Реферат: Информационная безопасность и борьба с вирусом

Так же распространен  Мониторинг сетей.

Средства для мониторинга сети и обнаружения в её работе «узких мест» можно разделить на два основных класса:

- стратегические;

- тактические.

Назначение стратегических средств состоит в контроле над широким спектром параметров функционирования всей сети и решении проблем конфигурирования.

Назначение тактических средств – мониторинг и устранение неисправностей сетевых устройств и сетевого кабеля.

К стратегическим средствам относятся:

- системы управления сетью

- встроенные системы диагностики

- распределённые системы мониторинга

- средства диагностики операционных систем, функционирующих на больших машинах и серверах.

Наиболее полный контроль над работой, осуществляют системы управления сетью, разработанные такими фирмами, как DEC, Hewlett – Packard, IBM и AT&T.  Эти системы обычно базируются на отдельном компьютере и включают системы контроля рабочих станций, кабельной системой, соединительными и другими устройствами, базой данных, содержащей контрольные параметры для сетей различных стандартов, а также разнообразную техническую документацию.

Одной из лучших разработок для управления сетью, позволяющей администратору сети получить доступ ко всем её элементам вплоть до рабочей станции, является пакет LANDesk Manager фирмы Intel, обеспечивающий с помощью различных средств мониторинг прикладных программ, инвентаризацию аппаратных и программных средств и защиту от вирусов. Этот пакет обеспечивает в реальном времени разнообразной информацией о прикладных программах и серверах, данные о работе в сети пользователей.

Встроенные системы диагностики стали обычной компонентой таких сетевых устройств, как мосты, репиторы и модемы. Примерами подобных систем могут служить пакеты Open – View Bridge Manager фирмы Hewlett – Packard и Remote Bridge Management Software фирмы DEC. К сожалению большая их часть ориентирована на оборудование какого – то одного производителя и практически несовместима с оборудованием других фирм.

Распределённые системы мониторинга представляют собой специальные устройства, устанавливаемые на сегменты сети и предназначенные для получения комплексной информации о трафике, а также нарушениях в работе сети. Эти устройства, обычно подключаемые к рабочей станции администратора, в основном используются в много сегментных сетях.

К тактическим средствам относят различные виды тестирующих устройств (тестеры и сканеры сетевого кабеля), а также устройства для комплексного анализа работы сети – анализаторы протоколов. Тестирующие устройства помогают администратору обнаружить неисправности сетевого кабеля и разъёмов, а анализаторы протоколов – получать информацию об обмене данными в сети. Кроме того, к этой категории средств относят специальное ПО, позволяющее в режиме реального времени получать подробные отчёты о состоянии работы сети.

Довольно часто в печати появляются сообщения о нападениях на информационные и вычислительные центры компьютерных вирусов. Некоторые из них, например «Микеланджело», уничтожают информацию, другие – такие, как «Червяк Моррисона», проникают сквозь систему сетевых паролей. Но борьба даже со сравнительно безопасными вирусами требует значительных материальных затрат. По оценкам специалистов инженерного корпуса США, при обнаружении и уничтожении в вычислительных сетях военного ведомства вируса «Сатанинский жук» затраты составляли более 12000 долларов в час. Наиболее часто для борьбы с компьютерными вирусами применяются антивирусные программы, реже – аппаратные средства защиты.

Одной из самых мощных программ защиты от вирусов является ПО LANDesk Virus Protect фирмы Intel, базирующая на сетевом сервере. Используя загрузочные модули NetWare, она позволяет «отслеживать» обычные, полиморфные и «невидимые» вирусы. Сканирование происходит в режиме реального времени. При обнаружении вируса LANDesk Virus Protect по команде администратора может либо уничтожить файл, либо отправить его в специальный каталог – «отстойник», предварительно зарегистрировав источник и тип заражения. Посредством модемной связи LANDesk Virus Protect в автоматическом режиме регулярно связывается с серверами Intel, откуда получает информацию о шаблонах новых вирусов.

Вероятность занесения компьютерного вируса снижает применение бездисковых станций.

Распространённым средством ограничения доступа (или ограничения полномочий) является система паролей. Однако оно ненадёжно. Опытные хакеры могут взломать эту защиту, «подсмотреть» чужой пароль или войти в систему путём перебора возможных паролей, так как очень часто для них используются имена, фамилии или даты рождения пользователей. Более надёжное решение состоит в организации контроля доступа в помещения или к конкретному ПК в ЛВС с помощью идентификационных пластиковых карточек различных видов.

Использование пластиковых карточек с магнитной полосой для этих целей вряд ли целесообразно, поскольку, её можно легко подделать. Более высокую степень надёжности обеспечивают пластиковые карточки с встроенной микросхемой – так называемые микропроцессорные карточки (МП – карточки, smart – card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. При выдаче карточки пользователю на неё наносится один или несколько паролей, известных только её владельцу. Для некоторых видов МП – карточек попытка несанкционированного использования заканчивается её автоматическим «закрытием». Чтобы восстановить работоспособность такой карточки, её необходимо предъявить в соответствующую инстанцию. Кроме того, технология МП – карточек обеспечивает шифрование записанных на ней данных в соответствии со стандартом DES, используемым в США с 1976 г.

Установка специального считывающего устройства МП – карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.

Криптографические методы защиты.

Для предотвращения ознакомления с компьютерной информацией лиц, не имеющих к ней доступа, чаще всего используется шифрование данных при помощи определённых ключей. Важнейшими характеристиками алгоритмов шифрования являются криптостойкость, длина ключа и скорость шифрования.

В настоящее время наиболее часто применяются три основных стандарта шифрования:

DES;

ГОСТ 28147-89 – отечественный метод, отличающийся высокой криптостойкостью;

RSA – система, в которой шифрование и расшифровка осуществляется с помощью разных ключей.

Недостатком RSA является довольно низкая скорость шифрования, зато она обеспечивает персональную электронную подпись, основанную на уникальном для каждого пользователя секретном ключе. Характеристики наиболее популярных методов шифрования приведены в таблице:

Характеристики наиболее распространённых методов шифрования

Административные меры защиты информации

Применение одних лишь технических решений для организации надёжной и безопасной работы сложных сетей явно недостаточно. Требуется комплексный подход, включающий как перечень стандартных мер по обеспечению безопасности и срочному восстановлению данных при сбоях системы, так и специальные планы действий в нештатных ситуациях

Что можно отнести к организационным мероприятиям по защите ценной информации?

Во-первых, чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.

Во-вторых, ограничение доступа в помещения посторонних лиц или сотрудников других подразделений. Совершенно необходимо запирать и опечатывать помещения при сдаче их под охрану после окончания работы.

В-третьих, жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.

В-четвёртых, требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.

 Предотвращение технических сбоев оборудования

Работа кабельной системы

По данным зарубежных исследований, с неисправностями сетевого кабеля и соединительных разъёмов связано почти 2/3 всех отказов в работе сети. К неисправностям кабельной системы приводят обрывы кабеля, короткое замыкание и физическое повреждение соединительных устройств. Большие неприятности могут доставлять электромагнитные наводки различного происхождения, например, от излучения бытовых электроприборов, стартеров ламп дневного света и т. д.

Основными электрическими характеристиками кабеля, определяющими его работу, является затухание, импеданс и перекрёстные наводки. Эти характеристики позволяют определить простые и вместе с тем достаточно универсальные приборы, предназначенные для установления не только причины, но и места повреждения кабельной системы – сканеры сетевого кабеля. Сканер посылает в кабель серию коротких электрических импульсов и для каждого импульса измеряет время от подачи импульса до прихода отражённого сигнала и его фазу. По фазе отражённого импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). А по времени задержки – расстояние до места повреждения. Если кабель не повреждён, то отражённый импульс отсутствует. Современные сканеры содержат данные о номинальных параметрах распространения сигнала для сетевых кабелей различных типов, позволяют пользователю самостоятельно устанавливать такого рода параметры, а также выводить результаты тестирования на принтер.

На рынке сетевых сканеров в настоящее время предлагается много устройств, различных по своим техническим характеристикам, точности измерений и цене. Среди них сканер Fuke 650 LAN CableMeter компании John Fuke Manufacturing, семейство сканеров фирмы Microtest, тестеры LANTech 10  корпорации Wavetek. WireScope 16 фирмы Scope Communications Inc., а также сканеры фирмы Datacom.

Наиболее универсальными являются сканеры фирмы Microtest. Кроме того, их можно применять и для тестирования оптоволоконных сетевых кабелей.

Все сканеры этого семейства оборудованы автономными источниками питания и малогабаритны (не больше видеокассеты), что делает их высокомобильными. Дополнительно поставляется набор аксессуаров, который обеспечивает совместимость этих сканеров с любыми типами сетей и разъёмов.

Надёжность кабельной системы зависит и от качества самого сетевого кабеля. В соответствия с международным стандартом ANSI/EIA/TIA – 568 в современных ЛВС, как правило, используют сетевые кабели трёх уровней: третьего, четвёртого и пятого. ( Кабель уровня 1 представляет собой обычный телефонный кабель, кабель уровня 2 используется для передачи малых объёмов данных с небольшой скоростью.)

Защита при отключении электропитания

Признанной и надёжной мерой потерь информации, вызываемых кратковременным отключением электроэнергии, является в настоящее время установка источников бесперебойного питания. Подобные устройства, различающиеся по своим техническим и потребительским характеристикам, могут обеспечить питание всей ЛВС или отдельного компьютера в течение промежутка времени, достаточного для восстановления работы электросети или записи информации на магнитные носители. На российском рынке наибольшее распространение получили источники бесперебойного питания фирмы American Power Conversion (APC).  Такие мощные модели, как Smart – UPS2000 фирмы APC, поддерживают работу ПК в течении 3-4 часов после отключения электропитания.

За рубежом крупные компании устанавливают резервные линии электропитания, подключённые к разным подстанциям, и при выходе из строя одной из них электричество подаётся с другой.

Предотвращение сбоя дисковых систем

Согласно исследованиям проведённых в США, при полной потере информации на магнитных носителях вследствие сбоя компьютерной системы в первые три дня из общего числа потерпевших объявляют о своём банкротстве 60% фирм и в течение года – 90% из оставшихся. В России пока не существует полностью безбумажных технологий, и последствия фатального сбоя не будут столь трагическими, однако системам восстановления данных следует уделять самое пристальное внимание.

В настоящее время для восстановления данных при сбоях магнитных дисков применяются либо дублирующие друг друга зеркальные диски, либо системы дисковых массивов – Redundant Arrays of Inexpensive Disks (RAID).

Дисковые массивы можно реализовывать как во внутреннем, так и во внешнем исполнениях – в корпусе сервера ЛВС или на специальном шасси. В их производстве сегодня лтдируют фирмы Micropolis, DynaTek. Технические характеристики RAID – массивов фирмы DynaTek приведены с таблице:

Технические характеристики RAID – массивов фирмы DynaTek

Организация надёжной и эффективной системы архивации данных – ещё одна важная задача по обеспечению сохранности информации в сети. В больших ЛВС для организации резервного копирования целесообразно использовать специализированный архивационный сервер. Одной из наиболее эффективных аппаратных систем такого рода является семейство архивационных серверов StorageExpress фирмы Intel.

Сервер StorageExpress подключается непосредственно к сетевому кабелю и служит для архивации данных, поступающих с любого из сетевых серверов и рабочих станций. При архивации выполняется двукратное сжатие. Соответствующее сетевое ПО – пакет Central Console – позволяет администратору ЛВС выбрать один из двух режимов резервного копирования:

- потоковый, выполняемый по умолчанию в автоматическом режиме;

- специальный, устанавливаемый администратором ЛВС.

Для архивной информации, представляющей особую ценность, рекомендуется предусматривать охранное помещение. Дубликаты наиболее ценных данных, лучше хранить в другом здании или даже в другом городе. Последняя мера делает данные неуязвимыми в случае пожара или другого стихийного бедствия.

Продукты защиты: проблема выбора

Огромное количество всевозможных продуктов нам предлагает рынок. Как уберечь от подделки, как выбрать нужное. Подчас даже опытный руководитель не сможет дать сегодня вам ответ на эти и многие другие вопросы, которые возникают  при обращении, будь то простых пользователей или опытных профессионалов.

 Абсолютной защиты быть не может. Распространено такое мнение - "установил защиту и можно ни о чем не беспокоиться". Полностью защищенный компьютер - это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако, использовать его нельзя. В этом примере не выполняется требование доступности информации. "Абсолютности" защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, и для этого есть несколько причин.   Одна из них - развитие вашей собственной сети. Ведь защитные свойства электронных систем безопасности во многом зависят от конфигурации сети и используемых в ней программ. Даже если не менять топологию сети, то все равно придется когда-нибудь использовать новые версии ранее установленных продуктов. Однако может случиться так, что новые возможности этого продукта пробьют брешь в защите.

   Кроме того, нельзя забывать о развитии и совершенствовании средств нападения. Техника так быстро меняется, что трудно определить, какое новое устройство или программное обеспечение, используемое для нападения, может обмануть вашу защиту. Например, криптосистема DES, являющаяся стандартом шифрования в США с 1977 г., сегодня может быть раскрыта методом "грубой силы" - прямым перебором.

InDefense: антивирус, не похожий на другие

Поскольку InDefense компании Tegam International - уникальное животное в антивирусном зверинце, его невозможно было проверять так же, как другие пакеты. В обновлении сигнатур InDefense вообще  не нуждается, но даже при этом мы не можем рекомендовать его в качестве единственной линии обороны.

Пакет построен на старой технике антивирусной защиты. Первым делом он "прививает" все исполняемые файлы на компьютере, делая "моментальный снимок" элементов файла. Эта система особенно хороша для выявления файловых вирусов: поскольку исполняемые файлы не должны меняться, всякая модификация с большой вероятностью означает, что файл был заражен. Кроме того, InDefense ищет признаки деятельности вируса - попыток программы воспроизвести себя.

Однако этот метод содержит ловушку. Предполагается, что пакет устанавливается на "чистую" машину, где нет ни одного вируса, а это далеко не всегда так даже в случае нового ПК. Компьютер, в "чистоте" которого вы не уверены, перед установкой InDefense надо будет просканировать другой антивирусной утилитой.

Поскольку InDefense - не сканер, мы не могли подвергнуть его тем же тестам, что остальные пакеты. Для тестирования мы установили InDefense, активизировали комплект живых вирусов и запустили утилиту. Все 15 "диких" вирусов трех типов были обезврежены. Но в отличие от других антивирусов этот пакет предполагает довольно высокую техническую грамотность пользователя и часто просит вас определить, есть ли здесь проблема или нет. Например, в процессе испытаний он выдал сообщение следующего содержания: если вы знаете, что загрузочный сектор вашего жесткого диска изменился по естественным причинам (например, произошла замена операционной системы), нажмите клавишу [A], если же это вирус, нажмите [R]. Что касается макровирусов, то InDefense считает, что все "несертифицированные" макрокоманды завирусованы, а все сертифицированные, наоборот, чисты, а это не всегда так. (Вы можете сертифицировать определенные макрокоманды, которые сами создали, и такие, в безопасности которых полностью уверены; такие компании, как Microsoft, тоже сертифицируют макрокоманды.) Хотя интерфейс InDefense довольно четкий, через его диалоговые окна и руководство пробиться почти невозможно; они написаны на смеси технического и маркетингового жаргона и вдобавок с грамматическими ошибками.

McAfee VirusScan 4.0

Достоинства: великолепное распознавание и удаление вирусов, интерфейс, имитирующий дистанционное управление, простота использования.
Недостатки: самое длительное время сканирования.

Компания McAfee - разработчик одного из старейших и популярнейших антивирусов, ее продукты заслуженно считаются эффективными и отражающими последние достижения компьютерной вирусологии. 49-долларовый пакет McAfee VirusScan 4.0 вполне соответствует этой репутации; в наших тестах он непосредственно следовал за "Лучшим выбором" - Norton AntiVirus.

Пакет распознал 100% "диких" вирусов (как Command и Norton), корректно удалил все предложенные вирусы (как Panda) и показал очень неплохие результаты на "лабораторных" вирусах. Единственным серьезным недостатком была скорость проверки: сканирование гигабайтного диска заняло у McAfee в два-три раза больше времени, чем у других пакетов. Если всегда проверять диск в часы, когда компьютер используется не очень интенсивно, это не страшно, но в периоды пиковой нагрузки долгое ожидание нежелательно.

Новый интерфейс под названием VirusScan Central имитирует пульт дистанционного управления и обеспечивает простой доступ к многочисленным функциям McAfee. Кнопки для выполнения обычных заданий вынесены вперед, другие кнопки, не так бросающиеся в глаза, обеспечивают более сложные или специальные функции. При каждом запуске VirusScan на экране появляется сообщение с напоминанием о необходимости выполнить какую-либо обычную (и тем не менее важную) рутинную процедуру типа обновления файла сигнатур. Имеется и утилита-мастер, которая проведет вас через множество параметров и вариантов настройки. Пакет активно сканирует перед открытием почтовые вложения и файлы, загруженные из Internet, и предусматривает также защиту от пресловутых элементов ActiveX и Java-аплетов; в его составе есть даже миниатюрный сетевой брандмауэр, позволяющий заблокировать доступ к нежелательным серверам, - полезная вещь для родителей. Обновление VirusScan автоматизировано и выполняется очень просто. Напоминание о необходимости его произвести появляется во всплывающем окне с кнопкой для установки связи непосредственно с Web-узлом McAfee. Можно также получать свежие файлы сигнатур по электронной почте - подобная услуга не предоставляется ни для какого другого пакета в этом обзоре. Согласно заявлению компании, обновления, если потребуется, будут производиться ежедневно и останутся бесплатными "в течение всего времени жизни продукта", т. е. до выхода следующей версии VirusScan, в которой формат файла сигнатур, возможно, будет другим.

Norton AntiVirus 5.0

Достоинства: великолепное распознавание и удаление вирусов, новые эффективные средства, такие как Quarantine, усовершенствованный интерфейс.
Недостатки: через год обновление сигнатур становится платным.

"Лучший выбор" прошлогоднего и нынешнего обзора - пакет Norton AntiVirus - теперь вышел в версии 5.0. Он по-прежнему заметно опережает конкурирующие продукты за счет таких качеств, как безупречное распознавание, абсолютно понятный интерфейс, простая процедура обновления и множество действительно полезных дополнительных функций.

Подобно Command и McAfee, NAV распознал 100% "диких" вирусов; он обнаружил также более 99% "лабораторных" вирусов, опередив по этому показателю остальные рассматриваемые пакеты. При тестировании произошло одно ложное срабатывание (NAV сигнализировал о наличии вируса, которого в действительности не было на компьютере). Кроме того, сохранился дефект, отмеченный нами в прошлом году: когда мы заразили загрузочный сектор диска, пакет заблокировал машину, не выдав указаний по восстановлению. Пакет корректировки (мы его протестировали) можно найти на Web-узле Symantec.

В версии 5.0 Norton AntiVirus обогатился несколькими  полезными новыми функциями. Теперь программа может автоматически распознать (если встретит) агрессивный элемент ActiveX или Java-аплет. Функция Quarantine ("карантин") перемещает зараженные файлы в защищенную область на то время, пока вы получите из Internet версию, умеющую бороться с данной разновидностью вируса, или свяжетесь со службой технического сопровождения Symantec. Функция Scan and Deliver кодирует предполагаемые вирусы для пересылки по почте и отправляет их прямо в антивирусный исследовательский центр Symantec. Пакет легко устанавливается, а обнаружив вирус, четко объясняет, что делать; в новом, лучше структурированном интерфейсе главные возможности вынесены на передний план, так что часто используемые функции всегда под рукой.

Обновление NAV организовано просто: подписки на новые версии нет, но программа будет автоматически загружать новые сигнатуры через Internet или напоминать вам, что пора это сделать. А самое удобное - это уникальная техника мини-обновлений, когда вы получаете не всю весьма объемистую базу сигнатур, а только изменения к ней. Одно небольшое нарекание: обновления,   бесплатные   в течение первого года, в дальнейшем стоят 4 долл. в год. Конечно, такая сумма вряд ли способна отяготить чей-либо кошелек, а через год вы, возможно, вообще захотите перейти на новую версию, но все же это какое-то крохоборство.

Panda Antivirus 6.005 Platinum

Достоинства: ясный пользовательский интерфейс, самая высокая скорость, простое обновление.
Недостатки: проблемы с выявлением макровирусов, много ложных срабатываний.

В Европе Panda - один из лидирующих антивирусов, а на американском рынке он новичок, и в наших тестах местные пакеты его обошли. Последняя версия продукта (6.005 Platinum) нашла все "дикие" загрузочные, файловые и полиморфные вирусы, но обнаружила лишь 94,1% "диких" макровирусов, 81,3% "лабораторных" файловых вирусов и 75,5 "лабораторных" макровирусов - остальные пакеты распознали более 95% "лабораторных" вирусов (и почти 100% "диких" макровирусов). Вдобавок Panda Antivirus выдал 19 ложных срабатываний - больше, чем у других пакетов. По сообщению компании, она работает над повышением эффективности продукта в том, что касается ложных срабатываний и "лабораторных" макровирусов, и к тому времени, как вы прочтете эти строки, исправления будут помещены на Web-узле фирмы. Положительным свойством Panda является высокая скорость работы: сканирование диска заняло чуть больше семи минут, и это лучший результат в наших тестах.

Страницы: 1, 2, 3, 4