Анализ антивирусных средств защиты

  внедрение вирусов в файлы, пересылаемые внутри локальной сети или на удаленные абонентские терминалы.

Для коммутатора:

  разрушение  собственного программного обеспечения  и вывод из строя коммутационного узла вместе со всеми присоединенными абонентскими терминалами;

  засылка пакетов не по адресу, потеря пакетов, неверная сборка пакетов, подмена пакетов;

 внедрение вирусов  в (Коммутируемые пакеты; :   контроль активности абонентов сети для получения косвенной информации о характере данных, которыми обмениваются абоненты. 

3 Оценка рисков  информационных угроз  безопасности 

     Целью анализа является оценка рисков информационных угроз безопасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 2002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности нанесения ущерба и тяжести этого ущерба".

    Вообще  говоря, уязвимым является каждый компонент  информационной системы – от сетевого кабеля,  до базы данных, которая  может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки.

    При идентификации активов, то есть тех  ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Эти особенности будут учитываться при выставлении по трехбалльной системе (1-низкий, 2-средний, 3-высокий) размера ущерба. Вероятность осуществления также оценивается по трехбалльной системе. Данный метод называется экспертной оценкой событий[4]. Риск для каждой угрозы оценивается путем умножения вероятности на ущерб.

    В таблице 1 представлены возможные угрозы Web-серверу, данным подлежащим защите и организации в целом, а также вероятность их наступления и оценка причиненного ущерба в случае успешного осуществления атаки, несанкционированного доступа и т. д.

 

     Таблица 1 Оценка рисков

    

    На  основе полученных данных можно выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.

Рисунок 4 Количество рисков по категориям

    Как видно из диаграммы, организация  остро нуждается в разработке и применении новой политики безопасности, которая позволит сократить риски. 
4 Совершенствование системы информационной безопасности сети 
 

4.1 Организационно-технические меры защиты от угроз безопасности сети

     Проанализировав возможные вирусные угрозы в сети и их последствия, можно предложить комплекс защитных мер, снижающих вероятность проникновения и распространения деструктивных программ в сети, а также облегчающих локализацию и устранение негативных последствий их воздействия

  Меры  защиты нужно предусматривать как  на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации.

  Прежде  всего на этапе разработки необходимо выявить в исходных текстах программ те фрагменты или подпрограммы, которые могут обеспечить доступ к данным по фиксированным паролям, беспарольный доступ понажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксированными именами и реализацию тому подобных угроз. Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности сети, поскольку доступ через них возможен как человеком, так и программойи вирусом(закладкой). 
Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения. Для выявления подобных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методикам; тестирование готового программного обеспечения в критических режимах эксплуатации (в период испытаний сети) с фиксацией и устранением выявленных слабостей^и отклонений отнормальной работы. 

  Необходимо также обратить внимание на возможные конфликты прикладного программного обеспечения и средств защиты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиатуры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.

  Также на этапе разработки должны быть предусмотрены  меры защиты от несанкционированного доступа, меры по проверке целостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.

  На  этапе штатной эксплуатации должны на регулярной основе предприниматься  меры защиты и контроля, проводиться  разовые эпизодические защитные мероприятия в период повышения опасности информационного нападения, локализационно-восстано-вительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.

  Сеть  должна иметь общие средства и  методы защиты. К ним относятся:

1. Ограничение физического доступа к абонентским терминалам, серверам локальных сетей и коммутационному оборудованию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программные средства ограничения доступа к ЭВМ.
2. При активизации коммуникационного программного обеспечения контролируется его целостность и целостность областей DOS, BIOS и CMOS. Для такого контроля подсчитываются контрольные суммы и вычисляются хеш-функции, которые потом сравниваются с эталонными значениями для каждой ЭВМ.
3. Максимальное ограничение и контроль за передачей но сети 
   исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и 
   *.bin. При этом снижается вероятность распространения по сети 
   файловых вирусов, вирусов типа Driver и загрузочно-файловых 
   вирусов.
4. Организация выборочного и внезапного контроля работы операторов для выявления фактов использования нерегламентиро-ванного программного обеспечения.
5. Сохранение архивных копий применяемого программного 
   обеспечения на защищенных от записи магнитных носителях (дис 
   кетах), учет и надежное хранение архивных копий.
6. Немедленное уничтожение ценной и ограниченной для распространения информации сразу по истечении потребности в ней 
   (при снижении ее актуальности).
7. Периодическая оптимизация и дефрагментирование внешних 
   носителей (винчестеров) для выявления сбойных или псевдосбойных кластеров и затирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.

  Проблема  защиты от воздействий закладок имеет  много общего с проблемой выявления и дезактивации компьютерных вирусов. Она разрабйтана и изучена достаточно подробно . Методы борьбы с закладками сводятся к следующим. 

4.2 Профилактика заражения вирусами компьютерных систем

  Чтобы обезопасить ЭВМ от воздействия  вирусов, пользователь, прежде всего, должен иметь представление о механизме действия вирусов, чтобы адекватно оценивать возможность и последствия заражения КС. Главным же условием безопасной работы в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.

  Правило первое. Использование программных продуктов, полученных законным официальным путем.

  Вероятность наличия вируса в пиратской копии  во много раз выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации.

  Прежде  всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко пируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.

  Правило третье. Регулярно использовать антивирусные средства. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (Aidstest и Adinf). Антивирусные средства должны регулярно обновляться.

  Правило четвертое. Особую осторожность следует проявлять при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы — на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.

  Правило пятое. При работе в распределенных системах или в системах коллективного пользования целесообразно новые сменные носители информации и вводимые в систему файлы проверять на специально выделенных для этой цели ЭВМ. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только пооле всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.

  Правило шестое. Если не предполагается осуществлять запись информации на носитель, то необходимо заблокировать выполнение этой операции. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.

  Постоянное  следование всем приведенным рекомендациям  позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.

  В особо ответственных системах для  борьбы с вирусами необходимо использовать аппаратно-программные средства (например, Sheriff). 

4.3 Политика руководства организации в области защиты информации 

    Под политикой руководства организации понимается комплекс административных мер, направленных на снижение риска информационных угроз: разработка нормативно-правовых документов, проведение специализированных мероприятий, обучение персонала.

    В качестве нормативно-правовых документов выступают: договор между руководством организации и сотрудником о сохранении конфиденциальной информации, инструкция по обеспечению безопасности, документы, регламентирующие порядок допуска к сведениям, составляющим конфиденциальную информацию, обязанности сотрудников по обеспечению сохранности конфиденциальной информации.

    Введение  в делопроизводство данных документов, а также регулярное проведение специализированных мероприятий, направленных на сохранность  информации позволит значительно снизить  или даже предотвратить возможные  угрозы. 

4.4 Оценка рисков разработанной системы безопасности 

    После внедрения мер организующих комплексную защиту, конфиденциальной информации и всей информационной системы в целом, необходимо провести повторную оценку рисков. Известно, что перечень угроз останется тем же, а вот вероятность свершения некоторых из них снизится за счет применения тех или иных методов. Стоит отметить, что ущерб по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеописанные сведения для информационной среды предприятия после принятия мер по ее защите. 
 

Таблица 2 Повторная оценка рисков