Информационная безопасность

     Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты – обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).

     Межсетевой  экран представляет собой систему  или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

     Основной  принцип действия межсетевых экранов  − проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

     Говоря  о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

     1. защита информационных потоков  между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

     2. защищенный доступ удаленных  пользователей сети к информационным  ресурсам компании, как правило,  осуществляемый через интернет;

     3. защита информационных потоков  между отдельными приложениями  внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

     Эффективное средство защиты от потери конфиденциальной информации − фильтрация содержимого  входящей и исходящей электронной  почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

     Все изменения на рабочей станции  или на сервере могут быть отслежены  администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

     Современные антивирусные технологии позволяют  выявить практически все уже  известные вирусные программы через  сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

     Фильтры спама значительно уменьшают  непроизводительные трудозатраты, связанные  с разбором спама, снижают трафик и загрузку серверов, улучшают психологический  фон в коллективе и уменьшают  риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

     Для противодействия естественным угрозам  информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.)

           4. Лжеантивирусы

В 2009 началось активное распространение т.н. лжеантивирусов – программного обеспечения, не являющегося антивирусным (т.е. не имеющего реального функционала для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.

          5. Виды антивирусных  программ

Антивирусные  программы можно разделить на виды в соответствии с выполняемыми ими функциям.

Фильтры:

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск,а уж тем более отформатировать его ,а также о других подозрительных действиях (например о попытках изменить установки CMOS).  
 
При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний.  
 
К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным,так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды.  
 
Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода.  
 
Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS.  
 
К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы.  
 
При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Детекторы:

Программы-детекторы  позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Некоторые программы-детекторы также  выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы.  
 
Многие программы-детекторы позволяют также «лечить» заражённые файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору).

Программы-доктора  или фаги:

Программы-доктора  или фаги не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние.  
 
В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.  
 
Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.  
 
Наиболее известные из них: Aidstest, Scan, Norton AntiVirus,Doctor Web.  
 
 
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Ревизоры:

Программы-ревизоры запоминают сведения о состоянии  файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние исходным.  
 
При выявлении несоответствий об этом сообщается пользователю.  
 
Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя.  
 
Часто программы-ревизоры позволяют также “лечить” заражённые файлы или диски, удаляя из их вирусы(это удаётся сделать почти для всех типов вирусов).

Сторожа:

Программы-сторожа  или фильтры располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисковод дискеты.  
 
При наличии вируса об этом сообщается пользователю. Кроме того, многие программы-сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жёсткого диска), и сообщают о них пользователю.  
 
Пользователь может разрешить или запретить выполнение соответствующей операции.  
 
Программы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить.  
 
Тем самым можно свести убытки от вируса к минимуму.

Программы-вакцины:

Иногда применяются  также программы-вакцины, или иммунизаторы, они модифицируют программы и  диски таким образом, что это  не отражается на работе программ, но тот  вирус, от которого производится вакцинация, считает эти программы или диски уже заражёнными.  
 
Эти программы малоэффективны и далее не рассматриваются.

           6. Сравнение антивирусных  программ

Наиболее важный параметр при сравнении антивирусов — способность обнаруживать вирусы и другие вредоносные программы. Однако данный параметр далеко не единственный, и эффективность системы антивирусной защиты зависит от множества различных факторов.

Антивирус должен быть удобным в работе — не отвлекать пользователя компьютера от выполнения его непосредственной работы. Интерфейс антивируса должен быть дружественным и понятным.

Наиболее удобен режим антивирусной защиты, при котором проверке подвергаются все открываемые файлы. В противном случае пользователю придется каждый день запускать сканирование всех дисков, что занимает немало времени.

Для обнаружения новых вирусов необходимо периодически обновлять базу данных антивируса, например через Интернет. В ином случае эффективность антивирусной защиты будет очень низкой.

При защите крупной корпоративной сети, состоящей из сотен и тысяч компьютеров, необходим сетевой центр управления. Без этого организовать эффективную антивирусную защиту практически невозможно.

Защита узлов Интернета и серверов служб обмена сообщениями типа MicrosoftExchange и LotusNotes требует применения специализированных антивирусных средств. Обычные антивирусы не смогут найти вредоносный программный код в базах данных серверов обмена сообщениями или в потоке данных, проходящих через почтовые серверы.

Обычно при сравнении антивирусных средств учитывают и другие факторы. Государственные учреждения могут при прочих равных условиях предпочесть антивирусы отечественного производства, имеющие все необходимые сертификаты. Немалую роль здесь играет и репутация, завоеванная тем или иным антивирусным средством в среде пользователей компьютеров и системных администраторов, а также личные предпочтения

        7. Тестирование антивирусных программ.

Для тестирования была выбрана пятерка самых популярных на сегодняшний день антивирусных программ самых последних (релизных) версий с последним набором сигнатурных баз. Тестировались следующие продукты:

BitDefenderAntivirus 2010

ESETNOD32 4

KasperskyAnti-Virus 2010

F-Secure Anti-Virus Client Security 10

TrendMicro 2010

При оценке антивирусников были учтены следующие  параметры:

Качество обнаружения вредоносного программного обеспечения на основе антивирусной базы, т.е. набора сигнатур (на примере сканирования базы вирусов);

Качество  обнаружения вредоносного программного обеспечения на основе эвристического метода (на примере закриптованного вредоносного файла);

Наличие поведенческого блокиратора и его  работа;

Возможность и качество лечения зараженных файлов;

Наличие самозащитного модуля;

Скорость  сканирования файлов на наличие вредоносного ПО (на примере сканирования папки  Windows);