Защита автоматизированной системы под управлением операционной системы Windows XP от вредоносных троянских программ

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Перечень условных обозначений

АРМ - автоматизированная рабочая станция

АС - автоматизированная система

БД - база данных

ДСТСЗИ - Государственная служба специальной связи и защиты информации Украины

ЗИ - защита информации

ИБ - информационная безопасность

ИС - информационная система

ИСОД - информация с ограниченным доступом

ИТС - информационно-телекоммуникационная система

КСЗ - комплекс средств защиты

КСЗИ - комплексная система защиты информации

ЛВС - локальная вычислительная сеть

МН - модель нарушителя

МУ - модель угроз

НД ТЗИ - нормативные документы технической защиты информации

НСД - несанкционированный доступ

ОС операционная система

ОТ - охрана труда

ПКМУ - постановления Кабинета Министров Украина

ПО - программное обеспечение

Введение

В условиях рыночной экономики информация выступает как один из основных товаров. Успех коммерческой и предпринимательской деятельности связан с муниципальными, банковскими, биржевыми информационными системами информатизации торговли, служб управления трудом и занятостью, созданием банка данным рынка товаров и услуг, развитием центров справочной и аналитико-прогнозной информации, электронной почты, электронного обмена данными и др.

Как и любой другой товар информация может бы украдена или повреждена, поэтому проблема информационной безопасности приобретает особую остроту. Развитие правовой базы явно отстаёт от требований реальной жизни, а именно от уровня информационной безопасности.

Одной из актуальных задач, выдвигаемых развитием информационно - коммуникационных технологий, является необходимость обеспечения защищенности информационных систем и информационных ресурсов, а также автоматизированных ресурсов от внешних и внутренних угроз, препятствующих эффективному использованию информации гражданами, обществом и государством.

Интернет стремительно ворвался в жизнь каждого современного человека. Он связан с его учебой, развлечениями, работой. В виртуальном пространстве хранится множество важной личной информации о человеке, от которой зависит его финансовое и психологическое состояние. К сожалению, хищение ее всевозможными троянскими программами сегодня встречается все чаще и чаще. Далеко не все пользователи представляют, какую угрозу несут троянские программы для их персональных данных.

В данной дипломной работе будут рассматриваться проблемы защиты автоматизированной системы, под управлением операционной системы Windows XP, от вредоносных троянских программ.

1. Обоснование необходимости создания КСЗИ на предприятии

1.1 Правовые основы защиты информации на предприятии

Защита информации па предприятии осуществляется в соответствии с Законами и Нормативными актами действующего законодательства Украины.

К законодательным актам относятся Законы, Указы, постановления Кабинета Министров Украины (ПКМУ) и Государственные стандарты. К нормативным актам относятся рекомендации, положения, методические указания, разработанные уполномоченными организациями - например, документы ДСТСЗИ (Государственной службы специальной связи и защиты информации Украины).

Обработка информации на предприятии осуществляется в соответствии со следующими законодательными и нормативно-правовыми документами:

- Закон Украины «Об информации» от 02.10.1992 г.;

- Закон Украины «О защите информации в автоматизированных системах» от 31.05.2005 г.;

- Закон Украины «О научно-технической информации» от 25.06.1993г.;

- ПКМУ № 611 «О перечне сведений, которые не составляют коммерческую тайну» от 09.08.1993 г.;

- ПКМУ № 1126 «Об утверждении концепции технической защиты информации в Украине» от 08.10.1997 г.;

Государственные стандарты Украины:

- ДСТУ 3396.0-96 «Защита информации. Техническая защита информации. Основные положения»;

- ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ»;

- НД ТЗИ 1.1-002-99 «Общие положения по защите информации в компьютерных системах от несанкционированного доступа»;

- НД ТЗИ 1.4-001-2000 «Типовое положение про службу защиты информации в автоматизированной системе»;

- Закон Украины «О защите от недобросовестной конкуренции» от 07.06.1996 г.;

- НД ТЗИ 2.5-004-99 «Критерии оценки защищённости информации в компьютерных системах от несанкционированного доступа»;

- НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа»;

- НД ТЗИ 3.7-001-99 «Методические указания по разработке технического задания по созданию комплексной системы защиты информации в автоматизированной системе»;

- НД ТЗИ 3.7-003-2005 «Порядок проведения работ по созданию комплексной системы защиты информации в информационных телекоммуникационных системах».

Помимо этих законодательных и правовых актов на предприятии разрабатываются внутренние документы:

- должностные инструкции;

- модель угроз информационной безопасности предприятия;

- модель нарушителя информационной безопасности предприятия.

В соответствии с НД ТЗИ 1.1-002-99 «Общие положения по защите информации в компьютерных системах от несанкционированного доступа» необходимость создания КСЗИ на предприятии определяется по результатам анализа сред функционирования предприятия, а именно, среды пользователей, информационной среды, физической среды и автоматизированной системы предприятия.

Основные сведения о предприятии

Предприятие предоставляет полный спектр услуг по покупке, продаже, а также обмену недвижимости.

Основной род деятельности агентства - это продажа первичного и вторичного жилья (однокомнатных, двухкомнатных и трехкомнатных квартир), новостроек, старых фондов, коттеджей, домов и домовладений, земельных участков, а также коммерческой недвижимости.

Также предоставляются услуги по съему, обмену и срочному выкупу недвижимости.

Тип предприятия - частное предприятие. Агентство недвижимости.

Название: «Миг»

1.2 Анализ среды пользователей

Штатная численность сотрудников: 31 человек.

Руководящий состав:

- директор;

- заместитель директора;

- главный бухгалтер.

Служащие:

- бухгалтер - 2 человека;

- юрист - 3 человека;

- секретарь-референт - 2 человека;

- секретарь-диспетчер - 2 человека;

- специалист по недвижимости (агенты) - 10 человек;

- системный администратор - 2 человека;

- специалист по работе с клиентами (менеджер) - 3 человека.

Вспомогательный персонал:

- уборщица - 2 человека;

- охранник - 2 человека.

Модель нарушителя (МН) информационной безопасности предприятия.

Под нарушителем ИБ подразумевается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.

В соответствии с моделью, все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних нарушителей.

Внутренним нарушителем может быть лицо из следующих категорий сотрудников:

- обслуживающий персонал;

- программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;

- технический персонал (рабочие подсобных помещений, уборщицы);

- сотрудники предприятия, которые имеют доступ к компьютерному оборудованию.

Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (организация пропускного режима).

Предположения о квалификации внутреннего нарушителя формируется следующим образом:

- внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;

- знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;

- является системным программистом, способным модифицировать работу операционных систем;

- правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;

- может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.

К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

Внешний нарушитель осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.

Предположения о квалификации внешнего нарушителя формулируется следующим образом:

- является высококвалифицированным специалистом в области использования технических средств перехвата информации;

- знает особенности системного и прикладного ПО, а также технических средств ИС;

- знает специфику задач, решаемых ИС;

- знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;

- знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;

- может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и радиоканалов.

При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.

1.3 Физическая среда предприятия

Исследование среды функционирования предприятия.

Расположение предприятия: г. Одесса ул. Высоцкого, 6

Физическая характеристика здания (офиса).

Офис расположен в деловой части города, на первом этаже трехэтажного офисного здания. Занимает весь первый этаж здания. Общая площадь составляет 225м², кабинетная система. Площади комнат: от 16.1м². до 25м². Высота потолка: 2,6м². Имеется отдельный вход с улицы.

Здание с трех сторон окружено различными постройками, четвертая сторона выходит на автомобильную дорогу.

С запада, на расстоянии 25 метров, расположено высотное офисное здание с парковочной площадкой.

С южной стороны, на расстоянии 30 метров, расположено многоэтажное жилое здание.

С востока, на расстоянии 35 метров, расположено административное здание.

С севера расположена автомобильная дорога.

Второй и третий этажи здания заняты офисами предприятий, занимающимися юридической деятельностью.

Выход на крышу расположен на лестничной клетке пожарного выхода.

Толщина и состав стен, перегородок и перекрытий между этажами:

- толщина несущих стен - 0,5м;

- толщина перегородки - 0,3м;

- стены выполнены из железобетонных конструкций, высота перекрытий - 2,8м;

- материал перегородок - кирпич.

Окна - тройные металлопластиковые, размером 1x1,5м.

Всего - 20 окон.

Двери:

- входная (главный вход) - ширина 1,5м, выполнена из металла, толщиной 3см;

- внутренние - деревянные, толщина - 3см.

Всего дверей - 22 (20 внутренних).

Контроль доступа.

Контроль входа/выхода осуществляет администратор безопасности (охранник). Лица, не работающие на предприятии, попадают на территорию объекта только в сопровождении лица, работающего на объекте, с соответствующей записью в журнале посещения. При этом сотрудник на объекте может быть вызван по внутреннему телефону, установленному возле стола администратора безопасности. На входной двери расположен видеодомофон, телефон домофона находится на столе администратора безопасности.

Режим работы предприятия.

Предприятие функционирует 5 дней в неделю.

График работы предприятия с 09:00 до 20:00, с перерывом на обед с 12:00 до 13:00.

Режим работы сотрудников предприятия.

Администратора безопасности (охранники) - с 08.00 - до 21.00

Уборщицы - с 07.30 - до 10.00

Всех остальные сотрудников - с 09.00 - до 20.00

В период обеденного перерыва организация не занимается основной деятельностью, служба охраны, в соответствии с инструкцией по охране, обедает посменно.

Бухгалтерия - служба, которая занимается ведением бухгалтерской и налоговой отчётности, по совместительству выполняющая функции финансового отдела, тем самым, распределяя финансовые потоки внутренней и внешней среды организации.

Юридический отдел - организует совместно с другими подразделениями работу по заключению договоров, участвует в их подготовке, визирует договоры. Занимается юридическим консультированием и проведением правовой экспертизы различных документов, составляемых на предприятии.

Отдел по работе с клиентами - организует и проводит переговоры с клиентами, принимает заказы, оформляет договоры и другие документы, предлагает клиентам исполнения заказа, находит оптимальное решения (для клиента и для предприятия), осуществляет поиск и привлечение новых клиентов.

Служба охраны - отвечает за организацию и ведение пропускного режима на предприятии и охранной деятельности. Служба расположена в отдельном помещении.

Служба информационных технологий - занимается сбором, обработкой, хранением и представлением информации, обеспечивающей динамическую оценку и информационную поддержку принятия производственных решений на предприятии. Служба располагается в серверной комнате - это выделенное технологическое помещение со специально созданными и поддерживаемыми условиями для размещения и функционирования серверного и телекоммуникационного оборудования. Также выступает основным хранилищем информации на предприятии, в том числе основных баз данных, персональных данных и другой информации.



Рисунок 1 - План помещения предприятия

1.4 Автоматизированная система предприятия

Автоматизированная система данного предприятия представляет собой локализованный многомашинный многопользовательский комплекс, на котором обрабатывается информация разных категорий конфиденциальности.

В состав автоматизированной системы предприятия входят 16 рабочих станций и 1 сервер, объединенные в многоранговую локальную сеть.

Расположение рабочих станций и их численность:

- бухгалтерия- 2;

- юридический отдел -2;

- специалисты по недвижимости -6;

- директор -1;

- зам. директор-1;

- отдел по работе с клиентами-1;

- секретарь-референт -1;

- секретарь-диспетчер-1;

- серверная - 1;

- охрана-1.

Основу АС представляют собой рабочие станции с такими характеристиками:

Монитор: 19" Samsung Sync Master 959NF

Процессор: Intel Core i3 -3220

Материнская плата: AsusP8H61-MLX3 PLUSR2.0

ОЗУ: Kingston DDR3-1333 2048MB PC3-10600 (KVR1333D3N9/2G)

Жесткий диск: Samsung 250GB 16MB 7200rpm 3.5" SATAII (ST250DM001)

Видеокарта: Asus PCI-Ex GeForce GT 640 2048MB GDDR3 (128bit)

Другое:

DVD±RW;

Floppy 3,5''

МФУ LEXMARK X264dn

В соответствии с НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа» такая АС относится к классу «2», как локализованный многомашинный многопользовательский комплекс, на котором обрабатывается информация разных категорий конфиденциальности. [1]

Для автоматизации обработки используется общесистемное ПО.

Системное программное обеспечение.

На всех компьютерах предприятия используется операционная система семейства Windows, а именно Windows XP Professional Edition SP2x32.

Среди всех операционных Microsoft, именно эта система удовлетворяет все необходимые требования данного предприятия. Основной положительной характеристикой этой ОС является наличие встроенного Брандмауэра. Это позволяет использовать ОС без дополнительного программного обеспечения первое время, пока предприятие не приобретет более эффективный Брандмауэр.

Предприятие имеет лицензионные копии ПО, которые работают под управлением ОС семейства Windows. Поэтому использование, именно Windows XP Professional Edition SP2 , является более актуальным.

Прикладное (специальное) программное обеспечение:

Пакет офисных программ Microsoft Office 2007 (Word, Excel, Power Point, Outlook).

Система управления базами данных: Microsoft Access.

1.5 Информационная среда предприятия

Информация - это задокументированные или публично оглашенные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей природной среде.

Анализируя источники информации на предприятии, можно выделить следующие:

а) Документы - документация предприятия или просто документы (входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);

Документы - это самая распространенная форма обмена информацией, ее накопления и хранения. Важной особенностью документов является то, что они иногда являются единственным источником важнейшей информации, а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб.

Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, привлекает их внимание к возможности получения интересующей информации.

б) Базы данных - информационной система, содержащая упорядоченные и взаимосвязанные сведения об объектах и их признаках. В базах данных хранятся сведения о клиентах.

в) Информация на технических носителях.

Технические носители - это бумажные носители, кино- и фотоматериалы, магнитные носители, съемные носители, аудио- и видео-носители, распечатки программ и данных на принтерах и экранах компьютеров предприятия и др. Опасность утечки информации, связанная с техническими носителями, растет очень быстро и становится все более трудно контролируемой.

Исходя из анализа источников информации, можно сделать вывод, что на предприятии циркулирует информация являющейся конфиденциальной и, соответственно, ее необходимо защищать, так как утрата свойства конфиденциальности может понести за собой значительный материальный ущерб.

1.6 Модель угроз (МУ) информационной безопасности предприятия

Под угрозой обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам. В настоящее время известен обширный перечень угроз информационной безопасности АС.

Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе защиты.

Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно проведение анализа этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты.

Необходимость классификации угроз информационной безопасности АС обусловлена тем, что хранимая и обрабатываемая информация в современных АС подвержена воздействию чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Поэтому для защищаемой системы обычно определяют не полный перечень угроз, а перечень классов угроз.

Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам.

а) по природе возникновения:

1) естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений;

2) искусственные угрозы безопасности АС, вызванные деятельностью человека.

б) по степени преднамеренности проявления:

1) угрозы, вызванные ошибками или халатностью персонала, например некомпетентное использование средств защиты, ввод ошибочных данных и;

2) угрозы преднамеренного действия, например действия злоумышленников.

в) по непосредственному источнику угроз:

1) природная среда, например стихийные бедствия, магнитные бури и пр.;

2) человек, например, путем подкупа персонала, разглашение конфиденциальных данных и т. п.;

3) санкционированные программные средства, например удаление данных, отказ в работе ОС;

4) несанкционированные программные средства, например заражение компьютера вирусами с деструктивными функциями.

в) по положению источника угроз:

1) вне контролируемой зоны АС, например перехват данных, передаваемых по каналам связи, перехват побочных электромагнитных, акустических и других излучений устройств;

2) в пределах контролируемой зоны АС, например применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т. п.;

3) непосредственно в АС, например некорректное использование ресурсов АС.

г) по степени зависимости от активности АС:

1) независимо от активности АС, например вскрытие шифров криптозащиты информации;

2) только в процессе обработки данных, например угрозы выполнения и распространения программных вирусов.

д) по степени воздействия на АС:

1) пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных;

2) активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например внедрение троянских программ.

е) по этапам доступа пользователей или программ к ресурсам АС:

1) угрозы, проявляющиеся на этапе доступа к ресурсам АС, например угрозы несанкционированного доступа в АС;

2) угрозы, проявляющиеся после разрешения доступа к ресурсам АС, например угрозы несанкционированного или некорректного использования ресурсов АС.

ж) по способу доступа к ресурсам АС:

1) угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС, например незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя;

2) угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей ОС.

з) по текущему месту расположения информации, хранимой и обрабатываемой в АС:

1) угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например несанкционированное копирование секретной информации с жесткого диска;

2) угрозы доступа к информации, находящейся в оперативной памяти, например чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ;

3) угрозы доступа к информации, циркулирующей в линиях связи, например незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений, незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;

4) угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например запись отображаемой информации на скрытую видеокамеру.

Анализ опыта проектирования, изготовления и эксплуатации АС показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АС.

Причинами случайных воздействий при эксплуатации АС могут быть:

- аварийные ситуации из-за стихийных бедствий и отключений электропитания;

- отказы и сбои аппаратуры;

- ошибки в программном обеспечении;

- ошибки в работе обслуживающего персонала и пользователей;

- помехи в линиях связи из-за воздействий внешней среды.

Для АС предприятия можно выделить следующие преднамеренные угрозы:

- НСД лиц, не принадлежащих к числу сотрудников предприятия, и ознакомление с хранимой конфиденциальной информацией;

- ознакомление сотрудников предприятия с информацией, к которой они не должны иметь доступ;

- несанкционированное копирование программ и данных;

- кража магнитных носителей, содержащих конфиденциальную информацию;

- кража распечатанных документов;

- умышленное уничтожение информации;

- несанкционированная модификация сотрудниками предприятия финансовых документов, отчетности и баз данных;

- отказ от авторства сообщения, переданного по каналам связи;

- отказ от факта получения информации;

- навязывание ранее переданного сообщения;

- разрушение информации, вызванное вирусными воздействиями;

- разрушение архивной информации предприятия, хранящейся на магнитных или съемных носителях;

- кража оборудования.

Виды угроз, реализуемые с использованием технических средств.

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:

- выход из строя (умышленный или неумышленный);

- несанкционированное либо ошибочное изменение конфигурации активного сетевого оборудования и приемно0передающего оборудования;

- физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;

- перебои в системе электропитания;

- отказы технических средств;

- установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;

- хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

Угрозы, реализуемые с использованием программных средств.

Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением несанкционированного доступа (НСД) к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых программным обеспечением (ПО) информационной системе (ИС). Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации баз данных (БД) и файловых систем корпоративной сети, данным, хранящимся на автоматизированном рабочем месте (АРМ) операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.

В этом классе рассматриваются основные виды угроз с использованием программных средств:

- внедрение вирусов и других разрушающих программных воздействий;

- нарушение целостности исполняемых файлов;

- ошибки кода и конфигурации ПО, активного сетевого оборудования;

- анализ и модификация ПО;

- наличие ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;

- наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит ОС, позволяющих получать информацию о системе и о состоянии сетевых соединений;

- использование уязвимостей ПО для взлома программной защиты с целью получения НСД к информационным ресурсам или нарушения их доступности;

- выполнение одним пользователем несанкционированных действий от имени другого пользователя;

- раскрытие, перехват и хищение секретных кодов и паролей;

- чтение остаточной информации в ОП компьютеров и на внешних носителях;

- ошибки ввода управляющей информации с АРМ операторов в БД;

- загрузка и установка в системе нелицензионного, непроверенного системного и прикладного ПО;

- блокирование работы пользователей системы программными средствами.

Исходя из анализа сред предприятия, можно сделать вывод о том, что:

На предприятии существует информацию, которую необходимо защищать.

Существуют угрозы защиты информации предприятия, которые могут быть реализованы через АС предприятия.

Принято считать, что, вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации, информационная безопасность АС обеспечена в случае, если для информационных ресурсов в системе поддерживаются основные свойства информации: конфиденциальность, целостность и доступность.

2. Постановка задачи защиты операционной системы Windows XP от троянских программ

2.1 Краткие сведения об операционной системе Windows XP

Операционная система Windows XP - одна из самых распространенных операционных систем корпорации Microsoft.

Она система Windows XP выпускается с октября 2001 года и является продолжением и развитием Windows 2000. Что говорит само название: XP - от англ. experience (опыт).

Windows XP является исключительно клиентским вариантом, подходит частным лицам для личного и рабочего пользования. Серверным вариантом этой системы является, выпущенная позже, Windows Server 2003. Обе операционные системы построены на платформе одного и того же ядра, поэтому развиваются и обновляются параллельно.

Наиболее распространенные версии операционной системы Windows XP: Windows XP Professional Edition и Windows XP Home Edition.

Windows XP Professional представляет собой операционную систему, предназначенную для использования в корпоративных целях, работы предприятий и предпринимателей. Особенностью данного Windows является шифрование файлов с помощью программы Encrypting File System, возможность центрального управления правами доступа и поддержка многопроцессорных систем, удаленный доступ к рабочему столу и т.п.

Windows XP Home - облегченная и урезанная версия XP Professional. В отличие от старшего брата, XP Home заметно дешевле, но при установке определенных программ и проведении обновлений, версию вполне можно расширить до полноценной XP Professional.

Структура операционной системы Windows XP.

Операционная система Windows XP построена на основе микроядра и её архитектуру нередко называют модифицированной архитектурой микроядра. С одной стороны, Windows XP обладает модульной структурой и компактным ядром, которое представляет базовые сервисы для других компонентов операционной системы. Однако в отличие от операционных систем, построенных исключительно на архитектуре микроядра, эти компоненты (например, диспетчер памяти или файловая система) выполняются не в пользовательском режиме, а в режиме ядра. Windows XP представляет собой многоуровневую операционную систему, в которой отдельные уровни подчиняются общей иерархии, где нижние уровни обеспечивают функциональность верхних уровней. Но, в отличие от строго иерархических систем, возможны ситуации, когда между собой могут общаться несмежные уровни.

На рис.2 показана структура системы Windows XP. Уровень абстракций аппаратуры (Hardware Abstraction Layer, HAL) взаимодействует непосредственно с оборудованием, скрывая детали взаимодействия операционной системы с конкретной аппаратной платформой для остальной части системы, HAL позволяет абстрагироваться от конкретного оборудования, которое в разных системах с одной и той же архитектурой может быть различным. В большинстве случаев, компоненты, выполняемые в режиме ядра, не работают непосредственно с аппаратным обеспечением, вместо этого они вызывают функции, доступные в HAL. Поэтому компоненты режима ядра могут создаваться без учета деталей реализации, специфичных для конкретной архитектуры, таких как размер кэша и количество подключенных процессоров. HAL взаимодействует с драйверами устройств, чтобы обеспечить доступ к периферийному оборудованию.

Кроме того, уровень абстракций аппаратуры взаимодействует с микроядром. Микроядро обеспечивает основные механизмы функционирования системы, такие как планирование выполнения потоков для поддержки других компонентов режима ядра. Микроядро управляет синхронизацией потоков, обслуживанием прерываний и обработкой исключений. Кроме того, микроядро позволяет не учитывать архитектурно-зависимые функциональные возможности, например, количество прерываний в различных архитектурах. Таким образом, микроядро и HAL обеспечивают переносимость операционной системы Windows XP, позволяя работать на самом разнообразном оборудовании.

Микроядро формирует только небольшую часть пространства ядра. Пространство ядра описывает среду выполнения, в которой компоненты могут получать доступ к системной памяти и службам. Компоненты, размещаемые в пространстве ядра, выполняются в режиме ядра. Микроядро предоставляет базовые услуги другим компонентам, размещенным в пространстве ядра.

Выше уровня ядра расположены компоненты режима ядра, отвечающие за администрирование подсистем операционной системы (например, диспетчер ввода/вывода и диспетчер виртуальной памяти). Все эти компоненты называются исполняющие или управляющие программы. На рис.1 показаны основные управляющие программы. Исполняющие программы предоставляют услуги пользовательским процессам через интерфейс прикладного программирования (API - application programming interface). Этот API носит название собственного API.



Рисунок 2.1 - Структурная схема операционной системы Windows XP

Диспетчер ввода-вывода обслуживает запросы ввода данных с аппаратных устройств и вывода на них. К устройствам ввода относятся клавиатура, мышь, микрофон и сканер; к устройствам вывода - монитор, принтер и акустическая система.

Драйвер устройства является программным компонентом операционной системы и взаимодействует непосредственно с аппаратными ресурсами. Драйвер располагает специфическим для данного устройств набором команд, предназначенных для выполнения запрашиваемых операций ввода/вывода.

Контрольный монитор безопасности обеспечивает правильность осуществления политики безопасности, а также позволяет точно настроить систему и корректно запустить ее.

Большинство пользовательских процессов обращаются не к функциям собственного API, а вызывают функции API, предоставляемые системными компонентами пользовательского режима, которые называют подсистемами операционной среды. Подсистемы операционной среды представляют собой процессы, выполняемые в пользовательском режиме, которые размещаются между исполняющей программой и остальной частью пространства пользователя, экспортируя API для определённой компьютерной среды.

На верхнем уровне архитектуры Windows XP расположены процессы, выполняемые в пользовательском режиме. К ним относятся широко распространённые приложения (например, текстовые процессоры, компьютерные игры и веб-обозреватели), а также динамически подключаемые библиотеки (DLL). Библиотеки DLL - это модули, предоставляющие процессам функции и данные. API подсистемы среды состоит из модулей DLL, динамически подключаемых при вызове функции в API подсистемы. Так как библиотеки DLL подключаются динамически, это позволяет повысить модульность приложений. В случае внесения изменений в реализацию функций в DLL, достаточно будет перекомпилировать только подключаемую библиотеку, а не все использующее её приложение.

Диспетчер виртуальной памяти создаёт схему управления памятью, позволяющую выделять каждому процессу собственное большое закрытое адресное пространство, объём которого может превышать доступную физическую память.

Диспетчер конфигурации отвечает за реализацию и управление системным реестром.

Диспетчер электропитания координирует события, связанные с электропитанием, генерирует уведомления системы управления электропитанием, посылаемые драйверам. Когда система не занята, диспетчер можно настроить на остановку процессора для снижения энергопотребления. Изменение энергопотребления отдельных устройств возлагается на их драйверы, но координируется диспетчером электропитания.

Диспетчер кэша повышает производительность файлового ввода/вывода за счёт сохранения в основной памяти дисковых данных, к которым недавно было обращение.

Диспетчер объектов создаёт, управляет и удаляет объекты и абстрактные типы данных исполнительной системы, используемые для представления таких ресурсов операционной системы, как процессы, потоки и различные синхронизирующие объекты.

В Windows XP также существуют специальные процессы пользовательского режима, называемые системными службами или службами Win32. эти процессы обычно выполняются в фоновом режиме, независимо от того, произошёл ли вход пользователя в систему, выполняя, как правило, роль приложений, работающих по схеме клиент/сервер.

Пакеты обновлений Windows XP.

Microsoft периодически выпускает пакеты обновлений (service packs) своих операционных систем, устраняющие выявленные проблемы и добавляющие новые возможности.

Windows XP Gold/SP0.

Поддержка Windows XP без установленных пакетов обновлений (Gold/SP0) закончилась 30 сентября 2004 года.

Пакет обновлений 1.

Пакет обновлений 1 (SP1) для Windows XP был выпущен 9 сентября 2002 года. Наиболее важными новшествами стали поддержка USB 2.0, возможность выбирать программы по умолчанию для просмотра Интернета, почты, обмена мгновенными сообщениями, а также различные реализации виртуальной машины Java.

Пакет обновлений 2.

Пакет обновлений 2 (Service Pack 2, SP2) был выпущен 6 августа 2004 года. SP2 добавил в Windows XP новые возможности, включая улучшенный фаервол; поддержку Wi-Fi с мастером настройки и Bluetooth. Данный сервис-пак внёс значительные изменения в безопасность Windows XP. Так, значительным изменениям подвергся встроенный фаервол, который был переименован в Брандмауэр Windows и теперь активирован для всех создаваемых соединений по умолчанию. Service Pack 2 включает в себя Центр обеспечения безопасности, который позволяет облегчить наблюдение за безопасностью системы, следя и напоминая пользователю о необходимости установить или обновить антивирус и операционную систему. Также были улучшены функции автозапуска при вставке компакт-диска или подключении флеш-карт и подобных устройств.

Пакет обновлений 3.

В начале августа 2007 года Microsoft начала бета-тестирование SP3 среди ограниченной группы бета-тестеров. Несмотря на то, что бета-версия была передана только избранным, её дистрибутив появился в пиринговых сетях. С 12 декабря 2007 года версия RC1 SP3 доступна для загрузки и тестирования всем желающим.

Окончательная версия Пакета обновлений 3 была представлена 21 апреля 2008 года, но только для бизнес-клиентов, таких как производители оригинального оборудования и подписчики MSDN и TechNet. Остальные пользователи смогли получить третий сервис-пак 6 мая.

Пакет может быть установлен только поверх пакета Service Pack 1 (SP1) или Service Pack 2 (SP2), и доступен только для 32-битной версии.

Включает в себя все обновления, выпущенные после выхода Windows XP Service Pack 2, а также ряд других новых элементов. Среди них функция защиты сетевого доступа (Network Access Protection) и новая модель активации, заимствованные у Windows Vista, кроме того, появилась улучшенная функция обнаружения так называемых маршрутизаторов-«чёрных дыр» и др.

Преимущества операционной системы Windows ХР:

а) Многопользовательская система. Разделение прав на доступа в различные каталоги и запуск программ и приложений. Так же, можно быстро сменить пользователя и запускать программы с правами другого.

б) Интерфейс. Внешний вид XP удобен и привлекателен. Многие программы и драйвера для дизайна своего личного Windows можно скачать в интернете (например: стили, бутскрины, плагины, логонскрины и т.д.). Возможна установка новых систем оформления. Каждый элемент стиля автономно настраивается.

в) Файловая система. Поддержка транзакции позволяет удобно и безбоязненно пользоваться файлами, свободно перемещать документы с места на место, не опасаясь внезапного сбоя системы или отключения питания. Данные не сотрутся, а останутся целы. Файловая система NTFS 5 дает возможность разделять атрибуты файлов и папок на доступ. Еще множество возможностей, связанных с шифрованием и сжатием определенных файлов и папок для экономии места на диске.

г) Защита. Ядро XP обезопасено разделением колец защиты. Ядро находится в первом кольце, откуда можно командовать оборудованием (ring1), а, например, в третьем кольце (ring3) находятся пользовательские приложения, и оттуда напрямую недоступно оборудование.

Для работы в операционной системе, помимо аккаунта администратора, следует создать еще один - ограниченный аккаунт, все операции следует проводить в нем. Если операционная система подвергнется вирусной или троянской атаке, то ущерб может быть ограничен из-за того, что приложения не смогут получит всех привилегий администраторского аккаунта.

д) Стабильность работы. Windows XP имеет точки восстановления. По этому, в случае краха системы, при вызове специалиста, возможно полное восстановление ваших программ, документов, любимых фото, музыки и видео.

Недостатки операционной системы Windows ХР:

а) Системные требования. XP достаточно ресурсоемкая система, требует наличия процессора с тактовой частотой не менее 500 МГц и более 128 Мб оперативной памяти.

б) Несовместимость комплектующих. Часто встречаются вопросы по поводу неподходящего «железа» на компьютер. На самом деле вопрос не в комплектующих, а в драйверах, за консультацией и корректной установкой которых лучше обращаться к специалисту.

в) Программная несовместимость. Так же, как и с драйверами, Windows XP бывает капризен и к программам.

Операционная система Windows XP является несовершенной и имеет ряд уязвимостей безопасности, то есть существует большая вероятность использования средств операционной системы для распространения троянских программ.

windows защита информация троянский

2.2 Общие сведения о троянских программах

Троянская программа (также -- троян, троянец, троянский конь) -- вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно.

Название «троянская программа» происходит от названия «троянский конь» -- деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Троянская программа может маскироваться под текстовый редактор, или под сетевую утилиту, или под любую из программ, которую пользователь пожелает установить на свой компьютер.

«Трояны» могут осуществлять самые разные вредоносные действия, в зависимости от того, какая задача перед ним поставлена.

В отличие от червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через веб-браузер, когда пользователь посещает «зараженную» веб-страницу. Троянские программы запускаются при участии пользователя; они начинают выполнять свое вредоносное действие при запуске носителя или зараженной программы.

Разные троянские программы ведут себя на зараженном компьютере по-разному. Основными функциями «троянцев» является блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран сообщения, обращаться к веб-страницам, загружать и устанавливать программы, перезагружать компьютер.

Злоумышленники часто используют «наборы» из разных троянских программ.

Для распространения троянских программ, злоумышленники размещают их на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылают с помощью служб обмена сообщениями (например, электронной почтой), проникают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы. Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например, картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.

Она может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).[2]

2.2.1 Основные вредоносные действия, выполняемые троянскими программами

- нарушение работы других программ (вплоть до повисания компьютера, решаемого лишь перезагрузкой, и невозможности их запуска);

- настойчивое, независимое от владельца предложение в качестве стартовой страницы спам-ссылок, рекламы;

- распространение по компьютеру пользователя порнографии;

- превращение языка тестовых документов в бинарный код;

- мошенничество (например, при открывании определённого сайта пользователь может увидеть окно, в котором ему предлагают сделать определённое действие, иначе произойдёт что-то труднопоправимое);

- бессрочная блокировка пользователя со стороны сайта, потеря банковского счета и т. п.;

- получение доступа к управлению компьютером и установке вредоносного ПО.

По выполняемым вредоносным действиям троянские программы можно условно разделить на следующие виды:

- утилиты несанкционированного удаленного администрирования (позволяют злоумышленнику удаленно управлять зараженным компьютером);

- утилиты для проведения DDoS-атак (Distributed Denial of Service - распределенные атаки типа отказ в обслуживании);

- шпионские и рекламные программы, а также программы дозвона;

- серверы рассылки спама;

- многокомпонентные «троянцы-загрузчики» (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).

На практике часто встречаются «программы-троянцы», относящиеся сразу к нескольким вышеперечисленным видам.

2.2.2 Основные виды троянских программ

а) Троянские утилиты удаленного управления (backdoor). Их действие очень похоже на обычные программы, используемые пользователями для удалённого управления своим компьютером. Но есть одно маленькое отличие -- пользователь не знает о присутствии такой программы и все её действия происходят без его ведома. В результате, обладатель конкретной копии этого ПО способен без ведома пользователя совершать различные действия с системой пользователя -- от выключения или перезагрузки компьютера до манипуляций с файлами. Из-за этого, эти троянские программы относят к одним из самых опасных.

б) Похитители паролей (trojan-psw). Троянец приступает к поиску файлов, содержащих соответствующую (это не только пароли, а возможно и информация о системе, номера счетов, файлы, коды активации другого ПО и т.д.) информацию сразу же после проникновения и инсталляции.

в) Trojan-Clicker -- интернет-кликеры. Семейство троянских программ, основная функция которых -- организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts находящийся в папке Windows).

У злоумышленника могут быть следующие цели для подобных действий:

- увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

- организация DoS-атаки (Denial of Service) на какой-либо сервер;

- привлечение потенциальных жертв для заражения вирусами или троянскими программами.

г) Trojan-Proxy -- троянские прокси-сервера. Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама через зараженные компьютеры.

д) Загрузчики (trojan-downloader). Производят несанкционированную загрузку вредоносных программ на компьютер пользователя без его ведома. После загрузки, программа либо записывается в автозагрузки, либо инсталлируется.

е) Установщики (trojan-dropper). Данные трояны устанавливают на компьютер-жертву программы, чаще всего вредоносные. Такие трояны состоят из основного кода и файлов. Основной код это и есть троянец, а файлы -- это программы, которые он должен установить. Троянец записывает их в какой-нибудь каталог и устанавливает. Пользователь либо ничего не узнаёт об установки, либо получает уведомление об ошибке.

ж) Шпионские программы (trojan-spy). Такие трояны осуществляют шпионаж за пользователем: записывают информацию, набранную с клавиатуры, следят за запущенными программами, снимают рабочий стол, производят мониторинг общего состояния системы и так далее. В этой категории есть и «многоцелевые» троянские программы. К примеру, трояны, которые дают proxy-сервис удаленному злоумышленнику, но и не спускают глаз с пользователя.

з) Скрытие присутствия в операционной системе (rootkit). Это техника или программный код, использующийся для сокрытия присутствия в системе указанных объектов, таких как процессы, файлы, ключи реестра и другие. Rootkit детектируется как trojan, только если в rootkit-программе присутствует троянская составляющая.

и) Архивные бомбы (arcbomb). Когда архиватор пытается обработать этот архив, последний вызывает «нестандартные» действия первого. Работа компьютера может существенно замедлиться, либо он просто зависнет, а также жесткий диск может наполниться большим количеством «пустой» информации. Подобные «бомбы» разделяют на три типа: некорректный заголовок архива или испорченные данные (при анализе содержимого архива, приводят к неисправности в работе алгоритма разархивирования или архиватора), одинаковые файлы в архиве и повторяющиеся данные. Огромный файл, который содержит повторяющиеся данные, способен упаковываться в архив маленького размера. В итоге, 5 Гб данных можно сжать в 480 килобайтовый zip- или в 200 килобайтовый rar-архив. Если использовать специальные методы архивации, то даже при большое количество одинаковых файлов может практически не сказываться на размере архива.

При распаковке такой архивной бомбы, жесткий диск будет заполняться огромным количеством ненужной информации.

Таким образом, троянские программы, со всем их многообразием, представляют серьезную угрозу информационной безопасности АС, и требуется с ними бороться.

3. Разработка мероприятий по защите Windows XP от троянских программ

3.1 Основные способы защиты операционной системы Windows XP от троянских программ

ОС WINDOWS XP обладает встроенной системой безопасности, одним из компонентов которой является Брандмауэр.

Брандмауэр - это специальная программа (межсетевой экран), которая проверяет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропускает в компьютер, в зависимости от параметров. Таким образом, брандмауэр помогает предотвратить атаки хакеров и вредоносных программ на компьютер.

Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения.

Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы не тревожить пользователя запросами, когда в будущем этой программе понадобятся данные.

В Microsoft Windows XP брандмауэр включен по умолчанию, то есть начинает работать сразу после установки системы.