· высокая стоимость коммерческих СОА;

· невысокая эффективность современных СОА, характеризующаяся большим числом ложных срабатываний и не срабатываний (false positives and false negatives);

· требовательность к ресурсам и порой неудовлетворительная производительность СОА уже на 100 Мбит/с сетях;

· недооценка рисков, связанных с осуществлением сетевых атак;

· отсутствие в организации методики анализа и управления рисками, позволяющей адекватно оценивать величину риска и обосновывать стоимость реализации контрмер для руководства;

· высокая квалификация экспертов по выявлению атак, требующаяся для внедрения и развертывания СОА.

Специфичной для Кыргызской Республике также является относительно невысокая зависимость информационной инфраструктуры предприятий от Интернет и финансирование мероприятий по обеспечению информационной безопасности по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам.

Типовая архитектура системы выявления атак, как правило, включает в себя следующие компоненты:

· Сенсор (средство сбора информации);

· Анализатор (средство анализа информации);

· Средства реагирования;

· Средства управления.

Конечно, все эти компоненты могут функционировать и на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты СОА, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, т. к. если они будут скомпрометированы, то злоумышленник может получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой СОА.

Типовая архитектура системы выявления атак изображена на рисунке 2.26. Сетевые сенсоры осуществляют перехват сетевого трафика, хостовые сенсоры используют в качестве источников информации журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, осуществляет централизованный сбор и анализ информации, полученной от сенсоров.



Рис. 2.26. Типовая архитектура СОА

Средства реагирования могут размещаться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает в себя оповещение администратора безопасности (средствами электронной почты, вывода сообщения на консоль или отправки SMS), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.

Средства управления предназначены для администрирования всех компонентов системы выявления атак, разработки алгоритмов выявления и реагирования на нарушения безопасности (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов.

2.3.3 Виртуальные частные сети

В связи с широким распространением Internet, intranet, extranet при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности [11]. Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (Virtual Private Networks).

Концепция построения защищенных виртуальных частных сетей VPN. В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин "виртуальный" указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.

Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

· несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

· несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

· аутентификации взаимодействующих сторон;

· криптографическом закрытии (шифровании) передаваемых данных;

· проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.

Туннелирование. Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений. Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.

Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.

Наиболее часто используются следующие три признака классификации VPN:

· рабочий уровень модели OSI;

· конфигурация структурно-технического решения;

· способ технической реализации.

Классификация VPN по рабочему уровню ЭМВОС. Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал (secure channel).

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI) (Таблица 2.6).

Таблица 2.6.

Уровни протоколов защищенного канала

Протоколы защищенного доступа	Прикладной	Влияют на приложения
	Представительный
	Сеансовый
	Транспортный
	Сетевой	Прозрачны для приложений
	Канальный
	Физический

От выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствами защиты. По признаку рабочего уровня модели OSI различают следующие группы VPN:

· VPN второго (канального) уровня;

· VPN третьего (сетевого) уровня;

· VPN пятого (сеансового) уровня.

VPN строятся на достаточно низких уровнях модели OSI. Причина этого в том, что чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. Однако здесь возникает другая проблема зависимость протокола защиты от конкретной сетевой технологии. Если для защиты данных используется протокол одного из верхних уровней (прикладного или представительного), то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, то есть для приложений подобный протокол не является прозрачным. Защищенному каналу на самом высоком, прикладном уровне свойствен еще один недостаток - ограниченная область действия.

Протокол защищает только вполне определенную сетевую службу файловую, гипертекстовую или почтовую. Например, протокол S/MIME защищает исключительно сообщения электронной почты. Поэтому для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола. На верхних уровнях модели OSI существует жесткая связь между используемым стеком протоколов и приложением.

VPN канального уровня. Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа "точка-точка" (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также сравнительно недавно утвержденный стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft.

Протокол защищенного канала РРТР основан на протоколе РРР и обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня. Протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnet или NetBEUI.

Протокол L2TP используется при организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Между тем решения второго уровня не приобретут, вероятно, такое же значение для взаимодействия ЛВС, по причине недостаточной масштабируемости при необходимости иметь несколько туннелей с общими конечными точками.

VPN сетевого уровня. VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является SKIP, который постепенно вытесняется новым протоколом IPSec, предназначенным для аутентификации, туннелирования и шифрования IP-пакетов. Работающий на сетевом уровне протокол IPSec представляет компромиссный вариант. С одной стороны, он прозрачен для приложений, а с другой, может работать практически во всех сетях, так как основан на широко распространенном протоколе IP.

Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования. Говоря об IPSec, необходимо упомянуть протокол (IKE) позволяющий защитить передаваемую информацию от постороннего вмешательства. Он решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами.

VPN сеансового уровня. Некоторые VPN используют другой подход под названием "посредники каналов" (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)

Шифрование информации, передаваемой между инициатором и терминатором туннеля часто осуществляется с помощью защиты транспортного уровня TLS.

Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов. В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.

По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей:

- VPN с удаленным доступом;

- внутрикорпоративные VPN;

- межкорпоративные VPN.

Виртуальные частные сети VPN с удаленным доступом (RemoteAccess) предназначены для обеспечения защищенного удаленного доступа к корпоративным информационным ресурсам мобильным и/или удаленным (home-office) сотрудникам компании.

Внутрикорпоративные сети VPN (intranet-VPN) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии.

Межкорпоративные сети VPN (extranet-VPN) обеспечивают сотрудникам предприятия защищенный обмен информацией со стратегическими партнерами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т.д.

Extranet-VPN обеспечивает прямой доступ из сети одной компании к сети другой, тем самым способствуя повышению надежности связи, поддерживаемой в ходе делового сотрудничества. В межкорпоративных сетях большое значение придается контролю доступа посредством межсетевых экранов и аутентификации пользователей.

Классификация VPN по способу технической реализации

По способу технической реализации различают следующие группы VPN:

· VPN на основе сетевой операционной системы;

· VPN на основе межсетевых экранов;

· VPN на основе маршрутизаторов;

· VPN на основе программных решений;

· VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

VPN на основе сетевой ОС. Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол РРТР, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC (Primary Domain Controller). При подключении к РРТР-серверу пользователь авторизуется по протоколам PAP, CHAP или MS CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption с 40-битовым ключом, получаемым при установлении соединения.

В качестве достоинства приведенной схемы следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений. Несовершенство такой системы - недостаточная защищенность протокола РРТР.

VPN на основе маршрутизаторов. Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов.

Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.

VPN на основе межсетевых экранов.

Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.

К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран.

VPN на основе программного обеспечения. Для построения сетей VPN также применяются программные решения. При реализации подобных схем используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера.

Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.

VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Недостаток подобного решения - его высокая стоимость.

2.3.4 Выбор межсетевых экранов, систем обнаружения атак

Относительно выбора критериев данного класса технологий очень сложен и подразумевается множество факторов, такие как: топология сети (отдаленность объектов), вычислительные возможности, поддержка взаимодействия с централизованными системами распределения информации об угрозах и т.д.

Сегодня наряду с активным ростом количества корпоративных и пользовательских приложений, значительным ростом трафика сети Интернет, а также постоянным развитием различных угроз и вирусов современный МЭ должен отвечать следующим критериям:

· обеспечивать точную идентификацию приложения независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и тактики обхода средства анализа трафика. Результаты идентификации приложения должны стать основой всех политик безопасности;

· идентифицировать пользователя вне зависимости от его местоположения;

· защищать от попыток использования эксплойтов для известных уязвимостей и распространения вредоносных программ в трафике уровня приложений независимо от источника;

· обладать удобным графическим интерфейсом, который позволяет сформировать унифицированную политику безопасности;

· мультигигабитной производительностью с низкими задержками при всех включенных службах.

В ходе проведенного анализа научной литературы, статей установлено, что технологии обнаружений и предотвращений вторжений в настоящее время очень хорошо развиты, на рынке имеется множество компаний разработчиков аппаратных систем. Многие системы с точностью до 90% справляются со своими задачами, но все имеют одну проблему. Это проблема ложных срабатываний. Системам обнаружения и предотвращения атак обратив внимание на первый сигнал тревоги и не зная, насколько реальна опасность, поступившее на консоль администратора, в это время оператор ИБ может упустить из виду более серьезное событие. Т.е. система не классифицирует угрозы по степени опасности. Поэтому первое, на что надо обращать внимание при выборе систем защиты описываемого класса, - борьба с ложными срабатываниями. Решение указанной проблемы заключается в использовании облегченных и интегрированных в системы предотвращения атак подсистем корреляции. Такая система регулярно проводит сканирование сети и запоминает состояние составляющих ее узлов. В момент атаки происходит связывание сведений об атаке с информацией об атакуемом узле. Если связь есть, то атака не ложная; если связь не обнаружена, то приоритет атаки снижается и администратор не тратит на нее время и энергию. Этот способ отсеивания ложных срабатываний появился недавно и пока не получил широкого распространения.

Так же не маловажным фактором является отказоустойчивость системы, в случае выхода из строя трафик не сможет дойти до адресата, решением данной проблемы является наличие программной или аппаратной bypass-системы.

В случае использования систем обнаружений и предотвращений вторжений от разных производителей необходимо учесть возможность интеграции на единую панель управления, что поможет оперативному отображению происходящей картины в сети.

В выборе данного оборудования лучше отдавать производителям крупных компаний таких как: Cisco Systems, ISS, McAfee и т.д. Информация по циклу зрелости технологий для МЭ, IPS/IDS по компаниям за 2014 год отображена в Приложении 2.



2.4 Технологии защиты от вирусов

На сегодняшний день известны десятки тысяч различных компьютерных вирусов. Несмотря на такое изобилие число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, достаточно ограничено. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Вирусы можно разделить на классы по следующим основным признакам рис. 2.27 [21, 22]:

· среда обитания;

· операционная система (ОС);

· макровирусы;

· сетевые.

Рис. 2.27. Классификация компьютерных вирусов по среде обитания

Файловые вирусы либо внедряются в выполняемые файлы (наиболее распространенный тип вирусов) различными способами, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. В результате при перезагрузке управление передается вирусу. При этом оригинальный boot-сектор обычно переносится в какой-либо другой сектор диска. Иногда загрузочные вирусы называют бутовыми вирусами.

Макровирусы заражают макропрограммы и файлы документов современных систем обработки информации, в частности файлы-документы и электронные таблицы популярных редакторов Microsoft Word, Microsoft Excel и др. Для размножения макровирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Иногда сетевые вирусы называют программами типа "червь". Сетевые черви подразделяются на интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (Internet Relay Chat - распространяются через чаты). Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.

Другим признаком деления компьютерных вирусов на классы является операционная система, объекты которой подвергаются заражению. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows 95/98/XP, Windows 7 и т.д. Макровирусы заражают файлы форматов Word, Excel и других приложений пакета Microsoft Office. На определенные форматы расположения системных данных в загрузочных секторах дисков также ориентированы загрузочные вирусы.

Естественно, эти схемы классификации не являются единственно возможными, существует много различных схем типизации вирусов. Однако ограничимся пока классификацией компьютерных вирусов по среде обитания, поскольку она является базовой, и перейдем к рассмотрению общих принципов функционирования вирусов. Анализ основных этапов "жизненного цикла" этих вредоносных программ позволяет выделить их различные признаки и особенности, которые могут быть положены в основу дополнительных классификаций.

Массовое распространение вирусов и серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

· обнаружение вирусов в КС;

· блокирование работы программ-вирусов;

· устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов. При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

· удаление вирусов;

· восстановление (при необходимости) файлов, областей памяти.

Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также если вредные действия уже начались и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, которые подразделяют на методы обнаружения и методы удаления вирусов.

Существуют следующие методы обнаружения вирусов:

· сканирование;

· обнаружение изменений;

· эвристический анализ;

· использование резидентных сторожей;

· вакцинирование программ;

· аппаратно-программная защита от вирусов.

Сканирование -- один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса -- сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.

Обнаружение изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, объемы установленной оперативной памяти, число подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. У этого метода имеются и недостатки. С помощью программ ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.

Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении подозрительных команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Использование резидентных сторожей основано на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. Технологический процесс применения резидентных сторожей осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки подозрительных программ, а также для контроля всех поступающих извне файлов (со сменных дисков, в сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением "стелс"-вирусов.

Аппаратно-программная защита от вирусов блокирует работу программ-вирусов. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

· работают постоянно;

· обнаруживают все вирусы, независимо от механизма их действия;

· блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один -- зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Методы удаления вирусов используются для удаления вирусов, а также для восстановления файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами.

Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.

Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход -- уничтожить файл и восстановить его вручную. Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить его в ОС.

Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной. Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Half перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске, для чего необходимо знать механизм действия вируса.

2.4.1 Выбор антивирусных средств защиты

В настоящее время все антивирусные программы обладают стандартным набором средств и технологий борьбы с вирусами. Основными требованиями к работе антивирусного ПО являются:

· стабильность и надежность работы;

· наличие большой антивирусной базы с постоянным обновление;

· наличие резедентного монитора (сканирование "на лету");

· эффективная скорость работы;

· эвристический анализ;

· многоплатформенность;

· наличие центральной консоли управления для больших корпоративных сетей.

Информация по циклу зрелости антивирусных технологий по компаниям разработчикам за 2014 год отображена в Приложении 1.



Выводы по второй главе

1. Алгоритм ГОСТ 28147-89 считается очень стойким - в настоящее время для его раскрытия не предложено более эффективных методов, чем упомянутый выше метод "грубой силы". Его высокая стойкость достигается в первую очередь за счет большой длины ключа - 256 бит.

2. Стандарт шифрования AES аналогичен ГОСТ 28147-89 и оба стандарта являются криптостойкими, но недостатком же алгоритма AES можно считать лишь свойственную ему нетрадиционную схему. Дело в том, что свойства алгоритмов, основанных на сети Фейстеля, хорошо исследованы, a AES, в отличие от них, может содержать скрытые уязвимости, которые могут обнаружиться только по прошествии какого-то времени с момента начала его широкого распространения.

3. Криптоалгоритм RSA всесторонне исследован и признан стойким при достаточной длине ключей. В настоящее время длина ключа 1024 бит считается приемлемым вариантом. Так же, следует отметь, что ЭЦП на базе RSA криптоалгоритма является наиболее оптимальным и удобным ассиметричным алгоритмом. Данная схема считается наиболее надежной, так как ее криптостойкость основана на длине ключа в несколько тысяч бит, что существенно затрудняет возможность его несанкционированного вскрытия, в отличие от стандарта DSA.

4. DSA небезопасен, так как позволяет имитировать подмену подписи, позволяя рядовому пользователю выбрать свои секретный и открытый ключи так, что подписи для двух известных заранее сообщений совпадут. А это открывает простор для различных махинаций с использованием ЭЦП. Но следует отметить, что электронная подпись по стандарту ГОСТ Р34.10-2001 обеспечивает ту же, самую криптостойкость уже при размере модуля в 160 бит, что так же обеспечивает более простую как программную, так и аппаратную реализацию.

5. Высокую степень защищенности предоставляют двухфакторные (многофакторные) технологии аутентификации. Наличие двух факторов подразумевает что-то известное пользователю и что-то принадлежащее пользователю. Технология одноразовых паролей является наиболее безопасной в системе авторизации пользователей, но имеет очень дорогую стоимость владения данной технологией.

Рассмотренные технологии МЭ и VPN сетей позволяют эффективно реализовать политику безопасности, касающуюся вопросов обмена информацией с внешним миром. Однако, наряду с очевидными достоинствами, МЭ сети имеют ряд ограничений:

· МЭ не защищают от атак со стороны внутренних злоумышленников, т.е. пользователей, прошедших аутентификацию и авторизацию;

· МЭ не защищают соединения, установленные в обход средств защиты, например, с использованием модемов;

· МЭ могут быть неверно сконфигурированы;

· МЭ защищают только от небольшого количества всех возможных типов атак.

Система обнаружении вторжений (СОВ) и МЭ относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак. Поэтому применение данных технологий просто жизненно необходимо для соблюдения информационной безопасности в АС.



Глава 3. Применение технологий информационной безопасности в системе Э-Управления

3.1 Защита информационных систем от нарушителей

Для обеспечения приемлемого уровня защиты информационных ресурсов Э-Управления необходимо создание комплексной системы обеспечения информационной безопасности (СОИБ). СОИБ должна консолидировать правовые, технологические, организационные, технические и физические меры и способы защиты.

Технологическое обеспечение инфраструктуры информационной безопасности предполагает:

· разработку (обоснованный выбор) технологий и средств защиты;

· создание инфраструктурных компонентов системы информационной безопасности;

· оснащение объектов информатизации Э-Управления средствами защиты и системами безопасности.

В ходе изучения моделей нарушителей ИБ согласно уровня знаний и средств воздействия на ИС систему классифицировано 5 типов возможных нарушителей, дана характеристика воздействий с последующим применением технологий защиты ИС. Для удобства все данные по типам, характеру нарушителей ИБ и средствами защиты сделаны в таблице 3.1.

Таблица 3.1.

Модели нарушителей и технологии защиты

Тип нарушителя	Характерные методы воздействия	Основные способы защиты
1. Сотрудник не являющийся санкционированным пользователем защищаемых информационных ресурсов, но имеющий доступ в контролируемую зону	Нарушение установленных ограничений на распространение информации: -разглашение информации об установленной системе доступа и характере конфиденциальной информации; - копирование конфиденциальной информации под видом санкционированного пользователя. Сканирование сети с целью выявления уязвимостей и изучения возможностей для проведения атаки; Воздействие на парольно-ключевые системы защиты информационных систем; Перехват информации в сетях передачи данных и на линиях связи, навязывание ложной информации; Внедрение вредоносных программ; Уничтожение, повреждение, разрушение или хищение носителей с конфиденциальной информацией Физическое нарушение целостности и/или доступности программно-технических средств.	-введение разграничительной системы доступа в помещения, к информационным и вычислительным ресурсам и носителям информации -введение ограничений на подключение внешних носителей -введение ограничений на вывод информации из информационных систем на печать -физическая защита оборудования -антивирусная защита рабочих станций -активный мониторинг событий безопасности -пассивная или активная система обнаружения вторжений (IDS/IPS)
2.Санкционированный пользователь информационных ресурсов Э-Управления	Нарушение установленных ограничений на распространение информации: - разглашение защищаемых сведений - разглашение информации об установленной системе доступа и характере конфиденциальной информации - разглашение ключевой информации - пересылка конфиденциальной информации по электронной почте, http, IM, VoIP - копирование конфиденциальной информации на внешние носители Внесение недостоверной информации в ИС Э-Управления (не представление или не своевременное представление данных, ввод неверных данных, модификация или удаление данных) Уничтожение, повреждение, разрушение или хищение носителей с конфиденциальной информацией Внедрение вредоносных программ Физическое нарушение целостности и/или доступности программно-технических средств	- введение разграничительной системы доступа в помещения, к информационным и вычислительным ресурсам и носителям информации -контроль целостности программного обеспечения рабочих станций и наличия несанкционированных программ -использование криптографических средств аутентификации пользователей и ресурсов -регистрация действий пользователей в системных журналах -физическая защита оборудования -введение ограничений на подключение внешних носителей -введение ограничений на вывод информации из информационных систем на печать -антивирусная защита рабочих станций -регулярная смена паролей и ключей -физическая защита оборудования -резервное копирование данных -контроль выполнения должностных функций -контроль вносимой информации
3. Администратор ИС Э-Управления и администратор безопасности ИС Э-Управления	Нарушение установленных ограничений на распространение информации: - разглашение информации об установленной системе доступа и характере конфиденциальной информации - копирование конфиденциальной информации, воспользовавшись чужим именем и паролем или создав временное описание пользователя специально для этих целей - копирование баз данных и файлов с конфиденциальной информацией на файловом уровне при помощи системных утилит и низкоуровневых программ Преднамеренные ошибки в выполнении своих должностных функций при описании полномочий пользователей при предоставлении доступа к ресурсам, нарушение политик безопасности средств защиты Несанкционированное удаление или модификация ПО, несанкционированная установка и запуск системных утилит и программ Воздействие на парольно-ключевые системы защиты информационных систем Уничтожение, повреждение, разрушение или хищение носителей с конфиденциальной информацией Внедрение вредоносных программ Физическое нарушение целостности и/или доступности программно-технических средств Умышленное блокирование сервисов или информационных ресурсов системы	-разделение полномочий управления системами разграничения доступа между несколькими администраторами систем, передача управления ключевой информацией администраторам безопасности -активный мониторинг и аудит сети -контроль возможности изменения полномочий пользователей только при наличии разрешительного документа от владельца информационного ресурса -защита системных регистрационных журналов от модификации и уничтожения -контроль использования системных утилит -контроль целостности ПО и отсутствия несанкционированных программ -физическая защита оборудования -антивирусная защита рабочих станций и серверов -резервное копирование системных и информационных файлов
4. Программист - разработчик	Нарушение установленных ограничений на распространение информации: - разглашение информации об установленной системе доступа и характере конфиденциальной информации - копирование конфиденциальной информации на этапах модернизации/сопровождения системы Воздействие на парольно-ключевые системы защиты информационных систем Внедрение вредоносных программ Применение инструментальных средств разработки для несанкционированной модификации рабочего ПО Включение в ПО вредоносных недекларированных функций Преднамеренные ошибки при установке, настройке или модификации ПО	-введение разграничительной системы доступа в помещения, к информационным и вычислительным ресурсам и носителям информации -разделение сред разработки ПО и рабочих сетей -определение формализованных процедур приемки новых систем, модификации и замены рабочего ПО -контроль работоспособности системы и системы защиты после внесения изменений в рабочее ПО -пользователей в системных журналах -физическая защита оборудования -сертификация разрабатываемого ПО на отсутствие недекларированных возможностей -удаление из рабочих сетей всех средств разработки ПО -хранение и сопровождение всех используемых версий ПО -антивирусная защита рабочих станций -контроль целостности программного обеспечения рабочих станций и наличия несанкционированных программ -регистрация действий пользователей -регулярная смена паролей и ключей -физическая защита оборудования
5. Внешний нарушитель	Сканирование сети с целью выявления уязвимостей и изучения возможностей для проведения атаки Перехват информации в сетях передачи данных и на линиях связи, навязывание ложной информации Перехват идентификационных данных Криптоанализ информации с целью раскрытия ключей шифрования и электронной цифровой подписи Внедрение вредоносных программ DoS атаки с целью превышения допустимой нагрузки функционирования сети, операционной системы или приложения	-использование сканеров безопасности для своевременного обнаружения уязвимостей -отключение неиспользуемых сервисов -межсетевое экранирование, NAT -использование VPN -использование защищенных протоколов -использование средств обнаружения и предотвращения вторжений (IDS/IPS) -активный мониторинг внешнего периметра сети -антивирусная защита межсетевых экранов и WWW - серверов -фильтрация электронной почты и Web - ресурсов -использование ЭЦП -использование средств шифрования трафика сети и шифрования электронных документов -регулярная смена паролей и ключей -резервное копирование информации -резервное копирование настроек средств защиты

Как видно из полученных данных, наибольшую опасность представляют сотрудники, а средства защиты применяемы против внешнего нарушителя эффективны более чем на 90%, чего нельзя сказать о сотрудниках. Вся проблема заключается в том, что в большинстве случаев невозможно отследить халатность и неграмотность в использовании ИС сотрудниками с точки зрения ИБ.

Произведя анализ утечек конфиденциальной информации за 2013 год, получены следующие результаты: 45,7% составляет случайные утечки, 44.1%- составляют умышленные утечки и 10,2% - не определено. Если смотреть по виновникам инцидентов, то статистика следующая: в половине случаев виновниками утечек информации были сотрудники компаний -

настоящие или бывшие (49,5% и 4,6% соответственно). Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). В 6,7% случаев виновными оказались высшие руководители организаций (топ-менеджмент, главы отделов и департаментов)[24].

На основании полученных моделей нарушителей и статистики нарушений от компании InfoWatch можно сделать вывод, что наибольшее внимание к обеспечению информационной безопасности необходимо уделять именно рабочему персоналу.

3.2 Требования к технологиям информационной безопасности

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

Основными задачами, возлагаемыми на системы и средства защиты СОИБ, являются:

· аутентификация сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

· разграничение прав при доступе к информационным ресурсам ИС Э-Управления, а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам Э-Управления;

· возможность доказательства неправомочности действий пользователей и обслуживающего персонала ИС Э-Управления;

· защита сетевой инфраструктуры на основе выделенной локальной сети либо на основе виртуальной частной сети;

· защита серверов, автоматизированных рабочих мест и телекоммуникационного оборудования информационных систем от несанкционированного доступа к их ресурсам, вредоносного программного обеспечения и сетевых атак, осуществляемых из внешних сетей;

· защита накапливаемой информации от несанкционированного удаления, изменения, ознакомления и копирования;

· защита целостности и конфиденциальности информации при ее передаче по каналам связи;

· обеспечение достоверности и подтверждение авторства информации, размещаемой в информационных ресурсах;

· обеспечение доступности вычислительных и коммуникационных ресурсов, дублирование информации путем создания резервных копий;

· антивирусная защита программного и информационного обеспечения;

· возможность управления именами, идентификационными параметрами и криптографическими ключами;

· применение средств и систем защиты, имеющие разрешительные сертификаты Кыргызской Республики или сертифицированных ФСТЭК или ФСБ России.

Согласно полученным моделям и угрозам ИБ и выполнения задач по применению технологий ИБ структура комплексной системы безопасности информации Э-Управления должна включать (рис. 3.1.):

· подсистему управления доступом к ресурсам ИС Э-Управления ;

· инфраструктуру открытых ключей;

· подсистему криптографической защиты информации;

· подсистему защиты компонентов сетевой инфраструктуры Э-Управления;

· подсистему анализа защищенности;

· подсистему мониторинга и регистрации;

· подсистему антивирусной защиты.



Рисунок 3.1. Структура комплексной системы безопасности информации Э-Управления

В качестве интеграционной основы построения системы защиты информационных ресурсов Э-Управления КР от целесообразно использование технологий инфраструктуры открытых ключей (PKI), цифровых сертификатов, средств шифрования и электронной цифровой подписи.

Развертывание инфраструктуры PKI и централизованное использование средств криптографической защиты информации обеспечит решение вопросов надежной аутентификации пользователей и серверов, защиту конфиденциальной информации при ее передаче по каналам связи, контроль подлинности и целостности электронных документов, обеспечение юридически значимого электронного документооборота.

Эта технология обеспечит единые подходы защищенного обмена электронными документами как внутри Э-Управления, между Э-Управления и взаимодействующими ведомствами, так и с внешними пользователями государственных услуг, оказываемых в электронном виде.

Средства и технологии обеспечения ИБ электронного правительства в КР должны быть интегрируемы с продуктами обеспечения ИБ, используемыми в других ведомствах (это касается, в частности средств организации инфраструктуры открытых ключей).

При выборе средств обеспечения ИБ в ЭП необходимо учитывать необходимость наличия сертификатов соответствия этих средств требованиям безопасности ФСТЭК и/или ФСБ России, ввиду того, что требования безопасности в КР не были найдены.

3.2.1 Требования к Подсистеме управления доступом

Подсистема управления доступом должна предусматривать:

· индивидуальную идентификацию и аутентификацию пользователей при доступе к информационным ресурсам;