Правила, що запобігають появі та поширенню

комп‘ютерних вірусів

1. Намагайтеся використовувати тільки ліцензійні програмні продукти, що розповсюджуються фірмами-виробниками і гарантовані від наявності вірусних програм.

2. Обов‘язково користуйтеся спеціальними антивірусними програмними засобами, такими, як: AIDSTEST, Doctor Web, Adinf, Bootchecker, Norton Antivirus 2001, Antiviral Toolkit Pro (AVP). Для більш надійного захисту слід користуватися декількома з цих засобів одночасно.

3. Регулярно поновлюйте версії антивірусних програм, що використовуються. Слід пам‘ятати: щомісяця з‘являються нові вірусні програми, тому антивірусні програми слід поновлювати регулярно.

4. Кожна дискета, що вставляється в дисковод, повинна перевірятися на наявність вірусів.

5. Ніколи не забувайте витягти дискету, з якою ви працювали з дисководу. Якщо таке сталося, негайно перевірте її на наявність вірусів.

6. Якщо ви користуєтесь власною робочою дискетою на чужому комп‘ютері, але не маєте наміру записувати на неї дані, завчасно захистіть свою дискету від запису. Якщо ця дискета має розмір 5,25 дюймів, для захисту від запису слід заклеїти непрозорим матеріалом прорізь, що знаходиться в правому верхньому кутку дискети. Якщо ця дискета має розмір 3,5 дюйми, слід пересунути пластмасовий запобіжник запису, що розташований в верхньому лівому кутку тильної сторони дискети, в верхню позицію.

7. Кожна нова програма, що встановлена на комп‘ютері, певний час повинна спостерігатися.

8. На початку кожного робочого дня необхідно повністю тестувати комп‘ютер з приводу присутності вірусів.

9. В кінці кожного робочого дня слід робити щонайменше дві архівні копії результатів роботи комп‘ютера. Одна з архівних копій повинна зберігатися в спеціально відведеному місці на вінчестері. Друга копія зберігається на дискетах з дотриманням усіх правил зберігання, транспортування та використання дискет.

10.Необхідно мати системну дискету, що містить антивірусну програму. Ця дискета повинна бути вільною від вірусів і мати захист від запису.

Дії при заражені комп‘ютерним вірусом

Якщо при роботі на комп‘ютері були виявлені ознаки зараження вірусом, слід ретельно дотримуватись наступних чотирьох правил:

1. Негайно слід завершити роботу та виключити комп‘ютер. Це, принаймні, запобігає подальшим руйнівним діям комп‘ютерного вірусу.

2. Перш, ніж робити які-небудь дії, ретельно їх обміркуйте. Слід дотримуватися основного медичного правила «не зашкодь». Наприклад, якщо частина файлів на вінчестері раптово виявилася зашифрованою, не слід просто «вбивати» даний заражений комп‘ютерним вірусом файл, адже тоді зашифровану інформацію неможливо буде розшифрувати. Слід підібрати відповідну програму-доктора, що ще зможе відновити пошкоджену інформацію.

3. Завантаження та лікування комп‘ютера слід виконувати з використанням заздалегідь приготованої системної дискети, що містить відповідні антивірусні програми і захищена від запису.

4. Якщо ви не маєте досвіду роботи з антивірусними програмами або не впевнені, що спроможні «вилікувати» комп‘ютер від вірусу, ніколи не соромтеся запросити спеціаліста з даного питання. Запам‘ятайте, інфікувати комп‘ютер швидко, а от знищувати вірус та наслідки його діяльності інколи доводиться декілька днів.

Контрольні запитання

1. Які основні ознаки дії вірусів вам відомі?

2. Які критерії якості антивірусної програми найбільш важливі?

3. Класифікація антивірусних програм.

4. Методи захисту від вірусів.

5. Правила, що запобігають появі та поширенню комп’ютерних вірусів.

6. Дії при зараженні комп’ютерним вірусом.

Лекція №15. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД. Керування доступом

План

1. Доступ до інформації.

2. Способи керування доступом.

3. Розмежування доступу.

4. Обмеження доступу.

5. Ідентифікація.

6. Автентифікація. Методи автентифікації.

7. Облікова інформація користувача.

8. Що таке парольна система?

9. Найбільш розповсюджені загрози парольної системи.

10. Основні складові парольної системи.

11. Недоліки всіх парольних систем.

МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД

В розділі розглянуті лише питання керування доступом до інформації, поняття ідентифікації/автентифікації та вступ до криптографії. Звичайно, тут подані лише деякі відомості про означені питання, оскільки це невичерпні проблеми ЗІ.

Керування доступом

Доступ до інформації (access to information ) – вид взаємодії двох об'єктів КС, унаслідок якого створюється потік інформації від одного об'єкта до іншого і/або відбувається зміна стану системи. Доступ характеризується типом та атрибутами.

Тип доступу (access type) – суттєвість доступу до об'єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видаляння, дозапис).

Атрибут доступу (tag, access mediation information) – будь-яка зв'язана з об'єктом КС інформація, яка використовується для керування доступом.

Кожному доступу передує запит на доступ. Запит на доступ (access request) – звернення одного об'єкта КС до іншого з метою отримання певного типу доступу.

Керування доступом (access control) – це сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням ПРД. Воно включає питання обмеження доступу, розмежування доступу, розподіл доступу (привілеїв), контроль та облік доступу.

Існує чотири основних способи керування доступом:

· фізичний, коли суб’єкти звертаються до фізично різних об’єктів;

· часовий, коли суб’єкти з різними правами доступу звертаються до одного об’єкта в різні проміжки часу;

· логічний, коли суб’єкти отримують доступ до сумісного об’єкта в рамках одної ОС;

· криптографічний, коли права доступу визначаються наявністю ключа розшифрування.

Обмеження доступу полягає в створенні фізичної замкнутої перешкоди навколо об’єкта захисту з організацією контрольованого доступу осіб, які мають відношення до об’єкту захисту за своїми функціональними обов’язками. Основні цілі, задачі та методи обмеження доступу розглянуті в попередньому розділі.

Розмежування доступу в АС полягає в розподілі інформації, яка в ній оброблюється, на частини та організації доступу до них відповідно до функціональних обов’язків та повноважень.

Задача розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації, при виконанні своїх функціональних обов’язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнями важливості, секретності, функціональному призначенню, по документах і т.д.

Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу до них починається саме з них шляхом розміщення їх в різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т.д. повинні бути технічно і організаційно відокремлені від основних задач АС. АС і організацію її обслуговування слід будувати наступним чином:

· технічне обслуговування АС в процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, що підлягає захисту;

· перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеним для цієї мети перевіреним фахівцем;

· функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т.д.) – службою безпеки;

· організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що оброблюється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів;

· реєстрація і документування технологічної та оперативної інформації повинні бути розділені.

Розмежування доступу користувачів повинно відбуватися за наступними параметрами:

· за видом, характером, призначенню, ступеню важливості та секретності інформації;

· за способами її обробки: зчитувати, записувати, модифікувати, виконати команду;

· за ідентифікатором терміналу;

· за часом обробки тощо.

Принципова можливість розмежування за вказаними параметрами має бути забезпечена проектом АС. Конкретне розмежування при експлуатації АС встановлюється споживачем і вводиться до дії його підрозділом, що відповідає за безпеку інформації.

Розподіл доступу (привілеїв) до інформації полягає в тому, що з числа допущених до неї посадових осіб виділяється група, яка може отримати доступ тільки при одночасовому пред’явленні повноважень всіх членів групи. Задача такого методу – суттєво утруднити навмисне перехоплення інформації порушником. Прикладом такого доступу є сейф з декількома ключами, замок якого можна відчинити тільки за наявністю всіх ключів. Аналогічно в АС може бути застосований такий механізм при доступі до особливо важливих даних. Хоча даний метод ускладнює процедуру доступу, проте має високу ефективність.

Контроль та облік доступу реалізується за допомогою такої послуги, як реєстрація. Реєстрація(audit, auditing) – це процес розпізнавання, фіксування й аналізу дій і подій, що зв'язані з дотриманням політики безпеки інформації. Використання засобів перегляду й аналізу журналів, а особливо засобів настроювання механізмів фіксування подій, повинно бути прерогативою спеціально авторизованих користувачів. Часто [5] сам процес реєстрації підрозділяється на протоколювання та аудит. Під протоколюванням розуміється збір і нагромадження інформації про події, що відбуваються в інформаційній системі. Аудит – це аналіз накопиченої інформації. Оскільки в нормативних документах України [1-4] визначене тільки поняття реєстрації, далі буде використовуватися саме воно. Опис усього, що пов'язано з реєстрацією, який наводиться нижче, цілком відповідає [1-4].

Вибір фізичного носія для збереження даних реєстрації повинен відповідати способу їхнього використання й обсягу, а будь-яке переміщення таких даних – повинно гарантувати їхню безпеку. У будь-якому випадку ступінь захищеності даних реєстрації повинна бути не нижче, ніж ступінь захищеності даних користувачів, що забезпечують реалізовані послуги конфіденційності і цілісності. Повинні бути розроблені також угоди по плануванню і веденню архівів даних реєстрації.

Для жодного з рівнів послуги не встановлюється ніякого фіксованого набору контрольованих подій [3], оскільки для кожної КС їхній перелік може бути специфічним. Критична для безпеки подія визначається як така, що пов'язана зі звертанням до якої-небудь послуги безпеки чи відбулася в результаті виконання якої-небудь функції СЗІ, чи що-небудь інше, що хоча прямо і не обумовлено функціонуванням механізмів, які реалізують послуги безпеки, але може призвести до порушення політики безпеки. Остання група подій визначається як така, що має непряме відношення до безпеки. Для з'ясування ступеня небезпеки таких подій часто необхідно їх аналіз у контексті інших подій, що відбулися.

Для реалізації найбільш високих рівнів даної послуги необхідна наявність засобів аналізу журналу реєстрації (audit trail), що виконують більш складну, чим перегляд, оцінку журналу з метою виявлення можливих порушень політики безпеки, що дозволяє адміністратору здійснювати сортування, фільтрацію за визначеними критеріями й інші подібні операції. СЗІ повинна надавати адміністратору можливість вибирати події, що реєструються. Це може бути досягнуто шляхом передвибірки або поствибірки. Передвибірка подій дозволяє виділити при ініціалізації системи з усієї множини доступних для реєстрації подій підмножину тих, котрі необхідно реєструвати в журналі. Використовуючи передвибірку, адміністратор може зменшити кількість подій, що реально реєструється і, отже, розмір остаточного журнального файлу. Недоліком є те, що обрані події не можуть уже пізніше бути проаналізовані, навіть якщо виникне така необхідність. Перевага ж поствибірки полягає в гнучкості можливості аналізу постфактум, однак така організація ведення журнального файлу вимагає виділення значного обсягу пам'яті під дані реєстрації.