- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Защита от вирусов
Историческое определение было дано в 1984 г. Фредом Коэном: «Компьютерный вирус–это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению»
Классификация вирусов
По среде обитания вирусы делятся на:
файловые – внедряются либо в выполняемые файлы, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы);
загрузочные вирусы- записывают себя либо в загрузочный сектор диска (boot), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, оригинальный код переносится в какой-либо другой сектор диска, и при перезапуске управление передается вирусу.
макровирусы– заражают макропрограммы и файлы Office. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения.
сетевые вирусы- используют для своего распространения протоколы или команды компьютерных сетей.
троянские кони- возможность к размножению не имеют, маскируются под безобидные или «полезные» программы;
логические бомбы– запрограммированные разработчиком программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия.
По нахождению в оперативной памяти:
резидентные- остаются в ОП после завершения работы вирусоносителя;
нерезидентные выгружаются из ОП после завершения работы вирусоносителя.
По выполнению деструктивных действий:
безвредные, неопасные, неразрушающие- присутствие связано с различными эффектами, может быть заложен механизм самораспространения. Расходуют ресурсы компьютера (например ОП, место на диске).
опасные, разрушающие – не заботятся о том, чтобы при инфицировании программ сохранять их работоспособность, приводят к сбоям в работе, разрушению программ данных, стиранию информации в системных областях памяти.
По методу сокрытия своего нахождения:
не скрывающие своего наличия в системе;
шифрующиеся- при внедрении в объект исполняемый код шифруется, со случайно подобранным ключом, который расшифровывает вирус при загрузке вирусоносителя;
полиморфные- при внедрении в объект вирус шифруется по случайным образом сгенерировавшему ключу, однако расшифровщик модифицируется так, чтобы возникли расхождения с оригиналом, но результаты работы остались прежними (это достигается изменением порядка инструкций, заменой эквивалентными по результату работы ит.д.)
стелс- вирусы- маскируют свое наличие в системе путем перехвата системных прерываний (например при обращении к зараженному файлу возвращают его длину без учета длины вируса), либо подставляют вместо себя незараженные участки информации, эмулируя «чистоту» зараженных файлов.
Этапы жизненного цикла
Инкубационный период. Вирус хранится на диске совместно с объектом внедрения, при этом он наиболее уязвим для антивирусных программ, так как не может контролировать работу ОС с целью самозащиты. Для этой цели может использоваться механизм шифрования и мутации кода.
Загрузка вируса осуществляется ОС одновременно с загрузкой исполняемого объекта, в который вирус внедрен. В случае, полиморфного вируса осуществляется расшифровка основной части. При завершении работы объекта внедрения, вирус в зависимости от классификации выгружается из ОП, либо остается в ней.
Поиск жертвы. Осуществляется либо активно, с использованием функций ОС (например, поиском исполняемого файла в текущем каталоге), либо пассивно (путем перехвата функций ОС или команд типа Save as).
Заражение жертвы в простейшем случае представляет собой самокопирование кода вируса в выбранный в качестве жертвы файл. Места заражения напрямую зависят от вида вируса и представлены в табл.
Выполнение деструктивных функций.
Обнаружение и уничтожение вируса
Табл. Заражение жертвы кодом вируса
Виды вирусов | ||||||
|
Файловые вирусы |
Загрузочные вирусы |
Макровирусы | |||
I класс |
II класс | |||||
Место заражения |
Переименовывают файл, и записывают себя в файл с прежнем именем жертвы |
Внедряются в файлы жертвы: -внедрение в начало файла. Происходит объединение кода вируса и кода жертвы или переписывание начального фрагмента кода в конец, с высвобождением места для кода вируса; - внедрение в середину файла. Применяется к файлам, с заранее известной структурой и длиной, достаточной для размещения вируса (command.com). В противном случае, вирус архивирует найденную последовательность кода программы, а на освободившееся место дописывают себя; - внедрение в конец файла-при этом передача управления вирусу обеспечивается модификацией первых команд программы (файлов типа .com) или заголовка(для фалов типа .exe). |
Основной проблемой размещения является ограниченный размер объектов заражения. 1. Использование псевдосбойный секторов. Внедрение необходимого кода в свободные сектора диска, помечая их как сбойные и защищая тем самым себя и загрузчик от перезаписи. 2. Использование редко применяемых секторов в конце раздела. Внедрение необходимого кода в свободные сектора в конце диска, при этом ОС воспринимает их как свободные. 3. Использование зарезервированных областей разделов. Внедрение необходимого кода в области диска, зарезервированного под нужды ОС, а поэтому не используемые. |
Сохранение макрокода возможно только шаблонах (т.е. файлов .dot). При этом необходим конроль со стороны вируса и перехват команд Save as для изменения расширения с /doc на .dot и добавлением необходимого кода. |
Табл.Способы заражения
Способы заражения | |||||||||||||||||||||||||||||||||||||||||||||||||||||
Дописывание в начало файла |
Дописывание в начало файла |
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||
6
|
5. После восстановления программе передается управление
|
|
|
В большинстве случаев программный код вируса должен включать следующие компоненты:
инициализатор– обеспечивает выполнение функций: сохранение параметров операционной среды (векторов прерываний, содержимого регистров процессора и т. д.), запрет всех внутренних и внешних прерываний, обработка которых не может быть проконтролирована вирусом, загрузка в оперативную память, расшифровывание и передачу управления коду секретной части;
зашифрованная секретная часть–обеспечивает выполнение всех целевых функций, состоит из 3 частей:
расшифровщика, предназначенного для расшифровки и передачи управления основному коду вируса;
зашифрованного основного кода вируса.
шифратор, предназначенный для зашифровывания основного кода вируса при размножении.
В процессе размножения в каждую внедряемую копию вируса помещается расшифровщик и зашифрованный основной код. При этом каждая новая копия основного кода зашифровывается по новому ключу, что обеспечивает отличие между разными копиями вируса. Для того чтобы в различных копиях вируса были и разные расшифровщики, в основной код вируса включается генератор расшифровщиков, основной функцией которого является создание для каждой новой копии вируса другого по виду, но такого же по функциям расшифровщика;
деструктор- выполняется после отработки секретной части и производит следующие действия: обнуление секретного кода в оперативной памяти, восстановление параметров операционной среды (векторов прерываний, содержимого регистров процессора и т. д.), которые были установлены до запрета неконтролируемых прерываний; выполнение операций, которые невозможно было выполнить при запрете неконтролируемых прерываний; освобождение всех задействованных ресурсов компьютера и завершение работы программы.
Однако зашифрована
.