложить комплекс защитных мер, снижающих вероятность проникновения и распространения деструктивных программ в сети, а также облегчающих локализацию и устранение негативных последствий их воздействия.

Меры защиты нужно предусматривать как на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации. Прежде всего на этапе разработки необходимо выявить в исходных текстах программ те фрагменты или подпрограммы, которые могут обеспечить доступ к данным по фиксированным паролям, беспарольный доступ по нажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксированными именами и реализацию тому подобных угроз.

Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности сети, поскольку доступ через них возможен как человеком, так и программой-вирусом (закладкой). Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения.

Для выявления подобных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методикам; тестирование готового программного обеспечения в критических режимах эксплуатации (в период испытаний сети) с фиксацией и устранением выявленных слабостей и отклонений от нормальной работы.

Необходимо также обратить внимание на возможные конфликты прикладного программного обеспечения и средств защиты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиатуры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.

Также на этапе разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке целостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.

Неоднородная операционная среда

Неоднородная операционная среда

Телекоммуникационные сети, как правило, имеют неоднородную операционную среду, поэтому передача вирусов по направлению абонентский пункт — коммутатор чрезвычайно затруднена: пользователи с абонентских пунктов не могут получить доступ к программному обеспечению коммутатора, поскольку информация на коммутаторе представляется в фрагментированном виде (в виде пакетов) и не контактирует с программным обеспечением коммутационной машины.

В этом случае заражение вирусами может наступать только при пользовании коммутационной машиной как обычной ЭВМ (для игр или выполнения нерегламентированных работ). При этом возможны заражение коммуникационного программного обеспечения и негативное влияние на целостность и достоверность передаваемых пакетов.

Исходя из перечисленных путей проникновения вирусов и возникновения угроз в сети можно детализировать вирусные угрозы.

Для абонентских пунктов:

  • искажение (разрушение) файлов и системных областей DOS; уменьшение скорости работы, неадекватная реакция на команды оператора и т.д.;
  • вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений;
  • блокирование принимаемых или передаваемых сообщений, их искажение;
  • имитация физических сбоев (потери линии) и т.д.; имитация пользовательского интерфейса или приглашений для ввода пароля (ключа), с целью запоминания этих паролей (ключей);
  • накопление обрабатываемой конфиденциальной информации в скрытых областях внешней памяти;
  • копирование содержания оперативной памяти для выявления ключевых таблиц или фрагментов ценной информации;
  • искажение программ и данных в оперативной памяти абонентских пунктов.

Для серверов локальных сетей:

  • искажение проходящей через сервер информации (при обмене между абонентскими пунктами);
  • сохранение проходящей информации в скрытых областях внешней памяти;
  • искажение или уничтожение собственной информации сервера (в частности, идентификационных таблиц) и вследствие этого нарушение работы локальной сети;
  • внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.

Для коммутатора:

  • разрушение собственного программного обеспечения и вывод из строя коммутационного узла вместе со всеми присоединенными абонентскими терминалами;
  • засылка пакетов не по адресу, потеря пакетов, неверная сборка пакетов, подмена пакетов;
  • внедрение вирусов в коммутируемые пакеты; контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются абоненты.

Принцип действий программной закладки на компьютерную сеть

Принцип действий программной закладки на компьютерную сеть

По принципу действий программной закладки на компьютерную сеть можно выделить две основные группы.

  1. Существуют закладки вирусного типа, которые способны уничтожать или искажать информацию, нарушать работу программного обеспечения. Закладки такого типа особенно опасны для абонентских пунктов сети и рабочих станций локальных вычислительных сетей. Они могут распространяться от одного абонентского пункта к другому с потоком передаваемых файлов или инфицировать программное обеспечение рабочей станции при использовании удаленных ресурсов (при запуске инфицированных программ в оперативной памяти рабочей станции даже без экспорта выполняемого модуля с файл-сервера).
  2. В сетях могут функционировать специально написанные закладки типа «троянский конь» и «компьютерный червь». «Троянский конь» включается и проявляет себя в определенных условиях (по времени, ключевым сообщениям и т. п.). «Троянские кони» могут разрушать и (или) искажать информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений. Закладки этого типа, как правило, жестко функциональны и учитывают различные особенности и свойства программно-аппаратной среды, в которой работают. Информация для их работы доставляется закладками следующего типа — «компьютерный червь».



«Компьютерные черви» нацелены на проникновение в системы разграничения доступа пользователей к ресурсам сети. Такие закладки могут приводить к утере (компрометации) матриц установления полномочий пользователей, нарушению работы всей сети в целом и системы разграничения доступа в частности. Примером закладки этого типа является известный репликатор Морриса.

Возможно создание закладок, объединяющих в себе черты и свойства как «троянских коней», так и «компьютерных червей».
Программные закладки представляют опасность как для абонентских пунктов с их программным обеспечением, так и для коммутационной машины и серверов локальных сетей.


style="display:block; text-align:center;"
data-ad-layout="in-article"
data-ad-format="fluid"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

Возможны следующие пути проникновения (внедрения) программных закладок в сеть:

  • заражение программного обеспечения абонентских пунктов вирусами и деструктивными программами типа «троянских коней» и «компьютерных червей» вследствие нерегламентированных действий пользователей (запуска посторонних программ, игр, иных внешне привлекательных программных средств — архиваторов, ускорителей и т.п.);
  • умышленное внедрение в программное обеспечение абонентских пунктов закладок типа «компьютерных червей» путем их ассоциирования с выполняемыми модулями или программами начальной загрузки;
  • передача деструктивных программ и вирусов с пересылаемыми файлами на другой абонентский пункт и заражение его в результате пользования зараженными программами;
  • распространение вирусов внутри совокупности абонентских пунктов, объединенных в локальную сеть общего доступа;
  • внедрение в программное обеспечение абонентских пунктов вирусов при запуске программ с удаленного терминала;
  • внедрение вирусов и закладок в пересылаемые файлы на коммутационной машине и (или) на сервере локальной сети.

Действие вирусов и программных закладок

Действие вирусов и программных закладок

Рассматривая использующиеся в настоящее время сети ЭВМ, можно выделить их обобщенную структуру. Абонентские пункты сети могут быть объединены в единую систему с серверами локальных сетей, которые, в свою очередь, соединяются между собой. Таким образом, через линии связи объединяются несколько локальных вычислительных сетей, которые могут быть как территориально близкими, так и разнесенными на значительные удаления.

Серверы локальной сети могут быть подключены к концентратору сообщений, объединяющему потоки информации с нескольких локальных сетей и (или) изолированных абонентских пунктов. Объединенный концентратором сообщений информационный поток поступает на коммутационную машину (коммутатор), которая в свою очередь производит логическую коммутацию передаваемых информационных потоков в другие локальные сети, их объединения, концентраторы сообщений или изолированные абонентские пункты.

Можно выделить следующие функционально законченные элементы сети:

  • локальные сегменты сети (с различной архитектурой). Их особенностью является возможность использования удаленных ресурсов файловых серверов или других рабочих станций, абонентских пунктов;
  • коммуникационные сегменты сети, которые производят фрагментирование и объединение пакетов данных, их коммутацию и собственно передачу.

Как правило, рабочие станции не могут использоваться для доступа к ресурсам коммуникационных фрагментов вне решения задач передачи сообщений или установления логических соединений.

Для различных сегментов сети можно выделить следующие угрозы безопасности информации:

  • перехват, искажение, навязывание информации со стороны фрагментов сети;
  • имитация посылки ложных сообщений на локальные фрагменты сети;
  • имитация логического канала (удаленный доступ) к ресурсам локальных сегментов сети;
  • внедрение в циркулирующие по сети данные кодовых блоков, которые могут оказать деструктивное воздействие на программное обеспечение и информацию;
  • перехват, навязывание, искажение информации при передаче по собственным линиям связи локальных сегментов сети;
  • внедрение программных закладок в программное обеспечение рабочих станций или в общедоступные ресурсы (во внешней памяти файл-серверов) локальных сегментов сети.

Основной способ активизации разрушающих закладок

Основной способ активизации разрушающих закладок

Основным способом активизации разрушающих закладок является запуск ассоциированных с ними программ. При этом закладка получает управление первой и выполняет некоторые действия (изменения адресов прерывания на собственные обработчики, исправление в коде программ защиты и т.п.).

В данном случае борьба с воздействием закладок может быть произведена только путем контроля целостности исполняемых файлов непосредственно перед их исполнением. Тогда воздействие закладки можно оценивать количественной вероятностью ее активизации при заданном алгоритме контроля кода запускаемой программы (т.е. вероятностью обнаружения или необнаружения ассоциированного с кодом вируса или закладки).

Особенности применения программно-аппаратных средств защиты состоят в следующем:

  • собственные программы управления аппаратной частью, как правило, находятся в ПЗУ и, следовательно, не могут быть изменены программным путем;
  • под управление аппаратным комплексом выделяются средства низкого уровня (операции с портами либо выделенные прерывания);
  • управление программам аппаратной части передается до загрузки операционной среды, и часть операций, в основном связанных с инициализацией начальных состояний устройства, также происходит до загрузки операционной среды.

Все эти факторы накладывают определенные ограничения на процесс воздействия программных закладок на рассматриваемые программно-аппаратные комплексы. Однако эти ограничения не могут полностью исключить такое воздействие.

Поскольку обращение к аппаратным средствам происходит из прикладных программ и, как правило, через некоторую промежуточную программу управления, воздействие на аппаратное средство может быть сведено к воздействию либо на прикладную программу, либо на программу управления аппаратным комплексом, который находится в ОЗУ.

Страница 2 из 712345...Последняя »
Яндекс.Метрика