Защита автоматизированной системы под управлением операционной системы Windows XP от вредоносных троянских программ
Перечень условных обозначений
АРМ - автоматизированная рабочая станция
АС - автоматизированная система
БД - база данных
ДСТСЗИ - Государственная служба специальной связи и защиты информации
Украины
ЗИ - защита информации
ИБ - информационная безопасность
ИС - информационная система
ИСОД - информация с ограниченным доступом
ИТС - информационно-телекоммуникационная система
КСЗ - комплекс средств защиты
КСЗИ - комплексная система защиты информации
ЛВС - локальная вычислительная сеть
МН - модель нарушителя
МУ - модель угроз
НД ТЗИ - нормативные документы технической защиты информации
НСД - несанкционированный доступ
ОС операционная система
ОТ - охрана труда
ПКМУ - постановления Кабинета Министров Украина
ПО - программное обеспечение
Введение
В условиях рыночной экономики информация выступает как один из основных
товаров. Успех коммерческой и предпринимательской деятельности связан с
муниципальными, банковскими, биржевыми информационными системами информатизации
торговли, служб управления трудом и занятостью, созданием банка данным рынка
товаров и услуг, развитием центров справочной и аналитико-прогнозной
информации, электронной почты, электронного обмена данными и др.
Как и любой другой товар информация может бы украдена или повреждена,
поэтому проблема информационной безопасности приобретает особую остроту.
Развитие правовой базы явно отстаёт от требований реальной жизни, а именно от
уровня информационной безопасности.
Одной из актуальных задач, выдвигаемых развитием информационно -
коммуникационных технологий, является необходимость обеспечения защищенности
информационных систем и информационных ресурсов, а также автоматизированных
ресурсов от внешних и внутренних угроз, препятствующих эффективному
использованию информации гражданами, обществом и государством.
Интернет стремительно ворвался в жизнь каждого современного человека. Он
связан с его учебой, развлечениями, работой. В виртуальном пространстве
хранится множество важной личной информации о человеке, от которой зависит его
финансовое и психологическое состояние. К сожалению, хищение ее всевозможными
троянскими программами сегодня встречается все чаще и чаще. Далеко не все
пользователи представляют, какую угрозу несут троянские программы для их
персональных данных.
В данной дипломной работе будут рассматриваться проблемы защиты
автоматизированной системы, под управлением операционной системы Windows XP, от
вредоносных троянских программ.
1. Обоснование необходимости создания КСЗИ на предприятии
.1 Правовые основы защиты информации на предприятии
Защита информации па предприятии осуществляется в соответствии с Законами
и Нормативными актами действующего законодательства Украины.
К законодательным актам относятся Законы, Указы, постановления Кабинета
Министров Украины (ПКМУ) и Государственные стандарты. К нормативным актам
относятся рекомендации, положения, методические указания, разработанные
уполномоченными организациями - например, документы ДСТСЗИ (Государственной
службы специальной связи и защиты информации Украины).
Обработка информации на предприятии осуществляется в соответствии со
следующими законодательными и нормативно-правовыми документами:
- Закон Украины «Об информации» от 02.10.1992 г.;
- Закон Украины «О защите информации в автоматизированных системах» от 31.05.2005 г.;
- Закон Украины «О научно-технической информации» от 25.06.1993г.;
- ПКМУ № 611 «О перечне сведений, которые не составляют коммерческую тайну»
от 09.08.1993 г.;
- ПКМУ № 1126 «Об утверждении концепции
технической защиты информации в Украине» от 08.10.1997 г.;
Государственные стандарты Украины:
- ДСТУ 3396.0-96 «Защита информации. Техническая защита информации.
Основные положения»;
- ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок
проведения работ»;
- НД ТЗИ 1.1-002-99 «Общие положения по защите информации в компьютерных
системах от несанкционированного доступа»;
- НД ТЗИ 1.4-001-2000 «Типовое положение про службу защиты информации в
автоматизированной системе»;
- Закон Украины «О защите от недобросовестной конкуренции» от 07.06.1996
г.;
- НД ТЗИ 2.5-004-99 «Критерии оценки защищённости информации в компьютерных
системах от несанкционированного доступа»;
- НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные
функциональные профили защищенности обрабатываемой информации от
несанкционированного доступа»;
- НД ТЗИ 3.7-001-99 «Методические указания по разработке технического
задания по созданию комплексной системы защиты информации в автоматизированной
системе»;
- НД ТЗИ 3.7-003-2005 «Порядок проведения работ по созданию комплексной
системы защиты информации в информационных телекоммуникационных системах».
Помимо этих законодательных и правовых актов на предприятии
разрабатываются внутренние документы:
- должностные инструкции;
- модель угроз информационной безопасности предприятия;
- модель нарушителя информационной безопасности предприятия.
В соответствии с НД ТЗИ 1.1-002-99 «Общие положения по защите информации
в компьютерных системах от несанкционированного доступа» необходимость создания
КСЗИ на предприятии определяется по результатам анализа сред функционирования
предприятия, а именно, среды пользователей, информационной среды, физической
среды и автоматизированной системы предприятия.
Основные сведения о предприятии
Предприятие предоставляет полный спектр услуг по покупке, продаже, а также
обмену недвижимости.
Основной род деятельности агентства - это продажа первичного и вторичного
жилья (однокомнатных, двухкомнатных и трехкомнатных квартир), новостроек,
старых фондов, коттеджей, домов и домовладений, земельных участков, а также
коммерческой недвижимости.
Также предоставляются услуги по съему, обмену и срочному выкупу
недвижимости.
Тип предприятия - частное предприятие. Агентство недвижимости.
Название: «Миг»
1.2 Анализ среды пользователей
Штатная численность сотрудников: 31 человек.
Руководящий состав:
- директор;
- заместитель директора;
- главный бухгалтер.
Служащие:
- бухгалтер - 2 человека;
- юрист - 3 человека;
- секретарь-референт - 2 человека;
- секретарь-диспетчер - 2 человека;
- специалист по недвижимости (агенты) - 10 человек;
- специалист по работе с клиентами (менеджер) - 3 человека.
Вспомогательный персонал:
- уборщица - 2 человека;
- охранник - 2 человека.
Модель нарушителя (МН) информационной безопасности предприятия.
Под нарушителем ИБ подразумевается лицо, которое в результате умышленных
или неумышленных действий может нанести ущерб информационным ресурсам
предприятия.
В соответствии с моделью, все нарушители по признаку принадлежности к
подразделениям, обеспечивающим функционирование ИС, делятся на внешних и
внутренних нарушителей.
Внутренним нарушителем может быть лицо из следующих категорий
сотрудников:
- обслуживающий персонал;
- программисты, отвечающие за разработку и сопровождение системного и
прикладного ПО;
- технический персонал (рабочие подсобных помещений, уборщицы);
- сотрудники предприятия, которые имеют доступ к компьютерному
оборудованию.
Предполагается, что несанкционированный доступ на объекты системы
посторонних лиц исключается мерами физической защиты (организация пропускного
режима).
Предположения о квалификации внутреннего нарушителя формируется следующим
образом:
- внутренний нарушитель является высококвалифицированным специалистом в
области разработки и эксплуатации ПО и технических средств;
- знает специфику задач, решаемых обслуживающими подразделениями ИС
предприятия;
- является системным программистом, способным модифицировать работу
операционных систем;
- правильно представляет функциональные особенности работы системы и
процессы, связанные с хранением, обработкой и передачей критичной информации;
- может использовать как штатное оборудование и ПО, имеющиеся в составе
системы, так и специализированные средства, предназначенные для анализа и
взлома компьютерных систем.
К внешним нарушителям относятся лица, пребывание которых в помещениях с
оборудованием без контроля со стороны сотрудников предприятия невозможно.
Внешний нарушитель осуществляет перехват, анализ и модификацию
информации, передаваемой по линиям связи, проходящим вне контролируемой
территории; осуществляет перехват и анализ электромагнитных излучений от
оборудования ИС.
Предположения о квалификации внешнего нарушителя формулируется следующим
образом:
- является высококвалифицированным специалистом в области использования
технических средств перехвата информации;
- знает особенности системного и прикладного ПО, а также технических
средств ИС;
- знает специфику задач, решаемых ИС;
- знает функциональные особенности работы системы и закономерности
хранения, обработки и передачи в ней информации;
- знает сетевое и канальное оборудование, а также протоколы передачи
данных, используемые в системе;
- может использовать только серийно изготовляемое специальное оборудование,
предназначенное для съема информации с кабельных линий связи и радиоканалов.
При использовании модели нарушителя для анализа возможных угроз ИБ
необходимо учитывать возможность сговора между внутренними и внешними
нарушителями.
1.3 Физическая среда предприятия
Исследование среды функционирования предприятия.
Расположение предприятия: г. Одесса ул. Высоцкого, 6
Физическая характеристика здания (офиса).
Офис расположен в деловой части города, на первом этаже трехэтажного
офисного здания. Занимает весь первый этаж здания. Общая площадь составляет
225м2, кабинетная система. Площади комнат: от 16.1м2. до
25м2. Высота потолка: 2,6м2. Имеется отдельный вход с
улицы.
Здание с трех сторон окружено различными постройками, четвертая сторона
выходит на автомобильную дорогу.
С запада, на расстоянии 25 метров, расположено высотное офисное здание с
парковочной площадкой.
С южной стороны, на расстоянии 30 метров, расположено многоэтажное жилое
здание.
С востока, на расстоянии 35 метров, расположено административное здание.
С севера расположена автомобильная дорога.
Второй и третий этажи здания заняты офисами предприятий, занимающимися
юридической деятельностью.
Выход на крышу расположен на лестничной клетке пожарного выхода.
Толщина и состав стен, перегородок и перекрытий между этажами:
- толщина несущих стен - 0,5м;
- толщина перегородки - 0,3м;
- стены выполнены из железобетонных конструкций, высота перекрытий - 2,8м;
- материал перегородок - кирпич.
Окна - тройные металлопластиковые, размером 1x1,5м.
Всего - 20 окон.
Двери:
- входная (главный вход) - ширина 1,5м, выполнена из металла, толщиной 3см;
- внутренние - деревянные, толщина - 3см.
Всего дверей - 22 (20 внутренних).
Контроль доступа.
Контроль входа/выхода осуществляет администратор безопасности (охранник).
Лица, не работающие на предприятии, попадают на территорию объекта только в
сопровождении лица, работающего на объекте, с соответствующей записью в журнале
посещения. При этом сотрудник на объекте может быть вызван по внутреннему
телефону, установленному возле стола администратора безопасности. На входной
двери расположен видеодомофон, телефон домофона находится на столе
администратора безопасности.
Режим работы предприятия.
Предприятие функционирует 5 дней в неделю.
График работы предприятия с 09:00 до 20:00, с перерывом на обед с 12:00
до 13:00.
Режим работы сотрудников предприятия.
Администратора безопасности (охранники) - с 08.00 - до 21.00
Уборщицы - с 07.30 - до 10.00
Всех остальные сотрудников - с 09.00 - до 20.00
В период обеденного перерыва организация не занимается основной
деятельностью, служба охраны, в соответствии с инструкцией по охране, обедает
посменно.
Бухгалтерия - служба, которая занимается ведением бухгалтерской и
налоговой отчётности, по совместительству выполняющая функции финансового
отдела, тем самым, распределяя финансовые потоки внутренней и внешней среды
организации.
Юридический отдел - организует совместно с другими подразделениями работу
по заключению договоров, участвует в их подготовке, визирует договоры.
Занимается юридическим консультированием и проведением правовой экспертизы
различных документов, составляемых на предприятии.
Отдел по работе с клиентами - организует и проводит переговоры с
клиентами, принимает заказы, оформляет договоры и другие документы, предлагает
клиентам исполнения заказа, находит оптимальное решения (для клиента и для
предприятия), осуществляет поиск и привлечение новых клиентов.
Служба охраны - отвечает за организацию и ведение пропускного режима на
предприятии и охранной деятельности. Служба расположена в отдельном помещении.
Служба информационных технологий - занимается сбором, обработкой,
хранением и представлением информации, обеспечивающей динамическую оценку и
информационную поддержку принятия производственных решений на предприятии.
Служба располагается в серверной комнате - это выделенное
технологическое помещение со специально созданными и поддерживаемыми условиями
для размещения и функционирования серверного и
телекоммуникационного оборудования. Также выступает основным хранилищем
информации на предприятии, в том числе основных баз данных, персональных данных
и другой информации.
Рисунок 1 - План помещения предприятия
1.4 Автоматизированная система предприятия
В состав автоматизированной системы предприятия входят 16 рабочих станций
и 1 сервер, объединенные в многоранговую локальную сеть.
Расположение рабочих станций и их численность:
- бухгалтерия- 2;
- юридический отдел -2;
- специалисты по недвижимости -6;
- директор -1;
- зам. директор-1;
- отдел по работе с клиентами-1;
- секретарь-референт -1;
- секретарь-диспетчер-1;
- серверная - 1;
- охрана-1.
Основу АС представляют собой рабочие станции с такими характеристиками:
Монитор:
19" Samsung Sync Master 959NF
Процессор: Intel Core i3 -3220
Материнская плата: AsusP8H61-MLX3 PLUSR2.0
ОЗУ:
Kingston DDR3-1333 2048MB PC3-10600 (KVR1333D3N9/2G)
Жесткий диск: Samsung 250GB 16MB 7200rpm
3.5" SATAII (ST250DM001)
Видеокарта: Asus PCI-Ex GeForce GT 640 2048MB GDDR3 (128bit)
Другое:±RW;3,5''
МФУ
LEXMARK X264dn
В соответствии с НД ТЗИ 2.5-005-99 «Классификация автоматизированных
систем и стандартные функциональные профили защищенности обрабатываемой
информации от несанкционированного доступа» такая АС относится к классу «2»,
как локализованный многомашинный многопользовательский комплекс, на котором
обрабатывается информация разных категорий конфиденциальности. [1]
Для автоматизации обработки используется общесистемное ПО.
Системное программное обеспечение.
На всех компьютерах предприятия используется операционная система
семейства Windows, а именно Windows XP Professional Edition SP2x32.
Среди всех операционных Microsoft, именно эта система удовлетворяет все
необходимые требования данного предприятия. Основной положительной
характеристикой этой ОС является наличие встроенного Брандмауэра. Это позволяет
использовать ОС без дополнительного программного обеспечения первое время, пока
предприятие не приобретет более эффективный Брандмауэр.
Предприятие имеет лицензионные копии ПО, которые работают под управлением
ОС семейства Windows. Поэтому использование, именно Windows XP Professional
Edition SP2 , является более актуальным.
Прикладное (специальное) программное обеспечение:
Пакет офисных программ Microsoft Office 2007 (Word, Excel, Power Point, Outlook).
Система управления базами данных: Microsoft Access.
1.5 Информационная среда предприятия
Информация - это задокументированные или публично оглашенные сведения о
событиях и явлениях, которые происходят в обществе, государстве и окружающей
природной среде.
Анализируя источники информации на предприятии, можно выделить следующие:
а) Документы - документация предприятия или просто документы
(входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);
Документы - это самая распространенная форма обмена информацией, ее
накопления и хранения. Важной особенностью документов является то, что они
иногда являются единственным источником важнейшей информации, а, следовательно,
их утеря, хищение или уничтожение может нанести непоправимый ущерб.
Разнообразие форм и содержания документов по назначению, направленности,
характеру движения и использования является весьма заманчивым источником для
злоумышленников, что, привлекает их внимание к возможности получения
интересующей информации.
б) Базы данных - информационной система, содержащая упорядоченные и
взаимосвязанные сведения об объектах и их признаках. В базах данных хранятся
сведения о клиентах.
в) Информация на технических носителях.
Технические носители - это бумажные носители, кино- и фотоматериалы,
магнитные носители, съемные носители, аудио- и видео-носители, распечатки
программ и данных на принтерах и экранах компьютеров предприятия и др.
Опасность утечки информации, связанная с техническими носителями, растет очень
быстро и становится все более трудно контролируемой.
Исходя из анализа источников информации, можно сделать вывод, что на
предприятии циркулирует информация являющейся конфиденциальной и,
соответственно, ее необходимо защищать, так как утрата свойства
конфиденциальности может понести за собой значительный материальный ущерб.
1.6 Модель угроз (МУ) информационной безопасности предприятия
Под угрозой обычно понимают потенциально возможное событие (воздействие,
процесс или явление), которое может привести к нанесению ущерба чьим-либо
интересам. В настоящее время известен обширный перечень угроз информационной
безопасности АС.
Рассмотрение возможных угроз информационной безопасности проводится с
целью определения полного набора требований к разрабатываемой системе защиты.
Перечень угроз, оценки вероятностей их реализации, а также модель
нарушителя служат основой для анализа риска реализации угроз и формулирования
требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно
проведение анализа этих угроз на основе их классификации по ряду признаков.
Каждый из признаков классификации отражает одно из обобщенных требований к
системе защиты.
Необходимость классификации угроз информационной безопасности АС
обусловлена тем, что хранимая и обрабатываемая информация в современных АС
подвержена воздействию чрезвычайно большого числа факторов, в силу чего
становится невозможным формализовать задачу описания полного множества угроз.
Поэтому для защищаемой системы обычно определяют не полный перечень угроз, а
перечень классов угроз.
Классификация возможных угроз информационной безопасности АС может быть
проведена по следующим базовым признакам.
а) по природе возникновения:
) естественные угрозы, вызванные воздействиями на АС объективных
физических процессов или стихийных природных явлений;
) искусственные угрозы безопасности АС, вызванные деятельностью
человека.
б) по степени преднамеренности проявления:
) угрозы, вызванные ошибками или халатностью персонала, например
некомпетентное использование средств защиты, ввод ошибочных данных и;
) угрозы преднамеренного действия, например действия
злоумышленников.
в) по непосредственному источнику угроз:
) природная среда, например стихийные бедствия, магнитные бури и
пр.;
) человек, например, путем подкупа персонала, разглашение
конфиденциальных данных и т. п.;
) санкционированные программные средства, например удаление
данных, отказ в работе ОС;
) несанкционированные программные средства, например заражение
компьютера вирусами с деструктивными функциями.
в) по положению источника угроз:
) вне контролируемой зоны АС, например перехват данных,
передаваемых по каналам связи, перехват побочных электромагнитных, акустических
и других излучений устройств;
) в пределах контролируемой зоны АС, например применение
подслушивающих устройств, хищение распечаток, записей, носителей информации и
т. п.;
) непосредственно в АС, например некорректное использование
ресурсов АС.
г) по степени зависимости от активности АС:
) независимо от активности АС, например вскрытие шифров
криптозащиты информации;
) только в процессе обработки данных, например угрозы выполнения и
распространения программных вирусов.
д) по степени воздействия на АС:
) пассивные угрозы, которые при реализации ничего не меняют в
структуре и содержании АС, например угроза копирования секретных данных;
) активные угрозы, которые при воздействии вносят изменения в
структуру и содержание АС, например внедрение троянских программ.
е) по этапам доступа пользователей или программ к ресурсам АС:
) угрозы, проявляющиеся на этапе доступа к ресурсам АС, например
угрозы несанкционированного доступа в АС;
) угрозы, проявляющиеся после разрешения доступа к ресурсам АС,
например угрозы несанкционированного или некорректного использования ресурсов
АС.
) угрозы, осуществляемые с использованием стандартного пути
доступа к ресурсам АС, например незаконное получение паролей и других
реквизитов разграничения доступа с последующей маскировкой под
зарегистрированного пользователя;
) угрозы, осуществляемые с использованием скрытого нестандартного
пути доступа к ресурсам АС, например несанкционированный доступ к ресурсам АС
путем использования недокументированных возможностей ОС.
з) по текущему месту расположения информации, хранимой и обрабатываемой в
АС:
) угрозы доступа к информации, находящейся на внешних запоминающих
устройствах, например несанкционированное копирование секретной информации с
жесткого диска;
) угрозы доступа к информации, находящейся в оперативной памяти,
например чтение остаточной информации из оперативной памяти, доступ к системной
области оперативной памяти со стороны прикладных программ;
) угрозы доступа к информации, циркулирующей в линиях связи,
например незаконное подключение к линиям связи с последующим вводом ложных
сообщений или модификацией передаваемых сообщений, незаконное подключение к
линиям связи с целью прямой подмены законного пользователя с последующим вводом
дезинформации и навязыванием ложных сообщений;
) угрозы доступа к информации, отображаемой на терминале или
печатаемой на принтере, например запись отображаемой информации на скрытую
видеокамеру.
Анализ опыта проектирования, изготовления и эксплуатации АС показывает,
что информация подвергается различным случайным воздействиям на всех этапах
цикла жизни и функционирования АС.
Причинами случайных воздействий при эксплуатации АС могут быть:
- аварийные ситуации из-за стихийных бедствий и отключений электропитания;
- отказы и сбои аппаратуры;
- ошибки в программном обеспечении;
- ошибки в работе обслуживающего персонала и пользователей;
- помехи в линиях связи из-за воздействий внешней среды.
Для АС предприятия можно выделить следующие преднамеренные угрозы:
- НСД лиц, не принадлежащих к числу сотрудников предприятия, и ознакомление
с хранимой конфиденциальной информацией;
- ознакомление сотрудников предприятия с информацией, к которой они не
должны иметь доступ;
- несанкционированное копирование программ и данных;
- кража магнитных носителей, содержащих конфиденциальную информацию;
- кража распечатанных документов;
- умышленное уничтожение информации;
- несанкционированная модификация сотрудниками предприятия финансовых
документов, отчетности и баз данных;
- отказ от авторства сообщения, переданного по каналам связи;
- отказ от факта получения информации;
- навязывание ранее переданного сообщения;
- разрушение информации, вызванное вирусными воздействиями;
- разрушение архивной информации предприятия, хранящейся на магнитных или
съемных носителях;
- кража оборудования.
Виды угроз, реализуемые с использованием технических средств.
Для технических средств характерны угрозы, связанные с их умышленным или
неумышленным повреждением, ошибками конфигурации и выходом из строя:
- выход из строя (умышленный или неумышленный);
- несанкционированное либо ошибочное изменение конфигурации активного
сетевого оборудования и приемно0передающего оборудования;
- физическое повреждение технических средств, линий связи, сетевого и
каналообразующего оборудования;
- перебои в системе электропитания;
- отказы технических средств;
- установка непроверенных технических средств или замена вышедших из строя
аппаратных компонент на неидентичные компоненты;
- хищение технических средств и долговременных носителей конфиденциальной
информации вследствие отсутствия контроля над их использованием и хранением.
Угрозы, реализуемые с использованием программных средств.
Это наиболее многочисленный класс угроз конфиденциальности, целостности и
доступности информационных ресурсов, связанный с получением
несанкционированного доступа (НСД) к информации, хранимой и обрабатываемой в
системе, а также передаваемой по каналам связи, при помощи использования
возможностей, предоставляемых программным обеспечением (ПО) информационной
системе (ИС). Большинство рассматриваемых в этом классе угроз реализуется путем
осуществления локальных или удаленных атак на информационные ресурсы системы
внутренними и внешними злоумышленниками. Результатом успешного осуществления
этих угроз становится получение НСД к информации баз данных (БД) и файловых
систем корпоративной сети, данным, хранящимся на автоматизированном рабочем
месте (АРМ) операторов, конфигурации маршрутизаторов и другого активного
сетевого оборудования.
В этом классе рассматриваются основные виды угроз с использованием
программных средств:
- внедрение вирусов и других разрушающих программных воздействий;
- нарушение целостности исполняемых файлов;
- ошибки кода и конфигурации ПО, активного сетевого оборудования;
- анализ и модификация ПО;
- наличие ПО недекларированных возможностей, оставленных для отладки, либо
умышленно внедренных;
- наблюдение за работой системы путем использования программных средств
анализа сетевого трафика и утилит ОС, позволяющих получать информацию о системе
и о состоянии сетевых соединений;
- использование уязвимостей ПО для взлома программной защиты с целью
получения НСД к информационным ресурсам или нарушения их доступности;
- выполнение одним пользователем несанкционированных действий от имени
другого пользователя;
- раскрытие, перехват и хищение секретных кодов и паролей;
- чтение остаточной информации в ОП компьютеров и на внешних носителях;
- ошибки ввода управляющей информации с АРМ операторов в БД;
- загрузка и установка в системе нелицензионного, непроверенного системного
и прикладного ПО;
- блокирование работы пользователей системы программными средствами.
Исходя из анализа сред предприятия, можно сделать вывод о том, что:
На предприятии существует информацию, которую необходимо защищать.
Существуют угрозы защиты информации предприятия, которые могут быть
реализованы через АС предприятия.
Принято считать, что, вне зависимости от конкретных видов угроз или их
проблемно-ориентированной классификации, информационная безопасность АС
обеспечена в случае, если для информационных ресурсов в системе поддерживаются
основные свойства информации: конфиденциальность, целостность и доступность.
2. Постановка задачи защиты операционной системы Windows XP от троянских программ
.1 Краткие сведения об операционной системе Windows XP
Операционная система Windows XP - одна из самых распространенных
операционных систем корпорации Microsoft.
Она система Windows XP выпускается с октября 2001 года и является
продолжением и развитием Windows 2000. Что говорит само название: XP - от англ.
experience (опыт).XP является исключительно клиентским вариантом, подходит
частным лицам для личного и рабочего пользования. Серверным вариантом этой
системы является, выпущенная позже, Windows Server 2003. Обе операционные
системы построены на платформе одного и того же ядра, поэтому развиваются и
обновляются параллельно.
Наиболее распространенные версии операционной системы Windows XP: Windows
XP Professional Edition и Windows XP Home Edition.XP Professional представляет собой операционную систему,
предназначенную для использования в корпоративных целях, работы предприятий и
предпринимателей. Особенностью данного Windows является шифрование файлов с
помощью программы Encrypting File System, возможность центрального управления
правами доступа и поддержка многопроцессорных систем, удаленный доступ к
рабочему столу и т.п.XP Home - облегченная и урезанная версия XP Professional.
В отличие от старшего брата, XP Home заметно дешевле, но при установке
определенных программ и проведении обновлений, версию вполне можно расширить до
полноценной XP Professional.
Структура операционной системы Windows XP.
Операционная система Windows XP построена на основе микроядра и её
архитектуру нередко называют модифицированной архитектурой микроядра. С одной
стороны, Windows XP обладает модульной структурой и компактным ядром, которое
представляет базовые сервисы для других компонентов операционной системы.
Однако в отличие от операционных систем, построенных исключительно на
архитектуре микроядра, эти компоненты (например, диспетчер памяти или файловая
система) выполняются не в пользовательском режиме, а в режиме ядра. Windows XP
представляет собой многоуровневую операционную систему, в которой отдельные
уровни подчиняются общей иерархии, где нижние уровни обеспечивают
функциональность верхних уровней. Но, в отличие от строго иерархических систем,
возможны ситуации, когда между собой могут общаться несмежные уровни.
На рис.2 показана структура системы Windows XP. Уровень абстракций
аппаратуры (Hardware Abstraction Layer, HAL) взаимодействует непосредственно с
оборудованием, скрывая детали взаимодействия операционной системы с конкретной
аппаратной платформой для остальной части системы, HAL позволяет
абстрагироваться от конкретного оборудования, которое в разных системах с одной
и той же архитектурой может быть различным. В большинстве случаев, компоненты,
выполняемые в режиме ядра, не работают непосредственно с аппаратным
обеспечением, вместо этого они вызывают функции, доступные в HAL. Поэтому
компоненты режима ядра могут создаваться без учета деталей реализации,
специфичных для конкретной архитектуры, таких как размер кэша и количество
подключенных процессоров. HAL взаимодействует с драйверами устройств, чтобы
обеспечить доступ к периферийному оборудованию.
Кроме того, уровень абстракций аппаратуры взаимодействует с микроядром.
Микроядро обеспечивает основные механизмы функционирования системы, такие как
планирование выполнения потоков для поддержки других компонентов режима ядра.
Микроядро управляет синхронизацией потоков, обслуживанием прерываний и
обработкой исключений. Кроме того, микроядро позволяет не учитывать
архитектурно-зависимые функциональные возможности, например, количество
прерываний в различных архитектурах. Таким образом, микроядро и HAL
обеспечивают переносимость операционной системы Windows XP, позволяя работать
на самом разнообразном оборудовании.
Микроядро формирует только небольшую часть пространства ядра.
Пространство ядра описывает среду выполнения, в которой компоненты могут
получать доступ к системной памяти и службам. Компоненты, размещаемые в
пространстве ядра, выполняются в режиме ядра. Микроядро предоставляет базовые
услуги другим компонентам, размещенным в пространстве ядра.
Выше уровня ядра расположены компоненты режима ядра, отвечающие за администрирование
подсистем операционной системы (например, диспетчер ввода/вывода и диспетчер
виртуальной памяти). Все эти компоненты называются исполняющие или управляющие
программы. На рис.1 показаны основные управляющие программы. Исполняющие
программы предоставляют услуги пользовательским процессам через интерфейс
прикладного программирования (API - application programming interface). Этот
API носит название собственного API.
Рисунок 2.1 - Структурная схема операционной системы Windows XP
Драйвер устройства является программным компонентом операционной системы
и взаимодействует непосредственно с аппаратными ресурсами. Драйвер располагает
специфическим для данного устройств набором команд, предназначенных для
выполнения запрашиваемых операций ввода/вывода.
Контрольный монитор безопасности обеспечивает правильность осуществления
политики безопасности, а также позволяет точно настроить систему и корректно
запустить ее.
Большинство пользовательских процессов обращаются не к функциям
собственного API, а вызывают функции API, предоставляемые системными
компонентами пользовательского режима, которые называют подсистемами
операционной среды. Подсистемы операционной среды представляют собой процессы,
выполняемые в пользовательском режиме, которые размещаются между исполняющей
программой и остальной частью пространства пользователя, экспортируя API для определённой компьютерной среды.
На верхнем уровне архитектуры Windows XP расположены
процессы, выполняемые в пользовательском режиме. К ним относятся широко
распространённые приложения (например, текстовые процессоры, компьютерные игры
и веб-обозреватели), а также динамически подключаемые библиотеки (DLL). Библиотеки DLL - это модули, предоставляющие
процессам функции и данные. API
подсистемы среды состоит из модулей DLL, динамически подключаемых при вызове функции в API подсистемы. Так как библиотеки DLL подключаются динамически, это
позволяет повысить модульность приложений. В случае внесения изменений в
реализацию функций в DLL,
достаточно будет перекомпилировать только подключаемую библиотеку, а не все
использующее её приложение.
Диспетчер виртуальной памяти создаёт схему управления памятью,
позволяющую выделять каждому процессу собственное большое закрытое адресное
пространство, объём которого может превышать доступную физическую память.
Диспетчер конфигурации отвечает за реализацию и управление системным
реестром.
Диспетчер электропитания координирует события, связанные с
электропитанием, генерирует уведомления системы управления электропитанием,
посылаемые драйверам. Когда система не занята, диспетчер можно настроить на
остановку процессора для снижения энергопотребления. Изменение
энергопотребления отдельных устройств возлагается на их драйверы, но
координируется диспетчером электропитания.
Диспетчер кэша повышает производительность файлового ввода/вывода за счёт
сохранения в основной памяти дисковых данных, к которым недавно было обращение.
Диспетчер объектов создаёт, управляет и удаляет объекты и абстрактные
типы данных исполнительной системы, используемые для представления таких
ресурсов операционной системы, как процессы, потоки и различные
синхронизирующие объекты.
В Windows XP также существуют специальные процессы пользовательского
режима, называемые системными службами или службами Win32. эти процессы обычно выполняются в фоновом режиме,
независимо от того, произошёл ли вход пользователя в систему, выполняя, как
правило, роль приложений, работающих по схеме клиент/сервер.
Пакеты обновлений Windows XP.
Microsoft <#"651032.files/image003.gif">
, где
-
мощность дозы рентгеновского излучения на расстоянии r, мкР/час;
- уровень мощности дозы рентгеновского излучения на расстоянии 5
см от экрана дисплея, мкР/ч.- линейный коэффициент ослабления рентгеновского
излучения воздухом, см-1;- расстояние от экрана дисплея, см;
Возьмем 
Таблица 4.1 - Результаты расчета дозы рентгеновского излучения
|
r, см
|
55
|
110
|
220
|
330
|
440
|
550
|
660
|
770
|
880
|
990
|
1100
|
|
P, мкР/ч
|
1100
|
773
|
553
|
339
|
228
|
221
|
115
|
111
|
88
|
96
|
44
|
Среднестатистический пользователь
располагается на расстоянии 50 см от экрана дисплея. Рассчитаем дозу облучения,
которую получит пользователь за смену, за неделю, за год.
Таблица
4.2 - Результаты расчета дозы получит пользователь
|
За смену
|
8 часов
|
8*21
|
168 мкР
|
|
За неделю
|
5 дней
|
5*168
|
840 мкР
|
|
За год
|
44 рабочие недели
|
44*840
|
36960 мкР
|
Установленное нормами предельное значение годовой дозы - 5 мЗв или 0,5 Р.
4.2 Расчет экономической эффективности затрат на
мероприятия по обеспечению информационной безопасности предприятия
Экономическая эффективность системы определяется затратами на создание и
поддержание технической системы безопасности АС предприятия к ущербу, который
может быть получен в случае ее отсутствия.
Для защиты информации в АС предприятия «Миг» расчет экономической
эффективности будет производиться на основе следующих входных данных:
- Расчёт эффективности производится путём распределения стоимости защиты информации
в АС на определенный период времени, который должен быть выбран в соответствии
с особенностями предприятия.
Предприятие «Миг» небольших размеров, но чистая прибыль предприятия в год
в среднем составляет 350 тысяч гривен. Это позволяет создавать комплекс
технической системы для защиты предприятия от троянских программ.
Эквивалентный ущерб, определённый экспертами, рассчитывается по каждой
угрозе на промежуток равный одному году.
Затраты на ввод в действие рассчитываются единовременным образом, и распределяются
на себестоимость услуг, на срок равный сроку амортизации, т.е. 10 лет.
Затраты на обслуживание рассчитываются на годовой период.
Сумма эквивалентного ущерба угроз безопасности определяется исходя из
частной модели угроз. При потере клиентской базы предприятие понесет ущерб на
сумму приблизительно 100 000 гривен.
Определение затрат на ввод в эксплуатацию системы безопасности информации
с учетом установки и настройки требуемой системы.
Расчет затрат на приобретение программного и аппаратного обеспечения для
защиты предприятия от троянских программ:
- антитроянская программа с лицензией на год, на 16 рабочих станций и 1
сервер;
грн * 17 рабочих станций = 4063 грн
- антивирусная программа с лицензий на год, на 16 рабочих станций и 1
сервер;
грн * 17 рабочих станций = 6715 грн
грн / 10 лет = 276 грн
грн + 6715 грн + 276 грн = 11054 грн
Общая сумма программного и аппаратного обеспечения для защиты предприятия
от троянских программ на год, составляет 11054 грн.
Затраты на обслуживание данной системы включают в себя ввод в штат
персонала сотрудника, который будет отвечать за безопасность, своевременное
обновление и устранение проблем связанных с существующей системой. Сумма затрат
составит среднестатистическую зарплату системного администратора 2000 грн./мес.
Затраты на систему защиты информации в годовой период можно рассчитать
как сумму затрат на ввод в действие в расчёте на год и затрат на обслуживание:
Общие затраты в расчете на год - 11054+2000= 13054 грн, при расчёте на
год.
Для ввода системы защиты информации АС предприятия в действие -
необходимо включить в себестоимость продукции затраты на сумму 13054 грн, т.е.
около 4% от чистой прибыли организации, и 13% от эквивалентной меры ущерба.
Таким образом, применение системы защиты информации является экономически
выгодным, поскольку, в условиях современной рыночной экономики, троянские
программы наносят колоссальный ущерб АС предприятий.
Выводы
В процессе решения задач по защите информации, обрабатываемой в АС
предприятия, были проанализированы особенности функционирования предприятия,
исследованы его физическая среда, среда пользователей, информационная среду и
автоматизированная система предприятия.
На основе этого анализа определены наиболее активные угрозы информации АС
предприятия и обоснована необходимость создания КСЗИ на предприятии.
Основной целью атаки на рабочие станций АС предприятия является получение
данных, обрабатываемых, либо локально хранимых на предприятии. Одним из самых
опасных средств вредоносных атак для АС предприятия являются троянские
программы.
Троянские программы - одна из наиболее опасных угроз безопасности
компьютерных систем. Радикальным способом защиты от этой угрозы является
создание замкнутой среды исполнения программ. Никакая другая программа с такой
большой вероятностью не приводит к полной компрометации системы, и ни одна
другая программа так трудно не обнаруживается.
В связи с этим, для защиты информации, хранящейся на рабочих станциях
предприятия от троянских программ, необходимо использовать комплекс программ,
например, встроенный брандмауэр Windows,
внешний фаервол, антивирусную программу и антитроянскую программу.
Использование лишь одного из указанных средств не обеспечит необходимого уровня
защищенности информационной безопасности предприятия.
Список литературы
1. НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем
и стандартные функциональные профили защищенности обрабатываемой информации от
несанкционированного доступа».
2. С.А. Белоусов, А.К.Гуц, С. Планков - «Троянские кони.
Принципы работы и методы защиты».
. Шаньгин В.Ф. - «Защита компьютерной информации.
Эффективные методы и средства».
. Кей Фейнштайн - «Защита ПК от спама, вирусов,
всплывающих окон и шпионских программ».
. Соколов А.В., Степанюк О.М. - «Защита от
компьютерного терроризма».
. Малюк А.А., Пазизин С.В., Погожин Н.С. - «Введение в
защиту информации в автоматизированных системах».
. Гайкович В.Ю., Ершов Д.В. - «Основы безопасности
информационных технологий».
. О. В. Казарин - «Теория и практика защиты программ».
. К. В. Ржавский - «Информационная безопасность:
практическая защита информационных технологий и телекоммуникационных систем».
. Домарев В.В. - «Безопасность информационных
технологий. Методология создания систем защиты».