Защитные средства в операционных системах
Защитные средства в операционных системах
Содержание
Введение
. Распространение угроз компютерным сетям
. Опасность несанкционированного доступа
. Средства ограничения физического доступа
. Средства защиты от НСД по сети
Заключение
Список использованной литературы
Введение
"Вендоры программного обеспечения по-прежнему отстают от злоумышленников в поиске уязвимостей, что позволяет последним проводить "атаки нулевого дня" (атаки, для которых хакер только что разработал программное обеспечение и сигнатуры которых отсутствуют в базах данных средств детектирования, что позволяет эксплуатировать новые бреши), - утверждает Говинд Раммурти. - Microsoft Windows остается основной целевой операционной системой для кибер-преступников. Тем не менее сегодня главный вектор кибератак - не операционные системы, а технологии Java, PDF и Flash на атакуемых компьютерах.
Основная часть взломов веб-приложений происходит в результате SQL-инъекций и межсайтового скриптинга. На протяжении последних двух лет эксперты отмечают целый ряд подобных веб-атак, позволивших группам хактивистов, в частности Anonymous, взломать и вывести из строя несколько респектабельных сайтов. Эта тенденция наблюдается и в текущем году".
Каким же образом организация может защитить свои бизнес-процессы от атак?
Для этого необходимо использовать комплексный подход, сочетающий организационные и технические меры защиты. С точки зрения организации необходимо четко представлять себе потоки информации и такие особенности, как важность и конфиденциальность данных, категории сотрудников и права, предоставленные им для доступа к информации. С точки зрения технической защиты использование современных комплексных средств защиты по-прежнему остается одной из наиболее важных мер. Но с развитием угроз появляется настоятельная необходимость распространять такие защитные меры на все типы устройств и на все операционные системы - от смартфона до ноутбука и от Android и iOS до MacOS и Linux. Очень важной составляющей системы безопасности должна стать система контроля защиты, позволяющая в режиме реального времени отслеживать угрозы, реагировать на появление в сети новых устройств, автоматизировать установку и контроль современных средств защиты.
Лучший способ защиты от любых кибератак - постоянная актуализация программного обеспечения путем регулярных обновлений. Это способствует значительному повышению уровня безопасности компьютерной системы. Не стоит забывать и про важность использования антивирусного программного обеспечения, которое позволит нейтрализовать информационные угрозы в режиме реального времени.
1. Распространение угроз компютерным сетям
Сегодня практически в любой организации в России бизнес-процессы зависят от информационных систем. Последние могут быть различной сложности - от простейшего файлообмена до корпоративных систем документооборота и управления, - но все они отличаются одной общей особенностью: независимо от масштабов любая информационная система, а значит, и бизнес-процессы организации находятся под постоянной угрозой. Классические опасности - компьютерные вирусы, спам, сетевые атаки - постоянно усложняются, меняют поведение, дополняются новыми угрозами. Все большую опасность приобретают не только внешние, но и внутренние угрозы, прежде всего утечка важной конфиденциальной информации и нецелевое использование ресурсов.
Ситуация усугубляется с развитием новых веяний в области информационных технологий. Сегодня большинство компаний, как крупных, так и мелких, сталкиваются с "размыванием" корпоративной сети. Если раньше доступ к данным осуществлялся со стационарных компьютеров, которые были подключены к локальной сети и которые было достаточно легко контролировать, то теперь, с ростом мобильности бизнеса, доступ к важной бизнес-информации требуется обеспечить с ноутбуков, планшетов, смартфонов, т.е. устройств, подключающихся через беспроводные сети. Зачастую подобные устройства довольно сложно контролировать, поскольку они могут находиться в личной собственности сотрудников. Таким образом, устройство может использоваться как в рабочих, так и в личных целях (например, для посещения социальных сетей), что серьезно компрометирует общий уровень безопасности. Имеются многочисленные примеры атак, в ходе которых злоумышленники получали доступ к важной информации, воспользовавшись данными, размещёнными пользователями в социальных сетях.
С каждым годом угрозы информационной безопасности становятся всё более трудными для обнаружения. 2011 год для большинства предприятий стал годом осознания серьезности вопросов, касающихся информационной безопасности, поскольку многие известные организации пережили взломы информационных систем и утечки важных данных.
В течение 2012 года появились новые виды вредоносных программ, расширился спектр вирусных и хакерских атак: по сравнению с предыдущим годом вредоносная активность увеличилась на 30%. Всемирная сеть в ближайшем будущем, несомненно, останется главным каналом распространения вредоносного программного обеспечения. Злоумышленники продолжат разрабатывать методы социальной инженерии, предназначенные для целевых атак на браузеры и связанные приложения (т.е. приложения, запускающиеся группой).
Можно ожидать, что киберпреступники будут и дальше активно использовать "облачные" технологии для распространения вредоносных кодов. Продолжатся атаки групп так называемых хактивистов, таких как LulzSec и Anonymous, приводящих к отказам сервисов, утечкам документов и недоступности сайтов.
Киберпреступники работают все более профессионально благодаря тому, что на "черном" рынке им доступны готовые пакеты вредоносного программного обеспечения, например популярный набор эксплойтов Blackhole kit. Распространение подобных наборов приводит к созданию новых вариантов и модификаций вредоносных программ и эксплойтов, что значительно увеличивает общее количество вредоносного программного обеспечения и вредоносных ссылок.
Таким образом, многочисленные взломы систем парольной защиты свидетельствуют о том, насколько неэффективны слабые пароли. То, что мы стали свидетелями роста числа заражений через скрытые загрузки на веб-сайтах (атаки drive-by-downloads), еще раз подчеркивает необходимость исправления уязвимых приложений, браузеров и операционных систем. С усложнением угроз и распространением новых платформ и устройств растет потребность в инновационных решениях в области информационной безопасности.
компьютерный сеть несанкционированный доступ
2. Опасность несанкционированного доступа
Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:
1.Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.
2.Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.
.Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.
.Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.
Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа, которые можно разделить на две категории:
1.Средства ограничения физического доступа.
2.Средства защиты от несанкционированного доступа по сети.
Таким образом, очевидно, что встроенные средства защиты Windows обеспечивают базовый уровень безопасности, которого должно быть достаточно для повседневной работы. Однако, если компьютер используется для осуществления более чувствительных с точки зрения безопасности действий, например, осуществления интернет-платежей, необходимо задуматься о более функционально наполненных решениях класса Internet Security. Кроме того, использование средств класса Internet Security оправдано, если компьютер используется дома и в семье есть маленькие дети - эти средства обладают более развитым и более гибким с точки зрения настроек модулей Родительского контроля.
. Средства ограничения физического доступа
Наиболее надежное решение проблемы ограничения физического доступа к компьютеру - использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются "электронными замками".
Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.
На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом - Администратором по безопасности:
1.Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов - дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.
2.Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:
системные библиотеки Windows;
исполняемые модули используемых приложений;
шаблоны документов Microsoft Word и т. д.
Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.
В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер, а именно:
1.Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера.
2.Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:
пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл;
восстановить исходный файл;
удалить файл из списка контролируемых.
3.Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.
Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти - обычно это MS-DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности - собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы.
Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором.
При использовании электронных замков существует ряд проблем, в частности:
1.BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOSу замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.
2.Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:
Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.
Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора - в этом случае замок не может быть изъят без существенного повреждения компьютера.
Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.
4. Средства защиты от НСД по сети
Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN - Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно.
Виртуальные частные сети
Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN - это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент - это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.
Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:
1.Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.
2.С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.
.С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.
.С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.
.Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.
При приеме IP-пакета VPN-агент производит следующее:
2.Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.
.Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.
.Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.
.Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.
Основное правило построения VPN - связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.
Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:
1.Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.
2.Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.
Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:
1.IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.
2.IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.
.Идентификатор пользователя (отправителя или получателя).
.Протокол транспортного уровня (TCP/UDP).
.Номер порта, с которого или на который отправлен пакет.
Межсетевое экранирование
Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является "урезанным" VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:
антивирусное сканирование;
контроль корректности пакетов;
контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);
контент-контроль.
Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.
По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.
Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.
Таким образом, существует несколько причин для реализации защиты. Наиболее очевидная - помешать внешним вредным попыткам нарушить доступ к конфиденциальной информации. Не менее важно, однако, гарантировать, что каждый программный компонент в системе использует системные ресурсы только способом, совместимым с установленной политикой использования этих ресурсов. Эти требования абсолютно необходимы для надежной системы.
Одним из эффективных направлений противодействия вирусам является повышение вирусозащищенности операционных систем. В свою очередь, последнее представляет собой один из путей решения общей проблемы, обычно называемой защитой операционной системы. Существует несколько аспектов этой проблемы, имеющих значение как для операционных систем автономно функционирующих ЭВМ, так и для сетевых операционных систем.
Заключение
Проведенное исследование позволило заключить, что многочисленные взломы систем парольной защиты свидетельствуют о том, насколько неэффективны слабые пароли. То, что мы стали свидетелями роста числа заражений через скрытые загрузки на веб-сайтах (атаки drive-by-downloads), еще раз подчеркивает необходимость исправления уязвимых приложений, браузеров и операционных систем. С усложнением угроз и распространением новых платформ и устройств растет потребность в инновационных решениях в области информационной безопасности.
Встроенные средства защиты Windows обеспечивают базовый уровень безопасности, которого должно быть достаточно для повседневной работы. Однако, если компьютер используется для осуществления более чувствительных с точки зрения безопасности действий, например, осуществления интернет-платежей, необходимо задуматься о более функционально наполненных решениях класса Internet Security. Кроме того, использование средств класса Internet Security оправдано, если компьютер используется дома и в семье есть маленькие дети - эти средства обладают более развитым и более гибким с точки зрения настроек модулей Родительского контроля.
Существует несколько причин для реализации защиты. Hаиболее очевидная - помешать внешним вредным попыткам нарушить доступ к конфоденциальной информации. Не менее важно, однако, гарантировать, что каждый программный компонент в системе использует системные ресурсы только способом, совместимым с установленной политикой использования этих ресурсов. Эти требования абсолютно необходимы для надежной системы.
Строго говоря, в сетевой операционной системе и аппаратных средствах должны быть так или иначе реализованы механизмы безопасности, о которых шла речь. В этом случае можно считать, что операционная система обеспечивает защиту ресурсов ИВС, одним из которых является сама операционная система, то есть входящие в нее программы и используемая ею системная информация.
Список использованной литературы
1.Волобуев, С.В. Методы и средства защиты компьютерной информации / С.В. Волобуев. - Обнинск: ИАТЭ, 2003. - 80 с.
2.Девянин, П.Н. Модели безопасности компьютерных систем / П.Н. Девянин. - М.: Академия, 2005. - 143 c.
.Кибератаки как они есть. Обзор самых распространенных угроз крупным компьютерным корпоративным сетям. Рекомендации по предотвращению // Бухгалтерия и банки, 2011. - № 11.
.Панасенко, С.П. Методы и средства защиты от несанкционированного доступа / С.П. Панасенко // Проффи, 2005 - № 17 - С. 26-29.
.Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей / В.В. Платонов. - М.: Академия, 2006. - 239 c.
.Хорев, П.Б. Методы и средства защиты информации в компьютерных системах / П.Б. Хорев. - М.: Академия, 2005. - 255 c.
.Шаньгин, В. Защита информации в компьютерных системах и сетях / В. Шаньгин. - М.: ДМК-Пресс, 2012. - 592 с.