logo
Информационные технологии в управлении

От чего защищаться?

При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в это пространство. В едином информационном пространстве должны быть созданы все необходимые предпосылки для установления подлинности пользователя (субъекта), подлинности содержания и подлинности сообщения (т.е. созданы механизмы и инструмент аутентификации). Таким образом, должна существовать система информационной безопасности, которая включает необходимый комплекс мероприятий и технических решений по защите:

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, т. к. в процессе модификации неизбежно возникновение дополнительных ситуаций незащищенности системы. Для решения этой проблемы наряду с общими методами и технологиями следует отметить введение ряда требований к разработчикам, создание регламентов внесения изменений в системы, а также использование специализированных средств.

Лавинообразное распространение вирусов стало большой проблемой для большинства компаний и государственных учреждений. В настоящее время известно более 45000 компьютерных вирусов и каждый месяц появляется более 300 новых разновидностей [Энциклопедия Вирусов, www.viruslist.com/ru/viruses/encyclo-pedia]. По различным данным в 2007 году вирусным атакам было подвержено от 65% до 80% компаний во всем мире. Прямые и косвенные потери исчисляются сотнями миллионов долларов. И эти цифры неуклонно растут.

Компьютерный вирус - это специально написанная программа, которая может "приписывать" себя к другим программам, т.е. "заражать их" с целью выполнения различных нежелательных действий на компьютере и в сети. Когда такая программа начинает работу, то сначала, как правило, управление получает вирус. Вирус может действовать самостоятельно, выполняя определенные вредоносные действия (изменяет файлы или таблицу размещения файлов на диске, засоряет оперативную память, изменяет адресацию обращений к внешним устройствам и т.д.), или "заражает" другие программы. Зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.

Формы организации вирусных атак весьма разнообразны, но в целом практически их можно "разбросать" по следующим категориям:

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Сетевые черви. Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, "стелс" и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам). Пример - почтовые черви (Email-Worm). К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, на зараженный файл, расположенный на взломанном или хакерском Web-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.

Классические компьютерные вирусы. К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью: последующего запуска своего кода при каких-либо действиях пользователя или дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например "бэкдор-процедуру" или троянскую компоненту уничтожения информации на диске.

Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макроязыки для автоматизации выполнения повторяющихся действий. Эти макроязыки часто имеют сложную структуру и развитый набор команд. Макро-вирусы являются программами на макроязыках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.

Скрипт-вирусы. Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

Троянские программы. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и её передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы. К данной категории относятся:

К прочим вредоносным относятся разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т. п.

Наиболее массированные атаки проводятся программами типа "троянский конь", которые могут быть незаметно для владельца установлены на его компьютер и так же незаметно функционировать на нём. Самый распространенный вариант "троянского коня" выполняет чаще всего одну функцию - это, как правило, кража паролей, но есть и более "продвинутые" экземпляры. Они реализуют широкий спектр функций для удаленного управления компьютером, в том числе просмотр содержимого экрана, перехват сигналов от нажатий клавиш, кражу или уничтожение данных и информации, изменение и замену файлов и баз данных.

Другим распространенным типом атак являются действия, направленные на выведение из строя того или иного узла сети. Эти атаки получили название "реализация отказа в обслуживании" (Denial of Service Realization), и на сегодняшний день известно более сотни различных вариантов этих действий. Как уже отмечалось, выведение из строя узла сети даже на несколько часов или минут может привести к очень серьезным последствиям. Например, повреждение сервера платежной системы банка приведет к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым потерям не только самого банка, но и его клиентов.

Именно атаки такого рода сейчас наиболее обсуждаемы. Однако существуют и другие угрозы, которые могут привести к серьезным последствиям. Например, система обнаружения атак RealSecure отслеживает более 600 различных событий, влияющих на безопасность и относящихся к возможности внешних атак.

Общие методики защиты от вирусов в обязательном порядке являются обязательной составной частью "Политики информационной безопасности предприятия". В соответствующих разделах политики описываются принципы антивирусной защиты, применяемые стандарты и нормативные документы, определяющие порядок действий пользователя при работе в локальной и внешних сетях, его полномочия, применяемые антивирусные средства. Наборы обязательных правил могут быть достаточно разнообразны, однако можно сформулировать в общем виде следующие правила для пользователей:

Аналогично можно сформулировать несколько общих требований к хорошей антивирусной программе. Такая программа должна:

В настоящее время в России используются главным образом два проверенных качественных антивирусных пакета: Dr.WEB и "Антивирус Касперского". Каждая из этих продуктов имеет свою линейку, ориентированную на разные сферы применения – для использования на локальных компьютерах, для малого и среднего бизнеса, для крупных корпоративных клиентов, для защиты локальных сетей, для почтовых, файловых серверов, серверов приложений. Оба продукта, безусловно, отвечают всем вышеперечисленным требованиям.